Tietoja iOS 18:n ja iPadOS 18:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 18:n ja iPadOS 18:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuussivulta.

iOS 18 ja iPadOS 18

Julkaistu 16.9.2024

Accessibility

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: hyökkääjä, joka pääsi käsiksi laitteeseen, saattoi pystyä käyttämään Siriä arkaluonteisiin käyttäjätietoihin pääsyyn.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-40840: Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia)

Accessibility

Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.

Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.

CVE-2024-40830: Chloe Surett

Accessibility

Vaikutus: hyökkääjä, joka pääsi käsiksi lukittuun laitteeseen, saattoi pystyä hallitsemaan lähellä olevia laitteita käyttöapuominaisuuksien kautta.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-44171: Jake Derouin

Accessibility

Vaikutus: hyökkääjä saattoi nähdä viimeaikaiset kuvat ilman todennusta Assistive Access -toiminnon kautta.

Kuvaus: ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.

CVE-2024-40852: Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia)

ARKit

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi johtaa keon vioittumiseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-44126: Holger Fuhrmannek

Kohta lisätty 28.10.2024

Cellular

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-27874: Tuan D. Hoang

Compression

Vaikutus: Haitta-arkiston purkaminen saattaa sallia hyökkääjälle satunnaistiedostojen kirjoittamisen.

Kuvaus: kilpailutilanne on ratkaistu parantamalla lukitusta.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Vaikutus: appi saattoi pystyä tallentamaan näytön ilman ilmaisinta.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-27869: nimetön tutkija

Core Bluetooth

Vaikutus: haitallinen Bluetooth-syöttölaite saattoi pystyä ohittamaan laiteparin muodostamisen.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-44124: Daniele Antonioli

FileProvider

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2024-44131: @08Tc3wBB (Jamf)

Game Center

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tiedostojen käyttöön liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2024-27880: Junsung Lee

ImageIO

Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2024-44176: dw0r (ZeroPointer Lab) yhteistyössä Trend Micro Zero Day Initiativen kanssa sekä nimetön tutkija

IOSurfaceAccelerator

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-44169: Antonio Zekić

Kernel

Vaikutus: verkkoliikenne saattoi vuotaa VPN-tunnelin ulkopuolelle.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-44165: Andrew Lytvynov

Kernel

Vaikutus: appi saattoi saada Bluetoothin käyttöön luvattomasti.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) ja Mathy Vanhoef

libxml2

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2024-44198: OSS-Fuzz, Ned Williamson (Google Project Zero)

Mail Accounts

Vaikutus: appi saattoi pystyä käyttämään tietoja käyttäjän yhteystiedoista.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

mDNSResponder

Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: logiikkavirhe on korjattu parantamalla virheiden käsittelyä.

CVE-2024-44183: Olivier Levon

Model I/O

Vaikutus: haitallisen kuvan käsittely saattoi johtaa palvelunestoon.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2023-5841

NetworkExtension

Vaikutus: appi saattoi saada pääsyn lähiverkkoon luvattomasti.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-44147: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) ja Mathy Vanhoef

Notes

Vaikutus: appi saattoi pystyä korvaamaan mielivaltaisia tiedostoja.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2024-44167: ajajfxhj

Passwords

Vaikutus: salasanan automaattinen täyttö saattoi täyttää salasanoja todennuksen epäonnistuttua.

Kuvaus: Käyttöoikeusongelma on korjattu poistamalla haavoittuvuuden aiheuttanut koodi ja lisäämällä tarkistuksia.

CVE-2024-44217: Bistrit Dahal, nimetön tutkija, Joshua Keller

Kohta lisätty 28.10.2024

Printing

Vaikutus: salaamaton dokumentti saatettiin kirjoittaa tilapäiseen tiedostoon tulostuksen esikatselua käytettäessä.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.

CVE-2024-40826: nimetön tutkija

Safari

Vaikutus: Haitallinen verkkosisältö saattoi rikkoa iframe-eristyskäytännön.

Kuvaus: Mukautetun URL-mallin käsittelyongelma korjattiin parantamalla annettujen tietojen vahvistusta.

CVE-2024-44155: Narendra Bhati (kyberturvallisuusjohtaja, Suma Soft Pvt. Ltd, Pune, Intia)

Kohta lisätty 28.10.2024

Safari Private Browsing

Vaikutus: yksityisen selauksen välilehtiä voitiin käyttää ilman todennusta.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2024-44202: Kenneth Chew

Safari Private Browsing

Vaikutus: yksityisen selauksen välilehtiä voitiin käyttää ilman todennusta.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-44127: Anamika Adhikari

Sandbox

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.

Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.

CVE-2024-40863: Csaba Fitzl (@theevilbit, Kandji)

Kohta päivitetty 28.10.2024

SceneKit

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: Puskurin ylivuoto on korjattu parantamalla koon tarkistusta.

CVE-2024-44144: 냥냥

Kohta lisätty 28.10.2024

Security

Vaikutus: haitallinen appi, jolla oli pääkäyttöoikeudet, saattoi käyttää näppäimistön syötettä ja sijaintitietoja ilman käyttäjän suostumusta.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-44123: Wojciech Regula (SecuRing, wojciechregula.blog)

Kohta lisätty 28.10.2024

Sidecar

Saatavuus: iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: hyökkääjä, joka pääsi käsiksi macOS-laitteeseen, jossa oli Sidecar käytössä, saattoi ohittaa lukitun näytön.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-44145: Om Kothawade (Zaprico Digital) ja Omar A. Alanis (UNTHSC College of Pharmacy)

Kohta lisätty 28.10.2024

Siri

Vaikutus: hyökkääjä saattoi pystyä ottamaan Vastaa automaattisesti ‑ominaisuuden käyttöön Sirin avulla.

Kuvaus: ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.

CVE-2024-40853: Chi Yuan Chang (ZUSO ART ja taikosoup)

Kohta lisätty 28.10.2024

Siri

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy, saattoi pystyä käyttämään yhteystietoja lukitulta näytöltä.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-44139: Srijan Poudel

CVE-2024-44180: Bistrit Dahal

Siri

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tietosuojaongelma on ratkaistu siirtämällä arkaluontoiset tiedot entistä turvallisempaan sijaintiin.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

Transparency

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

UIKit

Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2024-27879: Justin Cohen

WebKit

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

WebKit Bugzilla: 268724

CVE-2024-40857: Ron Masas

WebKit

Vaikutus: Haitallinen verkkosivusto saattoi vuotaa tietoja eri alkuperien kesken.

Kuvaus: iFrame-elementeissä esiintyi eri alkuperiin liittyvä ongelma. Tämä on ratkaistu parantamalla suojauksen lähteiden seurantaa.

WebKit Bugzilla: 279452

CVE-2024-44187: Narendra Bhati (Manager – Cyber Security, Suma Soft Pvt. Ltd, Pune, Intia)

Wi-Fi

Vaikutus: hyökkääjä saattoi pystyä pakottamaan laitteen katkaisemaan yhteyden turvalliseen verkkoon.

Kuvaus: eheysongelma ratkaistiin Beacon Protectionin avulla.

CVE-2024-40856: Domien Schepers

Kiitokset

Core Bluetooth

Haluamme kiittää Nicholas C:tä (Onymos Inc, onymos.com) hänen antamastaan avusta.

Foundation

Haluamme kiittää Ostorlabia heidän antamastaan avusta.

Installer

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia), Chi Yuan Changia (ZUSO ART ja taikosoup), Christian Scalesea, Ishan Bodaa ja Shane Gallagheria.

Kohta päivitetty 28.10.2024

Kernel

Haluamme kiittää Braxton Anderson (Deutsche Telekom Security GmbH, sponsori Bundesamt für Sicherheit in der Informationstechnik) ja Fakhri Zulkiflia (@d0lph1n98, PixiePoint Security) heidän antamastaan avusta.

Magnifier

Haluamme kiittää nimimerkkiä Andr.Ess hänen antamastaan avusta.

Maps

Haluamme kiittää avusta Kiriniä (@Pwnrin).

Messages

Haluamme kiittää Chi Yuan Changia (ZUSO ART) ja nimimerkkiä taikosoup heidän antamastaan avusta.

MobileLockdown

Haluamme kiittää nimimerkkiä Andr.Ess hänen antamastaan avusta.

Notifications

Haluamme kiittää avusta nimetöntä tutkijaa.

Passwords

Haluamme kiittää Richard Hyunho Imiä (@r1cheeta) hänen antamastaan avusta.

Photos

Haluamme kiittää Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia), Harsh Tyagia, Kenneth Chewta, Leandro Chavesia, Saurabh Kumaria (Technocrat Institute of Technology, Bhopal), Shibin B Shajia, Vishnu Prasad P G:tä, nimimerkkiä UST ja Yusuf Kelanya heidän antamastaan avusta.

Safari

Haluamme kiittää nimimerkkiä HakTrakin Hafiizhiz ja YoKo Kho:ta (@yokoacc) sekä James Leetä (@Windowsrcer) heidän antamastaan avusta.

Shortcuts

Haluamme kiittää Cristian Dincaa ("Tudor Vianu" National High School of Computer Science, Romania), Jacob Braunia ja nimetöntä tutkijaa heidän antamastaan avusta.

Siri

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia), Rohan Paudelia ja nimetöntä tutkijaa.

Kohta päivitetty 28.10.2024

Spotlight

Haluamme kiittää avusta Paulo Henrique Batista Rosa de Castroa (@paulohbrc).

Kohta lisätty 28.10.2024

Status Bar

Haluamme kiittää Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia) ja Jacob Braunia heidän antamastaan avusta.

TCC

Haluamme kiittää Vaibhav Prajapatia hänen antamastaan avusta.

UIKit

Haluamme kiittää nimimerkkiä Andr.Ess hänen antamastaan avusta.

Voice Memos

Haluamme kiittää Lisa B:tä hänen antamastaan avusta.

WebKit

Haluamme kiittää avusta Avi Lumelskya (Oligo Security), Uri Katzia (Oligo Security), Braylonia (@softwarescool), Eli Greytä (eligrey.com), Johan Carlssonia (joaxcar), Numan Türlea ja Rıza Sabuncua.

Kohta päivitetty 28.10.2024

Wi-Fi

Haluamme kiittää Antonio Zekiciä (@antoniozekic), nimimerkkiä ant4g0nist ja Tim Michaudia (@TimGMichaud, Moveworks.ai) heidän antamastaan avusta.

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: 1. marraskuuta 2024