Obsah zabezpečenia v systémoch iOS 18.2 a iPadOS 18.2

V tomto dokumente sa opisuje obsah zabezpečenia v systémoch iOS 18.2 a iPadOS 18.2.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

iOS 18.2 a iPadOS 18.2

AppleMobileFileIntegrity

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k súkromným informáciám

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54527: Mickey Jin (@patch1t)

Audio

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dosah: Stíšenie hovoru cez počas zvonenia nemusí viesť k zapnutiu stíšenia

Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2024-54503: Micheal Chukwu a anonymný výskumník

Crash Reporter

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2024-54513: anonymný výskumník

FontParser

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Spracovanie písma so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54486: Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

ImageIO

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Spracovanie obrázka so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54500: Junsung Lee v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Kernel

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Útočník môže byť schopný vytvoriť mapovanie pamäte len na čítanie, ktoré umožní zapisovanie

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2024-54494: sohybbyk

Kernel

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dosah: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) z tímu MIT CSAIL

Kernel

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-44245: anonymný výskumník

libexpat

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Vzdialený útočník môže spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu

Popis: Ide o riziko v kóde open source a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2024-45490

libxpc

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54514: anonymný výskumník

libxpc

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dosah: Apka môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

Passwords

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Útočník s oprávneniami v sieti môže byť schopný upravovať sieťové prenosy

Popis: Tento problém bol vyriešený použitím zabezpečenia HTTPS pri odosielaní informácií v sieti.

CVE-2024-54492: Talal Haj Bakry a Tommy Mysk z tímu Mysk Inc. (@mysk_co)

Safari

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Pridanie webovej stránky do zoznamu Na prečítanie v Safari na zariadení so zapnutým Súkromným prenosom môže odhaliť pôvodnú IP adresu webovej stránky

Popis: Problém bol vyriešený vylepšením smerovania požiadaviek pochádzajúcich zo Safari.

CVE-2024-44246: Jacob Braun

SceneKit

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dosah: Spracovanie súboru so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54501: Michael DePlante (@izobashi) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

VoiceOver

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Útočník s fyzickým prístupom k zariadeniu so systémom iOS môže byť schopný zobraziť obsah oznámení zo zamknutej obrazovky

Popis: Problém bol vyriešený pridaním ďalšej logiky.

CVE-2024-54485: Abhay Kailasia (@abhay_kailasia) z centra C-DAC Thiruvananthapuram v Indii

WebKit

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54479: Seunghyun Lee

CVE-2024-54502: Brendon Tiszka z tímu Google Project Zero

WebKit

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-54508: linjy z tímu HKUS3Lab a chluo z tímu WHUSecLab, Xiangwei Zhang z tímu YUNDING LAB spoločnosti Tencent Security

WebKit

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k poškodeniu pamäte

Opis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-54505: Gary Kwong

WebKit

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k poškodeniu pamäte

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-54534: Tashita Software Security

Ďalšie poďakovanie

Accessibility

Poďakovanie za pomoc si zaslúžia Abhay Kailasia (@abhay_kailasia) z vysokej školy Lakshmi Narain College of Technology v Bhopále v Indii, Andr.Ess, Jake Derouin, Jason Gendron (@gendron_jason).

App Protection

Poďakovanie za pomoc si zaslúži Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology v Bhópale v Indii.

Calendar

Poďakovanie za pomoc si zaslúži Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology v Bhópale v Indii.

FaceTime

Poďakovanie za pomoc si zaslúži 椰椰.

FaceTime Foundation

Poďakovanie za pomoc si zaslúži Joshua Pellecchia.

Family Sharing

Poďakovanie za pomoc si zaslúžia Abhay Kailasia (@abhay_kailasia) z vysokej školy Lakshmi Narain College of Technology v Bhopále v Indii, J T.

Notes

Poďakovanie za pomoc si zaslúži Katzenfutter.

Photos

Poďakovanie za pomoc si zaslúžia Bistrit Dahal, Chi Yuan Chang z tímu ZUSO ART a taikosoup, Finlay James (@Finlay1010), Rizki Maulana (rmrizki.my.id), Srijan Poudel.

Photos Storage

Poďakovanie za pomoc si zaslúži Jake Derouin (jakederouin.com).

Proximity

Poďakovanie za pomoc si zaslúžia Junming C. (@Chapoly1305) a Prof. Qiang Zeng z Univerzity Georga Masona.

Quick Response

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Safari

Poďakovanie za pomoc si zaslúži Jayateertha Guruprasad.

Safari Private Browsing

Poďakovanie za pomoc si zaslúži Richard Hyunho Im (@richeeta) z tímu Route Zero Security.

Settings

Poďakovanie za pomoc si zaslúžia Akshith Muddasani, Bistrit Dahal, Emanuele Slusarz.

Siri

Poďakovanie za pomoc si zaslúži Srijan Poudel.

Spotlight

Poďakovanie za pomoc si zaslúžia Abhay Kailasia (@abhay_kailasia) zo školy LNCT v Bhopále a centrum C-DAC Thiruvananthapuram v Indii.

Status Bar

Poďakovanie za pomoc si zaslúžia Abhay Kailasia (@abhay_kailasia) z vysokej školy Lakshmi Narain College of Technology v Bhopále v Indii, Andr.Ess.

Swift

Poďakovanie za pomoc si zaslúži Marc Schoenefeld, Dr. rer. nat.  

Time Zone

Poďakovanie za pomoc si zaslúžia Abhay Kailasia (@abhay_kailasia) zo školy LNCT v Bhopále a centrum C-DAC Thiruvananthapuram v Indii.

WebKit

Poďakovanie za pomoc si zaslúži Hafiizh.

WindowServer

Poďakovanie za pomoc si zaslúži Felix Kratz.