Despre conținutul de securitate din iOS 18.1 și iPadOS 18.1.

Acest document descrie conținutul de securitate din iOS 18.1 și iPadOS 18.1.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

Despre conținutul de securitate din iOS 18.1 și iPadOS 18.1.

Lansare: 28 octombrie 2024

Accessibility

Disponibilitate pentru: iPhone XS și modele ulterioare

Impact: un atacator cu acces fizic la un dispozitiv blocat poate vedea informații confidențiale despre utilizatori

Descriere: problema a fost rezolvată prin îmbunătățirea autentificării.

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

App Support

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 13 inchi, iPad Pro 12,9 inchi (a 3-a generație și modele ulterioare), iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 7-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: este posibil ca o aplicație rău intenționată să ruleze arbitrar scurtături, fără acordul utilizatorului

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea logicii.

CVE-2024-44255: un cercetător anonim

AppleAVD

Impact: analizarea unui fișier video creat cu rea intenție poate cauza închiderea neașteptată a sistemului

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2024-44232: Ivan Fratric (Google Project Zero)

CVE-2024-44233: Ivan Fratric (Google Project Zero)

CVE-2024-44234: Ivan Fratric (Google Project Zero)

Adăugare intrare: 1 noiembrie 2024

CoreMedia Playback

Impact: o aplicație rău intenționată poate accesa informații confidențiale

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării linkurilor simbolice.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell de la Loadshine Lab

CoreText

Impact: procesarea unui font creat cu rea intenție poate cauza divulgarea memoriei procesului

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-44240: Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative

Foundation

Impact: analizarea unui fișier poate cauza divulgarea informațiilor despre utilizator

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2024-44282: Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative

ImageIO

Impact: procesarea unei imagini poate cauza divulgarea memoriei de proces

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2024-44215: Junsung Lee în colaborare cu Trend Micro Zero Day Initiative

ImageIO

Impact: procesarea unui mesaj creat cu rea intenție poate cauza o refuzare a serviciului

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2024-44297: Jex Amro

IOSurface

Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau la coruperea memoriei kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2024-44285: un cercetător anonim

iTunes

Impact: un atacator la distanță poate evada din sandboxul Web Content

Descriere: prin optimizarea validării intrărilor, s-a rezolvat o problemă privind gestionarea schemei URL personalizate.

CVE-2024-40867: Ziyi Zhou (@Shanghai de la Universitatea Jiao Tong), Tianxiao Hou (@Shanghai de la Universitatea Jiao Tong)

Kernel

Impact: o aplicație poate scurge informații sensibile privind starea kernelului

Descriere: a fost remediată o problemă de divulgare de informații prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Managed Configuration

Impact: restaurarea unui fișier backup creat cu rea intenție poate cauza modificarea fișierelor de sistem protejate

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării linkurilor simbolice.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Impact: restaurarea unui fișier backup creat cu rea intenție poate cauza modificarea fișierelor de sistem protejate

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării fișierelor.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res

Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau la coruperea memoriei kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2024-44277: un cercetător anonim și Yinyi Wu(@_3ndy1) din cadrul Dawn Security Lab de la JD.com, Inc.

Safari Downloads

Impact: un atacator poate reuși să folosească necorespunzător o relație de încredere pentru a descărca un conținut dăunător

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-44259: Narendra Bhati, Manager of Cyber Security la Suma Soft Pvt. Ltd, Pune (India)

Safari Private Browsing

Impact: la navigarea în spațiu privat, este posibil să se producă scăpări ale istoricului de navigare

Descriere: o scurgere de informații a fost remediată prin validare suplimentare.

CVE-2024-44229: Lucas Di Tomase

SceneKit

Impact: este posibil ca procesarea unei fișier creat cu rea intenție să poată provoca alterarea segmentului

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2024-44218: Michael DePlante (@izobashi) din cadrul Trend Micro Zero Day Initiative

Shortcuts

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2024-44254: Kirin (@Pwnrin)

Shortcuts

Impact: o aplicație rău intenționată poate utiliza scurtături pentru a accesa fișiere restricționate

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2024-44269: un cercetător anonim

Siri

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri

Impact: un atacator cu acces fizic ar putea accesa pozele contactelor din ecranul de blocare

Descriere: această problemă a fost rezolvată prin restricționarea opțiunilor oferite pe un dispozitiv blocat.

CVE-2024-40851: Abhay Kailasia (@abhay_kailasia) din cadrul Lakshmi Narain College of Technology Bhopal, India, Srijan Poudel

Siri

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2024-44263: Kirin (@Pwnrin) și 7feilee

Siri

Impact: o aplicație care rulează în sandbox poate accesa date sensibile ale utilizatorilor în jurnalele de sistem

Descriere: a fost remediată o problemă de divulgare de informații prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2024-44278: Kirin (@Pwnrin)

Spotlight

Impact: Un atacator ar putea vizualiza conținut restricționat din ecranul de blocare

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-44251: Abhay Kailasia (@abhay_kailasia) din cadrul Lakshmi Narain College of Technology Bhopal, India

Spotlight

Impact: Un atacator ar putea vizualiza conținut restricționat din ecranul de blocare

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-44235: Rizki Maulana (rmrizki.my.id), Dalibor Milanovic, Richard Hyunho Im (@richeeta) de la Route Zero Security

VoiceOver

Impact: Un atacator ar putea vizualiza conținut restricționat din ecranul de blocare

Descriere: această problemă a fost rezolvată prin restricționarea opțiunilor oferite pe un dispozitiv blocat.

CVE-2024-44261: Braylon (@softwarescool)

WebKit

Impact: procesarea conținutului web creat cu rea intenție poate împiedica aplicarea politicii privind securitatea conținutului

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

WebKit Bugzilla: 278765

CVE-2024-44296: Narendra Bhati, Manager of Cyber Security la Suma Soft Pvt. Ltd, Pune (India)

WebKit

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.

WebKit Bugzilla: 279780

CVE-2024-44244: un cercetător anonim, Q1IQ (@q1iqF) și P1umer (@p1umer)

Alte mențiuni

Accessibility

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal India, Chi Yuan Chang de la ZUSO ART și lui taikosoup pentru asistență.

App Store

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal India, Chi Yuan Chang de la ZUSO ART și lui taikosoup pentru asistență.

Calculator

Dorim să îi mulțumim lui Kenneth Chew pentru asistența acordată.

Calendar

Dorim să-i mulțumim lui K宝(@Pwnrin) pentru asistența acordată.

Camera

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal India pentru asistența acordată.

Files

Dorim să îi mulțumim lui Chi Yuan Chang de la ZUSO ART și taikosoup și lui Christian Scalese pentru asistență.

ImageIO

Dorim să le mulțumim lui Amir Bazine și Karsten König de la CrowdStrike Counter Adversary Operations, precum și unui cercetător anonim pentru asistența acordată.

Messages

Dorim să îi mulțumim lui Collin Potter și unui cercetător anonim pentru asistență.

NetworkExtension

Dorim să îi mulțumim lui Patrick Wardle de la DoubleYou și Objective-See Foundation pentru asistență.

Personalization Services

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal India și lui Bistrit Dahal pentru asistența acordată.

Photos

Dorim să le mulțumim lui James Robertson, Kamil Bourouiba pentru asistența acordată.

Safari Private Browsing

Dorim să îi mulțumim unui cercetător anonim și lui r00tdaddy pentru asistență.

Safari Tabs

Dorim să îi mulțumim lui Jaydev Ahire pentru asistență.

Security

Dorim să le mulțumim lui Bing Shi, Wenchao Li and Xiaolong Bai de la Alibaba Group pentru asistența acordată.

Settings

Dorim să îi mulțumim lui Chi Yuan Chang de la ZUSO ART și taikosoup, JS pentru asistența acordată.

Siri

Dorim să-i mulțumim lui Bistrit Dahal pentru asistența acordată.

Spotlight

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la LNCT Bhopal și C-DAC Thiruvananthapuram India pentru asistența acordată.

Time Zone

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal India și lui Siddharth Choubey pentru asistența acordată.

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: 12 noiembrie 2024