iOS 17.5 est arrivé pour tout le monde avec plusieurs nouvelles fonctionnalités destinées aux utilisateurs. Et 15 correctifs de sécurité importants sont également fournis avec la mise à jour. Voici tous les détails sur tout ce qui a été corrigé.
Apple a partagé les spécificités des correctifs de vulnérabilité iOS 17.5 sur son Site des mises à jour de sécurité.
Heureusement, aucun des 15 correctifs n’a été signalé comme étant exploité précédemment.
Mais il est toujours important d’installer la mise à jour et d’obtenir ces correctifs dès que possible. Certaines de ces vulnérabilités pourraient permettre à un attaquant d’accéder aux données utilisateur et d’exécuter du code arbitraire avec les privilèges du noyau.
Quels sont les correctifs de sécurité iOS 17.5 ?
Voici quelques-unes des applications/systèmes iOS qui ont vu des correctifs :
- Trouver mon
- Noyau
- Plans
- Remarques
- Services d’affichage à distance
- Captures d’écran
- Raccourcis
- Commande vocale
- Kit Web
Il y a également eu des mises à jour avec des correctifs pour l’App Store, Face ID, les téléchargements Safari, etc.
Découvrez toutes les nouveautés d’iOS 17.5 et les notes de version complètes de la mise à jour de sécurité ci-dessous :
AppleAVD
Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5ème génération et versions ultérieures
Impact : une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
Description : le problème a été résolu par une gestion améliorée de la mémoire.
CVE-2024-27804 : Meysam Firouzi (@R00tkitSMM)
AppleMobileFileIntegrity
Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5ème génération et versions ultérieures
Impact : un attaquant peut accéder aux données des utilisateurs
Description : un problème de logique a été résolu avec des vérifications améliorées.
CVE-2024-27816 : Mickey Jin (@patch1t)
AVEVideoEncoder
Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5ème génération et versions ultérieures
Impact : une application peut être en mesure de divulguer la mémoire du noyau
Description : le problème a été résolu par une gestion améliorée de la mémoire.
CVE-2024-27841 : un chercheur anonyme
Trouver mon
Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5ème génération et versions ultérieures
Impact : une application malveillante peut être capable de déterminer la position actuelle d’un utilisateur
Description : un problème de confidentialité a été résolu en déplaçant les données sensibles vers un emplacement plus sécurisé.
CVE-2024-27839 : Alexander Heinrich, SEEMOO, TU Darmstadt (@Sn0wfreeze) et Shai Mishali (@freak4pc)
Noyau
Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5ème génération et versions ultérieures
Impact : un attaquant peut provoquer l’arrêt inattendu d’une application ou l’exécution de code arbitraire.
Description : le problème a été résolu par une gestion améliorée de la mémoire.
CVE-2024-27818 : pattern-f (@pattern_F_) du laboratoire Ant Security Light-Year
Libsystème
Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5ème génération et versions ultérieures
Impact : une application peut être en mesure d’accéder aux données utilisateur protégées
Description : un problème d’autorisations a été résolu en supprimant le code vulnérable et en ajoutant des vérifications supplémentaires.
CVE-2023-42893 : un chercheur anonyme
Plans
Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5ème génération et versions ultérieures
Impact : une application peut être capable de lire des informations de localisation sensibles
Description : un problème de gestion du chemin a été résolu avec une validation améliorée.
CVE-2024-27810 : LFY@secsys de l’Université de Fudan
MarketplaceKit
Disponible pour : iPhone XS et versions ultérieures
Impact : une page Web conçue de manière malveillante peut être en mesure de distribuer un script qui suit les utilisateurs sur d’autres pages Web.
Description : un problème de confidentialité a été résolu par une gestion améliorée des identifiants clients pour les marchés d’applications alternatifs.
CVE-2024-27852 : Talal Haj Bakry et Tommy Mysk de Mysk Inc. (@mysk_co)
Remarques
Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5ème génération et versions ultérieures
Impact : un attaquant disposant d’un accès physique à un appareil iOS peut être en mesure d’accéder aux notes depuis l’écran de verrouillage.
Description : ce problème a été résolu grâce à une gestion améliorée de l’état.
CVE-2024-27835 : AndréEss
Services d’affichage à distance
Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5ème génération et versions ultérieures
Impact : un attaquant peut accéder aux données des utilisateurs
Description : un problème de logique a été résolu avec des vérifications améliorées.
CVE-2024-27816 : Mickey Jin (@patch1t)
Captures d’écran
Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5ème génération et versions ultérieures
Impact : un attaquant disposant d’un accès physique peut être en mesure de partager des éléments depuis l’écran de verrouillage.
Description : un problème d’autorisations a été résolu avec une validation améliorée.
CVE-2024-27803 : un chercheur anonyme
Raccourcis
Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5ème génération et versions ultérieures
Impact : un raccourci peut générer des données utilisateur sensibles sans consentement
Description : un problème de gestion du chemin a été résolu avec une validation améliorée.
CVE-2024-27821 : Kirin (@Pwnrin), zbleet et Csaba Fitzl (@theevilbit) de Kandji
Services de synchronisation
Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5ème génération et versions ultérieures
Impact : une application peut être en mesure de contourner les préférences de confidentialité
Description : ce problème a été résolu par des vérifications améliorées.
CVE-2024-27847 : Mickey Jin (@patch1t)
Commande vocale
Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5ème génération et versions ultérieures
Impact : un attaquant peut être en mesure d’élever ses privilèges
Description : le problème a été résolu par des vérifications améliorées.
CVE-2024-27796 : ajajfxhj
Kit Web
Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5ème génération et versions ultérieures
Impact : un attaquant disposant de capacités de lecture et d’écriture arbitraires peut être en mesure de contourner l’authentification du pointeur.
Description : le problème a été résolu par des vérifications améliorées.
WebKit Bugzilla : 272750
CVE-2024-27834 : Manfred Paul (@_manfp) travaillant avec l’initiative Zero Day de Trend Micro
Reconnaissance supplémentaire
Magasin d’applications
Nous tenons à remercier un chercheur anonyme pour son aide.
CoreHAP
Nous tenons à remercier Adrian Cable pour son aide.
Identification du visage
Nous tenons à remercier Lucas Monteiro, Daniel Monteiro et Felipe Monteiro pour leur aide.
AuditionCore
Nous tenons à remercier un chercheur anonyme pour son aide.
Configuration gérée
Nous tenons à remercier 遥遥领先 (@晴天组织) pour leur aide.
Téléchargements Safari
Nous tenons à remercier Arsenii Kostromin (0x3c3e) pour son aide.
Barre d’état
Nous tenons à remercier Abhay Kailasia (@abhay_kailasia) du Lakshmi Narain College of Technology Bhopal pour son aide.
Image du haut via Apple
FTC : Nous utilisons des liens d’affiliation automatique générateurs de revenus. Plus.
