Informace o bezpečnostním obsahu iOS  18.2 a iPadOS  18.2

Tento dokument popisuje bezpečnostní obsah iOS 18.2 a iPadOS 18.2.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

iOS 18.2 a iPadOS 18.2

AppleMobileFileIntegrity

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Škodlivé aplikaci se může podařit získat přístup k soukromým informacím.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2024-54527: Mickey Jin (@patch1t)

Audio

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Ztlumení zrovna probíhajícího vyzvánění hovoru nemusí skutečně vést ke ztlumení vyzvánění.

Popis: Problém s nekonzistentním uživatelským rozhraním byl vyřešen vylepšením správy stavu.

CVE-2024-54503: Micheal Chukwu a anonymní výzkumník

Crash Reporter

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2024-54513: anonymní výzkumník

FontParser

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování škodlivého písma může vést k odhalení procesní paměti.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2024-54486: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro

ImageIO

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování škodlivého obrázku může vést k odhalení paměti procesu.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2024-54500: Junsung Lee ve spolupráci se Zero Day Initiative společnosti Trend Micro

Kernel

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Útočníkovi se může podařit vytvořit namapování paměti jen pro čtení, do kterého se dá zapisovat.

Popis: Problém se souběhem byl vyřešen dodatečným ověřováním.

CVE-2024-54494: sohybbyk

Kernel

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikaci se může podařit odhalit citlivé informace o stavu jádra.

Popis: Problém se souběhem byl vyřešen vylepšením zamykání.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) z týmu MIT CSAIL

Kernel

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo poškodit paměť jádra.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2024-44245: anonymní výzkumník

libexpat

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Útočníkovi se může podařit způsobit neočekávané ukončení aplikace nebo spuštění libovolného kódu

Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.

CVE-2024-45490

libxpc

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikaci se může podařit uniknout ze sandboxu.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2024-54514: anonymní výzkumník

libxpc

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikaci se může podařit navýšit si oprávnění.

Popis: Problém v logice byl vyřešen vylepšením kontrol.

CVE-2024-44225: 风沐云烟 (@binary_fmyy)

Passwords

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Útočníkovi s vysokými oprávněními v síti se může podařit změnit síťový provoz.

Popis: Tento problém byl vyřešen použitím protokolu HTTPS při odesílání informací přes síť.

CVE-2024-54492: Talal Haj Bakry a Tommy Mysk ze společnosti Mysk Inc. (@mysk_co)

Safari

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Když byl na zařízení se zapnutým soukromým přenosem přidán web do seznamu čtení v Safari, mohla se tím odhalit zdrojová IP adresa webu.

Popis: Problém byl vyřešen vylepšením směrování požadavků pocházejících ze Safari.

CVE-2024-44246: Jacob Braun

SceneKit

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování škodlivého souboru může vést k odmítnutí služby.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2024-54501: Michael DePlante (@izobashi) z týmu Zero Day Initiative společnosti Trend Micro

VoiceOver

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Útočníkovi s fyzickým přístupem k iOS zařízení se může podařit zobrazit si na zamčené obrazovce obsah oznámení.

Popis: Problém byl vyřešen přidáním další logiky.

CVE-2024-54485: Abhay Kailasia (@abhay_kailasia) z organizace C-DAC Thiruvananthapuram v Indii

WebKit

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2024-54479: Seunghyun Lee

CVE-2024-54502: Brendon Tiszka z týmu Google Project Zero

WebKit

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2024-54508: linjy z týmu HKUS3Lab a chluo z týmu WHUSecLab, Xiangwei Zhang z týmu YUNDING LAB společnosti Tencent Security

WebKit

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování škodlivého webového obsahu může vést k poškození paměti.

Popis: Problém se záměnou typů byl vyřešen vylepšením správy paměti.

CVE-2024-54505: Gary Kwong

WebKit

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování škodlivého webového obsahu může vést k poškození paměti.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2024-54534: Tashita Software Security

Další poděkování

Accessibility

Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology v Bhópálu v Indii, Andr.Ess, Jake Derouin, Jason Gendron (@gendron_jason).

App Protection

Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology v Bhópálu v Indii.

Calendar

Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology v Bhópálu v Indii.

FaceTime

Poděkování za pomoc zaslouží 椰椰.

FaceTime Foundation

Poděkování za pomoc zaslouží Joshua Pellecchia.

Family Sharing

Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology v Bhópálu v Indii a J T.

Notes

Poděkování za pomoc zaslouží Katzenfutter.

Photos

Poděkování za pomoc zaslouží Bistrit Dahal, Chi Yuan Chang z týmu ZUSO ART a taikosoup, Finlay James (@Finlay1010), Rizki Maulana (rmrizki.my.id), Srijan Poudel.

Photos Storage

Poděkování za pomoc zaslouží Jake Derouin (jakederouin.com).

Proximity

Poděkování za pomoc zaslouží Junming C. (@Chapoly1305) a Prof. Qiang Zeng z Univerzity George Masona.

Quick Response

Poděkování za pomoc zaslouží anonymní výzkumník.

Safari

Poděkování za pomoc zaslouží Jayateertha Guruprasad.

Safari Private Browsing

Poděkování za pomoc zaslouží Richard Hyunho Im (@richeeta) ze společnosti Route Zero Security.

Settings

Poděkování za pomoc zaslouží Akshith Muddasani, Bistrit Dahal, Emanuele Slusarz.

Siri

Poděkování za pomoc zaslouží Srijan Poudel.

Spotlight

Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology v Bhópálu v Indii a C-DAC Thiruvananthapuram India.

Status Bar

Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology v Bhópálu v Indii, Andr.Ess.

Swift

Poděkování zaslouží Marc Schoenefeld, Dr. rer. nat.

Time Zone

Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology v Bhópálu v Indii a C-DAC Thiruvananthapuram India.

WebKit

Poděkování za pomoc zaslouží Hafiizh.

WindowServer

Poděkování za pomoc zaslouží Felix Kratz.