
iOS 17.5 включает 15 исправлений безопасности
в iCases BlogПро каждую рассказываю далее.
Согласно последней документации службы поддержки Apple, iOS 17.5 и iPadOS 17.5 включают 15 исправлений безопасности для iPhone и iPad, но, к сожалению, одно из исправлений привело к программной ошибке, затрагивающей альтернативные маркетплейсы приложений.
По словам представителей компании Мыск, патч безопасности, связанный с фреймворком MarketplaceKit, вызвал ошибку, которая не позволила пользователям EU iPhone переустановить свои приложения, если они случайно удалили альтернативный маркетплейс приложений, например AltStore. Скорее всего, Apple исправит эту проблему в следующем обновлении, например в iOS 17.5.1.
В связи с этим исследователь безопасности заявил, что обнаруженная им уязвимость в ядре iOS не попала в программу Apple по получению вознаграждения за безопасность. В патче безопасности iOS 17.5 она указана в разделе «AppleAVD».
Полный список исправлений безопасности Apple, включенных в iOS 17.5 и iPadOS 17.5:
AppleAVD
Включает: iPhone XS и более поздние модели, iPad Pro 12,9-дюймов 2-го поколения и более поздние модели, iPad Pro 10,5-дюймов, iPad Pro 11-дюймов 1-го поколения и более поздние модели, iPad Air 3-го поколения и более поздние модели, iPad 6-го поколения и iPad mini 5-го поколения и более поздние модели, iPad mini 5-го поколения и более поздние модели.
Последствия: Приложения могут выполнять произвольный код с привилегиями ядра.
Описание: улучшена работа с памятью.
AppleMobileFileIntegrity
Затронуты: iPhone XS и более поздние модели, iPad Pro 12,9 (2-го поколения и более поздние модели, iPad Pro 10,5), iPad Pro 11 (1-го поколения и более поздние модели, iPad Air 3-го поколения и более поздние модели, iPad 6-го поколения и более поздние модели, iPad mini 5-го поколения и более поздние модели, iPad mini 5-го поколения и более поздние модели).
Последствия: Злоумышленник может получить доступ к данным пользователя.
Описание: логическая проблема исправлена.
AVEVideoEncoder
Затронутые модели: iPhone XS и более поздние модели, iPad Pro 12,9 (2-го поколения и более поздние модели, iPad Pro 10,5), iPad Pro 11 (1-го поколения и более поздние модели, iPad Air 3-го поколения и более поздние модели, iPad 6-го поколения и более поздние модели, iPad mini 5-го поколения и более поздние модели, iPad mini 5-го поколения и более поздние модели).
Последствия: Приложения могут раскрывать память ядра.
Описание: Улучшена работа с памятью и устранена проблема.
Найти мой iPhone
Затронутые модели: iPhone XS и более поздние модели, iPad Pro 12,9 (2-го поколения и более поздние модели, iPad Pro 10,5), iPad Pro 11 (1-го поколения и более поздние модели, iPad Air 3-го поколения и более поздние модели, iPad 6-го поколения и более поздние модели, iPad mini 5-го поколения и более поздние модели).
Последствия: Вредоносные приложения могут определить текущее местоположение пользователя.
Описание: Проблема конфиденциальности была решена путем перемещения конфиденциальных данных в более безопасное место.
Core
Для: iPhone XS и более поздних моделей, iPad Pro 12,9 (2-го поколения и более поздних моделей, iPad Pro 10,5), iPad Pro 11 (1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, iPad mini 5-го поколения и более поздних моделей или более поздних моделей).
Последствия: Злоумышленник может вызвать неожиданное завершение работы приложения или выполнить произвольный код.
Описание: Эта проблема была исправлена за счет улучшения обработки памяти.
Libsystem
Затронуты: iPhone XS и более поздние модели, iPad Pro 12,9 (второго поколения и более поздние модели, iPad Pro 10,5), iPad Pro 11 (первого поколения и более поздние модели, iPad Air третьего поколения и более поздние модели, iPad 6-го поколения и более поздние модели, iPad mini пятого поколения и более поздние модели, iPad mini пятого поколения и более поздние модели).
Последствия: Приложение может получить доступ к защищенным данным пользователя.
Описание: Проблема с разрешениями была исправлена путем удаления уязвимого кода и добавления дополнительного элемента управления.
Карты
Затронуты: iPhone XS и более поздние модели, iPad Pro 12,9 (2-го поколения и более поздние модели, iPad Pro 10,5), iPad Pro 11 (1-го поколения и более поздние модели, iPad Air 3-го поколения и более поздние модели, iPad 6-го поколения и более поздние модели, iPad mini 5-го поколения и более поздние модели).
Воздействие: приложение может считывать конфиденциальные данные о местоположении.
Описание: исправлена проблема с обработкой переходов.
Комплект Market Place
Цель: iPhone XS и более поздние модели
Воздействие: Вредоносная веб-страница может распространять скрипт, отслеживающий пользователей на других веб-страницах.
Описание: Проблемы конфиденциальности были решены путем улучшения обработки личных данных клиентов на рынке альтернативных приложений.
Примечания
Применимые модели: iPhone XS и более поздние модели, iPad Pro 12,9 (2-го поколения и более поздние модели, iPad Pro 10,5), iPad Pro 11 (1-го поколения и более поздние модели, iPad Air 3-го поколения и более поздние модели, iPad 6-го поколения и более новые модели, iPad mini 5-го поколения и более новые модели).
Последствия: Злоумышленник, имеющий физический доступ к iOS-устройству, может получить доступ к заметкам с экрана блокировки.
Описание: Эта проблема была решена путем улучшения управления делами.
Сервис RemoteView
Область применения: iPhone XS и более поздние модели, iPad Pro 12,9 (2-го поколения и более поздние модели, iPad Pro 10,5), iPad Pro 11 (1-го поколения и более поздние модели, iPad Air 3-го поколения и более поздние модели, iPad 6-го поколения и более поздние модели, iPad mini 5-го поколения и более поздние модели).
Последствия: Злоумышленники могут получить доступ к пользовательским данным.
Описание: исправлена логическая проблема.
Скриншот
Затронутые модели: iPhone XS и более поздние модели, iPad Pro 12,9 (2-го поколения и более поздние модели, iPad Pro 10,5), iPad Pro 11 (1-го поколения и более поздние модели, iPad Air 3-го поколения и более поздние модели, iPad 6-го поколения и более поздние модели, iPad mini 5-го поколения и более поздние модели).
Воздействие: Злоумышленник с физическим доступом может открыть общий доступ к элементам с экрана блокировки.
Описание: исправлены проблемы с авторизацией и улучшена проверка.
Клавиши быстрого доступа
Затронутые модели: iPhone XS и более поздние модели, iPad Pro 12,9 (2-го поколения и более поздние модели, iPad Pro 10,5), iPad Pro 11 (1-го поколения и более поздние модели, iPad Air 3-го поколения и более поздние модели, iPad 6-го поколения и более поздние модели, iPad mini 5-го поколения и более поздние модели iPad mini 5-го поколения и более поздние модели).
Воздействие: С помощью ярлыка можно просматривать конфиденциальные данные пользователя без авторизации.
Описание: Исправлена проблема с обработкой путей.
Служба синхронизации
Затронутые модели: iPhone XS или более поздние модели, iPad Pro 12,9 (2-го поколения или более поздние модели, iPad Pro 10,5), iPad Pro 11 (1-го поколения или более поздние модели, iPad Air 3-го поколения или более поздние модели, iPad 6-го поколения или более поздние модели, iPad mini 5-го поколения или более поздние модели iPad mini 5-го поколения и более поздние модели).
Воздействие: Приложение может обойти настройки конфиденциальности.
Пояснение: эта проблема была решена с помощью улучшенного управления.
Голосовое управление
Затронуты: iPhone XS и более поздние модели, iPad Pro 12,9 (2-го поколения и более поздние модели, iPad Pro 10,5), iPad Pro 11 (1-го поколения и более поздние модели, iPad Air 3-го поколения и более поздние модели, iPad 6-го поколения и более поздние модели, iPad mini 5-го поколения и более поздние модели).
Воздействие: Злоумышленник может повысить привилегии.
Описание: Эта проблема была решена путем улучшения средств управления.
WebKit
Затронуты: iPhone XS и более поздние модели, iPad Pro 12,9 (второго поколения и более поздние модели, iPad Pro 10,5), iPad Pro 11 (первого поколения и более поздние модели, iPad Air третьего поколения и более поздние модели, iPad 6-го поколения и более поздние модели, iPad mini пятого поколения и более поздние модели, iPad mini пятого поколения и более поздние модели).
Воздействие: злоумышленник, обладающий возможностью произвольного чтения/записи, может обойти аутентификацию по указателю.
Объяснение: Эта проблема была решена путем улучшения средств контроля.
Apple выпустила iOS 17.5 и iPadOS 17.5 в понедельник после примерно шести недель бета-тестирования.