Informace o bezpečnostním obsahu iOS 18.1 a iPadOS 18.1

Tento dokument popisuje bezpečnostní obsah iOS 18.1 a iPadOS 18.1.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

Informace o bezpečnostním obsahu iOS 18.1 a iPadOS 18.1

Vydáno 28. října 2024

Accessibility

K dispozici pro: iPhone XS a novější

Dopad: Útočníkovi s fyzickým přístupem k zařízení se může podařit zobrazit citlivé informace o uživatelích.

Popis: Problém byl vyřešen vylepšením ověřování.

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

App Support

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Škodlivé aplikaci se může podařit spouštět libovolné klávesové zkratky bez souhlasu uživatele.

Popis: Problém se zpracováním cest byl vyřešen vylepšením logiky.

CVE-2024-44255: anonymní výzkumník

AppleAVD

Dopad: Parsování škodlivého souboru videa může vést k nečekanému ukončení systému.

Popis: Problém byl vyřešen vylepšením kontroly rozsahu.

CVE-2024-44232: Ivan Fratric z týmu Google Project Zero

CVE-2024-44233: Ivan Fratric z týmu Google Project Zero

CVE-2024-44234: Ivan Fratric z týmu Google Project Zero

Záznam přidán 1. listopadu 2024

CoreMedia Playback

Dopad: Škodlivé aplikaci se může podařit získat přístup k soukromým informacím.

Popis: Problém byl vyřešen vylepšením zpracování symbolických odkazů.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell z týmu Loadshine Lab

CoreText

Dopad: Zpracování škodlivého písma může vést k odhalení procesní paměti.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2024-44240: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro

CVE-2024-44302: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro

Foundation

Dopad: Parsování souboru může vést k odhalení uživatelských informací.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2024-44282: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro

ImageIO

Dopad: Zpracování obrázku může vést k odhalení procesní paměti.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2024-44215: Junsung Lee ve spolupráci se Zero Day Initiative společnosti Trend Micro

ImageIO

Dopad: Zpracování škodlivé zprávy může vést k odmítnutí služby.

Popis: Problém byl vyřešen vylepšením kontroly rozsahu.

CVE-2024-44297: Jex Amro

IOSurface

Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo poškodit paměť jádra.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2024-44285: anonymní výzkumník

iTunes

Dopad: Vzdálenému útočníkovi se může podařit dostat se ze sandboxu webového obsahu.

Popis: Problém ve zpracování vlastních schémat URL byl vyřešen vylepšením ověřování vstupů.

CVE-2024-40867: Ziyi Zhou (@Shanghai Jiao Tong University), Tianxiao Hou (Šanghajská dopravní univerzita)

Kernel

Dopad: Aplikaci se může podařit odhalit citlivé informace o stavu jádra.

Popis: Problém se zveřejněním informací byl vyřešen vylepšením redigování soukromých dat pro záznamy protokolu.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Managed Configuration

Dopad: Obnovení škodlivého souboru zálohy může vést k úpravě chráněných systémových souborů.

Popis: Problém byl vyřešen vylepšením zpracování symbolických odkazů.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Dopad: Obnovení škodlivého souboru zálohy může vést k úpravě chráněných systémových souborů.

Popis: Problém v logice byl vyřešen vylepšením zpracování souborů.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res

Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo poškodit paměť jádra.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2024-44277: anonymní výzkumník a Yinyi Wu(@_3ndy1) z týmu Dawn Security Lab společnosti JD.com, Inc.

Safari Downloads

Dopad: Útočníkovi se může podařit zneužít vztah důvěryhodnosti ke stažení škodlivého obsahu.

Popis: Problém byl vyřešen vylepšením správy stavů.

CVE-2024-44259: Narendra Bhati, manažer kyberbezpečnosti ve společnosti Suma Soft Pvt. Ltd, Pune (Indie)

Safari Private Browsing

Dopad: Při anonymním procházení může uniknout část historie procházení.

Popis: Únik informací byl řešen dodatečným ověřením.

CVE-2024-44229: Lucas Di Tomase

SceneKit

Dopad: Zpracování škodlivého souboru může vést k poškození haldy.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2024-44218: Michael DePlante (@izobashi) z týmu Zero Day Initiative společnosti Trend Micro

Shortcuts

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém byl vyřešen vylepšením mazání citlivých údajů.

CVE-2024-44254: Kirin (@Pwnrin)

Shortcuts

Dopad: Škodlivé aplikaci se může podařit získat pomocí zkratek přístup k omezeným souborům.

Popis: Problém v logice byl vyřešen vylepšením kontrol.

CVE-2024-44269: anonymní výzkumník

Siri

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém byl vyřešen vylepšením mazání citlivých údajů.

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri

Dopad: Útočníkovi s fyzickým přístupem se může podařit získat ze zamčené obrazovky přístup k fotkám kontaktů.

Popis: Tento problém byl vyřešen omezením možností nabízených na zamčeném zařízení.

CVE-2024-40851: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology v Bhópálu v Indii, Srijan Poudel

Siri

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém v logice byl vyřešen vylepšením správy stavu.

CVE-2024-44263: Kirin (@Pwnrin) a 7feilee

Siri

Dopad: Aplikaci v sandboxu se může podařit číst v systémových protokolech citlivé údaje o uživateli.

Popis: Problém se zveřejněním informací byl vyřešen vylepšením redigování soukromých dat pro záznamy protokolu.

CVE-2024-44278: Kirin (@Pwnrin)

Spotlight

Dopad: Útočníkovi se může podařit zobrazit ze zamknuté obrazovky omezený obsah.

Popis: Problém byl vyřešen vylepšením správy stavů.

CVE-2024-44251: Abhay Kailasia (@abhay_kailasia) z týmu Lakshmi Narain College of Technology Bhopal, Indie

Spotlight

Dopad: Útočníkovi se může podařit zobrazit ze zamknuté obrazovky omezený obsah.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2024-44235: Rizki Maulana (rmrizki.my.id), Dalibor Milanovic, Richard Hyunho Im (@richeeta) z týmu Route Zero Security

VoiceOver

Dopad: Útočníkovi se může podařit zobrazit ze zamknuté obrazovky omezený obsah.

Popis: Tento problém byl vyřešen omezením možností nabízených na zamčeném zařízení.

CVE-2024-44261: Braylon (@softwarescool)

WebKit

Dopad: Kvůli zpracování škodlivého webového obsahu nemusí být vynucena zásada zabezpečení obsahu.

Popis: Problém byl vyřešen vylepšením kontroly.

WebKit Bugzilla: 278765

CVE-2024-44296: Narendra Bhati, manažer kyberbezpečnosti ve společnosti Suma Soft Pvt. Ltd, Pune (Indie)

WebKit

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.

WebKit Bugzilla: 279780

CVE-2024-44244: anonymní výzkumník, Q1IQ (@q1iqF) a P1umer (@p1umer)

Další poděkování

Accessibility

Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology, Bhopal v Indii, Chi Yuan Chang z týmu ZUSO ART a taikosoup.

App Store

Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology, Bhopal v Indii, Chi Yuan Chang z týmu ZUSO ART a taikosoup.

Calculator

Poděkování za pomoc zaslouží Kenneth Chew.

Calendar

Poděkování za pomoc zaslouží K宝(@Pwnrin).

Camera

Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology, Bhopal v Indii.

Files

Poděkování za pomoc zaslouží Chi Yuan Chang of ZUSO ART a taikosoup, Christian Scalese.

ImageIO

Poděkování za pomoc zaslouží Amir Bazine a Karsten König z týmu CrowdStrike Counter Adversary Operations a anonymní výzkumník.

Messages

Poděkování za pomoc zaslouží Collin Potter a anonymní výzkumník.

NetworkExtension

Poděkování za pomoc zaslouží Patrick Wardle ze společnosti DoubleYou a organizace Objective-See Foundation.

Personalization Services

Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology v Bhópálu v Indii a Bistrit Dahal.

Photos

Poděkování za pomoc zaslouží James Robertson a Kamil Bourouiba.

Safari Private Browsing

Poděkování za pomoc zaslouží anonymní výzkumník a r00tdaddy.

Safari Tabs

Poděkování za pomoc zaslouží Jaydev Ahire.

Security

Poděkování za pomoc zaslouží Bing Shi, Wenchao Li a Xiaolong Bai ze skupiny Alibaba Group.

Settings

Poděkování za pomoc zaslouží Chi Yuan Chang z týmu ZUSO ART a taikosoup, JS.

Siri

Poděkování za pomoc zaslouží Bistrit Dahal.

Spotlight

Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology v Bhópálu v Indii a C-DAC Thiruvananthapuram India.

Time Zone

Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology v Bhópálu v Indii a Siddharth Choubey.

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.

Datum zveřejnění: 12. listopadu 2024