Over de beveiligingsinhoud van iOS 18 en iPadOS 18

Dit document beschrijft de beveiligingsinhoud van iOS 18 en iPadOS 18.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg pagina Apple productbeveiliging voor meer informatie over beveiliging.

iOS 18 en iPadOS 18

Releasedatum: 16 september 2024

Accessibility

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een aanvaller met fysieke toegang kan mogelijk Siri gebruiken om toegang te krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2024-40840: Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India

Accessibility

Impact: een app kan mogelijk de geïnstalleerde apps van een gebruiker inventariseren

Beschrijving: dit probleem is verholpen door middel van verbeterde gegevensbescherming.

CVE-2024-40830: Chloe Surett

Accessibility

Impact: een aanvaller met fysieke toegang tot een vergrendeld apparaat kan mogelijk apparaten in de buurt bedienen via toegankelijkheidsfuncties

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2024-44171: Chloe Surett

Accessibility

Impact: een aanvaller kan in hulpbedieningstoegang mogelijk recente foto's bekijken zonder identiteitscontrole

Beschrijving: dit probleem is verholpen door de aangeboden opties op een vergrendeld apparaat te beperken.

CVE-2024-40852: Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India

ARKit

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot heapbeschadiging

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-44126: Holger Fuhrmannek

Invoer toegevoegd op 28 oktober 2024

Cellular

Impact: een externe aanvaller kan een denial-of-service veroorzaken

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2024-27874: Tuan D. Hoang

Compression

Impact: het uitpakken van een kwaadwillig vervaardigd archief kan een aanvaller de mogelijkheid geven willekeurige bestanden te schrijven

Beschrijving: een race condition is verholpen door verbeterde vergrendeling.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Impact: een app kan mogelijk het scherm opnemen zonder indicator

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-27869: een anonieme onderzoeker

Core Bluetooth

Impact: een kwaadaardig Bluetooth-invoerapparaat kan mogelijk koppeling omzeilen

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2024-44124: Daniele Antonioli

FileProvider

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door een verbeterde validatie van symlinks.

CVE-2024-44131: @08Tc3wBB of Jamf

Game Center

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met bestandstoegang is verholpen door verbeterde invoervalidatie.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht afsluiten van een app

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2024-27880: Junsung Lee

ImageIO

Impact: het verwerken van een afbeelding kan leiden tot een denial-of-service

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2024-44176: dw0r van ZeroPointer Lab in samenwerking met Trend Micro Zero Day Initiative en een anonieme onderzoeker

IOSurfaceAccelerator

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: het probleem is verholpen door een verbeterde verwerking van het geheugen

CVE-2024-44169: Antonio Zekić

Kernel

Impact: netwerkverkeer kan buiten een VPN-tunnel terechtkomen

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2024-44165: Andrew Lytvynov

Kernel

Impact: een app kan ongeoorloofde toegang verkrijgen tot Bluetooth

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) en Mathy Vanhoef

libxml2

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.

CVE-2024-44198: OSS-Fuzz, en Ned Williamson van Google Project Zero

Mail Accounts

Impact: een app kan mogelijk toegang krijgen tot informatie over de contactpersonen van een gebruiker

Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

mDNSResponder

Impact: een app kan mogelijk een denial-of-service veroorzaken

Beschrijving: een logicaprobleem is verholpen door een verbeterde behandeling van fouten.

CVE-2024-44183: Olivier Levon

Model I/O

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot een denial-of-service

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID. is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2023-5841

NetworkExtension

Impact: een app kan mogelijk ongeoorloofde toegang verkrijgen tot het lokale netwerk

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2024-44147: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) en Mathy Vanhoef

Notes

Impact: een app kan mogelijk willekeurige bestanden overschrijven

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

CVE-2024-44167: ajajfxhj

Passwords

Impact: De automatische invoer van wachtwoorden kan wachtwoorden invullen na een mislukte identiteitscontrole

Beschrijving: een probleem met bevoegdheden is verholpen door de kwetsbare code te verwijderen en extra controles toe te voegen.

CVE-2024-44217: Bistrit Dahal, een anonieme onderzoeker, Joshua Keller

Invoer toegevoegd op 28 oktober 2024

Printing

Impact: een niet-versleuteld document kan naar een tijdelijk bestand worden geschreven bij het gebruik van een afdrukvoorbeeld

Beschrijving: een privacyprobleem is verholpen door verbeterde verwerking van bestanden.

CVE-2024-40826: een anonieme onderzoeker

Safari

Impact: kwaadwillig vervaardigd webmateriaal kan het iframe sandbox-beleid schenden

Beschrijving: een probleem met de verwerking van een aangepast URL-schema is verholpen door verbeterde invoervalidatie.

CVE-2024-44155: Narendra Bhati, Manager of Cyber Security bij Suma Soft Pvt. Ltd, Pune (India)

Invoer toegevoegd op 28 oktober 2024

Safari Private Browsing

Impact: tabbladen voor de privémodus zijn mogelijk zonder identiteitscontrole toegankelijk

Beschrijving: een probleem met identiteitscontrole is verholpen door verbeterd statusbeheer.

CVE-2024-44202: Kenneth Chew

Safari Private Browsing

Impact: tabbladen voor de privémodus zijn mogelijk zonder identiteitscontrole toegankelijk

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2024-44127: Anamika Adhikari

Sandbox

Impact: een app kan vertrouwelijke gebruikersgegevens vrijgeven

Beschrijving: dit probleem is verholpen door middel van verbeterde gegevensbescherming.

CVE-2024-40863: Csaba Fitzl (@theevilbit) van Kandji

Invoer Update op 28 oktober 2024

SceneKit

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van apps

Beschrijving: een bufferoverloop is verholpen door verbeterde groottevalidatie.

CVE-2024-44144: 냥냥

Invoer toegevoegd op 28 oktober 2024

Security

Impact: Een kwaadwillige app met rootprivileges kan toegang krijgen tot het toetsenbord en locatie-informatie zonder de toestemming van de gebruiker

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2024-44123: Wojciech Regula of SecuRing (wojciechregula.blog)

Invoer toegevoegd op 28 oktober 2024

Sidecar

Beschikbaar voor: iPad Pro 13-inch, iPad Pro 12.9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: Een aanvaller met fysieke toegang tot een macOS-apparaat met Sidecar ingeschakeld kan het vergrendelingsscherm mogelijk overbruggen

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2024-44145: Om Kothawade van Zaprico Digital, Omar A. Alanis van het UNTHSC College of Pharmacy

Invoer toegevoegd op 28 oktober 2024

Siri

Impact: Een aanvaller kan mogelijk Siri gebruiken om oproepen automatisch te beantwoorden

Beschrijving: dit probleem is verholpen door de aangeboden opties op een vergrendeld apparaat te beperken.

CVE-2024-40853: Chi Yuan Chang van ZUSO ART en taikosoup

Invoer toegevoegd op 28 oktober 2024

Siri

Impact: een aanvaller met fysieke toegang heeft mogelijk toegang tot contactpersonen via het toegangsscherm

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-44139: Srijan Poudel

CVE-2024-44180: Bistrit Dahal

Siri

Impact: een app kan mogelijk toegang krijgen tot gevoelige gebruikersgegevens

Beschrijving: een privacyprobleem is verholpen door vertrouwelijke gegevens naar een veiligere locatie te verplaatsen.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), en Rodolphe BRUNETTI (@eisw0lf)

Transparency

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

UIKit

Impact: een aanvaller kan de onverwachte beëindiging van apps veroorzaken

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-27879: Justin Cohen

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot universele cross-site-scripting

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

WebKit Bugzilla: 268724

CVE-2024-40857: Ron Masas

WebKit

Impact: een kwaadwillige website kan gegevens 'cross-origin' exfiltreren

Beschrijving: er was een cross-origin-probleem met iframe-elementen. Dit is verholpen door een verbeterde tracking van beveiligingsbronnen.

WebKit Bugzilla: 279452

CVE-2024-44187: Narendra Bhati, Manager of Cyber Security bij Suma Soft Pvt. Ltd, Pune (India)

Wi-Fi

Impact: een aanvaller kan de verbinding van een apparaat met een beveiligd netwerk mogelijk geforceerd verbreken

Beschrijving: een integriteitsprobleem met Beacon Protection is verholpen.

CVE-2024-40856: Domien Schepers

Aanvullende erkenning

Core Bluetooth

Met dank aan Nicholas C. of Onymos Inc. (onymos.com) voor de hulp.

Foundation

Met dank aan Ostorlab voor de hulp.

Installer

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India, Chi Yuan Chang van ZUSO ART en taikosoup, Christian Scalese, Ishan Boda, Shane Gallagher voor de hulp.

Invoer Update op 28 oktober 2024

Kernel

Met dank aan Braxton Anderson, Deutsche Telekom Security GmbH gesponsord door Bundesamt für Sicherheit in der Informationstechnik en Fakhri Zulkifli (@d0lph1n98) van PixiePoint Security voor de hulp.

Magnifier

Met dank aan Andr.Ess voor de hulp.

Maps

Met dank aan Kirin (@Pwnrin) voor de hulp.

Messages

Met dank aan Chi Yuan Chang van ZUSO ART en taikosoup voor de hulp.

MobileLockdown

Met dank aan Andr.Ess voor de hulp.

Notifications

Met dank aan een anonieme onderzoeker voor de hulp.

Passwords

Met dank aan Richard Hyunho Im (@r1cheeta) voor de hulp.

Photos

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India, Harsh Tyagi, Kenneth Chew, Leandro Chaves, Saurabh Kumar van Technocrat Institute of Technology Bhopal, Shibin B Shaji, Vishnu Prasad P G, UST en Yusuf Kelany voor de hulp.

Safari

Met dank aan Hafiizh en YoKo Kho (@yokoacc) van HakTrak en James Lee (@Windowsrcer) voor de hulp.

Shortcuts

Met dank aan Cristian Dinca van 'Tudor Vianu' National High School of Computer Science, Romania, Jacob Braun en een anonieme onderzoeker voor de hulp.

Siri

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India, Rohan Paudel, een anonieme onderzoeker voor de hulp.

Invoer Update op 28 oktober 2024

Spotlight

Met dank aan Paulo Henrique Batista Rosa de Castro (@paulohbrc) voor de hulp.

Invoer toegevoegd op 28 oktober 2024

Status Bar

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College Of Technology Bhopal India en Jacob Braun voor de hulp.

TCC

Met dank aan Vaibhav Prajapati voor de hulp.

UIKit

Met dank aan Andr.Ess voor de hulp.

Voice Memos

Met dank aan B voor de hulp.

WebKit

Met dank aan Avi Lumelsky of Oligo Security, Uri Katz of Oligo Security, Braylon (@softwarescool), Eli Grey (eligrey.com), Johan Carlsson (joaxcar), Numan Türle - Rıza Sabuncu voor de hulp.

Invoer Update op 28 oktober 2024

Wi-Fi

Met dank aan Antonio Zekic (@antoniozekic) en ant4g0nist, en Tim Michaud (@TimGMichaud) van Moveworks.ai voor de hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: 1 november 2024