Informace o bezpečnostním obsahu iOS 18 a iPadOS 18

Tento dokument popisuje bezpečnostní obsah iOS 18 a iPadOS 18.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

iOS 18 a iPadOS 18

Accessibility

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Útočníkovi s fyzickým přístupem se může podařit dostat se pomocí Siri k citlivým uživatelským datům.

Popis: Problém byl vyřešen vylepšením správy stavů.

CVE-2024-40840: Abhay Kailasia (@abhay_kailasia) z týmu Lakshmi Narain College of Technology Bhopal, Indie

Accessibility

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikace může zobrazit výčet nainstalovaných aplikací uživatele.

Popis: Problém byl vyřešen vylepšením ochrany dat.

CVE-2024-40830: Chloe Surett

Accessibility

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Útočníkovi s fyzickým přístupem k zamčenému zařízení se může podařit ovládat zařízení v okolí pomocí funkcí zpřístupnění.

Popis: Problém byl vyřešen vylepšením správy stavů.

CVE-2024-44171: Jake Derouin (jakederouin.com)

Accessibility

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Útočník si může zobrazit nedávné fotky bez ověření prostřednictvím asistovaného přístupu.

Popis: Tento problém byl vyřešen omezením možností nabízených na zamčeném zařízení.

CVE-2024-40852: Abhay Kailasia (@abhay_kailasia) z týmu Lakshmi Narain College of Technology Bhopal, Indie

ARKit

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování škodlivého souboru může vést k poškození haldy.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2024-44126: Holger Fuhrmannek

Cellular

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Vzdálenému útočníkovi se může podařit způsobit odmítnutí služby.

Popis: Problém byl vyřešen vylepšením správy stavů.

CVE-2024-27874: Tuan D. Hoang

Compression

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Rozbalení škodlivého archivu může útočníkovi umožnit zápis libovolných souborů.

Popis: Problém se souběhem byl vyřešen vylepšením zamykání.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikace může zaznamenat obrazovku bez indikátoru.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2024-27869: anonymní výzkumník

Core Bluetooth

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Škodlivé vstupní zařízení Bluetooth může obejít párování.

Popis: Problém byl vyřešen vylepšením správy stavů.

CVE-2024-44124: Daniele Antonioli

FileProvider

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Místnímu uživateli se může podařit odhalit citlivá uživatelská data.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2024-54469: Csaba Fitzl (@theevilbit) ze společnosti Kandji

FileProvider

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém byl vyřešen vylepšením ověřování symbolických odkazů.

CVE-2024-44131: @08Tc3wBB ze společnosti Jamf

Game Center

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém s přístupem k souborům byl vyřešen vylepšením ověřování vstupů.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování škodlivého souboru může vést k neočekávanému ukončení aplikace.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupu.

CVE-2024-27880: Junsung Lee

ImageIO

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování obrázku může vést k odepření služby.

Popis: Problém s přístupem mimo rozsah byl vyřešen vylepšením kontroly rozsahů.

CVE-2024-44176: dw0r ze společnosti ZeroPointer Lab ve spolupráci s iniciativou Zero Day Initiative společnosti Trend Micro a anonymní výzkumník

IOSurfaceAccelerator

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikace může způsobit neočekávané ukončení systému.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2024-44169: Antonio Zekić

Kernel

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Síťový provoz může unikat mimo tunel VPN.

Popis: Problém v logice byl vyřešen vylepšením kontrol.

CVE-2024-44165: Andrew Lytvynov

Kernel

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikace může získat neoprávněný přístup k Bluetooth.

Popis: Problém byl vyřešen vylepšením správy stavů.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) a Mathy Vanhoef

LaunchServices

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikaci se může podařit uniknout ze sandboxu.

Popis: Problém v logice byl vyřešen vylepšením kontrol.

CVE-2024-44122: anonymní výzkumník

LaunchServices

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Škodlivé aplikaci se může podařit upravit jiné aplikace bez oprávnění ke správě aplikací.

Popis: Problém v logice byl vyřešen vylepšením kontrol.

CVE-2024-54560: Kirin (@Pwnrin), Jeff Johnson (underpassapp.com)

libxml2

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Přetečení celých čísel bylo vyřešeno vylepšením ověřování vstupů.

CVE-2024-44198: OSS-Fuzz, Ned Williamson z týmu Google Project Zero

Mail Accounts

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikaci se může podařit číst údaje o kontaktech uživatele.

Popis: Problém s ochranou soukromí byl vyřešen vylepšením redigování soukromých dat pro záznamy protokolu.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

mDNSResponder

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikaci se může podařit způsobit odmítnutí služby.

Popis: Chyba v logice byla vyřešena vylepšením zpracování chyb.

CVE-2024-44183: Olivier Levon

Model I/O

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování škodlivého obrázku může vést k odmítnutí služeb.

Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.

CVE-2023-5841

NetworkExtension

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikace může získat neoprávněný přístup k místní síti.

Popis: Problém byl vyřešen vylepšením správy stavů.

CVE-2024-44147: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) a Mathy Vanhoef

Notes

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikaci se může podařit přepisovat libovolné soubory.

Popis: Problém byl vyřešen odebráním zranitelného kódu.

CVE-2024-44167: ajajfxhj

Passwords

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Automatické vyplňování hesel může vyplnit hesla i po neúspěšném ověření.

Popis: Problém s oprávněními byl vyřešen odebráním zranitelného kódu a přidáním dalších kontrol.

CVE-2024-44217: Bistrit Dahal, Joshua Keller, Lukas a anonymní výzkumník

Printing

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Při používání náhledu tisku se můžou nezašifrované dokumenty zapisovat do dočasných souborů.

Popis: Problém se soukromím byl vyřešen lepším zpracováváním souborů.

CVE-2024-40826: anonymní výzkumník

Safari

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Škodlivý webový obsah může porušit zásady sandboxování rámců iframe.

Popis: Problém ve zpracování vlastních schémat URL byl vyřešen vylepšením ověřování vstupů.

CVE-2024-44155: Narendra Bhati, manažer týmu kybernetické bezpečnosti ve společnosti Suma Soft Pvt. Ltd, Pune (Indie)

Safari Private Browsing

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: K panelům v anonymním režimu lze přistupovat bez ověření.

Popis: Problém s ověřováním byl vyřešen vylepšením správy stavu.

CVE-2024-44202: Kenneth Chew

Safari Private Browsing

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: K panelům v anonymním režimu lze přistupovat bez ověření.

Popis: Problém byl vyřešen vylepšením správy stavů.

CVE-2024-44127: Anamika Adhikari

Sandbox

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikaci se může podařit odhalit citlivé údaje o uživateli.

Popis: Problém byl vyřešen vylepšením ochrany dat.

CVE-2024-40863: Csaba Fitzl (@theevilbit) ze společnosti Kandji

SceneKit

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování škodlivého souboru může vést k neočekávanému ukončení aplikace.

Popis: Problém s přetečením zásobníku byl vyřešen vylepšením ověřování velikosti.

CVE-2024-44144: 냥냥

Security

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Škodlivé aplikaci s kořenovými oprávněními se může podařit získat bez souhlasu uživatele přístup ke vstupům z klávesnice a informacím o poloze.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2024-44123: Wojciech Regula z týmu SecuRing (wojciechregula.blog)

Sidecar

K dispozici pro: 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Útočníkovi s fyzickým přístupem k zařízení s macOS se zapnutým Sidecarem se může podařit obejít zamčenou obrazovku.

Popis: Problém byl vyřešen vylepšením správy stavů.

CVE-2024-44145: Om Kothawade z týmu Zaprico Digital, Omar A. Alanis z univerzity College of Pharmacy UNTHSC

Siri

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Útočníkovi s fyzickým přístupem k zařízení se může podařit zjistit čísla kontaktů ze zamknuté obrazovky.

Popis: Tento problém byl vyřešen omezením možností nabízených na zamčeném zařízení.

CVE-2024-44179: Bistrit Dahal, Matej Moravec (@MacejkoMoravec)

Siri

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Útočníkovi se může podařit použít Siri k povolení automatického přijímání hovorů.

Popis: Tento problém byl vyřešen omezením možností nabízených na zamčeném zařízení.

CVE-2024-40853: Chi Yuan Chang z týmu ZUSO ART a taikosoup

Siri

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Útočníkovi s fyzickým přístupem se může podařit získat přístup ke kontaktům ze zamčené obrazovky.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2024-44139: Srijan Poudel

CVE-2024-44180: Bistrit Dahal

Siri

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém s ochranou soukromí byl vyřešen přesunutím citlivých dat na bezpečnější místo.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

TCC

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikace může přimět uživatele k udělení oprávnění k fotkám v knihovně.

Popis: Problém s odchytáváním kliknutí byl vyřešen zlepšením zpracování zobrazení mimo proces.

CVE-2024-54558: Ron Masas z týmu BreakPoint.sh a anonymní výzkumník

Transparency

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

UIKit

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Útočníkovi se může podařit způsobit neočekávané ukončení aplikace.

Popis: Problém byl vyřešen vylepšením kontroly rozsahu.

CVE-2024-27879: Justin Cohen

WebKit

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Škodlivý web může získat data napříč původy.

Popis: Problém se správou cookies byl vyřešen vylepšením správy stavu.

CVE-2024-54467: Narendra Bhati, manažer týmu kybernetické bezpečnosti ve společnosti Suma Soft Pvt. Ltd, Pune (Indie)

WebKit

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2024-44192: Tashita Software Security

WebKit

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování škodlivého webového obsahu může vést k univerzálnímu skriptování napříč weby.

Popis: Problém byl vyřešen vylepšením správy stavů.

CVE-2024-40857: Ron Masas

WebKit

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Škodlivý web může získat data napříč původy.

Popis: V prvcích iframe existoval problém se získáváním dat napříč původy. Problém byl vyřešen vylepšením sledování bezpečnostních původů.

CVE-2024-44187: Narendra Bhati, manažer týmu kybernetické bezpečnosti ve společnosti Suma Soft Pvt. Ltd, Pune (Indie)

Wi-Fi

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo poškodit paměť jádra.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2024-44227: Tim Michaud (@TimGMichaud) z Moveworks.ai

Wi-Fi

K dispozici: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 7. generace a novější a iPad mini 5. generace a novější

Dopad: Útočník může vynutit odpojení zařízení ze zabezpečené sítě.

Popis: Problém s integritou byl vyřešen službou Beacon Protection.

CVE-2024-40856: Preet Dsouza (Fleming College, Computer Security & Investigations Program), Domien Schepers

Další poděkování

Accounts

Poděkování za pomoc zaslouží IES Red Team společnosti ByteDance.

Core Bluetooth

Poděkování za pomoc zaslouží Nicholas C. ze společnosti Onymos Inc. (onymos.com).

CoreGraphics

Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology Bhopal India, Bharat (mrnoob), Chi Yuan Chang z ZUSO ART a taikosoup, J T.

dyld

Poděkování za pomoc zaslouží Abdel Adim Oisfi ze společnosti Shielder (shielder.com), Pietro Francesco Tirenna a Davide Silvetti.

Find My

Poděkování za pomoc zaslouží Mr. Xiaofeng Liu z Shandong University.

Foundation

Poděkování za pomoc zaslouží Ostorlab.

ImageIO

Poděkování za pomoc zaslouží Junsung Lee.

Installer

Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology, Bhopal v Indii, Chi Yuan Chang z týmu ZUSO ART a taikosoup, Christian Scalese, Ishan Boda a Shane Gallagher.

Kernel

Poděkování za pomoc zaslouží Braxton Anderson, Deutsche Telekom Security GmbH, sponzoring Bundesamt für Sicherheit in der Informationstechnik, Fakhri Zulkifli (@d0lph1n98) ze společnosti PixiePoint Security.

Magnifier

Poděkování za pomoc zaslouží Andr.Ess.

Maps

Poděkování za pomoc zaslouží Cristian Dinca z Národní střední školy informatiky „Tudor Vianu“, Rumunsko, a Kirin (@Pwnrin).

Messages

Poděkování za pomoc zaslouží Chi Yuan Chang ze společnosti ZUSO ART a taikosoup.

MobileLockdown

Poděkování za pomoc zaslouží Andr.Ess.

Notifications

Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology Bhopal, Dev dutta (manas.dutta.75), Prateek Pawar (vakil sahab) a anonymní výzkumník.

Passwords

Poděkování za pomoc zaslouží Richard Hyunho Im (@r1cheeta).

Photos

Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology Bhopal India, Harsh Tyagi, Kenneth Chew, Leandro Chaves, Saurabh Kumar z Technocrat Institute of Technology Bhopal, Shibin B Shaji, Vishnu Prasad P G, UST, Yusuf Kelany a Junior Vergara.

Safari

Poděkování za pomoc zaslouží Hafiizh a YoKo Kho (@yokoacc) z týmu HakTrak, James Lee (@Windowsrcer)

Settings

Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology Bhopal India, Bistrit Dahal, Chi Yuan Chang z ZUSO ART a taikosoup, Ethan Bischof.

SharePlay

Poděkování za pomoc zaslouží anonymní výzkumník.

Shortcuts

Poděkování za pomoc zaslouží Cristian Dinca z Národní střední školy informatiky „Tudor Vianu“, Rumunsko, Jacob Braun a anonymní výzkumník

Siri

Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology v Bhópálu v Indii, Rohan Paudel a anonymní výzkumník.

Spotlight

Poděkování za pomoc zaslouží Paulo Henrique Batista Rosa de Castro (@paulohbrc).

Status Bar

Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology Bhopal India, Jacob Braun, Jake Derouin (jakederouin.com) a Kenneth Chew.

TCC

Poděkování za pomoc zaslouží Vaibhav Prajapati.

UIKit

Poděkování za pomoc zaslouží Andr.Ess.

Voice Memos

Poděkování za pomoc zaslouží Lisa B.

Wallet

Poděkování za pomoc zaslouží Aaron Schlitt (@aaron_sfn) z týmu Hasso Plattner Institute.

WebKit

Poděkování za pomoc zaslouží Avi Lumelsky ze společnosti Oligo Security, Uri Katz ze společnosti Oligo Security, Braylon (@softwarescool), Eli Grey (eligrey.com), Johan Carlsson (joaxcar) a Numan Türle – Rıza Sabuncu.