Informationen zum Sicherheitsinhalt von iOS 18 und iPadOS 18

In diesem Dokument wird der Sicherheitsinhalt von iOS 18 und iPadOS 18 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Kürzliche Veröffentlichungen werden auf der Seite Apple-Sicherheitsupdates aufgeführt.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

iOS 18 und iPadOS 18

Veröffentlicht am 16. September 2024

Accessibility

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Ein Angreifer mit physischem Zugriff kann möglicherweise mithilfe von Siri auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2024-40840: Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College of Technology in Bhopal, Indien

Accessibility

Auswirkung: Eine App kann möglicherweise auf die vom Benutzer installierten Apps auflisten.

Beschreibung: Dieses Problem wurde durch verbesserten Datenschutz behoben.

CVE-2024-40830: Chloe Surett

Accessibility

Auswirkung: Ein Angreifer, der physischen Zugang zu einem gesperrten Gerät hat, kann möglicherweise Geräte in der Nähe über Zugriffsfunktionen steuern

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2024-44171: Jake Derouin

Accessibility

Auswirkung: Ein Angreifer kann möglicherweise aktuelle Fotos ohne Authentifizierung im unterstützenden Zugriff anzeigen.

Beschreibung: Dieses Problem wurde durch Einschränkung der Optionen behoben, die auf einem gesperrten Gerät zur Verfügung stehen.

CVE-2024-40852: Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College of Technology in Bhopal, Indien

ARKit

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu einer Heapbeschädigung führen

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2024-44126: Holger Fuhrmannek

Eintrag am 28. Oktober 2024 hinzugefügt

Cellular

Auswirkung: Ein entfernter Angreifer kann einen Denial-of-Service verursachen

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2024-27874: Tuan D. Hoang

Compression

Auswirkung: Durch Auspacken eines in böser Absicht erstellten Archivs kann ein Angreifer beliebige Dateien erzeugen.

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch verbesserten Sperrschutz behoben.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Auswirkung: Eine App kann möglicherweise den Bildschirm ohne Indikator aufzeichnen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2024-27869: Ein anonymer Forscher

Core Bluetooth

Auswirkung: Ein schadhaftes Bluetooth-Eingabegerät kann möglicherweise das Pairing umgehen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2024-44124: Daniele Antonioli

FileProvider

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Validierung von Symlinks behoben.

CVE-2024-44131: @08Tc3wBB von Jamf

Game Center

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Dateizugriffsfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu einem unerwarteten App-Abbruch führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2024-27880: Junsung Lee

ImageIO

Auswirkung: Die Verarbeitung eines Bildes kann zu einem Denial-of-Service führen.

Beschreibung: Ein Problem, aufgrund dessen auf Daten außerhalb des zugewiesenen Bereichs zugegriffen werden konnte, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2024-44176: dw0r von ZeroPointer Lab in Zusammenarbeit mit der Trend Micro Zero Day Initiative und ein anonymer Forscher

IOSurfaceAccelerator

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2024-44169: Antonio Zekić

Kernel

Auswirkungen: Netzwerkverkehr kann möglicherweise den VPN-Tunnel verlassen

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2024-44165: Andrew Lytvynov

Kernel

Auswirkung: Eine App kann möglicherweise unbefugt auf Bluetooth zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) und Mathy Vanhoef

libxml2

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.

Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2024-44198: OSS-Fuzz, Ned Williamson von Google Project Zero

Mail Accounts

Auswirkung: Eine App kann möglicherweise auf Informationen zu den Kontakten eines Benutzers zugreifen.

Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Unkenntlichmachung privater Daten in Protokolleinträgen behoben.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

mDNSResponder

Auswirkung: Eine App kann unter Umständen einen Denial-of-Service verursachen.

Beschreibung: Ein Logikfehler wurde durch eine verbesserte Fehlerverarbeitung behoben.

CVE-2024-44183: Olivier Levon

Model I/O

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Bilddatei kann zu einem Denial-of-Service führen.

Beschreibung: Dies ist eine Schwachstelle in Open-Source-Code und Apple-Software gehört zu den betroffenen Projekten. Die CVE-ID wurde von einer Drittpartei zugewiesen. Weitere Informationen zu diesem Problem und der CVE-ID finden sich unter cve.org.

CVE-2023-5841

NetworkExtension

Auswirkung: Eine App kann möglicherweise unbefugt auf das lokale Netzwerk zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2024-44147: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) und Mathy Vanhoef

Notes

Auswirkung: Eine App kann möglicherweise willkürliche Dateien überschreiben.

Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2024-44167: ajajfxhj

Passwords

Auswirkung: Beim automatischen Ausfüllen von Passwörtern werden möglicherweise Passwörter eingefügt, nachdem die Authentifizierung fehlgeschlagen ist

Beschreibung: Ein Problem mit den Berechtigungen wurde durch zusätzliche Überprüfungen und das Entfernen des angreifbaren Codes behoben.

CVE-2024-44217: Bistrit Dahal, ein anonymer Forscher, Joshua Keller

Eintrag am 28. Oktober 2024 hinzugefügt

Printing

Auswirkung: Ein nicht verschlüsseltes Dokument kann unter Umständen bei Verwendung der Druckvorschau in eine temporäre Datei geschrieben werden.

Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Verarbeitung von Dateien behoben.

CVE-2024-40826: Ein anonymer Forscher

Safari

Auswirkung: In böser Absicht erstellte Webinhalte können gegen die iframe-Sandbox-Richtlinie verstoßen

Beschreibung: Ein Problem bei der Verwaltung von benutzerdefinierten URL-Schemata wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2024-44155: Narendra Bhati, Manager von Cyber Security bei Suma Soft Pvt. Ltd, Pune (Indien)

Eintrag am 28. Oktober 2024 hinzugefügt

Safari Private Browsing

Auswirkung: Auf Tabs für privates Surfen kann ohne Authentifizierung zugegriffen werden.

Beschreibung: Ein Authentifizierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2024-44202: Kenneth Chew

Safari Private Browsing

Auswirkung: Auf Tabs für privates Surfen kann ohne Authentifizierung zugegriffen werden.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2024-44127: Anamika Adhikari

Sandbox

Auswirkung: Eine App kann möglicherweise vertrauliche Benutzerdaten preisgeben.

Beschreibung: Dieses Problem wurde durch verbesserten Datenschutz behoben.

CVE-2024-40863: Csaba Fitzl (@theevilbit) von Kandji

Eintrag am 28. Oktober 2024 aktualisiert

SceneKit

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu einem unerwarteten App-Abbruch führen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Größenüberprüfung behoben.

CVE-2024-44144: 냥냥

Eintrag am 28. Oktober 2024 hinzugefügt

Security

Auswirkung: Eine schadhafte App mit Root-Rechten kann möglicherweise ohne Zustimmung von Benutzern auf Tastatureingaben und Standortinformationen zugreifen.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2024-44123: Wojciech Regula von SecuRing (wojciechregula.blog)

Eintrag am 28. Oktober 2024 hinzugefügt

Sidecar

Verfügbar für: iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Ein Angreifer mit physischem Zugriff auf ein macOS-Gerät, auf dem Sidecar aktiviert ist, kann möglicherweise den Sperrbildschirm umgehen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2024-44145: Om Kothawade von Zaprico Digital, Omar A. Alanis vom UNTHSC College of Pharmacy

Eintrag am 28. Oktober 2024 hinzugefügt

Siri

Auswirkung: Ein Angreifer kann möglicherweise Siri nutzen und damit „Anrufe automatisch annehmen“ aktivieren.

Beschreibung: Dieses Problem wurde durch Einschränkung der Optionen behoben, die auf einem gesperrten Gerät zur Verfügung stehen.

CVE-2024-40853: Chi Yuan Chang von ZUSO ART und taikosoup

Eintrag am 28. Oktober 2024 hinzugefügt

Siri

Auswirkung: Ein Angreifer mit physischem Zugang kann möglicherweise vom Sperrbildschirm aus auf Kontakte zugreifen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2024-44139: Srijan Poudel

CVE-2024-44180: Bistrit Dahal

Siri

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Datenschutzproblem wurde behoben, indem vertrauliche Daten in einen sichereren Bereich verschoben wurden.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

Transparency

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

UIKit

Auswirkungen: Ein Angreifer kann möglicherweise einen unerwarteten App-Abbruch verursachen.

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2024-27879: Justin Cohen

WebKit

Auswirkung: Die Verarbeitung von in böswilliger Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

WebKit Bugzilla: 268724

CVE-2024-40857: Ron Masas

WebKit

Auswirkung: Eine in böser Absicht erstellte Website kann Daten von verschiedenen Quellen exfiltrieren.

Beschreibung: Bei „iFrame“-Elementen kam es zu einem Cross-Origin-Problem. Dieses Problem wurde durch eine verbesserte Nachverfolgung der Sicherheitsursprünge behoben.

WebKit Bugzilla: 279452

CVE-2024-44187: Narendra Bhati, Manager von Cyber Security bei Suma Soft Pvt. Ltd, Pune (Indien)

Wi-Fi

Auswirkung: Ein Angreifer kann möglicherweise ein Gerät dazu zwingen, die Verbindung zu einem sicheren Netzwerk zu trennen.

Beschreibung: Ein Integritätsproblem wurde durch Beacon Protection behoben.

CVE-2024-40856: Domien Schepers

Zusätzliche Danksagung

Core Bluetooth

Wir möchten uns bei Nicholas C. of Onymos Inc. (onymos.com) für die Unterstützung bedanken.

Foundation

Wir möchten uns bei Ostorlab für die Unterstützung bedanken.

Installer

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College of Technology Bhopal India, Chi Yuan Chang von ZUSO ART und taikosoup, Christian Scalese, Ishan Boda sowie Shane Gallagher für die Unterstützung bedanken.

Eintrag am 28. Oktober 2024 aktualisiert

Kernel

Wir möchten uns bei Braxton Anderson, Deutsche Telekom Security GmbH sponsored by Bundesamt für Sicherheit in der Informationstechnik sowie Fakhri Zulkifli (@d0lph1n98) von PixiePoint Security für die Unterstützung bedanken.

Magnifier

Wir möchten uns bei Andr.Ess für die Unterstützung bedanken.

Maps

Wir möchten uns bei Kirin (@Pwnrin) für die Unterstützung bedanken.

Messages

Wir möchten uns bei Chi Yuan Chang von ZUSO ART und taikosoup für die Unterstützung bedanken.

MobileLockdown

Wir möchten uns bei Andr.Ess für die Unterstützung bedanken.

Notifications

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

Passwords

Wir möchten uns bei Richard Hyunho Im (@r1cheeta) für die Unterstützung bedanken.

Photos

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College of Technology Bhopal India, Harsh Tyagi, Kenneth Chew, Leandro Chaves, Saurabh Kumar vom Technocrat Institute of Technology Bhopal, Shibin B Shaji, Vishnu Prasad P G, UST sowie Yusuf Kelany für die Unterstützung bedanken.

Safari

Wir möchten uns bei Hafiizh und YoKo Kho (@yokoacc) von HakTrak sowie James Lee (@Windowsrcer) für die Unterstützung bedanken.

Shortcuts

Wir möchten uns bei Cristian Dinca von der „Tudor Vianu“ National High School of Computer Science, Rumänien, Jacob Braun und einem anonymen Forscher für die Unterstützung bedanken.

Siri

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College of Technology Bhopal India, Rohan Paudel sowie einem anonymen Forscher für die Unterstützung bedanken.

Eintrag am 28. Oktober 2024 aktualisiert

Spotlight

Wir möchten uns bei Paulo Henrique Batista Rosa de Castro (@paulohbrc) für die Unterstützung bedanken.

Eintrag am 28. Oktober 2024 hinzugefügt

Status Bar

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College of Technology Bhopal India und Jacob Braun für die Unterstützung bedanken.

TCC

Wir möchten uns bei Vaibhav Prajapati für die Unterstützung bedanken.

UIKit

Wir möchten uns bei Andr.Ess für die Unterstützung bedanken.

Voice Memos

Wir möchten uns bei Lisa B für die Unterstützung bedanken.

WebKit

Wir möchten uns bei Avi Lumelsky von Oligo Security, Uri Katz von Oligo Security, Braylon (@softwarescool), Eli Grey (eligrey.com), Johan Carlsson (joaxcar) sowie Numan Türle – Rıza Sabuncu für die Unterstützung bedanken.

Eintrag am 28. Oktober 2024 aktualisiert

Wi-Fi

Wir möchten uns bei Antonio Zekic (@antoniozekic) und ant4g0nist sowie Tim Michaud (@TimGMichaud) von Moveworks.ai für die Unterstützung bedanken.

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: 01. November 2024