Informacije o sigurnosnom sadržaju sustava iOS 18 i iPadOS 18

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 18 i iPadOS 18.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 18 i iPadOS 18

Objavljeno 16. rujna 2024.

Accessibility

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: napadač koji ima fizički pristup mogao bi upotrijebiti Siri za pristup osjetljivim korisničkim podacima

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-40840: Abhay Kailasia (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal, Indija)

Accessibility

Učinak: aplikacije bi mogla popisati i označiti brojevima aplikacije koje je korisnik instalirao

Opis: taj je problem riješen poboljšanom zaštitom podataka.

CVE-2024-40830: Chloe Surett

Accessibility

Učinak: napadači s fizičkim pristupom zaključanom uređaju mogli su putem značajki pristupačnosti upravljati obližnjim uređajima

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-44171: Jake Derouin

Accessibility

Učinak: napadač bi mogao slati novije fotografije bez dodatne autentifikacije dok je uključen pomoćni pristup

Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.

CVE-2024-40852: Abhay Kailasia (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal, Indija)

ARKit

Učinak: obrada zlonamjerne datoteke može dovesti do oštećenja skupa

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-44126: Holger Fuhrmannek

Unos je dodan 28. listopada 2024.

Cellular

Učinak: udaljeni napadač mogao bi uzrokovati odbijanje usluge

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-27874: Tuan D. Hoang

Compression

Učinak: raspakiravanjem zlonamjerne arhive napadačima se moglo omogućiti zapisivanje proizvoljnih datoteka

Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Učinak: aplikacija bi mogla snimiti zaslon bez indikatora

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-27869: anonimni istraživač

Core Bluetooth

Učinak: zlonamjerni Bluetooth priključeni uređaj mogao bi premostiti uparivanje

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-44124: Daniele Antonioli

FileProvider

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: ovaj je problem riješen poboljšanom provjerom valjanosti simboličkih veza.

CVE-2024-44131: @08Tc3wBB (Jamf)

Game Center

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem s pristupom datoteci riješen je poboljšanom provjerom valjanosti ulaznih podataka

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-27880: Junsung Lee

ImageIO

Učinak: obrada slike mogla bi dovesti do prekida usluge

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2024-44176: dw0r (ZeroPointer Lab) u suradnji s projektom Zero Day Initiative (Trend Micro) i anonimni istraživač

IOSurfaceAccelerator

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-44169: Antonio Zekić

Kernel

Učinak: mrežni promet mogao je procuriti izvan VPN tunela

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2024-44165: Andrew Lytvynov

Kernel

Učinak: aplikacija može steći neovlašten pristup Bluetoothu

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) i Mathy Vanhoef

libxml2

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-44198: OSS-Fuzz, Ned Williamson (Google Project Zero)

Mail Accounts

Učinak: aplikacija bi mogla pristupiti informacijama o kontaktima korisnika

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

mDNSResponder

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: logička pogreška riješena je poboljšanim rukovanjem pogreškama.

CVE-2024-44183: Olivier Levon

Model I/O

Učinak: obrada zlonamjerne slike može dovesti do odbijanja usluge

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2023-5841

NetworkExtension

Učinak: aplikacija može steći neovlašten pristup lokalnoj mreži

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-44147: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) i Mathy Vanhoef

Notes

Učinak: aplikacija bi mogla prebrisati proizvoljne datoteke

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2024-44167: ajajfxhj

Passwords

Učinak: značajka automatskog unosa lozinke mogla bi unijeti lozinke i nakon neuspjele provjere autentičnosti

Opis: problem s dopuštenjima riješen je uklanjanjem koda sa slabim točkama i dodavanjem dodatnih provjera.

CVE-2024-44217: Bistrit Dahal, anonimni istraživač, Joshua Keller

Unos je dodan 28. listopada 2024.

Printing

Učinak: kada se koristio pregled za ispis, nešifrirani se dokument mogao zapisati u privremenu datoteku

Opis: problem s privatnosti riješen je poboljšanim rukovanjem datotekama.

CVE-2024-40826: anonimni istraživač

Safari

Učinak: zlonamjerni web-sadržaj može kršiti pravila testiranja za iframe

Opis: problem rukovanja prilagođenom URL shemom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-44155: Narendra Bhati, voditelj odjela kibernetičke sigurnosti (Suma Soft Pvt.) Ltd, Pune, Indija)

Unos je dodan 28. listopada 2024.

Safari Private Browsing

Učinak: karticama Privatno pretraživanje može se pristupati bez provjere identiteta

Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.

CVE-2024-44202: Kenneth Chew

Safari Private Browsing

Učinak: karticama Privatno pretraživanje može se pristupati bez provjere identiteta

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-44127: Anamika Adhikari

Sandbox

Učinak: aplikacija bi mogla otkriti osjetljive korisničke podatke

Opis: taj je problem riješen poboljšanom zaštitom podataka.

CVE-2024-40863: Csaba Fitzl (@theevilbit) (Kandji)

Unos je ažuriran 28. listopada 2024.

SceneKit

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.

CVE-2024-44144: 냥냥

Unos je dodan 28. listopada 2024.

Security

Učinak: zlonamjerna aplikacija s korijenskim ovlastima mogla bi pristupiti unosu putem tipkovnice i informacijama o lokaciji bez pristanka korisnika

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2024-44123: Wojciech Regula (SecuRing) (wojciechregula.blog)

Unos je dodan 28. listopada 2024.

Sidecar

Dostupno za: 13-inčni iPad Pro, 12,9-inčni iPad Pro 3. generacije ili noviji, 11-inčni iPad Pro 1. generacije ili noviji, iPad Air 3. generacije ili noviji, iPad 7. generacije ili noviji i iPad mini 5. generacije ili noviji

Učinak: napadač s fizičkim pristupom macOS uređaju s omogućenom značajkom Sidecar mogao zaobići zaključani zaslon

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-44145: Om Kothawade (Zaprico Digital), Omar A. Alanis (UNTHSC College of Pharmacy)

Unos je dodan 28. listopada 2024.

Siri

Učinak: napadač bi mogao uz pomoć Siri omogućiti značajku automatskog odgovaranja na pozive

Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.

CVE-2024-40853: Chi Yuan Chang (ZUSO ART) i taikosoup

Unos je dodan 28. listopada 2024.

Siri

Učinak: napadač s fizičkim pristupom može pristupati kontaktima sa zaključanog zaslona

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-44139: Srijan Poudel

CVE-2024-44180: Bistrit Dahal

Siri

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem privatnosti riješen je premještanjem osjetljivih podataka na sigurniju lokaciju.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

Transparency

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

UIKit

Učinak: napadači su mogli izazvati neočekivano zatvaranje aplikacije

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2024-27879: Justin Cohen

WebKit

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: problem je riješen poboljšanim upravljanjem stanjem.

WebKit Bugzilla: 268724

CVE-2024-40857: Ron Masas

WebKit

Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore podataka

Opis: u „iframe” elementima postojao je problem s više izvora. To je riješeno poboljšanim praćenjem izvora sigurnosti.

WebKit Bugzilla: 279452

CVE-2024-44187: Narendra Bhati, voditelj odjela kibernetičke sigurnosti (Suma Soft Pvt.) Ltd, Pune, Indija)

Wi-Fi

Učinak: napadač bi mogao prisilno odspojiti uređaj sa sigurne mreže

Opis: problem s integritetom riješen je uvođenjem dodatne razine zaštite (Beacon).

CVE-2024-40856: Domien Schepers

Dodatna zahvala

Core Bluetooth

Zahvaljujemo se Nicholasu C. (Onymos Inc.) (onymos.com) na pomoći.

Foundation

Zahvaljujemo na pomoći tvrtki Ostorlab.

Installer

Na pomoći zahvaljujemo Abhayu Kailasiji (@abhay_kailasia) (Lakshmi Narain College of Technology Bhopal India), Chi Yuan Changu (ZUSO ART) i korisniku taikosoup, Christianu Scaleseu, Ishanu Bodi i Shaneu Gallagheru.

Unos je ažuriran 28. listopada 2024.

Kernel

Na pomoći se zahvaljujemo Braxtonu Andersonu, Deutsche Telekom Security GmbH pod pokroviteljstvom Bundesamt für Sicherheit in der Informationstechnik, Fakhriju Zulkifliju (@d0lph1n98) (PixiePoint Security).

Magnifier

Zahvaljujemo se na pomoći korisniku Andr.Ess.

Maps

Zahvaljujemo Kirinu (@Pwnrin) na pomoći.

Messages

Zahvaljujemo se na pomoći Chi Yuan Changu (ZUSO ART) i korisniku taikosoup.

MobileLockdown

Zahvaljujemo se na pomoći korisniku Andr.Ess.

Notifications

Na pomoći zahvaljujemo anonimnom istraživaču.

Passwords

Zahvaljujemo se na pomoći Richardu Hyunho Imu (@r1cheeta).

Photos

Zahvaljujemo se na pomoći Abhayu Kailasiaju (@abhay_kailasia) (Lakshmi Narain College of Technology Bhopal India), Harshu Tyagiju, Kennethu Chewu, Leandru Chavesu, Saurabhu Kumaru (Technocrat Institute of Technology Bhopal), Shibin B Shajiju, Vishnu Prasadu P G, UST, Yusufu Kelanyju.

Safari

Na pomoći se zahvaljujemo korisnicima Hafiizh i YoKo Kho (@yokoacc) (HakTrak) i James Lee (@Windowsrcer).

Shortcuts

Na pomoći zahvaljujemo Cristianu Dinci (Nacionalna srednja škola za računalnu znanost „Tudor Vianu”, Rumunjska) te Jacobu Braunu, anonimnom istraživaču.

Siri

Na pomoći zahvaljujemo Abhayu Kailasiji (@abhay_kailasia) (Lakshmi Narain College of Technology Bhopal India) i Rohanu Paudelu i anonimnom istraživaču.

Unos je ažuriran 28. listopada 2024.

Spotlight

Na pomoći zahvaljujemo Paulu Henriku Batisti Rosi de Castro (@paulohbrc).

Unos je dodan 28. listopada 2024.

Status Bar

Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Lakshmi Narain College of Technology, Bhopal, Indija) i Jacobu Braunu.

TCC

Na pomoći se zahvaljujemo Vaibhavu Prajapatiju.

UIKit

Zahvaljujemo se na pomoći korisniku Andr.Ess.

Voice Memos

Na pomoći se zahvaljujemo Lisi B.

WebKit

Na pomoći zahvaljujemo Aviju Lumelskom (Oligo Security), Uriju Katzu (Oligo Security), Braylonu (@softwarescool), Eliju Greyu (eligrey.com), Johanu Carlssonu (joaxcar), Numanu Türleu i Rızı Sabuncu.

Unos je ažuriran 28. listopada 2024.

Wi-Fi

Na pomoći se zahvaljujemo korisnicima Antonio Zekic (@antoniozekic) i ant4g0nist, Tim Michaud (@TimGMichaud) (Moveworks.ai).

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 01. studenoga 2024.