Obsah zabezpečenia v systémoch iOS 18.2 a iPadOS 18.2

V tomto dokumente sa opisuje obsah zabezpečenia v systémoch iOS 18.2 a iPadOS 18.2.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

iOS 18.2 a iPadOS 18.2

Accounts

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Fotky v albume so skrytými fotkami môže byť možné zobraziť bez overenia

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením spracovania súborov.

CVE-2024-54488: Benjamin Hornbeck, Skadz (@skadz108), Chi Yuan Chang z tímu ZUSO ART a taikosoup

APFS

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-54541: Arsenii Kostromin (0x3c3e) a anonymný výskumník

AppleMobileFileIntegrity

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k súkromným informáciám

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54527: Mickey Jin (@patch1t)

Audio

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dosah: Stíšenie hovoru cez počas zvonenia nemusí viesť k zapnutiu stíšenia

Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2024-54503: Micheal Chukwu a anonymný výskumník

Contacts

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Aplikácia môže byť schopná zobraziť automaticky vyplnené kontaktné údaje z aplikácií Správy a Mail v systémových protokoloch.

Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2024-54550: Smi1e (@Smi1eSEC)

Crash Reporter

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2024-54513: anonymný výskumník

Face Gallery

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Systémový binárny súbor by sa mohol použiť na vytvorenie jedinečnej identity Apple účtu používateľa

Popis: Tento problém bol vyriešený odstránením príslušných príznakov.

CVE-2024-54512: Bistrit Dahal

FontParser

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Spracovanie písma so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54486: Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

ICU

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2024-54478: Gary Kwong

ImageIO

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2024-54499: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

ImageIO

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Spracovanie obrázka so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54500: Junsung Lee v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

IOMobileFrameBuffer

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Apka môže byť schopná poškodiť pamäť koprocesora

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2024-54517: Ye Zhang (@VAR10CK) z tímu Baidu Security

CVE-2024-54518: Ye Zhang (@VAR10CK) z tímu Baidu Security

CVE-2024-54522: Ye Zhang (@VAR10CK) z tímu Baidu Security

CVE-2024-54523: Ye Zhang (@VAR10CK) z tímu Baidu Security

Kernel

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54468: Anonymný výskumník

Kernel

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Útočník s používateľskými oprávneniami môže byť schopný čítať pamäť jadra

Opis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-54507: Joseph Ravichandran (@0xjprx) z tímu MIT CSAIL

Kernel

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Útočník môže byť schopný vytvoriť mapovanie pamäte len na čítanie, ktoré umožní zapisovanie

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2024-54494: sohybbyk

Kernel

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dosah: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) z tímu MIT CSAIL

Kernel

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-44245: anonymný výskumník

libexpat

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Vzdialený útočník môže spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu

Popis: Ide o riziko v kóde open source a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2024-45490

libxpc

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54514: anonymný výskumník

libxpc

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dosah: Apka môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

Passkeys

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Funkcia automatického vypĺňania hesiel môže po neúspešnej autentifikácii vypĺňať heslá

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) z centra C-DAC Thiruvananthapuram v Indii, Rakeshkumar Talaviya

Passwords

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Útočník s oprávneniami v sieti môže byť schopný upravovať sieťové prenosy

Popis: Tento problém bol vyriešený použitím zabezpečenia HTTPS pri odosielaní informácií v sieti.

CVE-2024-54492: Talal Haj Bakry a Tommy Mysk z tímu Mysk Inc. (@mysk_co)

QuartzCore

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Spracovanie webového obsahu môže viesť k odopretiu služby

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54497: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Safari

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Pridanie webovej stránky do zoznamu Na prečítanie v Safari na zariadení so zapnutým Súkromným prenosom môže odhaliť pôvodnú IP adresu webovej stránky

Popis: Problém bol vyriešený vylepšením smerovania požiadaviek pochádzajúcich zo Safari.

CVE-2024-44246: Jacob Braun

Safari Private Browsing

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Prístup k tabom anonymného prezerania je možný bez overenia

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2024-54542: Rei (@reizydev), Kenneth Chew

SceneKit

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dosah: Spracovanie súboru so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54501: Michael DePlante (@izobashi) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

Vim

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k poškodeniu haldy

Popis: Ide o riziko v kóde open source a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2024-45306

VoiceOver

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Útočník s fyzickým prístupom k zariadeniu so systémom iOS môže byť schopný zobraziť obsah oznámení zo zamknutej obrazovky

Popis: Problém bol vyriešený pridaním ďalšej logiky.

CVE-2024-54485: Abhay Kailasia (@abhay_kailasia) z centra C-DAC Thiruvananthapuram v Indii

WebKit

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54479: Seunghyun Lee

CVE-2024-54502: Brendon Tiszka z tímu Google Project Zero

WebKit

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-54508: linjy z tímu HKUS3Lab a chluo z tímu WHUSecLab, Xiangwei Zhang z tímu YUNDING LAB spoločnosti Tencent Security

WebKit

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k poškodeniu pamäte

Opis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-54505: Gary Kwong

WebKit

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k poškodeniu pamäte

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-54534: Tashita Software Security

CVE-2024-54543: Lukas Bernhard, Gary Kwong a anonymný výskumník

Ďalšie poďakovanie

Accessibility

Poďakovanie za pomoc si zaslúžia Abhay Kailasia (@abhay_kailasia) z vysokej školy Lakshmi Narain College of Technology v Bhopále v Indii, Andr.Ess, Jake Derouin, Jason Gendron (@gendron_jason).

App Protection

Poďakovanie za pomoc si zaslúži Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology v Bhópale v Indii.

Calendar

Poďakovanie za pomoc si zaslúži Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology v Bhópale v Indii.

FaceTime

Poďakovanie za pomoc si zaslúži 椰椰.

FaceTime Foundation

Poďakovanie za pomoc si zaslúži Joshua Pellecchia.

Family Sharing

Poďakovanie za pomoc si zaslúžia Abhay Kailasia (@abhay_kailasia) z vysokej školy Lakshmi Narain College of Technology v Bhopále v Indii, J T.

Files

Poďakovanie za pomoc si zaslúži Christian Scalese.

Notes

Poďakovanie za pomoc si zaslúži Katzenfutter.

Photos

Poďakovanie za pomoc si zaslúžia Bistrit Dahal, Chi Yuan Chang z tímu ZUSO ART a taikosoup, Finlay James (@Finlay1010), Rizki Maulana (rmrizki.my.id), Srijan Poudel.

Photos Storage

Poďakovanie za pomoc si zaslúži Jake Derouin (jakederouin.com).

Proximity

Poďakovanie za pomoc si zaslúžia Junming C. (@Chapoly1305) a Prof. Qiang Zeng z Univerzity Georga Masona.

Quick Response

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Safari

Poďakovanie za pomoc si zaslúži Jayateertha Guruprasad.

Safari Private Browsing

Poďakovanie za pomoc si zaslúži Richard Hyunho Im (@richeeta) z tímu Route Zero Security.

Settings

Poďakovanie za pomoc si zaslúžia Akshith Muddasani, Bistrit Dahal, Emanuele Slusarz a Abhishek Kanaujia.

Siri

Poďakovanie za pomoc si zaslúži Srijan Poudel a Bistrit Dahal.

Spotlight

Poďakovanie za pomoc si zaslúžia Abhay Kailasia (@abhay_kailasia) zo školy LNCT v Bhopále a centrum C-DAC Thiruvananthapuram v Indii.

Status Bar

Poďakovanie za pomoc si zaslúžia Abhay Kailasia (@abhay_kailasia) z vysokej školy Lakshmi Narain College of Technology v Bhopále v Indii, Andr.Ess.

Swift

Poďakovanie za pomoc si zaslúži Marc Schoenefeld, Dr. rer. nat.  

Time Zone

Poďakovanie za pomoc si zaslúžia Abhay Kailasia (@abhay_kailasia) zo školy LNCT v Bhopále a centrum C-DAC Thiruvananthapuram v Indii.

WebKit

Poďakovanie za pomoc si zaslúži Hafiizh.

WindowServer

Poďakovanie za pomoc si zaslúži Felix Kratz.