Informacije o sigurnosnom sadržaju sustava iOS 18.1 i iPadOS 18.1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 18.1 i iPadOS 18.1.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

Informacije o sigurnosnom sadržaju sustava iOS 18.1 i iPadOS 18.1

Accessibility

Dostupno za: iPhone XS i novije uređaje

Učinak: napadač s fizičkim pristupom zaključanom uređaju mogao bi vidjeti povjerljive korisničke podatke

Opis: taj je problem riješen poboljšanom provjerom autentičnosti.

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

App Support

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: zlonamjerna aplikacija mogla bi pokretati proizvoljno odabrane prečace bez pristanka korisnika

Opis: problem s obradom putova riješen je poboljšanom logikom.

CVE-2024-44255: anonimni istraživač

AppleAVD

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: parsanje zlonamjernih video datoteka može dovesti do neočekivanog zatvaranja sustava

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2024-44232: Ivan Fratric (Google Project Zero)

CVE-2024-44233: Ivan Fratric (Google Project Zero)

CVE-2024-44234: Ivan Fratric (Google Project Zero)

CoreMedia Playback

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: zlonamjerna aplikacija mogla bi pristupiti privatnim podacima

Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell iz laboratorija Loadshine Lab

CoreText

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-44240: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CVE-2024-44302: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

Foundation

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: parsiranjem zlonamjerne datoteke moglo je doći do otkrivanja korisničkih podataka

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-44282: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

ImageIO

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom slike može doći do otkrivanja procesne memorije

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2024-44215: Junsung Lee i inicijativa Zero Day (Trend Micro)

ImageIO

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obrada zlonamjerne poruke mogla je dovesti do odbijanja usluge

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2024-44297: Jex Amro

IOSurface

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili oštećenje kernelske memorije

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2024-44285: anonimni istraživač

iTunes

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: udaljeni napadač mogao bi izaći iz Web Content memorije za testiranje

Opis: problem rukovanja prilagođenom URL shemom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-40867: Ziyi Zhou (@Shanghai Jiao Tong University), Tianxiao Hou (@Shanghai Jiao Tong University)

Kernel

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje

Opis: problem otkrivanja podataka riješen je poboljšanim redigiranjem privatnih podataka za unose u zapisniku.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Managed Configuration

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obnova zlonamjerno izrađene datoteke sa sigurnosnom kopijom može dovesti do izmjena zaštićenih sistemskih datoteka

Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obnova zlonamjerno izrađene datoteke sa sigurnosnom kopijom može dovesti do izmjena zaštićenih sistemskih datoteka

Opis: problem s logikom riješen je poboljšanim rukovanjem datotekama.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili oštećenje kernelske memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-44277: anonimni istraživač i Yinyi Wu (@_3ndy1) iz laboratorija Dawn Security Lab tvrtke JD.com, Inc.

Safari Downloads

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: napadač bi mogao zloupotrijebiti pouzdani odnos za preuzimanje zlonamjernog sadržaja

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-44259: Narendra Bhati, voditelj odjela kibernetičke sigurnosti (Suma Soft Pvt.) Ltd, Pune, Indija)

Safari Private Browsing

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: tijekom privatne sesije pregledavanja može doći do otkrivanja podataka o ranijim pregledima

Opis: curenje informacija riješeno je dodatnom provjerom valjanosti.

CVE-2024-44229: Lucas Di Tomase

SceneKit

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obrada zlonamjerne datoteke može dovesti do oštećenja skupa

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-44218: Michael DePlante (@izobashi), projekt Zero Day Initiative (Trend Micro)

Shortcuts

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2024-44254: Kirin (@Pwnrin)

Shortcuts

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: zlonamjerna aplikacija može upotrebljavati prečace za pristup ograničenim datotekama

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2024-44269: anonimni istraživač

Siri

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: napadač s fizičkim pristupom može pristupati kontaktima i slikama sa zaključanog zaslona

Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.

CVE-2024-40851: Abhay Kailasia (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal, Indija), Srijan Poudel

Siri

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2024-44263: Kirin (@Pwnrin) i 7feilee

Siri

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacija u memoriji za testiranje mogla bi pristupiti osjetljivim korisničkim podacima u zapisnicima sustava

Opis: problem otkrivanja podataka riješen je poboljšanim redigiranjem privatnih podataka za unose u zapisniku.

CVE-2024-44278: Kirin (@Pwnrin)

Spotlight

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: napadač bi mogao vidjeti ograničeni sadržaj na zaključanom zaslonu

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-44251: Abhay Kailasia (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal, Indija)

Spotlight

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: napadač bi mogao vidjeti ograničeni sadržaj na zaključanom zaslonu

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-44235: Rizki Maulana (rmrizki.my.id), Dalibor Milanovic, Richard Hyunho Im (@richeeta) iz tvrtke Route Zero Security

VoiceOver

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: napadač bi mogao vidjeti ograničeni sadržaj na zaključanom zaslonu

Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.

CVE-2024-44261: Braylon (@softwarescool)

WebKit

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-44296: Narendra Bhati, voditelj odjela kibernetičke sigurnosti (Suma Soft Pvt.) Ltd, Pune, Indija)

WebKit

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-44244: anonimni istraživač, Q1IQ (@q1iqF) i P1umer (@p1umer)

Dodatna zahvala

Accessibility

Na pomoći zahvaljujemo Abhayu Kailasiji (@abhay_kailasia) (Lakshmi Narain College of Technology Bhopal, Indija), Chi Yuan Changu (ZUSO ART) i korisniku taikosoup.

App Store

Na pomoći zahvaljujemo Abhayu Kailasiji (@abhay_kailasia) (Lakshmi Narain College of Technology Bhopal, Indija), Chi Yuan Changu (ZUSO ART) i korisniku taikosoup.

Calculator

Na pomoći zahvaljujemo Kennethu Chewu.

Calendar

Na pomoći zahvaljujemo korisniku K宝 (@Pwnrin).

Camera

Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Lakshmi Narain College of Technology, Bhopal, Indija).

Files

Na pomoći zahvaljujemo Chi Yuan Changu (ZUSO ART), korisniku taikosoup i Christianu Scaleseu.

ImageIO

Na pomoći zahvaljujemo Amiru Bazineu i Karstenu Königu (CrowdStrike Counter Adversary Operations) i anonimnom istraživaču.

Messages

Na pomoći zahvaljujemo Collinu Potteru i anonimnom istraživaču.

NetworkExtension

Na pomoći zahvaljujemo Patricku Wardleu (DoubleYou) i organizaciji Objective-See Foundation.

Personalization Services

Na pomoći zahvaljujemo Abhayu Kailasiji (@abhay_kailasia) (Lakshmi Narain College of Technology, Bhopal, Indija) i Bistritu Dahalu.

Photos

Na pomoći zahvaljujemo Jamesu Robertsonu i Kamilu Bourouibi.

Safari Private Browsing

Na pomoći zahvaljujemo anonimnom istraživaču r00tdaddy.

Safari Tabs

Zahvaljujemo Jaydevu Ahireu na pomoći.

Security

Na pomoći zahvaljujemo Bingu Shiju, Wenchaou Liju i Xiaolongu Baiju (Alibaba Group).

Settings

Zahvaljujemo se na pomoći Chi Yuan Changu (ZUSO ART) i korisnicima taikosoup, JS.

Siri

Na pomoći zahvaljujemo Bistritu Dahalu.

Spotlight

Na pomoći zahvaljujemo Abhayu Kailasiji (@abhay_kailasia) (LNCT, Bhopal i C-DAC, Thiruvananthapuram, Indija).

Time Zone

Na pomoći zahvaljujemo Abhayu Kailasiji (@abhay_kailasia) (Lakshmi Narain College of Technology, Bhopal, Indija) i Siddharthi Choubeyu.