Om sikkerhetsinnholdet i iOS 18.1 og iPadOS 18.1
Dette dokumentet beskriver sikkerhetsinnholdet i iOS 18.1 og iPadOS 18.1.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.
Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.
Hvis du vil ha mer informasjon om sikkerhet, kan du gå til siden for Apple-produktsikkerhet.
Om sikkerhetsinnholdet i iOS 18.1 og iPadOS 18.1
Utgitt 28. oktober 2024
Accessibility
Tilgjengelig for: iPhone XS og nyere
Virkning: En angriper med fysisk tilgang til en låst enhet kan være i stand til å se sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst gjennom forbedret autentisering.
CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin
App Support
Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En skadelig app kan være i stand til å kjøre vilkårlige snarveier uten brukerens samtykke
Beskrivelse: Et problem med banehåndtering ble løst gjennom forbedret logikk.
CVE-2024-44255: en anonym forsker
AppleAVD
Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Behandling av en skadelig videofil kan føre til uventet systemavslutning
Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.
CVE-2024-44232: Ivan Fratric fra Google Project Zero
CVE-2024-44233: Ivan Fratric fra Google Project Zero
CVE-2024-44234: Ivan Fratric fra Google Project Zero
Oppføring lagt til 1. november 2024
CoreMedia Playback
Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En skadelig app kan få tilgang til privat informasjon
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av symlinks.
CVE-2024-44273: pattern-f (@pattern_F_), Hikerell fra Loadshine Lab
CoreText
Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-44240: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative
CVE-2024-44302: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative
Foundation
Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Behandling av en fil kan føre til at brukerinformasjon avsløres
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2024-44282: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative
ImageIO
Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Behandling av bilder kan føre til at prosessminne avsløres
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-44215: Junsung Lee i samarbeid med Trend Micro Zero Day Initiative
ImageIO
Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Behandling av en skadelig melding kan føre til tjenestenekt
Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.
CVE-2024-44297: Jex Amro
IOSurface
Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan forårsake uventet systemavslutning eller korrumpere kjerneminnet
Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.
CVE-2024-44285: en anonym forsker
iTunes
Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En ekstern angriper kan være i stand til å bryte seg ut av sandkassen Nettinnhold
Beskrivelse: Et problem med håndtering av egendefinert URL-oppsett ble løst med forbedret inndatavalidering.
CVE-2024-40867: Ziyi Zhou (@Shanghai Jiao Tong University), Tianxiao Hou (@Shanghai Jiao Tong University)
Kernel
Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan lekke sensitiv kjernetilstand
Beskrivelse: Et problem med informasjonsdeling ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2024-44239: Mateusz Krzywicki (@krzywix)
Managed Configuration
Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Gjenoppretting av en skadelig sikkerhetskopifil kan føre til modifikasjon av beskyttede systemfiler
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av symlinks.
CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak
MobileBackup
Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Gjenoppretting av en skadelig sikkerhetskopifil kan føre til modifikasjon av beskyttede systemfiler
Beskrivelse: Et logikkproblem ble løst gjennom forbedret filhåndtering.
CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)
Pro Res
Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan forårsake uventet systemavslutning eller korrumpere kjerneminnet
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2024-44277: en anonym forsker og Yinyi Wu (@_3ndy1) fra Dawn Security Lab fra JD.com, Inc.
Safari Downloads
Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En angriper kan være i stand til å misbruke et klareringsforhold for å laste ned ondsinnet innhold
Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.
CVE-2024-44259: Narendra Bhati, Leder for Cyber Security ved Suma Soft Pvt. Ltd, Pune (India)
Safari Private Browsing
Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Privat nettlesing kan lekke deler av nettleserloggen
Beskrivelse: En informasjonslekkasje ble løst gjennom tilleggsvalidering.
CVE-2024-44229: Lucas Di Tomase
SceneKit
Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Behandling av en skadelig fil kan føre til skade i heapen
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-44218: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative
Shortcuts
Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Et program kan få tilgang til sensitive brukerdata
Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.
CVE-2024-44254: Kirin (@Pwnrin)
Shortcuts
Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En skadelig app kan bruke snarveier for å få tilgang til begrensede filer
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2024-44269: en anonym forsker
Siri
Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Et program kan få tilgang til sensitive brukerdata
Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.
CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)
Siri
Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En angriper med fysisk tilgang kan få tilgang til kontaktbilder fra låst skjerm
Beskrivelse: Dette problemet ble løst gjennom begrensning av valgene som tilbys på en låst enhet.
CVE-2024-40851: Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal India, Srijan Poudel
Siri
Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2024-44263: Kirin (@Pwnrin) og 7feilee
Siri
Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En sandkasseapp kan få tilgang til sensitive brukerdata i systemlogger
Beskrivelse: Et problem med informasjonsdeling ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2024-44278: Kirin (@Pwnrin)
Spotlight
Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En angriper kan se begrenset innhold på låst skjerm
Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.
CVE-2024-44251: Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College fra Technology Bhopal India
Spotlight
Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En angriper kan se begrenset innhold på låst skjerm
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-44235: Rizki Maulana (rmrizki.my.id), Dalibor Milanovic, Richard Hyunho Im (@richeeta) fra Route Zero Security
VoiceOver
Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En angriper kan se begrenset innhold på låst skjerm
Beskrivelse: Dette problemet ble løst gjennom begrensning av valgene som tilbys på en låst enhet.
CVE-2024-44261: Braylon (@softwarescool)
WebKit
Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Behandling av nettinnhold med ondsinnet utforming kan forhindre håndheving av regler for innholdssikkerhet
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
WebKit Bugzilla: 278765
CVE-2024-44296: Narendra Bhati, Leder for Cyber Security ved Suma Soft Pvt. Ltd, Pune (India)
WebKit
Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.
WebKit Bugzilla: 279780
CVE-2024-44244: En anonym forsker, Q1IQ (@q1iqF) og P1umer (@p1umer)
Ytterligere anerkjennelser
Accessibility
Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) hos Lakshmi Narain College of Technology Bhopal India, Chi Yuan Chang hos ZUSO ART og taikosoup for hjelpen.
App Store
Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) hos Lakshmi Narain College of Technology Bhopal India, Chi Yuan Chang hos ZUSO ART og taikosoup for hjelpen.
Calculator
Vi vil gjerne takke Kenneth Chew for hjelpen.
Calendar
Vi vil gjerne takke K宝(@Pwnrin) for hjelpen.
Camera
Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal i India for hjelpen.
Files
Vi vil gjerne takke Chi Yuan Chang fra ZUSO ART og taikosoup, Christian Scalese for hjelpen.
ImageIO
Vi vil gjerne takke Amir Bazine og Karsten König fra CrowdStrike Counter Adversary Operations, en anonym forsker for hjelpen.
Messages
Vi vil gjerne takke Collin Potter, en anonym forsker for hjelpen.
NetworkExtension
Vi vil gjerne takke Patrick Wardle fra DoubleYou og Objective-See Foundation for hjelpen.
Personalization Services
Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College og Technology Bhopal India, Bistrit Dahal for hjelpen.
Photos
Vi vil gjerne takke James Robertson, Kamil Bourouiba for hjelpen.
Safari Private Browsing
Vi vil gjerne takke en anonym forsker, r00tdaddy, for hjelpen.
Safari Tabs
Vi vil gjerne takke Jaydev Ahire for hjelpen.
Security
Vi vil gjerne takke Bing Shi, Wenchao Li og Xiaolong Bai fra Alibaba Group for hjelpen.
Settings
Vi vil gjerne takke Chi Yuan Chang fra ZUSO ART og taikosoup, JS for hjelpen.
Siri
Vi vil gjerne takke Bistrit Dahal for hjelpen.
Spotlight
Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra LNCT Bhopal og C-DAC Thiruvananthapuram India for hjelpen.
Time Zone
Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal India og Siddharth Choubey for hjelpen.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.