Om sikkerhetsinnholdet i iOS 18.1 og iPadOS 18.1

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 18.1 og iPadOS 18.1.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Mer informasjon finnes på siden for Apple-produktsikkerhet.

iOS 18.1 og iPadOS 18.1

Utgitt 28. oktober 2024

Accessibility

Tilgjengelig for: iPhone XS og nyere

Virkning: En angriper med fysisk tilgang til en låst enhet kan være i stand til å se sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst gjennom forbedret autentisering.

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

App Support

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En skadelig app kan være i stand til å kjøre vilkårlige snarveier uten brukerens samtykke

Beskrivelse: Et problem med banehåndtering ble løst gjennom forbedret logikk.

CVE-2024-44255: en anonym forsker

AppleAVD

Virkning: Behandling av en skadelig videofil kan føre til uventet systemavslutning

Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.

CVE-2024-44232: Ivan Fratric fra Google Project Zero

CVE-2024-44233: Ivan Fratric fra Google Project Zero

CVE-2024-44234: Ivan Fratric fra Google Project Zero

Oppføring lagt til 1. november 2024

CoreMedia Playback

Virkning: En skadelig app kan få tilgang til privat informasjon

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av symlinks.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell fra Loadshine Lab

CoreText

Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-44240: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

Foundation

Virkning: Behandling av en fil kan føre til at brukerinformasjon avsløres

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2024-44282: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

ImageIO

Virkning: Behandling av bilder kan føre til at prosessminne avsløres

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-44215: Junsung Lee i samarbeid med Trend Micro Zero Day Initiative

ImageIO

Virkning: Behandling av en skadelig melding kan føre til tjenestenekt

Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.

CVE-2024-44297: Jex Amro

IOMobileFrameBuffer

Virkning: En angriper kan forårsake uventet systemavslutning eller kjøring av vilkårlig kode i DCP-firmware

Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.

CVE-2024-44299: Ye Zhang (@VAR10CK) fra Baidu Security

CVE-2024-44241: Ye Zhang (@VAR10CK) fra Baidu Security

CVE-2024-44242: Ye Zhang (@VAR10CK) fra Baidu Security

Oppføring lagt til 11. desember 2024

IOSurface

Virkning: En app kan forårsake uventet systemavslutning eller korrumpere kjerneminnet

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2024-44285: en anonym forsker

iTunes

Virkning: En ekstern angriper kan være i stand til å bryte seg ut av sandkassen Nettinnhold

Beskrivelse: Et problem med håndtering av egendefinert URL-oppsett ble løst med forbedret inndatavalidering.

CVE-2024-40867: Ziyi Zhou (@Shanghai Jiao Tong University), Tianxiao Hou (@Shanghai Jiao Tong University)

Kernel

Virkning: En app kan lekke sensitiv kjernetilstand

Beskrivelse: Et problem med informasjonsdeling ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

libarchive

Virkning: Behandling av en skadelig fil kan føre til tjenestenekt

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-44201: Ben Roeder

Oppføring lagt til 11. desember 2024

Managed Configuration

Virkning: Gjenoppretting av en skadelig sikkerhetskopifil kan føre til modifikasjon av beskyttede systemfiler

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av symlinks.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Virkning: Gjenoppretting av en skadelig sikkerhetskopifil kan føre til modifikasjon av beskyttede systemfiler

Beskrivelse: Et logikkproblem ble løst gjennom forbedret filhåndtering.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res

Virkning: En app kan forårsake uventet systemavslutning eller korrumpere kjerneminnet

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-44277: en anonym forsker og Yinyi Wu (@_3ndy1) fra Dawn Security Lab fra JD.com, Inc.

Safari Downloads

Virkning: En angriper kan være i stand til å misbruke et klareringsforhold for å laste ned ondsinnet innhold

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2024-44259: Narendra Bhati, Leder for Cyber Security ved Suma Soft Pvt. Ltd, Pune (India)

Safari Private Browsing

Virkning: Privat nettlesing kan lekke deler av nettleserloggen

Beskrivelse: En informasjonslekkasje ble løst gjennom tilleggsvalidering.

CVE-2024-44229: Lucas Di Tomase

SceneKit

Virkning: Behandling av en skadelig fil kan føre til skade i heapen

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-44218: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative

Security

Virkning: En ekstern angriper kan forårsake tjenestenekt

Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret inndatavalidering.

CVE-2024-54538: Bing Shi, Wenchao Li og Xiaolong Bai fra Alibaba Group og Luyi Xing fra Indiana University Bloomington

Oppføring lagt til 19. desember 2024

Shortcuts

Virkning: Et program kan få tilgang til sensitive brukerdata

Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.

CVE-2024-44254: Kirin (@Pwnrin)

Shortcuts

Virkning: En skadelig app kan bruke snarveier for å få tilgang til begrensede filer

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2024-44269: Kirin (@Pwnrin) og en anonym forsker

Oppføring oppdatert 11. desember 2024

Siri

Virkning: Et program kan få tilgang til sensitive brukerdata

Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri

Virkning: En angriper med fysisk tilgang kan få tilgang til kontaktbilder fra låst skjerm

Beskrivelse: Dette problemet ble løst gjennom begrensning av valgene som tilbys på en låst enhet.

CVE-2024-40851: Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal India, Srijan Poudel

Siri

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2024-44263: Kirin (@Pwnrin) og 7feilee

Siri

Virkning: En sandkasseapp kan få tilgang til sensitive brukerdata i systemlogger

Beskrivelse: Et problem med informasjonsdeling ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2024-44278: Kirin (@Pwnrin)

Siri

Virkning: En app kan få tilgang til sensitiv stedsinformasjon

Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.

CVE-2024-44200: Cristian Dinca (icmd.tech)

Oppføring lagt til 11. desember 2024

Spotlight

Virkning: En angriper kan se begrenset innhold på låst skjerm

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2024-44251: Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College fra Technology Bhopal India

Spotlight

Virkning: En angriper kan se begrenset innhold på låst skjerm

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-44235: Rizki Maulana (rmrizki.my.id), Dalibor Milanovic, Richard Hyunho Im (@richeeta) fra Route Zero Security

VoiceOver

Virkning: En angriper kan se begrenset innhold på låst skjerm

Beskrivelse: Dette problemet ble løst gjennom begrensning av valgene som tilbys på en låst enhet.

CVE-2024-44261: Braylon (@softwarescool)

Weather

Virkning: En app kan være i stand til å fastslå brukerens nåværende posisjon

Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.

CVE-2024-44290: Kirin (@Pwnrin)

Oppføring lagt til 11. desember 2024

WebKit

Virkning: Informasjonskapsler som tilhører ett opphav kan bli sendt til et annet opphav

Beskrivelse: Et problem med informasjonskapsler ble løst med forbedret tilstandshåndtering.

WebKit Bugzilla: 279226

CVE-2024-44212: Wojciech Regula fra SecuRing (wojciechregula.blog)

Oppføring lagt til 11. desember 2024

WebKit

Virkning: Behandling av nettinnhold med ondsinnet utforming kan forhindre håndheving av regler for innholdssikkerhet

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

WebKit Bugzilla: 278765

CVE-2024-44296: Narendra Bhati, Leder for Cyber Security ved Suma Soft Pvt. Ltd, Pune (India)

WebKit

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.

WebKit Bugzilla: 279780

CVE-2024-44244: En anonym forsker, Q1IQ (@q1iqF) og P1umer (@p1umer)

Ytterligere anerkjennelser

Accessibility

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) hos Lakshmi Narain College of Technology Bhopal India, Chi Yuan Chang hos ZUSO ART og taikosoup for hjelpen.

App Store

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal India, Chi Yuan Chang fra ZUSO ART, taikosoup og CARRY for hjelpen.

Oppføring oppdatert 11. desember 2024

Calculator

Vi vil gjerne takke Kenneth Chew for hjelpen.

Calendar

Vi vil gjerne takke K宝(@Pwnrin) for hjelpen.

Camera

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal i India for hjelpen.

Files

Vi vil gjerne takke Chi Yuan Chang fra ZUSO ART og taikosoup, Christian Scalese for hjelpen.

ImageIO

Vi vil gjerne takke Amir Bazine og Karsten König fra CrowdStrike Counter Adversary Operations, en anonym forsker for hjelpen.

Messages

Vi vil gjerne takke Collin Potter, en anonym forsker for hjelpen.

NetworkExtension

Vi vil gjerne takke Patrick Wardle fra DoubleYou og Objective-See Foundation for hjelpen.

Personalization Services

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College og Technology Bhopal India, Bistrit Dahal for hjelpen.

Photos

Vi vil gjerne takke James Robertson, Kamil Bourouiba for hjelpen.

Safari Private Browsing

Vi vil gjerne takke en anonym forsker og Jacob Compton for hjelpen.

Oppføring oppdatert 11. desember 2024

Safari Tabs

Vi vil gjerne takke Jaydev Ahire for hjelpen.

Settings

Vi vil gjerne takke JS, Srijan Poudel, Abhay Kailasia (@abhay_kailasia) fra LNCT Bhopal og C-DAC Thiruvananthapuram India, Chi Yuan Chang fra ZUSO ART, taikosoup og CARRY for hjelpen.

Oppføring oppdatert 11. desember 2024

Siri

Vi vil gjerne takke Bistrit Dahal for hjelpen.

Spotlight

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra LNCT Bhopal og C-DAC Thiruvananthapuram India for hjelpen.

Time Zone

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal India og Siddharth Choubey for hjelpen.

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: 31. desember 2024