Posted in

iOS 17.5 inclut ces 15 correctifs de sécurité pour les utilisateurs d’iPhone


iOS 17.5 est arrivé pour tout le monde avec plusieurs nouvelles fonctionnalités destinées aux utilisateurs. Et 15 correctifs de sécurité importants sont également fournis avec la mise à jour. Voici tous les détails sur tout ce qui a été corrigé.

Apple a partagé les détails des correctifs de vulnérabilité iOS 17.5 sur son Site des mises à jour de sécurité.

Heureusement, aucun des 15 correctifs n’a été signalé comme étant exploité précédemment.

Mais il est toujours important d’installer la mise à jour et d’obtenir ces correctifs dès que possible. Certaines de ces vulnérabilités pourraient permettre à un attaquant d’accéder aux données utilisateur et d’exécuter du code arbitraire avec les privilèges du noyau.

Quels sont les correctifs de sécurité iOS 17.5 ?

Voici quelques-unes des applications/systèmes iOS qui ont vu des correctifs :

  • Trouver mon
  • Noyau
  • Plans
  • Remarques
  • Services d’affichage à distance
  • Captures d’écran
  • Raccourcis
  • Commande vocale
  • Kit Web

Il y a également eu des mises à jour avec des correctifs pour l’App Store, Face ID, les téléchargements Safari, etc.

Découvrez toutes les nouveautés d’iOS 17.5 et les notes de version complètes de la mise à jour de sécurité ci-dessous :


AppleAVD

Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5ème génération et versions ultérieures

Impact : une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau

Description : le problème a été résolu par une gestion améliorée de la mémoire.

CVE-2024-27804 : Meysam Firouzi (@R00tkitSMM)

AppleMobileFileIntegrity

Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5ème génération et versions ultérieures

Impact : un attaquant peut accéder aux données des utilisateurs

Description : un problème de logique a été résolu avec des vérifications améliorées.

CVE-2024-27816 : Mickey Jin (@patch1t)

AVEVideoEncoder

Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5ème génération et versions ultérieures

Impact : une application peut être en mesure de divulguer la mémoire du noyau

Description : le problème a été résolu par une gestion améliorée de la mémoire.

CVE-2024-27841 : un chercheur anonyme

Trouver mon

Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5ème génération et versions ultérieures

Impact : une application malveillante peut être capable de déterminer la position actuelle d’un utilisateur

Description : un problème de confidentialité a été résolu en déplaçant les données sensibles vers un emplacement plus sécurisé.

CVE-2024-27839 : Alexander Heinrich, SEEMOO, TU Darmstadt (@Sn0wfreeze) et Shai Mishali (@freak4pc)

Noyau

Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5ème génération et versions ultérieures

Impact : un attaquant peut provoquer l’arrêt inattendu d’une application ou l’exécution de code arbitraire.

Description : le problème a été résolu par une gestion améliorée de la mémoire.

CVE-2024-27818 : pattern-f (@pattern_F_) du laboratoire Ant Security Light-Year

Libsystème

Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5ème génération et versions ultérieures

Impact : une application peut être en mesure d’accéder aux données utilisateur protégées

Description : un problème d’autorisations a été résolu en supprimant le code vulnérable et en ajoutant des vérifications supplémentaires.

CVE-2023-42893 : un chercheur anonyme

Plans

Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5ème génération et versions ultérieures

Impact : une application peut être capable de lire des informations de localisation sensibles

Description : un problème de gestion du chemin a été résolu avec une validation améliorée.

CVE-2024-27810 : LFY@secsys de l’Université de Fudan

MarketplaceKit

Disponible pour : iPhone XS et versions ultérieures

Impact : une page Web conçue de manière malveillante peut être en mesure de distribuer un script qui suit les utilisateurs sur d’autres pages Web.

Description : un problème de confidentialité a été résolu par une gestion améliorée des identifiants clients pour les marchés d’applications alternatifs.

CVE-2024-27852 : Talal Haj Bakry et Tommy Mysk de Mysk Inc. (@mysk_co)

Remarques

Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5ème génération et versions ultérieures

Impact : un attaquant disposant d’un accès physique à un appareil iOS peut être en mesure d’accéder aux notes depuis l’écran de verrouillage.

Description : ce problème a été résolu grâce à une gestion améliorée de l’état.

CVE-2024-27835 : AndréEss

Services d’affichage à distance

Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5ème génération et versions ultérieures

Impact : un attaquant peut accéder aux données des utilisateurs

Description : un problème de logique a été résolu avec des vérifications améliorées.

CVE-2024-27816 : Mickey Jin (@patch1t)

Captures d’écran

Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5ème génération et versions ultérieures

Impact : un attaquant disposant d’un accès physique peut être en mesure de partager des éléments depuis l’écran de verrouillage.

Description : un problème d’autorisations a été résolu avec une validation améliorée.

CVE-2024-27803 : un chercheur anonyme

Raccourcis

Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5ème génération et versions ultérieures

Impact : un raccourci peut générer des données utilisateur sensibles sans consentement

Description : un problème de gestion du chemin a été résolu avec une validation améliorée.

CVE-2024-27821 : Kirin (@Pwnrin), zbleet et Csaba Fitzl (@theevilbit) de Kandji

Services de synchronisation

Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5ème génération et versions ultérieures

Impact : une application peut être en mesure de contourner les préférences de confidentialité

Description : ce problème a été résolu par des vérifications améliorées.

CVE-2024-27847 : Mickey Jin (@patch1t)

Commande vocale

Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5ème génération et versions ultérieures

Impact : un attaquant peut être en mesure d’élever ses privilèges

Description : le problème a été résolu par des contrôles améliorés.

CVE-2024-27796 : ajajfxhj

Kit Web

Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5ème génération et versions ultérieures

Impact : un attaquant disposant de capacités de lecture et d’écriture arbitraires peut être en mesure de contourner l’authentification du pointeur.

Description : le problème a été résolu par des contrôles améliorés.

WebKit Bugzilla : 272750
CVE-2024-27834 : Manfred Paul (@_manfp) travaillant avec l’initiative Zero Day de Trend Micro


Reconnaissance supplémentaire

Magasin d’applications

Nous tenons à remercier un chercheur anonyme pour son aide.

CoreHAP

Nous tenons à remercier Adrian Cable pour son aide.

Identification du visage

Nous tenons à remercier Lucas Monteiro, Daniel Monteiro et Felipe Monteiro pour leur aide.

AuditionCore

Nous tenons à remercier un chercheur anonyme pour son aide.

Configuration gérée

Nous tenons à remercier 遥遥领先 (@晴天组织) pour leur aide.

Téléchargements Safari

Nous tenons à remercier Arsenii Kostromin (0x3c3e) pour son aide.

Barre d’état

Nous tenons à remercier Abhay Kailasia (@abhay_kailasia) du Lakshmi Narain College of Technology Bhopal pour son aide.

Image du haut via Apple

FTC : Nous utilisons des liens d’affiliation automatique générateurs de revenus. Plus.