מידע על תוכן האבטחה של iOS 17.5 ו-iPadOS 17.5

מסמך זה מתאר את תוכן האבטחה של iOS 17.5 ו-iPadOS 17.5.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. גרסאות עדכניות מופיעות בדף גרסאות אבטחה של Apple‏.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID‏ במידת האפשר.

למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple.

iOS 17.5 ו-iPadOS 17.5

הופץ ב-13 במאי 2024

Apple Neural Engine

זמין עבור מכשירים עם Apple Neural Engine‏: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שמיני ואילך ו-iPad mini דור חמישי ואילך

השפעה: תוקף מקומי עלול לגרום לכיבוי בלתי צפוי של המערכת

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2024-27826‏: Minghao Lin, ו-Ye Zhang ‏(@VAR10CK) מ-Baidu Security

הרשומה נוספה ב‑29 ביולי 2024

AppleAVD

זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2024-27804‏: Meysam Firouzi ‏(‎@R00tkitSMM)

הרשומה עודכנה ב‑15 במאי 2024

AppleMobileFileIntegrity

השפעה: תוקף עלול להצליח לגשת לנתוני משתמש

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2024-27816: ‏Mickey Jin‏ (‎@patch1t)

AVEVideoEncoder

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2024-40771: חוקר אנונימי

הרשומה נוספה ב‑15 בינואר 2025

AVEVideoEncoder

השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2024-27841: חוקר אנונימי

Core Data

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה טופלה באמצעות אימות משופר של משתני סביבה.

CVE-2024-27805: ‏Kirin ‏(‎@Pwnrin) ו-小来来 ‏(‎@Smi1eSEC)

הרשומה נוספה ב-10 ביוני 2024

CoreMedia

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-27817: ‏pattern-f ‏(‎@pattern_F_‎) מ-Ant Security Light-Year Lab

הרשומה נוספה ב-10 ביוני 2024

CoreMedia

השפעה: עיבוד של קובץ עלול להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2024-27831‏: Amir Bazine ו-Karsten König מ-CrowdStrike Counter Adversary Operations

הרשומה נוספה ב-10 ביוני 2024

Disk Images

השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-27832: חוקר אנונימי

הרשומה נוספה ב-10 ביוני 2024

Face ID

השפעה: תוקף עם גישה פיזית למכשיר עלול להשבית את המאפיין 'הגנה על מכשיר שנגנב'

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2024-44136‏: Lucas Monteiro‏, Daniel Monteiro ו-Felipe Monteiro

הרשומה נוספה ב‑15 בינואר 2025

Find My

השפעה: יישום זדוני עלול להיות מסוגל לקבוע את המיקום הנוכחי של משתמש

תיאור: בעיית פרטיות טופלה על ידי העברת נתונים רגישים למיקום מאובטח יותר.

CVE-2024-27839‏: Alexander Heinrich‏, SEEMOO‏, TU Darmstadt ‏(‎@Sn0wfreeze) ו-Shai Mishali ‏(‎@freak4pc)

Foundation

השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-27801‏: CertiK SkyFall Team

הרשומה נוספה ב-10 ביוני 2024

ImageIO

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-27836: ‏Junsung Lee בעבודה עם Trend Micro Zero Day Initiative

הרשומה נוספה ב-10 ביוני 2024

IOSurface

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2024-27828:‏ Pan ZhenPeng‏ (‎@Peterpan0927) מ-STAR Labs SG Pte.‎ Ltd.‎

הרשומה נוספה ב-10 ביוני 2024

Kernel

השפעה: תוקף עשוי לגרום לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2024-27818: ‏pattern-f‏ (‏_‎pattern_F@) מ-Ant Security Light-Year Lab

Kernel

השפעה: תוקף שכבר הצליח להשיג הפעלת קוד ליבה עלול להצליח לעקוף הגנות של זיכרון ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2024-27840: חוקר אנונימי

הרשומה נוספה ב-10 ביוני 2024

Kernel

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2024-27815: חוקר אנונימי ו-Joseph Ravichandran ‏(‎@0xjprx) מ-MIT CSAIL

הרשומה נוספה ב-10 ביוני 2024

Kernel

השפעה: תוקף במיקום מורשה ברשת עלול להצליח לזייף מנות רשת

תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.

CVE-2024-27823: פרופ' בני פנקס מאוניברסיטת בר אילן, פרופ' עמית קליין מהאוניברסיטה העברית ו-EP

הרשומה נוספה ב‑29 ביולי 2024

libiconv

השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-27811: ‏Nick Wellnhofer

הרשומה נוספה ב-10 ביוני 2024

Libsystem

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיית הרשאות טופלה באמצעות הסרה של קוד פגיע והוספת בדיקות.

CVE-2023-42893: חוקר אנונימי

Mail

השפעה: תוקף בעל גישה פיזית עלול להיות מסוגל להדליף אישורי כניסה לחשבון ביישום 'דואר'

תיאור: בעיית אימות טופלה באמצעות ניהול מצבים משופר.

CVE-2024-23251‏: Gil Pedersen

הרשומה נוספה ב-10 ביוני 2024

Mail

השפעה: הודעת דוא"ל בעלת מבנה זדוני עלולה להצליח להפעיל שיחות FaceTime ללא אישור המשתמש

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-23282: ‏Dohyun Lee‏ (‎@l33d0hyun)

הרשומה נוספה ב-10 ביוני 2024

Maps

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.

CVE-2024-27810‏: LFY@secsys מ-Fudan University

MarketplaceKit

זמין עבור: iPhone XS ואילך

השפעה: דף אינטרנט בעל מבנה זדוני עלול להצליח להפיץ סקריפט שעוקב אחר משתמשים בדפי אינטרנט אחרים

תיאור: בעיית פרטיות תוקנה באמצעות טיפול משופר במזהי לקוח בחנויות יישומים חלופיות.

CVE-2024-27852‏: Talal Haj Bakry ו-Tommy Mysk מ-Mysk Inc.‎ ‏(@mysk_co)

Messages

השפעה: עיבוד הודעה בעלת מבנה זדוני עלול להוביל למניעת שירות

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2024-27800‏: Daniel Zajork ו-Joshua Zajork

הרשומה נוספה ב-10 ביוני 2024

Metal

השפעה: עיבוד של קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי

תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2024-27802‏: Meysam Firouzi ‏(‎@R00tkitsmm) בעבודה עם Trend Micro Zero Day Initiative

הרשומה נוספה ב-10 ביוני 2024

Metal

השפעה: תוקף מרוחק עלול לגרום לסגירה בלתי צפויה של יישום או להפעלת קוד שרירותי

תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2024-27857: ‏Michael DePlante ‏(‎@izobashi) מ-Trend Micro Zero Day Initiative

הרשומה נוספה ב-10 ביוני 2024

Notes

השפעה: תוקף בעל גישה פיזית למכשיר iOS עשוי להצליח להיכנס לפתקים ממסך הנעילה

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2024-27835‏: Andr.Ess

Notes

השפעה: יישום עלול להצליח לגשת לקבצים מצורפים ביישום 'פתקים'

תיאור: בעיית פרטיות טופלה באמצעות שיפור הטיפול בקבצים זמניים.

CVE-2024-27845‏: Adam Berry

הרשומה נוספה ב-10 ביוני 2024

RemoteViewServices

השפעה: תוקף עלול להצליח לגשת לנתוני משתמש

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2024-27816: ‏Mickey Jin‏ (‎@patch1t)

Screenshots

השפעה: תוקף בעל גישה פיזית עשוי להצליח לשתף פריטים ממסך הנעילה

תיאור: בעיית הרשאות טופלה באמצעות אימות משופר.

CVE-2024-27803: חוקר אנונימי

Shortcuts

השפעה: פעולה של קיצור עלולה להוציא כפלט נתוני משתמש ללא קבלת הסכמה

תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.

CVE-2024-27821‏: Csaba Fitzl (@theevilbit) מ-Kandji‏, Kirin (@Pwnrin)‏, LFY@secsys‏, 小来来 (@Smi1eSEC)‏, yulige‏, Snoolie Keffaber (@0xilis) ו-Robert Reichel

הרשומה נוספה ב-15 בינואר 2025

Shortcuts

השפעה: קיצור דרך עלול להצליח להשתמש בנתונים רגישים במהלך פעולות מסוימות בלי להציג בקשה למשתמש

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-27855: חוקר אנונימי

הרשומה נוספה ב-10 ביוני 2024

Siri

השפעה: תוקף בעל גישה פיזית עשוי להצליח לגשת לאנשי קשר ממסך הנעילה

תיאור: הבעיה טופלה באמצעות הגבלת האפשרויות המוצעות במכשיר נעול.

CVE-2024-27819‏: Srijan Poudel

הרשומה נוספה ב-10 ביוני 2024

Spotlight

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה באמצעות סניטציה משופרת של הסביבה.

CVE-2024-27806

הרשומה נוספה ב-10 ביוני 2024

Status Bar

השפעה: תוקף בעל גישה פיזית למכשיר iOS עשוי להצליח לצפות בתוכני עדכונים מ'מסך הנעילה'

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2024-40839‏: Abhay Kailasia (@abhay_kailasia) מ-Lakshmi Narain College of Technology Bhopal

הרשומה נוספה ב‑15 בינואר 2025

StorageKit

השפעה: ייתכן שיישום זדוני יוכל לקבל הרשאות שורש

תיאור: בעיה זו טופלה באמצעות בדיקת הרשאות משופרת.

CVE-2024-27848‏: Csaba Fitzl ‏(@theevilbit) מ-Kandji

הרשומה נוספה ב-10 ביוני 2024

Symptom Framework

השפעה: יישום עלול להצליח לעקוף רישום ב'דו"ח פרטיות היישום'

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-27807‏: Romy R.‎

הרשומה נוספה ב-10 ביוני 2024

Sync Services

השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות

CVE-2024-27847: ‏Mickey Jin‏ (‎@patch1t)

Transparency

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיה זו טופלה באמצעות זכאות חדשה.

CVE-2024-27884‏: Mickey Jin ‏(@patch1t)

הרשומה נוספה ב‑29 ביולי 2024

Voice Control

השפעה: תוקף עלול להצליח להעלות את רמת ההרשאות שלו

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-27796‏: ajajfxhj

WebKit

השפעה: עיבוד של קובץ עלול להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla‏: 268765

CVE-2024-27856‏: Maksymilian Motyl מ-Immunity Systems‏, Junsung Lee ביחד עם Trend Micro Zero Day Initiative ו-ajajfxhj

הרשומה נוספה ב‑15 בינואר 2025

WebKit

השפעה: תוקף עם יכולות קריאה וכתיבה שרירותיות עלול לעקוף אימות מצביע

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla‏: 272750

CVE-2024-27834‏: Manfred Paul ‏(@_manfp) בעבודה עם Zero Day Initiative של Trend Micro

WebKit

השפעה: עמוד אינטרנט בעל מבנה זדוני עלול להיות מסוגל להתחזות למשתמש

תיאור: הבעיה טופלה על ידי הוספת לוגיקה.

WebKit Bugzilla‏: 262337

CVE-2024-27838‏: Emilio Cobos מ-Mozilla

הרשומה נוספה ב-10 ביוני 2024

WebKit

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla‏: 268221

CVE-2024-27808‏: Lukas Bernhard מ-CISPA Helmholtz Center for Information Security

הרשומה נוספה ב-10 ביוני 2024

WebKit

השפעה: עמוד אינטרנט בעל מבנה זדוני עלול להיות מסוגל להתחזות למשתמש

תיאור: בעיה זו טופלה באמצעות שיפורים באלגוריתם להזרקת רעש.

WebKit Bugzilla‏: 270767

CVE-2024-27850: חוקר אנונימי

הרשומה נוספה ב-10 ביוני 2024

WebKit

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.

WebKit Bugzilla‏: 271491

CVE-2024-27833:‏ Manfred Paul ‏(‎@_manfp) בעבודה עם Trend Micro Zero Day Initiative

הרשומה נוספה ב-10 ביוני 2024

WebKit

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

WebKit Bugzilla‏: 272106

CVE-2024-27851‏: Nan Wang ‏(@eternalsakura13) מ-‎360 Vulnerability Research Institute

הרשומה נוספה ב-10 ביוני 2024

WebKit Canvas

השפעה: עמוד אינטרנט בעל מבנה זדוני עלול להיות מסוגל להתחזות למשתמש

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

WebKit Bugzilla‏: 271159

CVE-2024-27830‏: Joe Rutkowski ‏(@Joe12387) מ-Crawless ו-‎@abrahamjuliot

הרשומה נוספה ב-10 ביוני 2024

WebKit Web Inspector

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla‏: 270139

CVE-2024-27820‏: Jeff Johnson מ-underpassapp.com

הרשומה נוספה ב-10 ביוני 2024

תודות נוספות

App Store

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

AppleMobileFileIntegrity

אנחנו מבקשים להודות ל-Mickey Jin ‏(‎@patch1t) על הסיוע.

הרשומה נוספה ב-10 ביוני 2024

CoreHAP

אנחנו מבקשים להודות ל-Adrian Cable על הסיוע.

Disk Images

אנחנו מבקשים להודות ל-Mickey Jin ‏(‎@patch1t) על הסיוע.

הרשומה נוספה ב-10 ביוני 2024

Face ID

אנחנו מבקשים להודות ל-Lucas Monteiro, ל-Daniel Monteiro ול-Felipe Monteiro על הסיוע.

HearingCore

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

ImageIO

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

הרשומה נוספה ב-10 ביוני 2024

Managed Configuration

אנחנו מבקשים להודות ל-遥遥领先 ‏(@晴天组织) על הסיוע.

ReplayKit

אנחנו מבקשים להודות ל-Thomas Zhao על הסיוע.

הרשומה נוספה ב-10 ביוני 2024

Safari Downloads

אנחנו מבקשים להודות ל-Arsenii Kostromin ‏(0x3c3e) על הסיוע.

Siri

אנחנו מבקשים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia) מ-Lakshmi Narain College Of Technology Bhopal India על הסיוע.

הרשומה נוספה ב-10 ביוני 2024

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: 23 בינואר 2025