Om sikkerhetsinnholdet i iOS 18.2 og iPadOS 18.2

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 18.2 og iPadOS 18.2.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Mer informasjon finnes på siden for Apple-produktsikkerhet.

iOS 18.2 og iPadOS 18.2

Utgitt 11. desember 2024

Accounts

Tilgjengelig for iPhone XS og nyere, 13-tommers iPad Pro, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (7. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Bilder i Skjulte bilder-albumet kan være tilgjengelige uten autentisering

Beskrivelse: Et logikkproblem ble løst gjennom forbedret filhåndtering.

CVE-2024-54488: Benjamin Hornbeck, Skadz (@skadz108), Chi Yuan Chang fra ZUSO ART og taikosoup

Oppføring lagt til 27. januar 2025

APFS

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2024-54541: Arsenii Kostromin (0x3c3e) og en anonym forsker

Oppføring lagt til 27. januar 2025

AppleMobileFileIntegrity

Virkning: En skadelig app kan få tilgang til privat informasjon

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-54527: Mickey Jin (@patch1t)

Audio

Virkning: Hvis en samtale dempes mens man ringer, kan det hende at dempingen ikke aktiveres

Beskrivelse: Et problem med inkonsistent brukergrensesnitt ble løst gjennom forbedret tilstandshåndtering.

CVE-2024-54503: Micheal Chukwu og en anonym forsker

Contacts

Virkning: En app kan være i stand til å se automatisk utfylt kontaktinformasjon fra Meldinger og Mail i systemlogger

Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.

CVE-2024-54550: Smi1e (@Smi1eSEC)

Oppføring lagt til 27. januar 2025

Crash Reporter

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2024-54513: en anonym forsker

Face Gallery

Virkning: Et systembinærtall kunne brukes til å identifisere Apple-kontoen til en bruker

Beskrivelse: Problemet ble løst ved å fjerne de relevante flaggene.

CVE-2024-54512: Bistrit Dahal

Oppføring lagt til 27. januar 2025

FontParser

Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-54486: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

ICU

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2024-54478: Gary Kwong

Oppføring lagt til 27. januar 2025

ImageIO

Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2024-54499: en anonym forsker i samarbeid med Trend Micro Zero Day Initiative

Oppføring lagt til 27. januar 2025

ImageIO

Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-54500: Junsung Lee i samarbeid med Trend Micro Zero Day Initiative

IOMobileFrameBuffer

Virkning: En app kan skade koprosessorens minne

Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.

CVE-2024-54517: Ye Zhang (@VAR10CK) fra Baidu Security

CVE-2024-54518: Ye Zhang (@VAR10CK) fra Baidu Security

CVE-2024-54522: Ye Zhang (@VAR10CK) fra Baidu Security

CVE-2024-54523: Ye Zhang (@VAR10CK)fra Baidu Security

Oppføring lagt til 27. januar 2025

Kernel

Virkning: En app kan bryte ut av sandkassen

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-54468: en anonym forsker

Oppføring lagt til 27. januar 2025

Kernel

Virkning: En angriper med brukerrettigheter kan være i stand til å lese kjerneminne

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.

CVE-2024-54507: Joseph Ravichandran (@0xjprx) fra MIT CSAIL

Oppføring lagt til 27. januar 2025

Kernel

Virkning: En angriper kan være i stand til å opprette en skrivebeskyttet minnetilordning som er skrivbar

Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.

CVE-2024-54494: sohybbyk

Kernel

Virkning: En app kan lekke sensitiv kjernetilstand

Beskrivelse: En kappløpssituasjon ble løst gjennom forbedret låsing.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) fra MIT CSAIL

Kernel

Virkning: En app kan forårsake uventet systemavslutning eller korrumpere kjerneminnet

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-44245: en anonym forsker

libexpat

Virkning: En ekstern bruker kan forårsake uventet avslutning av et program eller utføring av vilkårlig kode

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om dette problemet og CVE-ID-en på cve.org.

CVE-2024-45490

libxpc

Virkning: En app kan bryte ut av sandkassen

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-54514: en anonym forsker

libxpc

Virkning: Et program kan være i stand til å få opphøyde rettigheter

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

Passkeys

Virkning: Automatisk utfylling av passord kan fylle ut passord etter mislykket godkjenning

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) fra C-DAC Thiruvananthapuram India, Rakeshkumar Talaviya

Oppføring lagt til 27. januar 2025

Passwords

Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å endre nettverkstrafikk

Beskrivelse: Dette problemet ble løst ved å bruke HTTPS ved sending av informasjon over nettverket.

CVE-2024-54492: Talal Haj Bakry og Tommy Mysk fra Mysk Inc. (@mysk_co)

QuartzCore

Virkning: Behandling av nettinnhold kan føre til tjenestenekt

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-54497: en anonym forsker i samarbeid med Trend Micro Zero Day Initiative

Oppføring lagt til 27. januar 2025

Safari

Virkning: På en enhet der Privat trafikk er aktivert, kan den opphavlige IP-adressen bli avslørt for et nettsted som legges til på leselisten i Safari

Beskrivelse: Problemet ble løst gjennom forbedret ruting av forespørsler med Safari som opphav.

CVE-2024-44246: Jacob Braun

Safari Private Browsing

Virkning: Privat nettlesing-faner kan åpnes uten autentisering

Beskrivelse: Et problem med autentisering ble løst gjennom forbedret tilstandshåndtering.

CVE-2024-54542: Rei (@reizydev), Kenneth Chew

Oppføring lagt til 27. januar 2025

SceneKit

Virkning: Behandling av en skadelig fil kan føre til tjenestenekt

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-54501: Michael DePlante (@izobashi) fra Trend Micro's Zero Day Initiative

Vim

Virkning: Behandling av en skadelig fil kan føre til skade i heapen

CVE-2024-45306

Oppføring lagt til 27. januar 2025

VoiceOver

Virkning: En angriper med fysisk tilgang til en iOS-enhet kan være i stand til å se innholdet i varsler fra låst skjerm

Beskrivelse: Problemet ble løst ved å legge til ytterligere logikk.

CVE-2024-54485: Abhay Kailasia (@abhay_kailasia) fra C-DAC Thiruvananthapuram India

WebKit

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

WebKit Bugzilla: 278497

CVE-2024-54479: Seunghyun Lee

WebKit Bugzilla: 281912

CVE-2024-54502: Brendon Tiszka fra Google Project Zero

WebKit

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

WebKit Bugzilla: 282180

CVE-2024-54508: linjy fra HKUS3Lab og chluo fra WHUSecLab, Xiangwei Zhang fra Tencent Security YUNDING LAB

WebKit

Virkning: Behandling av skadelig nettinnhold kan føre til minnekorrumpering

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.

WebKit Bugzilla: 282661

CVE-2024-54505: Gary Kwong

WebKit

Virkning: Behandling av skadelig nettinnhold kan føre til minnekorrumpering

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

WebKit Bugzilla: 277967

CVE-2024-54534: Tashita Software Security

WebKit Bugzilla: 282450

CVE-2024-54543: Lukas Bernhard, Gary Kwong og en anonym forsker

Oppføring oppdatert 27. januar 2025

Ytterligere anerkjennelser

Accessibility

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal India, Andr.Ess, Jake Derouin, Jason Gendron (@gendron_jason) for hjelpen.

App Protection

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal i India for hjelpen.

Calendar

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal i India for hjelpen.

FaceTime

Vi vil gjerne takke 椰椰 for hjelpen.

FaceTime Foundation

Vi vil gjerne takke Joshua Pellecchia for hjelpen.

Family Sharing

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College og Technology Bhopal India og J T for hjelpen.

Files

Vi vil gjerne takke Christian Scalese for hjelpen.

Oppføring lagt til 27. januar 2025

Notes

Vi vil gjerne takke Katzenfutter for hjelpen.

Photos

Vi vil gjerne takke Bistrit Dahal, Chi Yuan Chang fra ZUSO ART og taikosoup, Finlay James (@Finlay1010), Rizki Maulana (rmrizki.my.id), Srijan Poudel for hjelpen.

Photos Storage

Vi vil gjerne takke Jake Derouin (jakederouin.com) for hjelpen.

Proximity

Vi vil gjerne takke Junming C. (@Chapoly1305) og Prof. Qiang Zeng fra George Mason University for hjelpen.

Quick Response

Vi vil gjerne takke en anonym forsker for hjelpen.

Safari

Vi vil gjerne takke Jayateertha Guruprasad for hjelpen.

Safari Private Browsing

Vi vil gjerne takke Richard Hyunho Im (@richeeta) fra Route Zero Security for hjelpen.

Settings

Vi vil gjerne takke Akshith Muddasani, Bistrit Dahal, Emanuele Slusarz og Abhishek Kanaujia for hjelpen.

Oppføring oppdatert 27. januar 2025

Siri

Vi vil gjerne takke Srijan Poudel og Bistrit Dahal for hjelpen.

Oppføring oppdatert 27. januar 2025

Spotlight

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra LNCT Bhopal og C-DAC Thiruvananthapuram India for hjelpen.

Status Bar

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal India og Andr.Ess for hjelpen.

Swift

Vi vil gjerne takke Marc Schoenefeld, Dr. rer. nat. for hjelpen.

Time Zone

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra LNCT Bhopal og C-DAC Thiruvananthapuram India for hjelpen.

WebKit

Vi vil gjerne takke Hafiizh for hjelpen.

WindowServer

Vi vil gjerne takke Felix Kratz for hjelpen.

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: 01. februar 2025