Informacije o sigurnosnom sadržaju sustava iOS 18.2 i iPadOS 18.2

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 18.2 i iPadOS 18.2.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 18.2 i iPadOS 18.2

Objavljeno 11. prosinca 2024.

AppleMobileFileIntegrity

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: zlonamjerna aplikacija mogla bi pristupiti privatnim podacima

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2024-54527: Mickey Jin (@patch1t)

Audio

Učinak: isključenjem zvuka poziva tijekom zvonjave možda neće doći do omogućavanja opcije isključivanja zvuka

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2024-54503: Micheal Chukwu i anonimni istraživač

Crash Reporter

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2024-54513: anonimni istraživač

FontParser

Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-54486: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

ImageIO

Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-54500: Junsung Lee u suradnji s inicijativom Zero Day (Trend Micro)

Kernel

Učinak: napadač bi mogao stvoriti mapiranje memorije samo za čitanje u koju se može pisati

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2024-54494: sohybbyk

Kernel

Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje

Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) (MIT CSAIL)

Kernel

Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili oštećenje kernelske memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-44245: anonimni istraživač

libexpat

Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2024-45490

libxpc

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-54514: anonimni istraživač

libxpc

Učinak: aplikacije bi mogle dobiti veće ovlasti

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

Passwords

Učinak: napadač s privilegiranim mrežnim ovlastima mogao bi presresti mrežni promet

Opis: problem je riješen upotrebom HTTPS-a prilikom slanja podataka preko mreže.

CVE-2024-54492: Talal Haj Bakry i Tommy Mysk (Mysk Inc.) (@mysk_co)

Safari

Učinak: dodavanje web-stranice u Safari Popis za čitanje na uređaju na kojem je omogućen privatni relej može web-stranici otkriti izvorišnu IP adresu

Opis: problem je riješen poboljšanim usmjeravanjem zahtjeva koji potječu iz preglednika Safari.

CVE-2024-44246: Jacob Braun

SceneKit

Učinak: obradom zlonamjerne datoteke moglo se izazvati odbijanje usluge

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-54501: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)

VoiceOver

Učinak: napadač s fizičkim pristupom uređaju sa sustavom iOS možda će moći vidjeti sadržaj obavijesti sa zaključanog zaslona

Opis: problem je riješen dodavanje dodatne logike.

CVE-2024-54485: Abhay Kailasia (@abhay_kailasia) (C-DAC Thiruvananthapuram, Indija)

WebKit

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim provjerama.

WebKit Bugzilla: 278497

CVE-2024-54479: Seunghyun Lee

WebKit Bugzilla: 281912

CVE-2024-54502: Brendon Tiszka (Google Project Zero)

WebKit

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 282180

CVE-2024-54508: linjy (HKUS3Lab) i chluo (WHUSecLab), Xiangwei Zhang (Tencent Security YUNDING LAB)

WebKit

Učinak: obrada zlonamjernog web-sadržaja može uzrokovati oštećenje memorije

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

WebKit Bugzilla: 282661

CVE-2024-54505: Gary Kwong

WebKit

Učinak: obrada zlonamjernog web-sadržaja može uzrokovati oštećenje memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 277967

CVE-2024-54534: Tashita Software Security

Dodatna zahvala

Accessibility

Na pomoći zahvaljujemo Abhayju Kailasiji (@abhay_kailasia) (Lakshmi Narain College of Technology, Bhopal, Indija), Andr.Essu, Jakeu Derouinu i Jasonu Gendronu (@gendron_jason).

App Protection

Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Lakshmi Narain College of Technology, Bhopal, Indija).

Calendar

Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Lakshmi Narain College of Technology, Bhopal, Indija).

FaceTime

Zahvaljujemo 椰椰 na pomoći.

FaceTime Foundation

Zahvaljujemo Joshui Pellecchiji na pomoći.

Family Sharing

Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Lakshmi Narain College of Technology, Bhopal, Indija) i J T.

Notes

Zahvaljujemo Katzenfutteru na pomoći.

Photos

Na pomoći zahvaljujemo Bistritu Dahalu, Chiju Yuan Changu (ZUSO ART and taikosoup), Finlayju Jamesu (@Finlay1010), Rizkiju Maulanau (rmrizki.my.id) i Srijanu Poudelu.

Photos Storage

Zahvaljujemo na pomoći Jakeu Derouinu (jakederouin.com).

Proximity

Na pomoći zahvaljujemo Junmingu C.(@Chapoly1305) i profesoru Qiangu Zengu (George Mason University).

Quick Response

Na pomoći zahvaljujemo anonimnom istraživaču.

Safari

Zahvaljujemo Jayateerthau Guruprasadu na pomoći.

Safari Private Browsing

Na pomoći zahvaljujemo Richardu Hyunho Imu (@richeeta) (Route Zero Security).

Settings

Na pomoći zahvaljujemo Akshithu Muddasaniju, Bistritu Dahalu i Emanuelu Slusarzu.

Siri

Zahvaljujemo Srijanu Poudelu na pomoći.

Spotlight

Na pomoći zahvaljujemo Abhayju Kailasiji (@abhay_kailasia) (LNCT, Bhopal i C-DAC, Thiruvananthapuram, Indija).

Status Bar

Na pomoći zahvaljujemo Abhayju Kailasiju (@abhay_kailasia) (Lakshmi Narain College of Technology, Bhopal, Indija) i Andr.Essu.

Swift

Zahvaljujemo Marcu Schoenefeldu, Dr. rer. nat. na pomoći.

Time Zone

Na pomoći zahvaljujemo Abhayu Kailasiji (@abhay_kailasia) (LNCT, Bhopal i C-DAC, Thiruvananthapuram, Indija).

WebKit

Zahvaljujemo Hafiizhu na pomoći.

WindowServer

Na pomoći zahvaljujemo Felixu Kratzu.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 17. prosinca 2024.