מידע על תוכן האבטחה של iPadOS 17.7.3
מסמך זה מתאר את תוכן האבטחה של iPadOS 17.7.3.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
iPadOS 17.7.3
הופץ ב-11 בדצמבר 2024
FontParser
זמין עבור: iPad Pro בגודל 12.9 אינץ' (דור שני), iPad Pro בגודל 10.5 אינץ' ו-iPad (דור שישי)
השפעה: עיבוד של גופן בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-54486: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
ImageIO
זמין עבור: iPad Pro בגודל 12.9 אינץ' (דור שני), iPad Pro בגודל 10.5 אינץ' ו-iPad (דור שישי)
השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-54500: Junsung Lee יחד עם Trend Micro Zero Day Initiative
Kernel
זמין עבור: iPad Pro בגודל 12.9 אינץ' (דור שני), iPad Pro בגודל 10.5 אינץ' ו-iPad (דור שישי)
השפעה: תוקף עלול להצליח ליצור מיפוי זיכרון לקריאה בלבד שניתן לכתיבה
תיאור: מצב מירוץ טופל באמצעות אימות נוסף.
CVE-2024-54494: sohybbyk
Kernel
זמין עבור: iPad Pro בגודל 12.9 אינץ' (דור שני), iPad Pro בגודל 10.5 אינץ' ו-iPad (דור שישי)
השפעה: יישום עלול להצליח להדליף מצב ליבה רגיש
תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.
CVE-2024-54510: Joseph Ravichandran (@0xjprx) מ-MIT CSAIL
Kernel
זמין עבור: iPad Pro בגודל 12.9 אינץ' (דור שני), iPad Pro בגודל 10.5 אינץ' ו-iPad (דור שישי)
השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-44245: חוקר אנונימי
libarchive
זמין עבור: iPad Pro בגודל 12.9 אינץ' (דור שני), iPad Pro בגודל 10.5 אינץ' ו-iPad (דור שישי)
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-44201: Ben Roeder
libexpat
זמין עבור: iPad Pro בגודל 12.9 אינץ' (דור שני), iPad Pro בגודל 10.5 אינץ' ו-iPad (דור שישי)
השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.
CVE-2024-45490
libxpc
זמין עבור: iPad Pro בגודל 12.9 אינץ' (דור שני), iPad Pro בגודל 10.5 אינץ' ו-iPad (דור שישי)
השפעה: יישום עלול להצליח לקבל הרשאות ברמה גבוהה יותר
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2024-44225: 风沐云烟(@binary_fmyy)
Passwords
זמין עבור: iPad Pro בגודל 12.9 אינץ' (דור שני), iPad Pro בגודל 10.5 אינץ' ו-iPad (דור שישי)
השפעה: תוקף במיקום מורשה ברשת עשוי להצליח לשנות תעבורה ברשת
תיאור: הבעיה טופלה באמצעות שימוש ב-HTTPS בעת שליחת מידע ברשת.
CVE-2024-54492: Talal Haj Bakry ו-Tommy Mysk מ-Mysk Inc. (@mysk_co)
Safari
זמין עבור: iPad Pro בגודל 12.9 אינץ' (דור שני), iPad Pro בגודל 10.5 אינץ' ו-iPad (דור שישי)
השפעה: במכשיר שבו מופעל 'ממסר פרטי', הוספת אתר לרשימת קריאה ב-Safari עלולה לחשוף בפני האתר את כתובת ה-IP שממנה המכשיר משדר
תיאור: הבעיה טופלה באמצעות ניתוב משופר של בקשות שנוצרו על-ידי Safari.
CVE-2024-44246: Jacob Braun
SceneKit
זמין עבור: iPad Pro בגודל 12.9 אינץ' (דור שני), iPad Pro בגודל 10.5 אינץ' ו-iPad (דור שישי)
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-54501: Michael DePlante (@izobashi) מ-Zero Day Initiative של Trend Micro
VoiceOver
זמין עבור: iPad Pro בגודל 12.9 אינץ' (דור שני), iPad Pro בגודל 10.5 אינץ' ו-iPad (דור שישי)
השפעה: תוקף בעל גישה פיזית למכשיר iPadOS עשוי להצליח לצפות בתוכן של עדכונים ממסך הנעילה
תיאור: הבעיה טופלה על ידי הוספת לוגיקה.
CVE-2024-54485: Abhay Kailasia (@abhay_kailasia) מ-C-DAC Thiruvananthapuram India
WebKit
זמין עבור: iPad Pro בגודל 12.9 אינץ' (דור שני), iPad Pro בגודל 10.5 אינץ' ו-iPad (דור שישי)
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 278497
CVE-2024-54479: Junsung Lee
WebKit
זמין עבור: iPad Pro בגודל 12.9 אינץ' (דור שני), iPad Pro בגודל 10.5 אינץ' ו-iPad (דור שישי)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להשחתת זיכרון
תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 282661
CVE-2024-54505: Gary Kwong
תודות נוספות
Proximity
אנחנו מבקשים להודות ל-Junming C. (@Chapoly1305) ול-Prof. Qiang Zeng מ-George Mason University על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.