Over de beveiligingsinhoud van iOS 18.1 en iPadOS 18.1

Dit document beschrijft de beveiligingsinhoud van iOS 18.1 en iPadOS 18.1.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

Over de beveiligingsinhoud van iOS 18.1 en iPadOS 18.1

Releasedatum: 28 oktober 2024

Accessibility

Beschikbaar voor: iPhone XS en nieuwer

Impact: een aanvaller met fysieke toegang tot een vergrendeld apparaat kan mogelijk vertrouwelijke gebruikersgegevens raadplegen

Beschrijving: het probleem is verholpen door verbeterde authenticatie.

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

App Support

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een kwaadwillige app kan mogelijk willekeurige sneltoetsen uitvoeren zonder de toestemming van de gebruiker

Beschrijving: een probleem met de verwerking van een pad is verholpen door verbeterde logica.

CVE-2024-44255: een anonieme onderzoeker

AppleAVD

Impact: het parseren van een kwaadwillig vervaardigd videobestand kan leiden tot het onverwacht beëindigen van het systeem

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2024-44232: Ivan Fratric van Google Project Zero

CVE-2024-44233: Ivan Fratric van Google Project Zero

CVE-2024-44234: Ivan Fratric van Google Project Zero

Toegevoegd op 1 november 2024

CoreMedia Playback

Impact: een kwaadwillige app kan mogelijk toegang krijgen tot privégegevens

Beschrijving: dit probleem is verholpen door verbeterde verwerking van symlinks.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell of Loadshine Lab

CoreText

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-44240: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative

Foundation

Impact: het parseren van een bestand kan leiden tot het vrijgeven van gebruikersinformatie

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2024-44282: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative

ImageIO

Impact: het verwerken van een afbeelding kan leiden tot openbaarmaking van procesgeheugen

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2024-44215: Junsung Lee in samenwerking met Trend Micro Zero Day Initiative

ImageIO

Impact: het verwerken van een kwaadwillig vervaardigd bericht kan leiden tot een denial-of-service

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2024-44297: Jex Amro

IOSurface

Impact: een app kan zorgen voor het onverwacht beëindigen van corrupt kernelgeheugen

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2024-44285: een anonieme onderzoeker

iTunes

Impact: een externe aanvaller kan buiten de webmateriaal-sandbox komen

Beschrijving: een probleem met de verwerking van een aangepast URL-schema is verholpen door verbeterde invoervalidatie.

CVE-2024-40867: Ziyi Zhou (@Shanghai Jiao Tong University), Tianxiao Hou (@Shanghai Jiao Tong University)

Kernel

Impact: een app kan gevoelige kernelstatus vrijgeven

Beschrijving: een probleem met vrijgave van gegevens is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Managed Configuration

Impact: het terugzetten van een kwaadwillig vervaardigd back-upbestand kan leiden tot wijzigingen in beveiligde systeembestanden

Beschrijving: dit probleem is verholpen door verbeterde verwerking van symlinks.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Impact: het terugzetten van een kwaadwillig vervaardigd back-upbestand kan leiden tot wijzigingen in beveiligde systeembestanden

Beschrijving: een logicaprobleem is verholpen door verbeterd bestandsbeheer.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res

Impact: een app kan zorgen voor het onverwacht beëindigen van corrupt kernelgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-44277: een anonieme onderzoeker en Yinyi Wu(@_3ndy1) van Dawn Security Lab van JD.com, Inc.

Safari Downloads

Impact: een aanvaller kan mogelijk misbruik maken van een vertrouwensrelatie om kwaadaardig materiaal te downloaden

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2024-44259: Narendra Bhati, Manager Cyber Security bij Suma Soft Pvt. Ltd, Pune (India)

Safari Private Browsing

Impact: in de privémodus kan enige browsergeschiedenis uitlekken

Beschrijving: een datalek is verholpen door aanvullende validatie.

CVE-2024-44229: Lucas Di Tomase

SceneKit

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot heapbeschadiging

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2024-44218: Michael DePlante (@izobashi) van Trend Micro Zero Day Initiative

Shortcuts

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.

CVE-2024-44254: Kirin (@Pwnrin)

Shortcuts

Impact: een kwaadwillige app kan mogelijk toegang krijgen tot vertrouwelijke bestanden

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2024-44269: een anonieme onderzoeker

Siri

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri

Impact: een aanvaller met fysieke toegang heeft mogelijk toegang tot foto’s van contactpersonen via het vergrendelingsscherm

Beschrijving: dit probleem is verholpen door de aangeboden opties op een vergrendeld apparaat te beperken.

CVE-2024-40851: Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College van Technology Bhopal India, Srijan Poudel

Siri

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2024-44263: Kirin (@Pwnrin) en 7feilee

Siri

Impact: een app heeft mogelijk toegang tot vertrouwelijke gebruikersgegevens in systeemlogboeken

Beschrijving: een probleem met vrijgave van gegevens is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.

CVE-2024-44278: Kirin (@Pwnrin)

Spotlight

Impact: een aanvaller kan mogelijk beperkte inhoud bekijken via het vergrendelingsscherm

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2024-44251: Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College van Technology Bhopal India

Spotlight

Impact: een aanvaller kan mogelijk beperkte inhoud bekijken via het vergrendelingsscherm

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-44235: Rizki Maulana (rmrizki.my.id), Dalibor Milanovic, Richard Hyunho Im (@richeeta) met Route Zero Security

VoiceOver

Impact: een aanvaller kan mogelijk beperkte inhoud bekijken via het vergrendelingsscherm

Beschrijving: dit probleem is verholpen door de aangeboden opties op een vergrendeld apparaat te beperken.

CVE-2024-44261: Braylon (@softwarescool)

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan verhinderen dat de Content Security Policy wordt gehandhaafd

Beschrijving: het probleem is verholpen door verbeterde controles.

WebKit Bugzilla: 278765

CVE-2024-44296: Narendra Bhati, Manager Cyber Security bij Suma Soft Pvt. Ltd, Pune (India)

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde invoervalidatie.

WebKit Bugzilla: 279780

CVE-2024-44244: een anonieme onderzoeker, Q1IQ (@q1iqF) en P1umer (@p1umer)

Aanvullende erkenning

Accessibility

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India, Chi Yuan Chang van ZUSO ART en taikosoup voor de hulp.

App Store

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India, Chi Yuan Chang van ZUSO ART en taikosoup voor de hulp.

Calculator

Met dank aan Kenneth Chew voor de hulp.

Calendar

Met dank aan K宝(@Pwnrin) voor de hulp.

Camera

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College Of Technology Bhopal India en voor de hulp.

Files

Met dank aan Chi Yuan Chang van ZUSO ART en taikosoup, Christian Scalese voor de hulp.

ImageIO

Met dank aan Amir Bazine and Karsten König van CrowdStrike Counter Adversary Operations, een anonieme onderzoeken voor de hulp.

Messages

Met dank aan Collin Potter, een anonieme onderzoeker, voor de hulp.

NetworkExtension

Met dank aan Patrick Wardle van DoubleYou & the Objective-See Foundation voor de hulp.

Personalization Services

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College Of Technology Bhopal India, Bistrit Dahal voor de hulp.

Photos

Met dank aan James Robertson, Kamil Bourouiba voor de hulp.

Safari Private Browsing

Met dank aan een anonieme onderzoeker, r00tdaddy voor de hulp.

Safari Tabs

Met dank aan Jaydev Ahire voor de hulp.

Security

Met dank aan Bing Shi, Wenchao Li and Xiaolong Bai of Alibaba Group voor de hulp.

Settings

Met dank aan Chi Yuan Chang of ZUSO ART and taikosoup, JS voor de hulp.

Siri

Met dank aan Bistrit Dahal voor de hulp.

Spotlight

Met dank aan Abhay Kailasia (@abhay_kailasia) van LNCT Bhopal and C-DAC Thiruvananthapuram India voor de hulp.

Time Zone

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India en Siddharth Choubey voor de hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: november 12, 2024