Tietoja iOS 18.2:n ja iPadOS 18.2:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan iOS 18.2:n ja iPadOS 18.2:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.
Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-tunnusten avulla, jos mahdollista.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuussivulta.
iOS 18.2 ja iPadOS 18.2
Julkaistu 11.12.2024
AppleMobileFileIntegrity
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: haitallinen appi saattoi pystyä käyttämään yksityisiä tietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)
AppleMobileFileIntegrity
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2024-54527: Mickey Jin (@patch1t)
Audio
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Hälyttävän puhelun mykistäminen ei välttämättä johtanut mykistyksen käyttöönottoon.
Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.
CVE-2024-54503: Micheal Chukwu ja nimetön tutkija
Crash Reporter
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2024-54513: nimetön tutkija
FontParser
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-54486: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
ImageIO
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-54500: Junsung Lee yhteistyössä Trend Micron Zero Day Initiativen kanssa
Kernel
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: hyökkääjä saattoi pystyä luomaan kirjoitussuojatun muistikuvauksen, johon voitiin kirjoittaa.
Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.
CVE-2024-54494: sohybbyk
Kernel
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.
Kuvaus: kilpailutilanne on ratkaistu parantamalla lukitusta.
CVE-2024-54510: Joseph Ravichandran (@0xjprx, MIT CSAIL)
Kernel
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai vioittaa kernel-muistia.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-44245: nimetön tutkija
libexpat
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.
CVE-2024-45490
libxpc
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-54514: nimetön tutkija
libxpc
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2024-44225: 风沐云烟 (@binary_fmyy)
Passwords
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä muuttamaan verkkoliikennettä.
Kuvaus: ongelma on ratkaistu käyttämällä tiedonsiirtoon verkossa HTTPS-protokollaa.
CVE-2024-54492: Talal Haj Bakry ja Tommy Mysk (Mysk Inc., @mysk_co)
Safari
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: laitteessa, jossa oli käytössä suojattu lähetys, verkkosivuston lisääminen Safarin lukulistaan saattoi paljastaa alkuperäisen IP-osoitteen verkkosivustolle.
Kuvaus: ongelma on ratkaistu parantamalla Safari-lähtöisten pyyntöjen reititystä.
CVE-2024-44246: Jacob Braun
SceneKit
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: haitallisen tiedoston käsittely saattoi johtaa palvelunestoon.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-54501: Michael DePlante (@izobashi, Trend Micron Zero Day Initiative)
VoiceOver
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: hyökkääjä, jolla oli fyysinen pääsy iOS-laitteeseen, saattoi pystyä tarkastelemaan ilmoitusten sisältöä lukitulta näytöltä.
Kuvaus: ongelma on ratkaistu lisäämällä ylimääräinen logiikka.
CVE-2024-54485: Abhay Kailasia (@abhay_kailasia, C-DAC Thiruvananthapuram, Intia)
WebKit
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 278497
CVE-2024-54479: Seunghyun Lee
WebKit Bugzilla: 281912
CVE-2024-54502: Brendon Tiszka (Google Project Zero)
WebKit
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 282180
CVE-2024-54508: linjy (HKUS3Lab) ja chluo (WHUSecLab), Xiangwei Zhang (Tencent Security YUNDING LAB)
WebKit
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin vioittumiseen.
Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 282661
CVE-2024-54505: Gary Kwong
WebKit
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (7. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin vioittumiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 277967
CVE-2024-54534: Tashita Software Security
Kiitokset
Accessibility
Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia), Andr.Essiä, Jake Derouinia, Jason Gendronia (@gendron_jason).
App Protection
Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia).
Calendar
Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia).
FaceTime
Haluamme kiittää avusta 椰椰.
FaceTime Foundation
Haluamme kiittää avusta Joshua Pellecchiaa.
Family Sharing
Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia) ja JT:tä.
Notes
Haluamme kiittää avusta Katzenfutteria.
Photos
Haluamme kiittää avusta Bistrit Dahalia, Chi Yuan Changia (ZUSO ART), taikosoupia, Finlay Jamesia (@Finlay1010), Rizki Maulanaa (rmrizki.my.id) ja Srijan Poudelia.
Photos Storage
Haluamme kiittää avusta Jake Derouinia (jakederouin.com).
Proximity
Haluamme kiittää avusta Junming C.:tä (@Chapoly1305) ja professori Qiang Zengiä (George Mason University).
Quick Response
Haluamme kiittää avusta nimetöntä tutkijaa.
Safari
Haluamme kiittää avusta Jayateertha Guruprasadia.
Safari Private Browsing
Haluamme kiittää avusta Richard Hyunho Imiä (@richeeta) yhteistyössä Route Zero Securityn kanssa.
Settings
Haluamme kiittää avusta Akshith Muddasania, Bistrit Dahalia ja Emanuele Slusarzia.
Siri
Haluamme kiittää avusta Srijan Poudelia.
Spotlight
Haluamme kiittää Abhay Kailasiaa (@abhay_kailasia, LLNCT Bhopal) C-DAC Thiruvananthapuram Indiaa heidän antamastaan avusta.
Status Bar
Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia) ja Andr.Essiä.
Swift
Haluamme kiittää nat. Marc Schoenefeldia heidän avustaan.
Time Zone
Haluamme kiittää Abhay Kailasiaa (@abhay_kailasia, LLNCT Bhopal) C-DAC Thiruvananthapuram Indiaa heidän antamastaan avusta.
WebKit
Haluamme kiittää avusta Hafiizhia.
WindowServer
Haluamme kiittää Felix Kratzia hänen antamastaan avusta.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.