Om säkerhetsinnehållet i iOS18.2 och iPadOS18.2

I det här dokumentet beskrivs säkerhetsinnehållet i iOS 18.2 och iPadOS 18.2.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

iOS 18.2 och iPadOS 18.2

AppleMobileFileIntegrity

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app med skadligt innehåll kan få tillgång till personlig information

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2024-54527: Mickey Jin (@patch1t)

Audio

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: När ljudet för ett samtal stängs av medan det ringer kan det leda till att ljudet inte stängs av

Beskrivning: Ett problem med inkonsekvent användargränssnitt åtgärdades med hjälp av förbättrad tillståndshantering.

CVE-2024-54503: Micheal Chukwu och en anonym forskare

Crash Reporter

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2024-54513: En anonym forskare

FontParser

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av ett typsnitt med skadligt innehåll kan leda till att processminnet avslöjas

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-54486: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

ImageIO

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av en skadlig bild kan leda till spridning av processminne

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-54500: Junsung Lee i samarbete med Trend Micro Zero Day Initiative

Kernel

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En angripare kan skapa en mappning till ett skrivskyddad minne som det går att skriva till

Beskrivning: Ett konkurrenstillstånd åtgärdades genom ytterligare validering.

CVE-2024-54494: sohybbyk

Kernel

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan läcka känsliga kerneltillstånd

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) på MIT CSAIL

Kernel

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan leda till oväntad systemavstängning eller korrumpering till kernelminne

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2024-44245: En anonym forskare

libexpat

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En fjärrangripare kan orsaka att appar avslutas oväntat eller att opålitlig kod körs

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2024-45490

libxpc

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan bryta sig ut från sin sandlåda

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-54514: En anonym forskare

libxpc

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan få högre behörighet

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

Passwords

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En angripare med en privilegierad nätverksposition kan påverka nätverkstrafik

Beskrivning: Detta problem åtgärdades genom att använda HTTPS när information skickas över nätverket.

CVE-2024-54492: Talal Haj Bakry och Tommy Mysk på Mysk Inc. (@mysk_co)

Safari

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: På en enhet där Privat reläservice är aktiverat kan den ursprungliga IP-adressen avslöjas för webbplatsen när en webbplats läggs till i Safari-läslistan

Beskrivning: Problemet hanterades med förbättrad dirigering av begäranden som kommer från Safari.

CVE-2024-44246: Jacob Braun

SceneKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till att tjänsten nekas

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-54501: Michael DePlante (@izobashi) på Trend Micros Zero Day Initiative

VoiceOver

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En angripare med fysisk åtkomst till en iOS-enhet kan se innehåll i notiser från låsskärmen

Beskrivning: Problemet åtgärdades genom utökad logik.

CVE-2024-54485: Abhay Kailasia (@abhay_kailasia) från C-DAC Thiruvananthapuram, Indien

WebKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-54479: Seunghyun Lee

CVE-2024-54502: Brendon Tiszka på Google Project Zero

WebKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2024-54508: linjy på HKUS3Lab, chluo på WHUSecLab och Xiangwei Zhang på Tencent Security YUNDING LAB

WebKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till minnesfel

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.

CVE-2024-54505: Gary Kwong

WebKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till minnesfel

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2024-54534: Tashita Software Security

Ytterligare tack

Accessibility

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Lakshmi Narain College of Technology Bhopal Indien, Andr.Ess, Jake Derouin och Jason Gendron (@gendron_jason) för hjälpen.

App Protection

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Lakshmi Narain College Of Technology Bhopal India för hjälpen.

Calendar

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Lakshmi Narain College Of Technology Bhopal India för hjälpen.

FaceTime

Vi vill tacka 椰椰 för hjälpen.

FaceTime Foundation

Vi vill tacka Joshua Pellecchia för hjälpen.

Family Sharing

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Lakshmi Narain College of Technology Bhopal Indien och J T för hjälpen.

Notes

Vi vill tacka Katzenfutter för hjälpen.

Photos

Vi vill tacka Bistrit Dahal, Chi Yuan Chang på ZUSO ART, taikosoup, Finlay James (@Finlay1010), Rizki Maulana (rmrizki.my.id) och Srijan Poudel för hjälpen.

Photos Storage

Vi vill tacka Jake Derouin (jakederouin.com) för hjälpen.

Proximity

Vi vill tacka Junming C. (@Chapoly1305) och professor Qiang Zeng från George Mason University för hjälpen.

Quick Response

Vi vill tacka en anonym forskare för hjälpen.

Safari

Vi vill tacka Jayateertha Guruprasad för hjälpen.

Safari Private Browsing

Vi vill tacka Richard Hyunho Im (@richeeta) med Route Zero Security för hjälpen.

Settings

Vi vill tacka Akshith Muddasani, Bistrit Dahal och Emanuele Slusarz för hjälpen.

Siri

Vi vill tacka Srijan Poudel för hjälpen.

Spotlight

Vi vill tacka Abhay Kailasia (@abhay_kailasia) på LNCT Bhopal och C-DAC Thiruvananthapuram Indien för hjälpen.

Status Bar

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Lakshmi Narain College of Technology Bhopal Indien och Andr.Ess för hjälpen.

Swift

Vi vill tacka Marc Schoenefeld, Dr. rer. nat. för hjälpen.

Time Zone

Vi vill tacka Abhay Kailasia (@abhay_kailasia) på LNCT Bhopal och C-DAC Thiruvananthapuram Indien för hjälpen.

WebKit

Vi vill tacka Hafiizh för hjälpen.

WindowServer

Vi vill tacka Felix Kratz för hjälpen.