Om sikkerhedsindholdet i iOS 18.2 og iPadOS 18.2

I dette dokument beskrives sikkerhedsindholdet i iOS 18.2 og iPadOS 18.2.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

iOS 18.2 og iPadOS 18.2

Udgivet 11. december 2024

Accounts

Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller

Effekt: Billeder i albummet Skjult i Fotos kan muligvis ses uden godkendelse

Beskrivelse: Et logikproblem er løst ved forbedret filhåndtering.

CVE-2024-54488: Benjamin Hornbeck, Skadz (@skadz108), Chi Yuan Chang fra ZUSO ART og taikosoup

Post tilføjet 27. januar 2025

APFS

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2024-54541: Arsenii Kostromin (0x3c3e) og en anonym programmør

Post tilføjet 27. januar 2025

AppleMobileFileIntegrity

Effekt: En skadelig app kan muligvis få adgang til private oplysninger

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2024-54527: Mickey Jin (@patch1t)

Audio

Effekt: Hvis lyden slås fra for et opkald, mens der ringes, aktiveres funktionen til at slå lyden fra muligvis ikke

Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.

CVE-2024-54503: Micheal Chukwu og en anonym programmør

Contacts

Effekt: En app kan muligvis se automatisk udfyldte kontaktoplysninger fra Beskeder og Mail i systemlogge

Beskrivelse: Problemet er løst via forbedret bortredigering af følsomme oplysninger.

CVE-2024-54550: Smi1e (@Smi1eSEC)

Post tilføjet 27. januar 2025

Crash Reporter

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.

CVE-2024-54513: en anonym programmør

Face Gallery

Effekt: Et systems binærarkiv kan blive brugt til at aflæse fingeraftryk til en brugers Apple-konto

Beskrivelse: Problemet blev løst ved at fjerne de relevante flag.

CVE-2024-54512: Bistrit Dahal

Post tilføjet 27. januar 2025

FontParser

Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-54486: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

ICU

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.

CVE-2024-54478: Gary Kwong

Post tilføjet 27. januar 2025

ImageIO

Effekt: Behandling af et skadeligt billedarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.

CVE-2024-54499: Anonym, der arbejder med Trend Micro Zero Day Initiative

Post tilføjet 27. januar 2025

ImageIO

Effekt: Behandling af et skadeligt billede kan medføre afsløring af proceshukommelse

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2024-54500: Junsung Lee, der arbejder med Trend Micro Zero Day Initiative

IOMobileFrameBuffer

Effekt: En app kan muligvis beskadige hukommelsen i hjælpeprocessoren

Beskrivelse: Problemet er løst med forbedrede kontroller af grænser.

CVE-2024-54517: Ye Zhang (@VAR10CK) fra Baidu Security

CVE-2024-54518: Ye Zhang (@VAR10CK) fra Baidu Security

CVE-2024-54522: Ye Zhang (@VAR10CK) fra Baidu Security

CVE-2024-54523: Ye Zhang (@VAR10CK) fra Baidu Security

Post tilføjet 27. januar 2025

Kernel

Effekt: En app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2024-54468: en anonym programmør

Post tilføjet 27. januar 2025

Kernel

Effekt: En hacker med brugerprivilegier kan muligvis læse kernehukommelsen

Beskrivelse: Et problem med forveksling af typer er løst ved hjælp af forbedret hukommelsesbehandling.

CVE-2024-54507: Joseph Ravichandran (@0xjprx) fra MIT CSAIL

Post tilføjet 27. januar 2025

Kernel

Effekt: En hacker kan muligvis oprette en skrivebeskyttet hukommelsestilknytning, der kan skrives til

Beskrivelse: En konkurrencetilstand er løst via yderligere validering.

CVE-2024-54494: sohybbyk

Kernel

Effekt: En app kan forårsage, at der lækkes en følsom kernestatus

Beskrivelse: En konkurrencetilstand er løst ved forbedret låsning.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) fra MIT CSAIL

Kernel

Effekt: En app kan forårsage uventet systemlukning eller korrupt kernehukommelse

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2024-44245: en anonym programmør

libexpat

Effekt: En ekstern hacker kan få adgang til at udføre uventet applukning eller køre vilkårlig kode

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.

CVE-2024-45490

libxpc

Effekt: En app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2024-54514: en anonym programmør

libxpc

Effekt: En app kan muligvis få adgang til ekstra rettigheder

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

Passkeys

Effekt: Autoudfyldning af adgangskode kan udfylde adgangskoder efter mislykket godkendelse

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) fra C-DAC Thiruvananthapuram India, Rakeshkumar Talaviya

Post tilføjet 27. januar 2025

Passwords

Effekt: En hacker i en privilegeret netværksposition kan ændre netværkstrafik

Beskrivelse: Dette problem er løst ved at bruge HTTPS under afsendelse af oplysninger over netværket.

CVE-2024-54492: Talal Haj Bakry og Tommy Mysk fra Mysk Inc. (@mysk_co)

QuartzCore

Effekt: Behandling af webindhold kan føre til DoS-angreb

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-54497: Anonym, der arbejder med Trend Micro Zero Day Initiative

Post tilføjet 27. januar 2025

Safari

Effekt: På en enhed med Privat datatrafik slået til kan tilføjelsen af et websted til læselisten i Safari muligvis vise webstedets oprindelige IP-adresse

Beskrivelse: Problemet blev løst ved forbedret routing af anmodninger, der stammer fra Safari.

CVE-2024-44246: Jacob Braun

Safari Private Browsing

Effekt: Private browsing-faner kan tilgås uden godkendelse

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2024-54542: Rei (@reizydev), Kenneth Chew

Post tilføjet 27. januar 2025

SceneKit

Effekt: Behandling af et skadeligt arkiv kan medføre DoS (Denial of Service)

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-54501: Michael DePlante (@izobashi) fra Trend Micros Zero Day Initiative

Vim

Effekt: Behandling af et skadeligt arkiv kan medføre beskadigelse af heap

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.

CVE-2024-45306

Post tilføjet 27. januar 2025

VoiceOver

Effekt: En hacker med fysisk adgang til en iOS-enhed kan muligvis se notifikationsindhold fra låseskærmen

Beskrivelse: Problemet blev løst ved at tilføje yderligere logik.

CVE-2024-54485: Abhay Kailasia (@abhay_kailasia) fra C-DAC Thiruvananthapuram India

WebKit

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Problemet er løst via forbedrede kontroller.

WebKit Bugzilla: 278497

CVE-2024-54479: Seunghyun Lee

WebKit Bugzilla: 281912

CVE-2024-54502: Brendon Tiszka fra Google Project Zero

WebKit

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

WebKit Bugzilla: 282180

CVE-2024-54508: linjy fra HKUS3Lab og chluo fra WHUSecLab, Xiangwei Zhang fra Tencent Security YUNDING LAB

WebKit

Effekt: Behandling af webindhold med skadelig kode kan føre til beskadiget hukommelse

Beskrivelse: Et problem med forveksling af typer er løst ved hjælp af forbedret hukommelsesbehandling.

WebKit Bugzilla: 282661

CVE-2024-54505: Gary Kwong

WebKit

Effekt: Behandling af webindhold med skadelig kode kan føre til beskadiget hukommelse

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

WebKit Bugzilla: 277967

CVE-2024-54534: Tashita Software Security

WebKit Bugzilla: 282450

CVE-2024-54543: Lukas Bernhard, Gary Kwong og en anonym programmør

Post opdateret 27. januar 2025

Yderligere anerkendelser

Accessibility

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal India, Andr.Ess, Jake Derouin og Jason Gendron (@gendron_jason) for hjælpen.

App Protection

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal i Indien for hjælpen.

Calendar

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal i Indien for hjælpen.

FaceTime

Vi vil gerne takke 椰椰 for hjælpen.

FaceTime Foundation

Vi vil gerne takke Joshua Pellecchia for hjælpen.

Family Sharing

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal India og J T for hjælpen.

Files

Vi vil gerne takke Christian Scalese for hjælpen.

Post tilføjet 27. januar 2025

Notes

Vi vil gerne takke Katzenfutter for hjælpen.

Photos

Vi vil gerne takke Bistrit Dahal, Chi Yuan Chang fra ZUSO ART og taikosoup, Finlay James (@Finlay1010), Rizki Maulana (rmrizki.my.id) og Srijan Poudel for hjælpen.

Photos Storage

Vi vil gerne takke Jake Derouin (jakederouin.com) for hjælpen.

Proximity

Vi vil gerne takke Junming C. (@Chapoly1305) og Prof. Qiang Zeng fra George Mason University for hjælpen.

Quick Response

Vi vil gerne takke en anonym programmør for hjælpen.

Safari

Vi vil gerne takke Jayateertha Guruprasad for hjælpen.

Safari Private Browsing

Vi vil gerne takke Richard Hyunho Im (@richeeta), der arbejder med Route Zero Security, for hjælpen.

Settings

Vi vil gerne takke Akshith Muddasani, Bistrit Dahal, Emanuele Slusarz og Abhishek Kanaujia for hjælpen.

Post opdateret 27. januar 2025

Siri

Vi vil gerne takke Srijan Poudel og Bistrit Dahal for hjælpen.

Post opdateret 27. januar 2025

Spotlight

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra LNCT Bhopal og C-DAC Thiruvananthapuram fra Indien for hjælpen.

Status Bar

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal India og Andr.Ess for hjælpen.

Swift

Vi vil gerne takke Marc Schoenefeld, Dr. rer. for hjælpen. nat. for hjælpen.

Time Zone

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra LNCT Bhopal og C-DAC Thiruvananthapuram fra Indien for hjælpen.

WebKit

Vi vil gerne takke Hafiizh for hjælpen.

WindowServer

Vi vil gerne takke Felix Kratz for hjælpen.

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: 01. februar 2025