Om sikkerhetsinnholdet i iOS 18.1 og iPadOS 18.1

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 18.1 og iPadOS 18.1.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Hvis du vil ha mer informasjon om sikkerhet, kan du gå til siden for Apple-produktsikkerhet.

Om sikkerhetsinnholdet i iOS 18.1 og iPadOS 18.1

Utgitt 28. oktober 2024

Accessibility

Tilgjengelig for: iPhone XS og nyere

Virkning: En angriper med fysisk tilgang til en låst enhet kan være i stand til å se sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst gjennom forbedret autentisering.

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

App Support

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En skadelig app kan være i stand til å kjøre vilkårlige snarveier uten brukerens samtykke

Beskrivelse: Et problem med banehåndtering ble løst gjennom forbedret logikk.

CVE-2024-44255: en anonym forsker

AppleAVD

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av en skadelig videofil kan føre til uventet systemavslutning

Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.

CVE-2024-44232: Ivan Fratric fra Google Project Zero

CVE-2024-44233: Ivan Fratric fra Google Project Zero

CVE-2024-44234: Ivan Fratric fra Google Project Zero

Oppføring lagt til 1. november 2024

CoreMedia Playback

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En skadelig app kan få tilgang til privat informasjon

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av symlinks.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell fra Loadshine Lab

CoreText

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-44240: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

Foundation

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av en fil kan føre til at brukerinformasjon avsløres

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2024-44282: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

ImageIO

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av bilder kan føre til at prosessminne avsløres

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-44215: Junsung Lee i samarbeid med Trend Micro Zero Day Initiative

ImageIO

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av en skadelig melding kan føre til tjenestenekt

Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.

CVE-2024-44297: Jex Amro

IOSurface

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan forårsake uventet systemavslutning eller korrumpere kjerneminnet

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2024-44285: en anonym forsker

iTunes

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En ekstern angriper kan være i stand til å bryte seg ut av sandkassen Nettinnhold

Beskrivelse: Et problem med håndtering av egendefinert URL-oppsett ble løst med forbedret inndatavalidering.

CVE-2024-40867: Ziyi Zhou (@Shanghai Jiao Tong University), Tianxiao Hou (@Shanghai Jiao Tong University)

Kernel

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan lekke sensitiv kjernetilstand

Beskrivelse: Et problem med informasjonsdeling ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Managed Configuration

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Gjenoppretting av en skadelig sikkerhetskopifil kan føre til modifikasjon av beskyttede systemfiler

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av symlinks.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Gjenoppretting av en skadelig sikkerhetskopifil kan føre til modifikasjon av beskyttede systemfiler

Beskrivelse: Et logikkproblem ble løst gjennom forbedret filhåndtering.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan forårsake uventet systemavslutning eller korrumpere kjerneminnet

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-44277: en anonym forsker og Yinyi Wu (@_3ndy1) fra Dawn Security Lab fra JD.com, Inc.

Safari Downloads

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En angriper kan være i stand til å misbruke et klareringsforhold for å laste ned ondsinnet innhold

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2024-44259: Narendra Bhati, Leder for Cyber Security ved Suma Soft Pvt. Ltd, Pune (India)

Safari Private Browsing

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Privat nettlesing kan lekke deler av nettleserloggen

Beskrivelse: En informasjonslekkasje ble løst gjennom tilleggsvalidering.

CVE-2024-44229: Lucas Di Tomase

SceneKit

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av en skadelig fil kan føre til skade i heapen

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-44218: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative

Shortcuts

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Et program kan få tilgang til sensitive brukerdata

Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.

CVE-2024-44254: Kirin (@Pwnrin)

Shortcuts

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En skadelig app kan bruke snarveier for å få tilgang til begrensede filer

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2024-44269: en anonym forsker

Siri

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Et program kan få tilgang til sensitive brukerdata

Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En angriper med fysisk tilgang kan få tilgang til kontaktbilder fra låst skjerm

Beskrivelse: Dette problemet ble løst gjennom begrensning av valgene som tilbys på en låst enhet.

CVE-2024-40851: Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal India, Srijan Poudel

Siri

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2024-44263: Kirin (@Pwnrin) og 7feilee

Siri

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En sandkasseapp kan få tilgang til sensitive brukerdata i systemlogger

Beskrivelse: Et problem med informasjonsdeling ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2024-44278: Kirin (@Pwnrin)

Spotlight

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En angriper kan se begrenset innhold på låst skjerm

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2024-44251: Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College fra Technology Bhopal India

Spotlight

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En angriper kan se begrenset innhold på låst skjerm

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-44235: Rizki Maulana (rmrizki.my.id), Dalibor Milanovic, Richard Hyunho Im (@richeeta) fra Route Zero Security

VoiceOver

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En angriper kan se begrenset innhold på låst skjerm

Beskrivelse: Dette problemet ble løst gjennom begrensning av valgene som tilbys på en låst enhet.

CVE-2024-44261: Braylon (@softwarescool)

WebKit

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av nettinnhold med ondsinnet utforming kan forhindre håndheving av regler for innholdssikkerhet

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

WebKit Bugzilla: 278765

CVE-2024-44296: Narendra Bhati, Leder for Cyber Security ved Suma Soft Pvt. Ltd, Pune (India)

WebKit

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.

WebKit Bugzilla: 279780

CVE-2024-44244: En anonym forsker, Q1IQ (@q1iqF) og P1umer (@p1umer)

Ytterligere anerkjennelser

Accessibility

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) hos Lakshmi Narain College of Technology Bhopal India, Chi Yuan Chang hos ZUSO ART og taikosoup for hjelpen.

App Store

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) hos Lakshmi Narain College of Technology Bhopal India, Chi Yuan Chang hos ZUSO ART og taikosoup for hjelpen.

Calculator

Vi vil gjerne takke Kenneth Chew for hjelpen.

Calendar

Vi vil gjerne takke K宝(@Pwnrin) for hjelpen.

Camera

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal i India for hjelpen.

Files

Vi vil gjerne takke Chi Yuan Chang fra ZUSO ART og taikosoup, Christian Scalese for hjelpen.

ImageIO

Vi vil gjerne takke Amir Bazine og Karsten König fra CrowdStrike Counter Adversary Operations, en anonym forsker for hjelpen.

Messages

Vi vil gjerne takke Collin Potter, en anonym forsker for hjelpen.

NetworkExtension

Vi vil gjerne takke Patrick Wardle fra DoubleYou og Objective-See Foundation for hjelpen.

Personalization Services

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College og Technology Bhopal India, Bistrit Dahal for hjelpen.

Photos

Vi vil gjerne takke James Robertson, Kamil Bourouiba for hjelpen.

Safari Private Browsing

Vi vil gjerne takke en anonym forsker, r00tdaddy, for hjelpen.

Safari Tabs

Vi vil gjerne takke Jaydev Ahire for hjelpen.

Security

Vi vil gjerne takke Bing Shi, Wenchao Li og Xiaolong Bai fra Alibaba Group for hjelpen.

Settings

Vi vil gjerne takke Chi Yuan Chang fra ZUSO ART og taikosoup, JS for hjelpen.

Siri

Vi vil gjerne takke Bistrit Dahal for hjelpen.

Spotlight

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra LNCT Bhopal og C-DAC Thiruvananthapuram India for hjelpen.

Time Zone

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal India og Siddharth Choubey for hjelpen.

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: