Despre conținutul de securitate din iOS 18 și iPadOS 18

Acest document descrie conținutul de securitate din iOS 18 și din iPadOS 18.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina , Securitatea produselor Apple.

iOS 18 şi iPadOS 18

Lansare: luni, 16 septembrie 2024

Accessibility

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 13 inchi, iPad Pro 12,9 inchi (a 3-a generație și modele ulterioare), iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 7-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: un atacator cu acces fizic poate folosi asistentul Siri pentru a accesa date sensibile despre utilizatori

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-40840: Abhay Kailasia (@abhay_kailasia) din cadrul Lakshmi Narain College of Technology Bhopal, India

Accessibility

Impact: o aplicație ar putea fi capabilă să enumere aplicațiile instalate de utilizator

Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.

CVE-2024-40830: Chloe Surett

Accessibility

Impact: un atacator cu acces fizic la un dispozitiv blocat ar putea utiliza Control dispozitive din apropiere prin intermediul funcțiilor de accesibilitate

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-44171: Jake Derouin

Accessibility

Impact: un atacator ar putea fi capabil să vadă fotografiile recente fără autentificare în Assistive Access

Descriere: această problemă a fost rezolvată prin restricționarea opțiunilor oferite pe un dispozitiv blocat.

CVE-2024-40852: Abhay Kailasia (@abhay_kailasia) din cadrul Lakshmi Narain College of Technology Bhopal, India

ARKit

Impact: este posibil ca procesarea unei fișier creat cu rea intenție să poată provoca alterarea segmentului

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-44126: Holger Fuhrmannek

Intrare adăugată pe 28 octombrie 2024

Cellular

Impact: un atacator aflat la distanță poate cauza o refuzare a serviciilor (DoS)

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-27874: Tuan D. Hoang

Compression

Impact: despachetarea unei arhive create cu rea intenție poate permite unui atacator să scrie fișiere arbitrare

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Impact: o aplicație ar putea fi capabilă să înregistreze ecranul fără un indicator

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-27869: un cercetător anonim

Core Bluetooth

Impact: un dispozitiv de intrare Bluetooth malițios ar putea ocoli procesul de asociere

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-44124: Daniele Antonioli

FileProvider

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.

CVE-2024-44131: @08Tc3wBB de la Jamf

Game Center

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: o problemă de acces la fișiere a fost remediată prin îmbunătățirea validării intrării.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2024-27880: Junsung Lee

ImageIO

Impact: procesarea unei imagini poate duce la refuzul serviciului

Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2024-44176: dw0r sau ZeroPointer Lab, lucrând în colaborare cu Trend Micro Zero Day Initiative și un cercetător anonim

IOSurfaceAccelerator

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2024-44169: Antonio Zekić

Kernel

Impact: traficul de rețea s-ar putea scurge în afara tunelului VPN

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2024-44165: Andrew Lytvynov

Kernel

Impact: o aplicație poate obține acces neautorizat la Bluetooth

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) și Mathy Vanhoef

libxml2

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.

CVE-2024-44198: OSS-Fuzz, Ned Williamson de la Google Project Zero

Mail Accounts

Impact: o aplicație poate accesa informații despre contactele unui utilizator

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

mDNSResponder

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: o eroare de logică a fost remediată prin îmbunătățirea gestionării erorilor.

CVE-2024-44183: Olivier Levon

Model I/O

Impact: procesarea unei imagini create cu rea intenție poate cauza o refuzare a serviciului (DoS)

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la adresa cve.org.

CVE-2023-5841

NetworkExtension

Impact: o aplicație poate obține acces neautorizat la rețeaua locală

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-44147: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) și Mathy Vanhoef

Notes

Impact: o aplicație poate suprascrie fișiere arbitrare

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2024-44167: ajajfxhj

Passwords

Impact: Completarea automată a parolelor poate completa parole după eșuarea autentificării

Descriere: a fost rezolvată o problemă legată de permisiuni prin eliminarea codului vulnerabil și adăugarea de verificări suplimentare.

CVE-2024-44217: Bistrit Dahal, un cercetător anonim, Joshua Keller

Intrare adăugată pe 28 octombrie 2024

Printing

Impact: un document necriptat poate fi scris într-un fișier temporar atunci când se utilizează previzualizarea imprimării

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea gestionării fișierelor.

CVE-2024-40826: un cercetător anonim

Safari

Impact: conținutul site-urilor web create cu rea intenție poate încălca politica de sandboxing iframe

Descriere: prin optimizarea validării intrărilor, s-a rezolvat o problemă privind gestionarea schemei URL personalizate.

CVE-2024-44155: Narendra Bhati, Manager of Cyber Security la Suma Soft Pvt. Ltd, Pune (India)

Intrare adăugată pe 28 octombrie 2024

Safari Private Browsing

Impact: filele de navigare privată pot fi accesate fără autentificare

Descriere: a fost rezolvată o problemă de autentificare prin îmbunătățirea gestionării stării.

CVE-2024-44202: Kenneth Chew

Safari Private Browsing

Impact: filele de navigare privată pot fi accesate fără autentificare

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-44127: Anamika Adhikari

Sandbox

Impact: o aplicație poate scurge informații sensibile ale utilizatorilor

Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.

CVE-2024-40863: Csaba Fitzl (@theevilbit) din cadrul Kandji

Intrare actualizată la data de 28 octombrie 2024

SceneKit

Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de depășire de memoriei-tampon prin îmbunătățirea validării dimensiunii.

CVE-2024-44144: 냥냥

Intrare adăugată pe 28 octombrie 2024

Security

Impact: o aplicație rău intenționată cu privilegii de rădăcină poate accesa datele introduse prin tastatură și informațiile despre locație fără consimțământul utilizatorului

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2024-44123: Wojciech Regula de la SecuRing (wojciechregula.blog)

Intrare adăugată pe 28 octombrie 2024

Sidecar

Disponibilitate pentru: iPad Pro 13 inchi, iPad Pro 12,9 inchi (a 3-a generație și modele ulterioare), iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 7-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: un atacator cu acces fizic la un dispozitiv macOS cu opțiunea Sidecar activată poate ocoli ecranul de blocare

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-44145: Om Kothawade de la Zaprico Digital, Omar A. Alanis de la UNTHSC College of Pharmacy

Intrare adăugată pe 28 octombrie 2024

Siri

Impact: un atacator poate utiliza Siri pentru a activa Preluare automată apeluri

Descriere: această problemă a fost rezolvată prin restricționarea opțiunilor oferite pe un dispozitiv blocat.

CVE-2024-40853: Chi Yuan Chang de la ZUSO ART și taikosoup

Intrare adăugată pe 28 octombrie 2024

Siri

Impact: un atacator cu acces fizic ar putea accesa contacte din ecranul de blocare

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-44139: Srijan Poudel

CVE-2024-44180: Bistrit Dahal

Siri

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: a fost rezolvată o problemă de confidențialitate prin mutarea datelor sensibile într-o locație mai securizată.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

Transparency

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

UIKit

Impact: un atacator ar putea cauza închiderea neașteptată a aplicației

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2024-27879: Justin Cohen

WebKit

Impact: procesarea unui conținut web creat cu rea intenție poate cauza crearea de scripturi universale între site-uri

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

WebKit Bugzilla: 268724

CVE-2024-40857: Ron Masas

WebKit

Impact: un site web rău intenționat poate exfiltra date cu origini încrucișate

Descriere: în elementele „iframe” a existat o problemă legată de originile diferite. Aceasta a fost rezolvată prin îmbunătățirea urmăririi originilor de securitate.

WebKit Bugzilla: 279452

CVE-2024-44187: Narendra Bhati, Manager of Cyber Security la Suma Soft Pvt. Ltd, Pune (India)

Wi-Fi

Impact: Un atacator ar putea forța un dispozitiv să se deconecteze de la o rețea securizată

Descriere: O problemă de integritate a fost rezolvată cu protecția Beacon.

CVE-2024-40856: Domien Schepers

Alte mențiuni

Core Bluetooth

Dorim să-i mulțumim lui Nicholas C. de la Onymos Inc. (onymos.com) pentru asistență.

Foundation

Dorim să îi mulțumim lui Ostorlab pentru asistență.

Installer

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal India, Chi Yuan Chang de la ZUSO ART și lui taikosoup, Christian Scalese, Ishan Boda, Shane Gallagher pentru asistență.

Intrare actualizată la data de 28 octombrie 2024

Kernel

Dorim să îi mulțumim lui Braxton Anderson, Deutsche Telekom Security GmbH sponsorizat de Bundesamt für Sicherheit in der Informationstechnik, Fakhri Zulkifli (@d0lph1n98) de la PixiePoint Security pentru asistența acordată.

Magnifier

Dorim să îi mulțumim lui Andr.Ess pentru asistență.

Maps

Dorim să-i mulțumim lui Kirin (@Pwnrin) pentru asistența acordată.

Messages

Dorim să îi mulțumim lui Chi Yuan Chang de la ZUSO ART și taikosoup pentru asistență.

MobileLockdown

Dorim să îi mulțumim lui Andr.Ess pentru asistență.

Notifications

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

Passwords

Dorim să-i mulțumim lui Richard Hyunho Im (@r1cheeta) pentru asistență.

Photos

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal India, Harsh Tyagi, Kenneth Chew, Leandro Chaves, Saurabh Kumar de la Technocrat Institute of Technology Bhopal, Shibin B Shaji, Vishnu Prasad P G, UST, Yusuf Kelany pentru asistența acordată.

Safari

Dorim să îi mulțumim lui Hafiizh și YoKo Kho (@yokoacc) de la HakTrak și James Lee (@Windowsrcer) pentru asistență.

Shortcuts

Dorim să îi mulțumim lui Cristian Dinca de la Colegiul Național de Informatică „Tudor Vianu”, România și Jacob Braun, un cercetător anonim, pentru asistența acordată.

Siri

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal India, Rohan Paudel, unui cercetător anonim pentru asistență.

Intrare actualizată la data de 28 octombrie 2024

Spotlight

Dorim să îi mulțumim lui Paulo Henrique Batista Rosa de Castro (@paulohbrc) pentru asistență.

Intrare adăugată pe 28 octombrie 2024

Status Bar

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal India și lui Jacob Braun pentru asistența acordată.

TCC

Dorim să-i mulțumim lui Vaibhav Prajapati pentru asistență.

UIKit

Dorim să îi mulțumim lui Andr.Ess pentru asistență.

Voice Memos

Dorim să îi mulțumim lui Lisa B pentru asistență.

WebKit

Dorim să îi mulțumim lui Avi Lumelsky de la Oligo Security, Uri Katz de la Oligo Security, Braylon (@softwarescool), Eli Grey (eligrey.com), Johan Carlsson (joaxcar), Numan Türle - Rıza Sabuncu pentru asistență.

Intrare actualizată la data de 28 octombrie 2024

Wi-Fi

Dorim să îi mulțumim lui Antonio Zekic (@antoniozekic) și ant4g0nist, Tim Michaud (@TimGMichaud) de la Moveworks.ai pentru asistență.

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: 01 noiembrie 2024