Om sikkerhedsindholdet i iOS 18.1 og iPadOS 18.1

I dette dokument beskrives sikkerhedsindholdet i iOS 18.1 og iPadOS 18.1.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

Om sikkerhedsindholdet i iOS 18.1 og iPadOS 18.1

Udgivet 28. oktober 2024

Accessibility

Tilgængelig til: iPhone XS og nyere

Effekt: En hacker med fysisk adgang til en låst enhed kan muligvis se følsomme brugeroplysninger

Beskrivelse: Problemet blev løst ved forbedret godkendelse.

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

App Support

Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller

Effekt: En skadelig app kan muligvis køre vilkårlige genveje uden brugerens samtykke

Beskrivelse: Et problem med stihåndtering er løst via forbedret logik.

CVE-2024-44255: en anonym programmør

AppleAVD

Effekt: Parsing af et skadeligt videoarkiv kan føre til pludselig systemlukning

Beskrivelse: Problemet er løst med forbedrede kontroller af grænser.

CVE-2024-44232: Ivan Fratric fra Google Project Zero

CVE-2024-44233: Ivan Fratric fra Google Project Zero

CVE-2024-44234: Ivan Fratric fra Google Project Zero

Post tilføjet 1. november 2024

CoreMedia Playback

Effekt: En skadelig app kan muligvis få adgang til private oplysninger

Beskrivelse: Problemet er løst via forbedret håndtering af symbolske links.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell fra Loadshine Lab

CoreText

Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-44240: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

Foundation

Effekt: Parsing af et arkiv kan medføre afsløring af brugeroplysninger

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret inputvalidering.

CVE-2024-44282: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

ImageIO

Effekt: Behandling af et billede kan medføre afsløring af proceshukommelse

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2024-44215: Junsung Lee, der arbejder med Trend Micro Zero Day Initiative

ImageIO

Effekt: Behandling af en besked med skadeligt indhold kan medføre et DoS-angreb

Beskrivelse: Problemet er løst med forbedrede kontroller af grænser.

CVE-2024-44297: Jex Amro

IOSurface

Effekt: En app kan forårsage uventet systemlukning eller korrupt kernehukommelse

Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.

CVE-2024-44285: en anonym programmør

iTunes

Effekt: Et fjernangreb kan muligvis bryde ud af webindholdssandboxen

Beskrivelse: Der var et problem med håndtering af et specielt URL-adresseskema, som er løst ved forbedret inputvalidering.

CVE-2024-40867: Ziyi Zhou (@Shanghai Jiao Tong University), Tianxiao Hou (@Shanghai Jiao Tong University)

Kernel

Effekt: En app kan forårsage, at der lækkes en følsom kernestatus

Beskrivelse: Et problem med afsløring af oplysninger er løst via forbedret bortredigering af private data for logposter.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Managed Configuration

Virkning: Gendannelse af en ondsindet sikkerhedskopifil kan føre til ændring af beskyttede systemarkiver

Beskrivelse: Problemet er løst via forbedret håndtering af symbolske links.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Virkning: Gendannelse af en ondsindet sikkerhedskopifil kan føre til ændring af beskyttede systemarkiver

Beskrivelse: Et logikproblem er løst ved forbedret filhåndtering.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res

Effekt: En app kan forårsage uventet systemlukning eller korrupt kernehukommelse

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2024-44277: en anonym programmør og Yinyi Wu(@_3ndy1) fra Dawn Security Lab of JD.com, Inc.

Safari Downloads

Effekt: En hacker kan muligvis misbruge et tillidsforhold til at downloade skadeligt indhold

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2024-44259: Narendra Bhati, Manager of Cyber Security hos Suma Soft Pvt. Ltd, Pune (Indien)

Safari Private Browsing

Effekt: Privat browser kan lække privat browserhistorik

Beskrivelse: Et problem med lækage af oplysninger blev løst via yderligere validering.

CVE-2024-44229: Lucas Di Tomase

SceneKit

Effekt: Behandling af et skadeligt arkiv kan medføre beskadigelse af heap

Beskrivelse: Problemet er løst via forbedret kontrol.

CVE-2024-44218: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative

Shortcuts

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst via forbedret bortredigering af følsomme oplysninger.

CVE-2024-44254: Kirin (@Pwnrin)

Shortcuts

Effekt: En skadelig app kan muligvis bruge genveje til at få adgang til begrænsede arkiver

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2024-44269: en anonym programmør

Siri

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst via forbedret bortredigering af følsomme oplysninger.

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri

Effekt: En hacker med fysisk adgang kan muligvis få adgang til billeder af kontakter fra låseskærmen

Beskrivelse: Problemet er løst ved at begrænse mulighederne på en låst enhed.

CVE-2024-40851: Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology i Bhopal, Indien, Srijan Poudel

Siri

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et logikproblem er løst via forbedret statusadministration.

CVE-2024-44263: Kirin (@Pwnrin) og 7feilee

Siri

Effekt: En sandbox-app kan muligvis tilgå følsomme brugerdata i systemlogarkiver

Beskrivelse: Et problem med afsløring af oplysninger er løst via forbedret bortredigering af private data for logposter.

CVE-2024-44278: Kirin (@Pwnrin)

Spotlight

Effekt: En hacker kan muligvis se begrænset indhold på låseskærmen

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2024-44251: Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology i Bhopal, Indien

Spotlight

Effekt: En hacker kan muligvis se begrænset indhold på låseskærmen

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-44235: Rizki Maulana (rmrizki.my.id), Dalibor Milanovic, Richard Hyunho Im (@richeeta) med Route Zero Security

VoiceOver

Effekt: En hacker kan muligvis se begrænset indhold på låseskærmen

Beskrivelse: Problemet er løst ved at begrænse mulighederne på en låst enhed.

CVE-2024-44261: Braylon (@softwarescool)

WebKit

Effekt: Behandling af webindhold med skadelig kode kan forhindre, at sikkerhedspolitikken for indhold bliver håndhævet

Beskrivelse: Problemet er løst via forbedrede kontroller.

WebKit Bugzilla: 278765

CVE-2024-44296: Narendra Bhati, Manager of Cyber Security hos Suma Soft Pvt. Ltd, Pune (Indien)

WebKit

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret inputvalidering.

WebKit Bugzilla: 279780

CVE-2024-44244: en anonym programmør, Q1IQ (@q1iqF) og P1umer (@p1umer)

Yderligere anerkendelser

Accessibility

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) of Lakshmi Narain College fra Technology i Bhopal i Indien, Chi Yuan Chang fra ZUSO ART og taikosoup for hjælpen.

App Store

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) of Lakshmi Narain College fra Technology i Bhopal i Indien, Chi Yuan Chang fra ZUSO ART og taikosoup for hjælpen.

Calculator

Vi vil gerne takke Kenneth Chew for hjælpen.

Calendar

Vi vil gerne takke K宝(@Pwnrin) for hjælpen.

Camera

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal i Indien for hjælpen.

Files

Vi vil gerne takke Chi Yuan Chang of ZUSO ART og taikosoup, Christian Scalese for hjælpen.

ImageIO

Vi vil gerne takke Amir Bazine og Karsten König fra CrowdStrike Counter Adversary Operations, en anonym programmør for hjælpen.

Messages

Vi vil gerne takke Collin Potter, en anonym programmør for hjælpen.

NetworkExtension

Vi vil gerne takke Patrick Wardle fra DoubleYou & the Objective-See Foundation for hjælpen.

Personalization Services

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology i Bhopal i Indien, Bistrit Dahal for hjælpen.

Photos

Vi vil gerne takke James Robertson, Kamil Bourouiba for hjælpen.

Safari Private Browsing

Vi vil gerne takke en anonym programmør og r00tdaddy for hjælpen.

Safari Tabs

Vi vil gerne takke Jaydev Ahire for hjælpen.

Security

Vi vil gerne takke Bing Shi, Wenchao Li og Xiaolong Bai fra Alibaba Group for hjælpen.

Settings

Vi vil gerne takke Chi Yuan Chang fra ZUSO ART og taikosoup, JS for hjælpen.

Siri

Vi vil gerne takke Bistrit Dahal for hjælpen.

Spotlight

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra LNCT Bhopal og C-DAC Thiruvananthapuram fra Indien for hjælpen.

Time Zone

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal i Indien og Siddharth Choubey for hjælpen.

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: 12. november 2024