Az iOS 18.1 és az iPadOS 18.1 biztonsági változásjegyzéke

Ez a dokumentum az iOS 18.1 és az iPadOS 18.1 biztonsági tartalmát ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági változásjegyzékével foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az iOS 18.1 és az iPadOS 18.1 biztonsági változásjegyzéke

Kiadási dátum: 2024. október 28.

Accessibility

A következőkhöz érhető el: iPhone XS és újabb modellek

Érintett terület: A zárolt készülékhez fizikai hozzáféréssel rendelkező támadók meg tudták tekinteni a felhasználó bizalmas információit

Leírás: Hatékonyabb hitelesítéssel küszöböltük ki a problémát.

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

App Support

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 7. generációs és újabb iPad, 5. generációs és újabb iPad mini

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások a felhasználó engedélye nélkül futtathattak tetszőleges billentyűparancsokat

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy útvonalkezelési hibát.

CVE-2024-44255: anonim kutató

AppleAVD

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok elemzésekor váratlan rendszerleállásra került sor.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2024-44232: Ivan Fratric (Google Project Zero)

CVE-2024-44233: Ivan Fratric (Google Project Zero)

CVE-2024-44234: Ivan Fratric (Google Project Zero)

Bejegyzés hozzáadva 2024. november 1-jén.

CoreMedia Playback

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások privát adatokhoz tudtak hozzáférni.

Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell of Loadshine Lab

CoreText

Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-44240: Hossein Lotfi (@hosselot),Trend Micro Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot),Trend Micro Zero Day Initiative

Foundation

Érintett terület: A fájlok elemzése a felhasználói adatok felfedéséhez vezetett.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2024-44282: Hossein Lotfi (@hosselot),Trend Micro Zero Day Initiative

ImageIO

Érintett terület: Egy kép feldolgozása lehetőséget adott folyamatmemória közzétételére.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2024-44215: Junsung Lee (a Trend Micro Zero Day Initiative közreműködőjeként)

ImageIO

Érintett terület: Egy rosszindulatú célból létrehozott feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2024-44297: Jex Amro

IOSurface

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve sérültté tudták tenni a kernelmemóriát

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2024-44285: anonim kutató

iTunes

Érintett terület: A távoli támadók bizonyos esetekben ki tudtak törni a Web Content tesztkörnyezetből

Leírás: Leírás: Hatékonyabb bevitelellenőrzéssel elhárítottak egy egyedi URL-sémakezelési hibát.

CVE-2024-40867: Ziyi Zhou (@Shanghai Jiao Tong Egyetem), Tianxiao Hou (@Shanghai Jiao Tong Egyetem)

Kernel

Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatszivárgással kapcsolatos problémát.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Managed Configuration

Érintett terület: Ez ártó szándékkal létrehozott biztonságimásolat-fájl módosíthatta a védett rendszerfájlokat

Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Érintett terület: Ez ártó szándékkal létrehozott biztonságimásolat-fájl módosíthatta a védett rendszerfájlokat

Leírás: Hatékonyabb fájlkezeléssel elhárítottunk egy logikai problémát.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve sérültté tudták tenni a kernelmemóriát

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2024-44277: egy anonim kutató és Yinyi Wu(@_3ndy1) (Dawn Security Lab of JD.com, Inc.)

Safari Downloads

Érintett terület: A támadók vissza tudtak élni a bizalmi kapcsolatokkal, és ezáltal le tudtak tölteni rosszindulatú tartalmakat.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2024-44259: Narendra Bhati, Manager (Cyber Security, Suma Soft Pvt. Ltd., Púna, India)

Safari Private Browsing

Érintett terület: Privát böngészés esetén néhány böngészési előzmény kiszivároghatott.

Leírás: Az ellenőrzés kibővítésével megoldottuk az információszivárgási problémát.

CVE-2024-44229: Lucas Di Tomase

SceneKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor sérült a halommemória.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2024-44218: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

Shortcuts

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2024-44254: Kirin (@Pwnrin)

Shortcuts

Érintett terület: Előfordult, hogy rosszindulatú alkalmazások billentyűparancsok használatával korlátozott hozzáférésű fájlokhoz tudtak hozzáférni

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2024-44269: anonim kutató

Siri

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri

Érintett terület: A fizikai hozzáféréssel rendelkező támadók a zárolt képernyőről hozzáférhettek a kontaktfotókhoz

Leírás: Úgy hárítottuk el a problémát, hogy korlátoztuk a zárolt készüléken felajánlott lehetőségek körét.

CVE-2024-40851: Abhay Kailasia (@abhay_kailasia) (Lakshmi Narain College of Technology, Bhopal India) Srijan Poudel

Siri

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2024-44263: Kirin (@Pwnrin) és 7feilee

Siri

Érintett terület: Az elkülönített alkalmazások képesek lehetnek bizalmas felhasználói adatokhoz hozzáférni a rendszernaplókban

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatszivárgással kapcsolatos problémát.

CVE-2024-44278: Kirin (@Pwnrin)

Spotlight

Érintett terület: A támadók bizonyos esetekben a zárolt képernyőn is meg tudták tekinteni a korlátozott tartalmakat

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2024-44251: Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College Of Technology, Bhopál, India)

Spotlight

Érintett terület: A támadók bizonyos esetekben a zárolt képernyőn is meg tudták tekinteni a korlátozott tartalmakat

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-44235: Rizki Maulana (rmrizki.my.id), Dalibor Milanovic, Richard Hyunho Im (@richeeta) a Route Zero Security közreműküdőjeként

VoiceOver

Érintett terület: A támadók bizonyos esetekben a zárolt képernyőn is meg tudták tekinteni a korlátozott tartalmakat

Leírás: Úgy hárítottuk el a problémát, hogy korlátoztuk a zárolt készüléken felajánlott lehetőségek körét.

CVE-2024-44261: Braylon (@softwarescool)

WebKit

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

WebKit Bugzilla: 278765

CVE-2024-44296: Narendra Bhati, Manager (Cyber Security, Suma Soft Pvt. Ltd., Púna, India)

WebKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

WebKit Bugzilla: 279780

CVE-2024-44244: egy anonim kutató, Q1IQ (@q1iqF) and P1umer (@p1umer)

További köszönetnyilvánítás

Accessibility

Köszönjük Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College Of Technology, Bhopál, India), Chi Yuan Chang (ZUSO ART) és taikosoup segítségét.

App Store

Köszönjük Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College Of Technology, Bhopál, India), Chi Yuan Chang (ZUSO ART) és taikosoup segítségét.

Calculator

Köszönjük Kenneth Chew segítségét.

Calendar

Köszönjük K宝(@Pwnrin) segítségét.

Camera

Köszönjük Abhay Kailasia (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal India) segítségét.

Files

Köszönjük Chi Yuan Chang (ZUSO ART), taikosoup és Christian Scalese segítségét.

ImageIO

Köszönjük Amir Bazine, Karsten König (CrowdStrike Counter Adversary Operations) és egy anonim kutató segítségét.

Messages

Köszönjük Collin Potter és egy anonim kutató segítségét.

NetworkExtension

Köszönjük Patrick Wardle (DoubleYou & the Objective-See Foundation) segítségét.

Personalization Services

Köszönjük Abhay Kailasia (@abhay_kailasia) (Lakshmi Narain College Of Technology, Bhopál, India) és Bistrit Dahal segítségét.

Photos

Köszönjük James Robertson és Kamil Bourouiba segítségét.

Safari Private Browsing

Köszönjük az anonim kutató r00tdaddy segítségét.

Safari Tabs

Köszönjük Jaydev Ahire segítségét.

Security

Köszönjük Bing Shi, Wenchao Li és Xiaolong Bai (Alibaba Group) segítségét.

Settings

Köszönjük Chi Yuan Chang (ZUSO ART), taikosoup és JS segítségét.

Siri

Köszönjük Bistrit Dahal segítségét.

Spotlight

Köszönjük Abhay Kailasia (@abhay_kailasia) (LNCT Bhopal és a C-DAC (Thiruvananthapuram, India) segítségét.

Time Zone

Köszönjük Abhay Kailasia (@abhay_kailasia) (Lakshmi Narain College Of Technology, Bhopál, India) és Siddharth Choubey segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: 2024. november 12.