Informationen zum Sicherheitsinhalt von iOS 18 und iPadOS 18

In diesem Dokument wird der Sicherheitsinhalt von iOS 18 und iPadOS 18 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Kürzliche Veröffentlichungen werden auf der Seite Apple-Sicherheitsupdates aufgeführt.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

iOS 18 und iPadOS 18

Accessibility

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Ein Angreifer mit physischem Zugriff kann möglicherweise mithilfe von Siri auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2024-40840: Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College of Technology in Bhopal, Indien

Accessibility

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf die vom Benutzer installierten Apps auflisten.

Beschreibung: Dieses Problem wurde durch verbesserten Datenschutz behoben.

CVE-2024-40830: Chloe Surett

Accessibility

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Ein Angreifer, der physischen Zugang zu einem gesperrten Gerät hat, kann möglicherweise Geräte in der Nähe über Zugriffsfunktionen steuern

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2024-44171: Jake Derouin

Accessibility

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Ein Angreifer kann möglicherweise aktuelle Fotos ohne Authentifizierung im unterstützenden Zugriff anzeigen.

Beschreibung: Dieses Problem wurde durch Einschränkung der Optionen behoben, die auf einem gesperrten Gerät zur Verfügung stehen.

CVE-2024-40852: Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College of Technology in Bhopal, Indien

Cellular

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Ein entfernter Angreifer kann einen Denial-of-Service verursachen

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2024-27874: Tuan D. Hoang

Compression

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Durch Auspacken eines in böser Absicht erstellten Archivs kann ein Angreifer beliebige Dateien erzeugen.

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch verbesserten Sperrschutz behoben.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise den Bildschirm ohne Indikator aufzeichnen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2024-27869: Ein anonymer Forscher

Core Bluetooth

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Ein schadhaftes Bluetooth-Eingabegerät kann möglicherweise das Pairing umgehen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2024-44124: Daniele Antonioli

FileProvider

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Validierung von Symlinks behoben.

CVE-2024-44131: @08Tc3wBB von Jamf

Game Center

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Dateizugriffsfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu einem unerwarteten App-Abbruch führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2024-27880: Junsung Lee

ImageIO

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung eines Bildes kann zu einem Denial-of-Service führen.

Beschreibung: Ein Problem, aufgrund dessen auf Daten außerhalb des zugewiesenen Bereichs zugegriffen werden konnte, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2024-44176: dw0r von ZeroPointer Lab in Zusammenarbeit mit der Trend Micro Zero Day Initiative und ein anonymer Forscher

IOSurfaceAccelerator

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2024-44169: Antonio Zekić

Kernel

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkungen: Netzwerkverkehr kann möglicherweise den VPN-Tunnel verlassen

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2024-44165: Andrew Lytvynov

Kernel

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise unbefugt auf Bluetooth zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) und Mathy Vanhoef

libxml2

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.

Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2024-44198: OSS-Fuzz, Ned Williamson von Google Project Zero

Mail Accounts

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf Informationen zu den Kontakten eines Benutzers zugreifen.

Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Unkenntlichmachung privater Daten in Protokolleinträgen behoben.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

mDNSResponder

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann unter Umständen einen Denial-of-Service verursachen.

Beschreibung: Ein Logikfehler wurde durch eine verbesserte Fehlerverarbeitung behoben.

CVE-2024-44183: Olivier Levon

Model I/O

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Bilddatei kann zu einem Denial-of-Service führen.

Beschreibung: Dies ist eine Schwachstelle in Open-Source-Code und Apple-Software gehört zu den betroffenen Projekten. Die CVE-ID wurde von einer Drittpartei zugewiesen. Weitere Informationen zu diesem Problem und der CVE-ID finden sich unter cve.org.

CVE-2023-5841

NetworkExtension

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise unbefugt auf das lokale Netzwerk zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2024-44147: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) und Mathy Vanhoef

Notes

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise willkürliche Dateien überschreiben.

Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2024-44167: ajajfxhj

Printing

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Ein nicht verschlüsseltes Dokument kann unter Umständen bei Verwendung der Druckvorschau in eine temporäre Datei geschrieben werden.

Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Verarbeitung von Dateien behoben.

CVE-2024-40826: Ein anonymer Forscher

Safari Private Browsing

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Auf Tabs für privates Surfen kann ohne Authentifizierung zugegriffen werden.

Beschreibung: Ein Authentifizierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2024-44202: Kenneth Chew

Safari Private Browsing

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Auf Tabs für privates Surfen kann ohne Authentifizierung zugegriffen werden.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2024-44127: Anamika Adhikari

Sandbox

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise vertrauliche Benutzerdaten preisgeben.

Beschreibung: Dieses Problem wurde durch verbesserten Datenschutz behoben.

CVE-2024-40863: Csaba Fitzl (@theevilbit) von Offensive Security

Siri

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Ein Angreifer mit physischem Zugang kann möglicherweise vom Sperrbildschirm aus auf Kontakte zugreifen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2024-44139: Srijan Poudel

CVE-2024-44180: Bistrit Dahal

Siri

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Datenschutzproblem wurde behoben, indem vertrauliche Daten in einen sichereren Bereich verschoben wurden.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

Transparency

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

UIKit

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkungen: Ein Angreifer kann möglicherweise einen unerwarteten App-Abbruch verursachen.

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2024-27879: Justin Cohen

WebKit

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung von in böswilliger Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2024-40857: Ron Masas

WebKit

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine in böser Absicht erstellte Website kann Daten von verschiedenen Quellen exfiltrieren.

Beschreibung: Bei „iFrame“-Elementen kam es zu einem Cross-Origin-Problem. Dieses Problem wurde durch eine verbesserte Nachverfolgung der Sicherheitsursprünge behoben.

CVE-2024-44187: Narendra Bhati, Manager von Cyber Security bei Suma Soft Pvt. Ltd, Pune (Indien)

Wi-Fi

Verfügbar für: iPhone XS und neuer, iPad Pro (13″), iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (7. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Ein Angreifer kann möglicherweise ein Gerät dazu zwingen, die Verbindung zu einem sicheren Netzwerk zu trennen.

Beschreibung: Ein Integritätsproblem wurde durch Beacon Protection behoben.

CVE-2024-40856: Domien Schepers

Zusätzliche Danksagung

Core Bluetooth

Wir möchten uns bei Nicholas C. of Onymos Inc. (onymos.com) für die Unterstützung bedanken.

Foundation

Wir möchten uns bei Ostorlab für die Unterstützung bedanken.

Installer

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College of Technology Bhopal India, Christian Scalese, Ishan Boda, Shane Gallagher, Chi Yuan Chang von ZUSO ART und taikosoup für die Unterstützung bedanken.

Kernel

Wir möchten uns bei Braxton Anderson, Deutsche Telekom Security GmbH sponsored by Bundesamt für Sicherheit in der Informationstechnik, Fakhri Zulkifli (@d0lph1n98) von PixiePoint Security für die Unterstützung bedanken.

Magnifier

Wir möchten uns bei Andr.Ess für die Unterstützung bedanken.

Karten

Wir möchten uns bei Kirin (@Pwnrin) für die Unterstützung bedanken.

Messages

Wir möchten uns bei Chi Yuan Chang von ZUSO ART und taikosoup für die Unterstützung bedanken.

MobileLockdown

Wir möchten uns bei Andr.Ess für die Unterstützung bedanken.

Mitteilungen

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

Passwörter

Wir möchten uns bei Richard Hyunho Im (@r1cheeta) für die Unterstützung bedanken.

Photos

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College of Technology Bhopal India, Harsh Tyagi, Kenneth Chew, Leandro Chaves, Saurabh Kumar vom Technocrat Institute of Technology Bhopal, Shibin B Shaji, Vishnu Prasad P G, UST, Yusuf Kelany für die Unterstützung bedanken.

Safari

Wir möchten uns bei Hafiizh und YoKo Kho (@yokoacc) von HakTrak, James Lee (@Windowsrcer) für die Unterstützung bedanken.

Shortcuts

Wir möchten uns bei Cristian Dinca von der „Tudor Vianu“ National High School of Computer Science, Rumänien, Jacob Braun und einem anonymen Forscher für die Unterstützung bedanken.

Siri

Wir möchten uns bei Rohan Paudel für die Unterstützung bedanken.

Status Bar

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College Of Technology Bhopal, Indien, und Jacob Braun für die Unterstützung bedanken.

TCC

Wir möchten uns bei Vaibhav Prajapati für die Unterstützung bedanken.

UIKit

Wir möchten uns bei Andr.Ess für die Unterstützung bedanken.

Voice Memos

Wir möchten uns bei Lisa B für die Unterstützung bedanken.

WebKit

Wir möchten uns bei Avi Lumelsky, Uri Katz, (Oligo Security), Johan Carlsson (joaxcar) für die Unterstützung bedanken.

Wi-Fi

Wir möchten uns bei Antonio Zekic (@antoniozekic) und ant4g0nist, Tim Michaud (@TimGMichaud) von Moveworks.ai für die Unterstützung bedanken.