Over de beveiligingsinhoud van iOS 18.2 en iPadOS 18.2

In dit document wordt de beveiligingsinhoud van iOS 18.2 en iPadOS 18.2 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

iOS 18.2 en iPadOS 18.2

Releasedatum: 11 december 2024

Accounts

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: foto's in het album 'Verborgen' kunnen mogelijk zonder validatie worden bekeken

Beschrijving: een logicaprobleem is verholpen door verbeterd bestandsbeheer.

CVE-2024-54488: Benjamin Hornbeck, Skadz (@skadz108), Chi Yuan Chang van ZUSO ART en taikosoup

Toegevoegd op 27 januari 2025

APFS

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2024-54541: Arsenii Kostromin (0x3c3e) en een anonieme onderzoeker

Toegevoegd op 27 januari 2025

AppleMobileFileIntegrity

Impact: een kwaadwillige app kan mogelijk toegang krijgen tot privégegevens

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2024-54527: Mickey Jin (@patch1t)

Audio

Impact: het dempen van een overgaande oproep werkt mogelijk niet

Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen door verbeterd statusbeheer.

CVE-2024-54503: Micheal Chukwu en een anonieme onderzoeker

Contacts

Impact: een app kan mogelijk automatisch aangevulde contactgegevens uit Berichten en Mail zien in systeemlogbestanden

Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.

CVE-2024-54550: Smi1e (@Smi1eSEC)

Toegevoegd op 27 januari 2025

Crash Reporter

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een machtigingsprobleem is verholpen met aanvullende beperkingen.

CVE-2024-54513: een anonieme onderzoeker

Face Gallery

Impact: een binair systeembestand kan worden gebruikt voor fingerprinting van de Apple Account van een gebruiker

Beschrijving: het probleem is verholpen door de betreffende vlaggen te verwijderen.

CVE-2024-54512: Bistrit Dahal

Toegevoegd op 27 januari 2025

FontParser

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-54486: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative

ICU

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2024-54478: Gary Kwong

Toegevoegd op 27 januari 2025

ImageIO

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2024-54499: anoniem in samenwerking met Trend Micro Zero Day Initiative

Toegevoegd op 27 januari 2025

ImageIO

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot openbaarmaking van procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-54500: Junsung Lee in samenwerking met Trend Micro Zero Day Initiative

IOMobileFrameBuffer

Impact: een app kan mogelijk coprocessorgeheugen beschadigen

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2024-54517: Ye Zhang (@VAR10CK) van Baidu Security

CVE-2024-54518: Ye Zhang (@VAR10CK) van Baidu Security

CVE-2024-54522: Ye Zhang (@VAR10CK) van Baidu Security

CVE-2024-54523: Ye Zhang (@VAR10CK) van Baidu Security

Toegevoegd op 27 januari 2025

Kernel

Impact: een app kan buiten zijn sandbox komen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-54468: een anonieme onderzoeker

Toegevoegd op 27 januari 2025

Kernel

Impact: een aanvaller met gebruikersbevoegdheden kan mogelijk kernelgeheugen lezen

Beschrijving: een type confusion-probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-54507: Joseph Ravichandran (@0xjprx) van MIT CSAIL

Toegevoegd op 27 januari 2025

Kernel

Impact: een aanvaller kan mogelijk een alleen-lezen geheugentoewijzing maken waarnaar kan worden geschreven

Beschrijving: een race condition is verholpen door aanvullende validatie.

CVE-2024-54494: sohybbyk

Kernel

Impact: een app kan gevoelige kernelstatus vrijgeven

Beschrijving: een race condition is verholpen door verbeterde vergrendeling.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) van MIT CSAIL

Kernel

Impact: een app kan zorgen voor het onverwacht beëindigen van corrupt kernelgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-44245: een anonieme onderzoeker

libexpat

Impact: een externe aanvaller kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2024-45490

libxpc

Impact: een app kan buiten zijn sandbox komen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-54514: een anonieme onderzoeker

libxpc

Impact: een app kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

Passkeys

Impact: De automatische invoer van wachtwoorden kan wachtwoorden invullen na een mislukte identiteitscontrole

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) van C-DAC Thiruvananthapuram India, Rakeshkumar Talaviya

Toegevoegd op 27 januari 2025

Passwords

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk netwerkverkeer wijzigen

Beschrijving: dit probleem is verholpen door HTTPS te gebruiken bij het verzenden van informatie over het netwerk.

CVE-2024-54492: Talal Haj Bakry en Tommy Mysk van Mysk Inc. (@mysk_co)

QuartzCore

Impact: het verwerken van webmateriaal kan leiden tot een denial-of-service

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-54497: anoniem in samenwerking met Trend Micro Zero Day Initiative

Toegevoegd op 27 januari 2025

Safari

Impact: op een apparaat waarop Privédoorgifte is ingeschakeld, kan het toevoegen van een website aan de leeslijst van Safari het IP-adres van de website onthullen

Beschrijving: het probleem is verholpen door een verbeterde routering van verzoeken afkomstig uit Safari.

CVE-2024-44246: Jacob Braun

Safari Private Browsing

Impact: tabbladen voor de privémodus zijn mogelijk zonder identiteitscontrole toegankelijk

Beschrijving: een probleem met identiteitscontrole is verholpen door verbeterd statusbeheer.

CVE-2024-54542: Rei (@reizydev), Kenneth Chew

Toegevoegd op 27 januari 2025

SceneKit

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot een denial of service

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-54501: Michael DePlante (@izobashi) van Trend Micro Zero Day Initiative

Vim

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot heapbeschadiging

CVE-2024-45306

Toegevoegd op 27 januari 2025

VoiceOver

Impact: een aanvaller met fysieke toegang tot een iOS-apparaat heeft mogelijk toegang tot informatie uit meldingen op het toegangsscherm

Beschrijving: dit probleem is verholpen door extra logica toe te voegen.

CVE-2024-54485: Abhay Kailasia (@abhay_kailasia) van C-DAC Thiruvananthapuram India

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde controles.

WebKit Bugzilla: 278497

CVE-2024-54479: Seunghyun Lee

WebKit Bugzilla: 281912

CVE-2024-54502: Brendon Tiszka van Google Project Zero

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 282180

CVE-2024-54508: linjy van HKUS3Lab en chluo van WHUSecLab, Xiangwei Zhang van Tencent Security YUNDING LAB

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot geheugenbeschadiging

Beschrijving: een type confusion-probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 282661

CVE-2024-54505: Gary Kwong

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot geheugenbeschadiging

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 277967

CVE-2024-54534: Tashita Software Security

WebKit Bugzilla: 282450

CVE-2024-54543: Lukas Bernhard, Gary Kwong en een anonieme onderzoeker

Bijgewerkt op 27 januari 2025

Aanvullende erkenning

Accessibility

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India, Andr.Ess, Jake Derouin, Jason Gendron (@gendron_jason) voor de hulp.

App Protection

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India voor de hulp.

Calendar

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India voor de hulp.

FaceTime

Met dank aan 椰椰 voor de hulp.

FaceTime Foundation

Met dank aan Joshua Pellecchia voor de hulp.

Family Sharing

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India, J T voor de hulp.

Files

Met dank aan Christian Scalese voor de hulp.

Toegevoegd op 27 januari 2025

Notes

Met dank aan Katzenfutter voor de hulp.

Photos

Met dank aan Bistrit Dahal, Chi Yuan Chang van ZUSO ART en taikosoup, Finlay James (@Finlay1010), Rizki Maulana (rmrizki.my.id), Srijan Poudel voor de hulp.

Photos Storage

Met dank aan Jake Derouin (jakederouin.com) voor de hulp.

Proximity

Met dank aan Junming C. (@Chapoly1305) en Prof. Qiang Zeng van George Mason University voor de hulp.

Quick Response

Met dank aan een anonieme onderzoeker voor de hulp.

Safari

Met dank aan Jayateertha Guruprasad voor de hulp.

Safari Private Browsing

Met dank aan Richard Hyunho Im (@richeeta) van Route Zero Security voor de hulp.

Settings

Met dank aan Akshith Muddasani, Bistrit Dahal, Emanuele Slusarz en Abhishek Kanaujia voor de hulp.

Bijgewerkt op 27 januari 2025

Siri

Met dank aan Srijan Poudel en Bistrit Dahal voor de hulp.

Bijgewerkt op 27 januari 2025

Spotlight

Met dank aan Abhay Kailasia (@abhay_kailasia) van LNCT Bhopal and C-DAC Thiruvananthapuram India voor de hulp.

Status Bar

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India, Andr.Ess voor de hulp.

Swift

Met dank aan Marc Schoenefeld, Dr. rer. nat. voor de hulp.

Time Zone

Met dank aan Abhay Kailasia (@abhay_kailasia) van LNCT Bhopal and C-DAC Thiruvananthapuram India voor de hulp.

WebKit

Met dank aan Hafiizh voor de hulp.

WindowServer

Met dank aan Felix Kratz voor de hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: 1 februari 2025