Om sikkerhedsindholdet i iOS 18.2 og iPadOS 18.2

I dette dokument beskrives sikkerhedsindholdet i iOS 18.2 og iPadOS 18.2.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

iOS 18.2 og iPadOS 18.2

Udgivet 11. december 2024

AppleMobileFileIntegrity

Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" 3. generation og nyere modeller, iPad Pro 11" 1. generation og nyere modeller, iPad Air 3. generation og nyere modeller, iPad 7. generation og nyere modeller og iPad mini 5. generation og nyere modeller

Effekt: En skadelig app kan muligvis få adgang til private oplysninger

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2024-54527: Mickey Jin (@patch1t)

Audio

Effekt: Hvis lyden slås fra for et opkald, mens der ringes, aktiveres funktionen til at slå lyden fra muligvis ikke

Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.

CVE-2024-54503: Micheal Chukwu og en anonym programmør

Crash Reporter

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.

CVE-2024-54513: en anonym programmør

FontParser

Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-54486: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

ImageIO

Effekt: Behandling af et skadeligt billede kan medføre afsløring af proceshukommelse

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2024-54500: Junsung Lee, der arbejder med Trend Micro Zero Day Initiative

Kernel

Effekt: En hacker kan muligvis oprette en skrivebeskyttet hukommelsestilknytning, der kan skrives til

Beskrivelse: En konkurrencetilstand er løst via yderligere validering.

CVE-2024-54494: sohybbyk

Kernel

Effekt: En app kan forårsage, at der lækkes en følsom kernestatus

Beskrivelse: En konkurrencetilstand er løst ved forbedret låsning.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) fra MIT CSAIL

Kernel

Effekt: En app kan forårsage uventet systemlukning eller korrupt kernehukommelse

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2024-44245: en anonym programmør

libexpat

Effekt: En ekstern hacker kan få adgang til at udføre uventet applukning eller køre vilkårlig kode

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.

CVE-2024-45490

libxpc

Effekt: En app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2024-54514: en anonym programmør

libxpc

Effekt: En app kan muligvis få adgang til ekstra rettigheder

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

Passwords

Effekt: En hacker i en privilegeret netværksposition kan ændre netværkstrafik

Beskrivelse: Dette problem er løst ved at bruge HTTPS under afsendelse af oplysninger over netværket.

CVE-2024-54492: Talal Haj Bakry og Tommy Mysk fra Mysk Inc. (@mysk_co)

Safari

Effekt: På en enhed med Privat datatrafik slået til kan tilføjelsen af et websted til læselisten i Safari muligvis vise webstedets oprindelige IP-adresse

Beskrivelse: Problemet blev løst ved forbedret routing af anmodninger, der stammer fra Safari.

CVE-2024-44246: Jacob Braun

SceneKit

Effekt: Behandling af et skadeligt arkiv kan medføre DoS (Denial of Service)

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-54501: Michael DePlante (@izobashi) fra Trend Micros Zero Day Initiative

VoiceOver

Effekt: En hacker med fysisk adgang til en iOS-enhed kan muligvis se notifikationsindhold fra låseskærmen

Beskrivelse: Problemet blev løst ved at tilføje yderligere logik.

CVE-2024-54485: Abhay Kailasia (@abhay_kailasia) fra C-DAC Thiruvananthapuram India

WebKit

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Problemet er løst via forbedrede kontroller.

WebKit Bugzilla: 278497

CVE-2024-54479: Seunghyun Lee

WebKit Bugzilla: 281912

CVE-2024-54502: Brendon Tiszka fra Google Project Zero

WebKit

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

WebKit Bugzilla: 282180

CVE-2024-54508: linjy fra HKUS3Lab og chluo fra WHUSecLab, Xiangwei Zhang fra Tencent Security YUNDING LAB

WebKit

Effekt: Behandling af webindhold med skadelig kode kan føre til beskadiget hukommelse

Beskrivelse: Et problem med forveksling af typer er løst ved hjælp af forbedret hukommelsesbehandling.

WebKit Bugzilla: 282661

CVE-2024-54505: Gary Kwong

WebKit

Effekt: Behandling af webindhold med skadelig kode kan føre til beskadiget hukommelse

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

WebKit Bugzilla: 277967

CVE-2024-54534: Tashita Software Security

Yderligere anerkendelser

Accessibility

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal India, Andr.Ess, Jake Derouin og Jason Gendron (@gendron_jason) for hjælpen.

App Protection

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal i Indien for hjælpen.

Calendar

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal i Indien for hjælpen.

FaceTime

Vi vil gerne takke 椰椰 for hjælpen.

FaceTime Foundation

Vi vil gerne takke Joshua Pellecchia for hjælpen.

Family Sharing

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal India og J T for hjælpen.

Notes

Vi vil gerne takke Katzenfutter for hjælpen.

Photos

Vi vil gerne takke Bistrit Dahal, Chi Yuan Chang fra ZUSO ART og taikosoup, Finlay James (@Finlay1010), Rizki Maulana (rmrizki.my.id) og Srijan Poudel for hjælpen.

Photos Storage

Vi vil gerne takke Jake Derouin (jakederouin.com) for hjælpen.

Proximity

Vi vil gerne takke Junming C. (@Chapoly1305) og Prof. Qiang Zeng fra George Mason University for hjælpen.

Quick Response

Vi vil gerne takke en anonym programmør for hjælpen.

Safari

Vi vil gerne takke Jayateertha Guruprasad for hjælpen.

Safari Private Browsing

Vi vil gerne takke Richard Hyunho Im (@richeeta), der arbejder med Route Zero Security, for hjælpen.

Settings

Vi vil gerne takke Akshith Muddasani, Bistrit Dahal og Emanuele Slusarz for hjælpen.

Siri

Vi vil gerne takke Srijan Poudel for hjælpen.

Spotlight

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra LNCT Bhopal og C-DAC Thiruvananthapuram fra Indien for hjælpen.

Status Bar

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal India og Andr.Ess for hjælpen.

Swift

Vi vil gerne takke Marc Schoenefeld, Dr. rer. for hjælpen. nat. for hjælpen.

Time Zone

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra LNCT Bhopal og C-DAC Thiruvananthapuram fra Indien for hjælpen.

WebKit

Vi vil gerne takke Hafiizh for hjælpen.

WindowServer

Vi vil gerne takke Felix Kratz for hjælpen.

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: 17. december 2024