Om sikkerhedsindholdet i iOS 18 og iPadOS 18

I dette dokument beskrives sikkerhedsindholdet i iOS 18 og iPadOS 18.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden Apples sikkerhedsudgivelser.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-id.

Få flere oplysninger om sikkerhed på siden Apples sikkerhedsudgivelser.

iOS 18 og iPadOS 18

Udgivet 16. september 2024

Accessibility

Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller

Effekt: En hacker med fysisk adgang kan muligvis bruge Siri til at tilgå følsomme brugerdata

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2024-40840: Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology i Bhopal, Indien

Accessibility

Effekt: En app kan muligvis foretage en optælling af en brugers installerede apps

Beskrivelse: Problemet er løst via forbedret databeskyttelse.

CVE-2024-40830: Chloe Surett

Accessibility

Effekt: En hacker med fysisk adgang til en låst enhed kan muligvis betjene enheder i nærheden via tilgængelighedsfunktioner

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2024-44171: Jake Derouin

Accessibility

Effekt: En hacker kan muligvis se de seneste billeder uden godkendelse i Let tilgængelighed

Beskrivelse: Problemet er løst ved at begrænse mulighederne på en låst enhed.

CVE-2024-40852: Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology i Bhopal, Indien

ARKit

Effekt: Behandling af et skadeligt arkiv kan medføre beskadigelse af heap

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-44126: Holger Fuhrmannek

Post tilføjet 28. oktober 2024

Cellular

Effekt: En hacker kan muligvis fremkalde et DoS-angreb

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2024-27874: Tuan D. Hoang

Compression

Effekt: Udpakning af et skadeligt arkiv kan give en hacker mulighed for at skrive vilkårlige arkiver

Beskrivelse: En konkurrencetilstand er løst ved forbedret låsning.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Effekt: En app kan muligvis optage skærmen, uden at der vises en indikator

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-27869: en anonym programmør

Core Bluetooth

Effekt: En skadelig Bluetooth-indtastningsenhed kan omgå pardannelse

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2024-44124: Daniele Antonioli

FileProvider

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst via forbedret godkendelse af symbolske links.

CVE-2024-44131: @08Tc3wBB fra Jamf

Game Center

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et problem med arkivadgang er løst via forbedret inputvalidering.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.

CVE-2024-27880: Junsung Lee

ImageIO

Effekt: Behandling af et billede kan føre til DoS-angreb

Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.

CVE-2024-44176: dw0r fra ZeroPointer Lab, der arbejder med Trend Micro Zero Day Initiative, og en anonym programmør

IOSurfaceAccelerator

Effekt: En app kan forårsage uventet systemlukning

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2024-44169: Antonio Zekić

Kernel

Effekt: Netværkstrafik kan blive lækket uden for en VPN-tunnel

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2024-44165: Andrew Lytvynov

Kernel

Effekt: En app kan muligvis få uautoriseret adgang til Bluetooth

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) og Mathy Vanhoef

libxml2

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2024-44198: OSS-Fuzz, Ned Williamson fra Google Project Zero

Mail Accounts

Effekt: En app kan muligvis få adgang til oplysninger om en brugers kontakter

Beskrivelse: Et anonymitetsproblem er løst via forbedret bortredigering af private data for logposter.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

mDNSResponder

Effekt: En app kan forårsage et DoS-angreb

Beskrivelse: En logisk fejl er løst via forbedret filhåndtering.

CVE-2024-44183: Olivier Levon

Model I/O

Effekt: Behandling af et skadeligt billede kan medføre DoS (denial-of-service)

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.

CVE-2023-5841

NetworkExtension

Effekt: En app kan muligvis få uautoriseret adgang til lokalnetværk

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2024-44147: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) og Mathy Vanhoef

Notes

Effekt: En app kan muligvis overskrive vilkårlige arkiver

Beskrivelse: Problemet er løst ved at fjerne den sårbare kode.

CVE-2024-44167: ajajfxhj

Passwords

Effekt: Autoudfyldning af adgangskode kan udfylde adgangskoder efter mislykket godkendelse

Beskrivelse: Et problem med tilladelser blev løst ved at fjerne sårbar kode og tilføje yderligere kontrol.

CVE-2024-44217: Bistrit Dahal, en anonym programmør, Joshua Keller

Post tilføjet 28. oktober 2024

Printing

Effekt: Et ikke-krypteret dokument skrives muligvis til et midlertidigt arkiv, når der bruges Vis udskrift

Beskrivelse: Et anonymitetsproblem er løst via forbedret håndtering af arkiver.

CVE-2024-40826: en anonym programmør

Safari

Effekt: Behandling af skadeligt webindhold kan medføre overtrædelse af sandbox-politikken for iframe

Beskrivelse: Der var et problem med håndtering af et specielt URL-adresseskema, som er løst ved forbedret inputvalidering.

CVE-2024-44155: Narendra Bhati, Manager of Cyber Security hos Suma Soft Pvt. Ltd, Pune (Indien)

Post tilføjet 28. oktober 2024

Safari Private Browsing

Effekt: Private browsing-faner kan tilgås uden godkendelse

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2024-44202: Kenneth Chew

Safari Private Browsing

Effekt: Private browsing-faner kan tilgås uden godkendelse

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2024-44127: Anamika Adhikari

Sandbox

Effekt: En app kan forårsage, at der lækkes følsomme brugeroplysninger

Beskrivelse: Problemet er løst via forbedret databeskyttelse.

CVE-2024-40863: Csaba Fitzl (@theevilbit) fra Kandji

Post opdateret 28. oktober 2024

SceneKit

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Et bufferoverløbsproblem er løst med forbedret godkendelse af størrelse.

CVE-2024-44144: 냥냥

Post tilføjet 28. oktober 2024

Security

Effekt: En skadelig app med rodrettigheder kan muligvis få adgang til tastaturinput og lokationsoplysninger uden brugerens samtykke

Beskrivelse: Et problem med tilladelser er løst via yderligere begrænsninger.

CVE-2024-44123: Wojciech Regula fra SecuRing (wojciechregula.blog)

Post tilføjet 28. oktober 2024

Sidecar

Fås til: iPad Pro 13", iPad Pro 12,9" (3. generation og nyere), iPad Pro 11" (1. generation og nyere), iPad Air (3. generation og nyere), iPad (7. generation og nyere) og iPad mini (5. generation og nyere)

Effekt: En hacker med fysisk adgang til en macOS-enhed, hvor Sidecar er aktiveret, kan muligvis tilsidesætte skærmlåsen

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2024-44145: Om Kothawade fra Zaprico Digital og Omar A. Alanis fra UNTHSC College of Pharmacy

Post tilføjet 28. oktober 2024

Siri

Effekt: En hacker kan muligvis bruge Siri til at aktivere Autobesvar opkald

Beskrivelse: Problemet er løst ved at begrænse mulighederne på en låst enhed.

CVE-2024-40853: Chi Yuan Chang fra ZUSO ART og taikosoup

Post tilføjet 28. oktober 2024

Siri

Effekt: En hacker med fysisk adgang kan muligvis få adgang til kontakter fra låseskærmen

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-44139: Srijan Poudel

CVE-2024-44180: Bistrit Dahal

Siri

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et problem med anonymitet er løst ved at flytte følsomme data til et mere sikkert sted.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

Transparency

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

UIKit

Effekt: En hacker kan forårsage uventet applukning

Beskrivelse: Problemet er løst med forbedrede kontroller af grænser.

CVE-2024-27879: Justin Cohen

WebKit

Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder

Beskrivelse: Problemet er løst via forbedret statusadministration.

WebKit Bugzilla: 268724

CVE-2024-40857: Ron Masas

WebKit

Effekt: Et skadeligt websted kan eksfiltrere data på tværs af oprindelsessteder

Beskrivelse: Der var et problem med "iframe"-elementer på tværs af oprindelsessteder. Problemet er løst ved forbedret sporing af sikkerhedsoprindelser.

WebKit Bugzilla: 279452

CVE-2024-44187: Narendra Bhati, Manager of Cyber Security hos Suma Soft Pvt. Ltd, Pune (Indien)

Wi-Fi

Effekt: En hacker kan muligvis gennemtvinge, at en enhed afbryder forbindelsen til et sikkert netværk

Beskrivelse: En integritetsproblem blev løst ved hjælp af beacon-beskyttelse.

CVE-2024-40856: Domien Schepers

Yderligere anerkendelser

Core Bluetooth

Vi vil gerne takke Nicholas C. fra Onymos Inc. (onymos.com) for hjælpen.

Foundation

Vi vil gerne takke Ostorlab for hjælpen.

Installer

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology i Bhopal i Indien, Chi Yuan Chang fra ZUSO ART og taikosoup, Christian Scalese, Ishan Boda og Shane Gallagher for hjælpen.

Post opdateret 28. oktober 2024

Kernel

Vi vil gerne takke Braxton Anderson, Deutsche Telekom Security GmbH sponsoreret af Bundesamt für Sicherheit in der Informationstechnik, Fakhri Zulkifli (@d0lph1n98) fra PixiePoint Security for hjælpen.

Magnifier

Vi vil gerne takke Andr.Ess for hjælpen.

Maps

Vi vil gerne takke Kirin (@Pwnrin) for hjælpen.

Messages

Vi vil gerne takke Chi Yuan Chang fra ZUSO ART og taikosoup for hjælpen.

MobileLockdown

Vi vil gerne takke Andr.Ess for hjælpen.

Notifications

Vi vil gerne takke en anonym programmør for hjælpen.

Passwords

Vi vil gerne takke Richard Hyunho Im (@r1cheeta) for hjælpen.

Photos

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) of Lakshmi Narain College fra Technology i Bhopal i Indien, Harsh Tyagi, Kenneth Chew, Leandro Chaves, Saurabh Kumar fra Technocrat Institute of Technology i Bhopal, Shibin B Shaji, Vishnu Prasad P G, UST, Yusuf Kelany for hjælpen.

Safari

Vi vil gerne takke Hafiizh and YoKo Kho (@yokoacc) fra HakTrak, James Lee (@Windowsrcer) for hjælpen.

Shortcuts

Vi vil gerne takke Cristian Dinca fra "Tudor Vianu" National High School of Computer Science i Rumænien, Jacob Braun og en anonym programmør for hjælpen.

Siri

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology i Bhopal i Indien, Rohan Paudel og en anonym programmør for hjælpen.

Post opdateret 28. oktober 2024

Spotlight

Vi vil gerne takke Paulo Henrique Batista Rosa de Castro (@paulohbrc) for hjælpen.

Post tilføjet 28. oktober 2024

Status Bar

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology i Bhopal i Indien, Jacob Braun for hjælpen.

TCC

Vi vil gerne takke Vaibhav Prajapati for hjælpen.

UIKit

Vi vil gerne takke Andr.Ess for hjælpen.

Voice Memos

Vi vil gerne takke Lisa B for hjælpen.

WebKit

Vi vil gerne takke Avi Lumelsky fra Oligo Security, Uri Katz fra Oligo Security, Braylon (@softwarescool), Eli Grey (eligrey.com), Johan Carlsson (joaxcar) og Numan Türle - Rıza Sabuncu for hjælpen.

Post opdateret 28. oktober 2024

Wi-Fi

Vi vil gerne takke Antonio Zekic (@antoniozekic) og ant4g0nist, Tim Michaud (@TimGMichaud) fra Moveworks.ai for hjælpen.

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: 01. november 2024