Over de beveiligingsinhoud van iOS 18.2 en iPadOS 18.2

In dit document wordt de beveiligingsinhoud van iOS 18.2 en iPadOS 18.2 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

iOS 18.2 en iPadOS 18.2

AppleMobileFileIntegrity

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een kwaadwillige app kan mogelijk toegang krijgen tot privégegevens

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2024-54527: Mickey Jin (@patch1t)

Audio

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: het dempen van een overgaande oproep werkt mogelijk niet

Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen door verbeterd statusbeheer.

CVE-2024-54503: Micheal Chukwu en een anonieme onderzoeker

Crash Reporter

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een machtigingsprobleem is verholpen met aanvullende beperkingen.

CVE-2024-54513: een anonieme onderzoeker

FontParser

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-54486: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

ImageIO

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot openbaarmaking van procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-54500: Junsung Lee in samenwerking met het Zero Day Initiative van Trend Micro

Kernel

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een aanvaller kan een alleen-lezengeheugentoewijzing aanmaken waarnaar kan worden geschreven

Beschrijving: een race condition is verholpen door aanvullende validatie.

CVE-2024-54494: sohybbyk

Kernel

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een app kan gevoelige kernelstatus vrijgeven

Beschrijving: een race condition is verholpen door verbeterde vergrendeling.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) van MIT CSAIL

Kernel

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een app kan zorgen voor het onverwacht beëindigen van corrupt kernelgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-44245: een anonieme onderzoeker

libexpat

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een externe aanvaller kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID. is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2024-45490

libxpc

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een app kan buiten zijn sandbox komen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-54514: een anonieme onderzoeker

libxpc

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een app kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

Passwords

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk netwerkverkeer wijzigen

Beschrijving: dit probleem is verholpen door HTTPS te gebruiken bij het verzenden van informatie over het netwerk.

CVE-2024-54492: Talal Haj Bakry en Tommy Mysk van Mysk Inc. (@mysk_co)

Safari

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: als je een website toevoegt aan de Safari-leeslijst op een apparaat waarop Privédoorgifte is ingeschakeld, kan het oorspronkelijke IP-adres van de website worden onthuld

Beschrijving: het probleem is verholpen door verbeterde routering van uit Safari afkomstige verzoeken.

CVE-2024-44246: Jacob Braun

SceneKit

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot een denial of service

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-54501: Michael DePlante (@izobashi) van het Zero Day Initiative van Trend Micro

VoiceOver

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een aanvaller met fysieke toegang tot een iOS-apparaat heeft mogelijk toegang tot informatie uit meldingen op het toegangsscherm

Beschrijving: dit probleem is verholpen door extra logica toe te voegen.

CVE-2024-54485: Abhay Kailasia (@abhay_kailasia) van C-DAC Thiruvananthapuram India

WebKit

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-54479: Seunghyun Lee

CVE-2024-54502: Brendon Tiszka van Google Project Zero

WebKit

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-54508: linjy van HKUS3Lab en chluo van WHUSecLab, Xiangwei Zhang van Tencent Security YUNDING LAB

WebKit

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot geheugenbeschadiging

Beschrijving: een type confusion-probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-54505: Gary Kwong

WebKit

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot geheugenbeschadiging

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-54534: Tashita Software Security

Aanvullende erkenning

Accessibility

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India, Andr.Ess, Jake Derouin, Jason Gendron (@gendron_jason) voor de hulp.

App Protection

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College Of Technology Bhopal India en voor de hulp.

Calendar

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College Of Technology Bhopal India en voor de hulp.

FaceTime

Met dank aan 椰椰 voor de hulp.

FaceTime Foundation

Met dank aan Joshua Pellecchia voor de hulp.

Family Sharing

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India, J T voor de hulp.

Notes

Met dank aan Katzenfutter voor de hulp.

Photos

Met dank aan Bistrit Dahal, Chi Yuan Chang van ZUSO ART en taikosoup, Finlay James (@Finlay1010), Rizki Maulana (rmrizki.my.id), Srijan Poudel voor de hulp.

Photos Storage

Met dank aan Jake Derouin (jakederouin.com) voor de hulp.

Proximity

Met dank aan Junming C. (@Chapoly1305) en Prof. Qiang Zeng van George Mason University voor de hulp.

Quick Response

Met dank aan een anonieme onderzoeker voor de hulp.

Safari

Met dank aan Jayateertha Guruprasad voor de hulp.

Safari Private Browsing

Met dank aan Richard Hyunho Im (@richeeta) van Route Zero Security voor de hulp.

Settings

Met dank aan Akshith Muddasani, Bistrit Dahal, Emanuele Slusarz voor de hulp.

Siri

Met dank aan Srijan Poudel voor de hulp.

Spotlight

Met dank aan Abhay Kailasia (@abhay_kailasia) van LNCT Bhopal and C-DAC Thiruvananthapuram India voor de hulp.

Status Bar

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India, Andr.Ess voor de hulp.

Swift

Met dank aan Marc Schoenefeld, Dr. rer. nat. voor de hulp.

Time Zone

Met dank aan Abhay Kailasia (@abhay_kailasia) van LNCT Bhopal and C-DAC Thiruvananthapuram India voor de hulp.

WebKit

Met dank aan Hafiizh voor de hulp.

WindowServer

Met dank aan Felix Kratz voor de hulp.