Informacije o sigurnosnom sadržaju sustava iOS 18.2 i iPadOS 18.2

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 18.2 i iPadOS 18.2.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 18.2 i iPadOS 18.2

Izdano 11. prosinca 2024.

Accounts

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: fotografije iz albuma Skriveno mogle bi se pregledavati bez provjere autentičnosti

Opis: problem s logikom riješen je poboljšanim rukovanjem datotekama.

CVE-2024-54488: Benjamin Hornbeck, Skadz (@skadz108), Chi Yuan Chang (ZUSO ART) i taikosoup

Unos dodan 27. siječnja 2025.

APFS

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-54541: Arsenii Kostromin (0x3c3e) i anonimni istraživač

Unos dodan 27. siječnja 2025.

AppleMobileFileIntegrity

Učinak: zlonamjerna aplikacija mogla bi pristupiti privatnim podacima

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2024-54527: Mickey Jin (@patch1t)

Audio

Učinak: isključenjem zvuka poziva tijekom zvonjave možda neće doći do omogućavanja opcije isključivanja zvuka

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2024-54503: Micheal Chukwu i anonimni istraživač

Contacts

Učinak: aplikacije su mogle vidjeti automatski unesene podatke za kontakt iz zapisa sustava aplikacija Poruke i Mail

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2024-54550: Smi1e (@Smi1eSEC)

Unos dodan 27. siječnja 2025.

Crash Reporter

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2024-54513: anonimni istraživač

Face Gallery

Učinak: binarni kod sustava mogao se iskoristiti za otisak prsta za korisnikov Apple račun

Opis: problem je riješen uklanjanjem relevantnih oznaka.

CVE-2024-54512: Bistrit Dahal

Unos dodan 27. siječnja 2025.

FontParser

Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-54486: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

ICU

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2024-54478: Gary Kwong

Unos dodan 27. siječnja 2025.

ImageIO

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2024-54499: anonimni istraživač i inicijativa Zero Day (Trend Micro)

Unos dodan 27. siječnja 2025.

ImageIO

Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-54500: Junsung Lee i inicijativa Zero Day (Trend Micro)

IOMobileFrameBuffer

Učinak: aplikacija bi mogla oštetiti koprocesorsku memoriju

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2024-54517: Ye Zhang (@VAR10CK) (Baidu Security)

CVE-2024-54518: Ye Zhang (@VAR10CK) (Baidu Security)

CVE-2024-54522: Ye Zhang (@VAR10CK) (Baidu Security)

CVE-2024-54523: Ye Zhang (@VAR10CK) (Baidu Security)

Unos dodan 27. siječnja 2025.

Kernel

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-54468: anonimni istraživač

Unos dodan 27. siječnja 2025.

Kernel

Učinak: napadači s korisničkim ovlastima mogli su čitati kernelsku memoriju

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2024-54507: Joseph Ravichandran (@0xjprx) (MIT CSAIL)

Unos dodan 27. siječnja 2025.

Kernel

Učinak: napadači su mogli stvoriti mapiranje memorije samo za čitanje u koju se moglo zapisivati

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2024-54494: sohybbyk

Kernel

Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje

Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) (MIT CSAIL)

Kernel

Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili oštećenje kernelske memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-44245: anonimni istraživač

libexpat

Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2024-45490

libxpc

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-54514: anonimni istraživač

libxpc

Učinak: aplikacije bi mogle dobiti veće ovlasti

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

Passkeys

Učinak: značajka automatskog unosa lozinke mogla bi unijeti lozinke i nakon neuspjele provjere autentičnosti

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) (C-DAC Thiruvananthapuram India), Rakeshkumar Talaviya

Unos dodan 27. siječnja 2025.

Passwords

Učinak: napadač s privilegiranim mrežnim ovlastima mogao bi presresti mrežni promet

Opis: problem je riješen upotrebom HTTPS-a prilikom slanja podataka preko mreže.

CVE-2024-54492: Talal Haj Bakry i Tommy Mysk (Mysk Inc.) (@mysk_co)

QuartzCore

Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-54497: anonimni istraživač i inicijativa Zero Day (Trend Micro)

Unos dodan 27. siječnja 2025.

Safari

Učinak: na uređajima s omogućenim privatnim relejem dodavanjem web-mjesta na popis za čitanje u pregledniku Safari mogla se otkriti izvorna IP adresa web-mjesta

Opis: problem je riješen poboljšanim usmjeravanjem zahtjeva koji dolaze iz Safarija.

CVE-2024-44246: Jacob Braun

Safari Private Browsing

Učinak: karticama Privatno pretraživanje može se pristupati bez provjere identiteta

Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.

CVE-2024-54542: Rei (@reizydev), Kenneth Chew

Unos dodan 27. siječnja 2025.

SceneKit

Učinak: obradom zlonamjerne datoteke moglo se izazvati odbijanje usluge

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-54501: Michael DePlante (@izobashi), projekt Zero Day Initiative (Trend Micro)

Vim

Učinak: obrada zlonamjerne datoteke može dovesti do oštećenja skupa

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2024-45306

Unos dodan 27. siječnja 2025.

VoiceOver

Učinak: napadač s fizičkim pristupom uređaju sa sustavom iOS možda će moći vidjeti sadržaj obavijesti sa zaključanog zaslona

Opis: problem je riješen dodavanje dodatne logike.

CVE-2024-54485: Abhay Kailasia (@abhay_kailasia) (C-DAC Thiruvananthapuram India)

WebKit

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim provjerama.

WebKit Bugzilla: 278497

CVE-2024-54479: Seunghyun Lee

WebKit Bugzilla: 281912

CVE-2024-54502: Brendon Tiszka (Google Project Zero)

WebKit

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 282180

CVE-2024-54508: linjy (HKUS3Lab) i chluo (WHUSecLab), Xiangwei Zhang (YUNDING LAB, Tencent Security)

WebKit

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do oštećenja memorije

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

WebKit Bugzilla: 282661

CVE-2024-54505: Gary Kwong

WebKit

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do oštećenja memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 277967

CVE-2024-54534: Tashita Software Security

WebKit Bugzilla: 282450

CVE-2024-54543: Lukas Bernhard, Gary Kwong i anonimni istraživač

Unos je ažuriran 27. siječnja 2025.

Dodatna zahvala

Accessibility

Na pomoći zahvaljujemo Abhayju Kailasiji (@abhay_kailasia) (Lakshmi Narain College of Technology, Bhopal, Indija), Andr.Essu, Jakeu Derouinu i Jasonu Gendronu (@gendron_jason).

App Protection

Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Lakshmi Narain College of Technology, Bhopal, Indija).

Calendar

Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Lakshmi Narain College of Technology, Bhopal, Indija).

FaceTime

Zahvaljujemo 椰椰 na pomoći.

FaceTime Foundation

Na pomoći zahvaljujemo Joshui Pellecchiji.

Family Sharing

Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Lakshmi Narain College of Technology, Bhopal, Indija) i J T.

Files

Na pomoći zahvaljujemo Christianu Scaleseu.

Unos dodan 27. siječnja 2025.

Notes

Zahvaljujemo Katzenfutteru na pomoći.

Photos

Na pomoći zahvaljujemo Bistritu Dahalu, Chiju Yuan Changu (ZUSO ART and taikosoup), Finlayju Jamesu (@Finlay1010), Rizkiju Maulanau (rmrizki.my.id) i Srijanu Poudelu.

Photos Storage

Zahvaljujemo na pomoći Jakeu Derouinu (jakederouin.com).

Proximity

Na pomoći zahvaljujemo Junmingu C. (@Chapoly1305) i prof. Qiang Zengu (George Mason University).

Quick Response

Na pomoći zahvaljujemo anonimnom istraživaču.

Safari

Zahvaljujemo Jayateerthau Guruprasadu na pomoći.

Safari Private Browsing

Na pomoći zahvaljujemo Richardu Hyunhou Imu (@richeeta) i Route Zero Security.

Settings

Na pomoći zahvaljujemo Akshithu Muddasaniju, Bistritu Dahalu, Emanuelu Slusarzu i Abhisheku Kanaujiji.

Unos je ažuriran 27. siječnja 2025.

Siri

Na pomoći zahvaljujemo Srijanu Poudelu i Bistritu Dahalu.

Unos je ažuriran 27. siječnja 2025.

Spotlight

Na pomoći zahvaljujemo Abhayju Kailasiji (@abhay_kailasia) (LNCT, Bhopal i C-DAC, Thiruvananthapuram, Indija).

Status Bar

Na pomoći zahvaljujemo Abhayju Kailasiju (@abhay_kailasia) (Lakshmi Narain College of Technology, Bhopal, Indija) i Andr.Essu.

Swift

Na pomoći zahvaljujemo Marcu Schoenefeldu, dr. rer. nat. na pomoći.

Time Zone

Na pomoći zahvaljujemo Abhayju Kailasiji (@abhay_kailasia) (LNCT, Bhopal i C-DAC, Thiruvananthapuram, Indija).

WebKit

Na pomoći zahvaljujemo korisniku Hafiizhu.

WindowServer

Na pomoći zahvaljujemo Felixu Kratzu.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 01. veljače 2025.