Mengenai konten keamanan iOS 18.1 dan iPadOS 18.1

Dokumen ini menjelaskan konten keamanan iOS 18.1 dan iPadOS 18.1.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman rilis keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

Mengenai konten keamanan iOS 18.1 dan iPadOS 18.1

Dirilis pada 28 Oktober 2024

Accessibility

Tersedia untuk: iPhone XS dan versi lebih baru

Dampak: Penyerang yang memiliki akses fisik ke perangkat terkunci mungkin dapat melihat informasi rahasia pengguna

Deskripsi: Masalah telah diatasi dengan autentikasi yang ditingkatkan.

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

App Support

Tersedia untuk: iPhone XS dan versi lebih baru, iPad Pro 13 inci, iPad Pro 12,9 inci generasi ke-3 dan versi lebih baru, iPad Pro 11 inci generasi ke-1 dan versi lebih baru, iPad Air generasi ke-3 dan versi lebih baru, iPad generasi ke-7 dan versi lebih baru, serta iPad mini generasi ke-5 dan versi lebih baru

Dampak: App yang berbahaya mungkin dapat menjalankan pintasan arbitrer tanpa persetujuan pengguna

Deskripsi: Masalah penanganan jalur telah diatasi melalui logika yang ditingkatkan.

CVE-2024-44255: peneliti anonim

AppleAVD

Dampak: Menguraikan file video perusak yang berbahaya dapat mengakibatkan sistem berhenti tiba-tiba

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2024-44232: Ivan Fratric dari Google Project Zero

CVE-2024-44233: Ivan Fratric dari Google Project Zero

CVE-2024-44234: Ivan Fratric dari Google Project Zero

Entri ditambahkan tanggal 01 Nopember 2024

CoreMedia Playback

Dampak: App yang berbahaya mungkin dapat mengakses informasi pribadi

Deskripsi: Masalah ini telah diatasi dengan penanganan symlink yang ditingkatkan.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell dari Loadshine Lab

CoreText

Dampak: Memproses font perusak berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-44240: Hossein Lotfi (@hosselot) dari Zero Day Initiative dari Trend Micro

CVE-2024-44302: Hossein Lotfi (@hosselot) dari Zero Day Initiative dari Trend Micro

Foundation

Dampak: Menguraikan file dapat mengakibatkan pengungkapan informasi pengguna

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2024-44282: Hossein Lotfi (@hosselot) dari Zero Day Initiative dari Trend Micro

ImageIO

Dampak: Pemrosesan gambar dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-44215: Junsung Lee yang bekerja sama dengan Zero Day Initiative dari Trend Micro

ImageIO

Dampak: Memproses pesan perusak yang berbahaya dapat mengakibatkan penolakan layanan

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2024-44297: Jex Amro

IOSurface

Dampak: App mungkin dapat mengakibatkan sistem terhenti tiba-tiba atau memori kernel rusak

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.

CVE-2024-44285: peneliti anonim

iTunes

Dampak: Penyerang jarak jauh mungkin dapat keluar dari sandbox Konten Web

Deskripsi: Masalah penanganan skema URL khusus diatasi dengan peningkatan validasi input.

CVE-2024-40867: Ziyi Zhou (@Shanghai Jiao Tong University), Tianxiao Hou (@Shanghai Jiao Tong University)

Kernel

Dampak: App dapat membocorkan status kernel yang bersifat rahasia

Deskripsi: Masalah pengungkapan informasi telah diatasi dengan penyamaran data pribadi yang ditingkatkan untuk entri log.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Managed Configuration

Dampak: Memulihkan file cadangan perusak yang berbahaya dapat menyebabkan modifikasi file sistem yang dilindungi

Deskripsi: Masalah ini telah diatasi dengan penanganan symlink yang ditingkatkan.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Dampak: Memulihkan file cadangan perusak yang berbahaya dapat menyebabkan modifikasi file sistem yang dilindungi

Deskripsi: Masalah logika telah diatasi dengan penanganan file yang lebih baik.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res

Dampak: App mungkin dapat mengakibatkan sistem terhenti tiba-tiba atau memori kernel rusak

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2024-44277: peneliti anonim dan Yinyi Wu(@_3ndy1) dari Dawn Security Lab milik JD.com, Inc.

Safari Downloads

Dampak: Penyerang mungkin dapat menyalahgunakan hubungan kepercayaan untuk mengunduh konten berbahaya

Deskripsi: Masalah ini telah diatasi melalui manajemen status yang ditingkatkan.

CVE-2024-44259: Narendra Bhati, Manajer Keamanan Siber di Suma Soft Pvt. Ltd, Pune (India)

Safari Private Browsing

Dampak: Penelusuran pribadi dapat membocorkan sebagian riwayat penelusuran

Deskripsi: Kebocoran informasi telah diatasi dengan validasi tambahan.

CVE-2024-44229: Lucas Di Tomase

SceneKit

Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan semakin banyaknya kerusakan

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-44218: Michael DePlante (@izobashi) dari Zero Day Initiative dari Trend Micro

Shortcuts

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang lebih baik.

CVE-2024-44254: Kirin (@Pwnrin)

Shortcuts

Dampak: App yang berbahaya dapat menggunakan pintasan untuk mengakses file yang dibatasi

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-44269: peneliti anonim

Siri

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang lebih baik.

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri

Dampak: Penyerang yang memiliki akses fisik mungkin dapat mengakses foto kontak dari layar terkunci

Deskripsi: Masalah ini telah diatasi dengan membatasi pilihan yang ditawarkan pada perangkat terkunci.

CVE-2024-40851: Abhay Kailasia (@abhay_kailasia) dari Lakshmi Narain College of Technology Bhopal India, Srijan Poudel

Siri

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2024-44263: Kirin (@Pwnrin) dan 7feilee

Siri

Dampak: App di dalam sandbox mungkin dapat mengakses data rahasia pengguna di log sistem

Deskripsi: Masalah pengungkapan informasi telah diatasi dengan penyamaran data pribadi yang ditingkatkan untuk entri log.

CVE-2024-44278: Kirin (@Pwnrin)

Spotlight

Dampak: Penyerang mungkin dapat melihat konten yang dibatasi dari layar terkunci

Deskripsi: Masalah ini telah diatasi melalui manajemen status yang ditingkatkan.

CVE-2024-44251: Abhay Kailasia (@abhay_kailasia) dari Lakshmi Narain College of Technology Bhopal India

Spotlight

Dampak: Penyerang mungkin dapat melihat konten yang dibatasi dari layar terkunci

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-44235: Rizki Maulana (rmrizki.my.id), Dalibor Milanovic, Richard Hyunho Im (@richeeta) dengan Route Zero Security

VoiceOver

Dampak: Penyerang mungkin dapat melihat konten yang dibatasi dari layar terkunci

Deskripsi: Masalah ini telah diatasi dengan membatasi pilihan yang ditawarkan pada perangkat terkunci.

CVE-2024-44261: Braylon (@softwarescool)

WebKit

Dampak: Memproses konten web perusak yang berbahaya dapat membuat Kebijakan Keamanan Konten tidak dapat diberlakukan

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

WebKit Bugzilla: 278765

CVE-2024-44296: Narendra Bhati, Manajer Keamanan Siber di Suma Soft Pvt. Ltd, Pune (India)

WebKit

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan proses berhenti secara tiba-tiba

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

WebKit Bugzilla: 279780

CVE-2024-44244: peneliti anonim, Q1IQ (@q1iqF), dan P1umer (@p1umer)

Ucapan terima kasih tambahan

Accessibility

Kami ingin mengucapkan terima kasih kepada Abhay Kailasia (@abhay_kailasia) dari Lakshmi Narain College of Technology Bhopal India, Chi Yuan Chang dari ZUSO ART, dan taikosoup atas bantuannya.

App Store

Kami ingin mengucapkan terima kasih kepada Abhay Kailasia (@abhay_kailasia) dari Lakshmi Narain College of Technology Bhopal India, Chi Yuan Chang dari ZUSO ART, dan taikosoup atas bantuannya.

Calculator

Kami ingin mengucapkan terima kasih kepada Kenneth Chew atas bantuannya.

Calendar

Kami ingin mengucapkan terima kasih kepada K宝(@Pwnrin) atas bantuannya.

Camera

Kami ingin mengucapkan terima kasih kepada Abhay Kailasia (@abhay_kailasia) dari Lakshmi Narain College of Technology Bhopal India atas bantuannya.

File

Kami ingin mengucapkan terima kasih kepada Chi Yuan Chang dari ZUSO ART dan taikosoup, Christian Scalese atas bantuannya.

ImageIO

Kami ingin mengucapkan terima kasih kepada Amir Bazine dan Karsten König dari CrowdStrike Counter Adversary Operations, peneliti anonim atas bantuannya.

Messages

Kami ingin mengucapkan terima kasih kepada Collin Potter, peneliti anonim atas bantuannya.

NetworkExtension

Kami ingin mengucapkan terima kasih kepada Patrick Wardle dari DoubleYou & the Objective-See Foundation atas bantuannya.

Personalization Services

Kami ingin mengucapkan terima kasih kepada Abhay Kailasia (@abhay_kailasia) dari Lakshmi Narain College of Technology Bhopal India, Bistrit Dahal atas bantuannya.

Photos

Kami ingin mengucapkan terima kasih kepada James Robertson, Kamil Bourouiba atas bantuannya.

Safari Private Browsing

Kami ingin mengucapkan terima kasih kepada peneliti anonim, r00tdaddy atas bantuannya.

Safari Tabs

Kami ingin mengucapkan terima kasih kepada Jaydev Ahire atas bantuannya.

Security

Kami ingin mengucapkan terima kasih kepada Bing Shi, Wenchao Li dan Xiaolong Bai dari Alibaba Group atas bantuannya.

Settings

Kami ingin mengucapkan terima kasih kepada Chi Yuan Chang dari ZUSO ART dan taikosoup, JS atas bantuannya.

Siri

Kami ingin mengucapkan terima kasih kepada Bistrit Dahal atas bantuannya.

Spotlight

Kami ingin mengucapkan terima kasih kepada Abhay Kailasia (@abhay_kailasia) dari LNCT Bhopal dan C-DAC Thiruvananthapuram India atas bantuannya.

Time Zone

Kami ingin mengucapkan terima kasih kepada Abhay Kailasia (@abhay_kailasia) dari Lakshmi Narain College of Technology Bhopal India dan Siddharth Choubey atas bantuannya.

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: 12 November 2024