Tietoja iOS 18.2:n ja iPadOS 18.2:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 18.2:n ja iPadOS 18.2:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuussivulta.

iOS 18.2 ja iPadOS 18.2

Julkaistu 11.12.2024

Accounts

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: Kätketyt-albumin kuvia saattoi katsoa ilman todentautumista.

Kuvaus: logiikkaongelma on korjattu parantamalla tiedostojen käsittelyä.

CVE-2024-54488: Benjamin Hornbeck, Skadz (@skadz108), Chi Yuan Chang (ZUSO ART) ja taikosoup

Kohta lisätty 27.1.2025

APFS

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-54541: Arsenii Kostromin (0x3c3e) ja nimetön tutkija

Kohta lisätty 27.1.2025

AppleMobileFileIntegrity

Vaikutus: haitallinen appi saattoi pystyä käyttämään yksityisiä tietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2024-54527: Mickey Jin (@patch1t)

Audio

Vaikutus: Hälyttävän puhelun mykistäminen ei välttämättä johtanut mykistyksen käyttöönottoon.

Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.

CVE-2024-54503: Micheal Chukwu ja nimetön tutkija

Contacts

Vaikutus: appi saattoi pystyä näkemään automaattisesti täydennetyt yhteystiedot Viestit- tai Mail-apin järjestelmälokista.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.

CVE-2024-54550: Smi1e (@Smi1eSEC)

Kohta lisätty 27.1.2025

Crash Reporter

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-54513: nimetön tutkija

Face Gallery

Vaikutus: järjestelmäbinääriä saatettiin pystyä käyttämään käyttäjän Apple-tilin sormenjälkien saamiseen.

Kuvaus: ongelma on ratkaistu poistamalla asiaankuuluvat merkinnät.

CVE-2024-54512: Bistrit Dahal

Kohta lisätty 27.1.2025

FontParser

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-54486: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

ICU

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2024-54478: Gary Kwong

Kohta lisätty 27.1.2025

ImageIO

Vaikutus: haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2024-54499: nimetön tutkija yhteistyössä Trend Micro Zero Day Initiativen kanssa

Kohta lisätty 27.1.2025

ImageIO

Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-54500: Junsung Lee yhteistyössä Trend Micron Zero Day Initiativen kanssa

IOMobileFrameBuffer

Vaikutus: appi saattoi pystyä vioittamaan lisäprosessorin muistia.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2024-54517: Ye Zhang (@VAR10CK, Baidu Security)

CVE-2024-54518: Ye Zhang (@VAR10CK, Baidu Security)

CVE-2024-54522: Ye Zhang (@VAR10CK, Baidu Security)

CVE-2024-54523: Ye Zhang (@VAR10CK, Baidu Security)

Kohta lisätty 27.1.2025

Kernel

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-54468: nimetön tutkija

Kohta lisätty 27.1.2025

Kernel

Vaikutus: hyökkääjä, jolla on käyttäjän oikeudet, saattoi pystyä lukemaan kernel-muistia.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-54507: Joseph Ravichandran (@0xjprx, MIT CSAIL)

Kohta lisätty 27.1.2025

Kernel

Vaikutus: hyökkääjä saattoi pystyä luomaan kirjoitussuojatun muistikuvauksen, johon voitiin kirjoittaa.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2024-54494: sohybbyk

Kernel

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.

Kuvaus: kilpailutilanne on ratkaistu parantamalla lukitusta.

CVE-2024-54510: Joseph Ravichandran (@0xjprx, MIT CSAIL)

Kernel

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai vioittaa kernel-muistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-44245: nimetön tutkija

libexpat

Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2024-45490

libxpc

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-54514: nimetön tutkija

libxpc

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-44225: 风沐云烟 (@binary_fmyy)

Passkeys

Vaikutus: salasanan automaattinen täyttö saattoi täyttää salasanoja todennuksen epäonnistuttua.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-54530: Abhay Kailasia (@abhay_kailasia, C-DAC Thiruvananthapuram Intia), Rakeshkumar Talaviya

Kohta lisätty 27.1.2025

Passwords

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä muuttamaan verkkoliikennettä.

Kuvaus: ongelma on ratkaistu käyttämällä tiedonsiirtoon verkossa HTTPS-protokollaa.

CVE-2024-54492: Talal Haj Bakry ja Tommy Mysk (Mysk Inc., @mysk_co)

QuartzCore

Vaikutus: verkkosisällön käsittely saattoi aiheuttaa palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-54497: nimetön tutkija yhteistyössä Trend Micro Zero Day Initiativen kanssa

Kohta lisätty 27.1.2025

Safari

Vaikutus: laitteessa, jossa oli käytössä suojattu lähetys, verkkosivuston lisääminen Safarin lukulistaan saattoi paljastaa alkuperäisen IP-osoitteen verkkosivustolle.

Kuvaus: ongelma on ratkaistu parantamalla Safari-lähtöisten pyyntöjen reititystä.

CVE-2024-44246: Jacob Braun

Safari Private Browsing

Vaikutus: yksityisen selauksen välilehtiä voitiin käyttää ilman todennusta.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2024-54542: Rei (@reizydev), Kenneth Chew

Kohta lisätty 27.1.2025

SceneKit

Vaikutus: haitallisen tiedoston käsittely saattoi johtaa palvelunestoon.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-54501: Michael DePlante (@izobashi, Trend Micron Zero Day Initiative)

Vim

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi johtaa keon vioittumiseen.

CVE-2024-45306

Kohta lisätty 27.1.2025

VoiceOver

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy iOS-laitteeseen, saattoi pystyä tarkastelemaan ilmoitusten sisältöä lukitulta näytöltä.

Kuvaus: ongelma on ratkaistu lisäämällä ylimääräinen logiikka.

CVE-2024-54485: Abhay Kailasia (@abhay_kailasia, C-DAC Thiruvananthapuram, Intia)

WebKit

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

WebKit Bugzilla: 278497

CVE-2024-54479: Seunghyun Lee

WebKit Bugzilla: 281912

CVE-2024-54502: Brendon Tiszka (Google Project Zero)

WebKit

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 282180

CVE-2024-54508: linjy (HKUS3Lab) ja chluo (WHUSecLab), Xiangwei Zhang (Tencent Security YUNDING LAB)

WebKit

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin vioittumiseen.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 282661

CVE-2024-54505: Gary Kwong

WebKit

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin vioittumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 277967

CVE-2024-54534: Tashita Software Security

WebKit Bugzilla: 282450

CVE-2024-54543: Lukas Bernhard, Gary Kwong ja nimetön tutkija

Kohta päivitetty 27.1.2025

Kiitokset

Accessibility

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia), Andr.Essiä, Jake Derouinia, Jason Gendronia (@gendron_jason).

App Protection

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia).

Calendar

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia).

FaceTime

Haluamme kiittää avusta 椰椰.

FaceTime Foundation

Haluamme kiittää avusta Joshua Pellecchiaa.

Family Sharing

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia) ja JT:tä.

Files

Haluamme kiittää avusta Christian Scalesea.

Kohta lisätty 27.1.2025

Notes

Haluamme kiittää avusta Katzenfutteria.

Photos

Haluamme kiittää avusta Bistrit Dahalia, Chi Yuan Changia (ZUSO ART), taikosoupia, Finlay Jamesia (@Finlay1010), Rizki Maulanaa (rmrizki.my.id) ja Srijan Poudelia.

Photos Storage

Haluamme kiittää avusta Jake Derouinia (jakederouin.com).

Proximity

Haluamme kiittää avusta Junming C.:tä (@Chapoly1305) ja professori Qiang Zengiä (George Mason University).

Quick Response

Haluamme kiittää avusta nimetöntä tutkijaa.

Safari

Haluamme kiittää avusta Jayateertha Guruprasadia.

Safari Private Browsing

Haluamme kiittää avusta Richard Hyunho Imiä (@richeeta) yhteistyössä Route Zero Securityn kanssa.

Settings

Haluamme kiittää avusta Akshith Muddasania, Bistrit Dahalia, Emanuele Slusarzia ja Abhishek Kanaujiaa.

Kohta päivitetty 27.1.2025

Siri

Haluamme kiittää avusta Srijan Poudelia ja Bistrit Dahalia.

Kohta päivitetty 27.1.2025

Spotlight

Haluamme kiittää Abhay Kailasiaa (@abhay_kailasia, LLNCT Bhopal) C-DAC Thiruvananthapuram Indiaa heidän antamastaan avusta.

Status Bar

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia) ja Andr.Essiä.

Swift

Haluamme kiittää nat. Marc Schoenefeldia heidän avustaan.

Time Zone

Haluamme kiittää Abhay Kailasiaa (@abhay_kailasia, LLNCT Bhopal) C-DAC Thiruvananthapuram Indiaa heidän antamastaan avusta.

WebKit

Haluamme kiittää avusta Hafiizhia.

WindowServer

Haluamme kiittää Felix Kratzia hänen antamastaan avusta.

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: 1. helmikuuta 2025