מידע על תוכן האבטחה של iOS 18 ו-iPadOS 18

מסמך זה מתאר את תוכן האבטחה של iOS 18 ו-iPadOS 18.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.

למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.

iOS 18 ו-iPadOS 18

הופץ ב-16 בספטמבר 2024

Accessibility

זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך

השפעה: תוקף בעל גישה פיזית עלול להשתמש ב-Siri כדי לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2024-40840: ‏Abhay Kailasia‏ (‎@abhay_kailasia) מ-Lakshmi Narain College of Technology Bhopal בהודו

Accessibility

השפעה: יישום עלול להצליח למנות יישומים מותקנים של משתמש

תיאור: בעיה זו טופלה באמצעות הגנת נתונים משופרת.

CVE-2024-40830‏: Chloe Surett

Accessibility

השפעה: תוקף בעל גישה פיזית למכשיר נעול עלול להצליח לשלוט במכשירים סמוכים באמצעות תכונות נגישות

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2024-44171:‏ Jake Derouin ‏(jakederouin.com)

הרשומה עודכנה ב-3 במרץ 2025

Accessibility

השפעה: תוקף עלול להצליח לראות תמונות אחרונות ללא הרשאה במצב 'גישה מסייעת'

תיאור: בעיה זו טופלה על ידי הגבלת האפשרויות המוצעות במכשיר נעול.

CVE-2024-40852: ‏Abhay Kailasia‏ (‎@abhay_kailasia) מ-Lakshmi Narain College of Technology Bhopal בהודו

ARKit

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לפגם בזיכרון

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-44126: ‏Holger Fuhrmannek

הרשומה נוספה ב-28 באוקטובר 2024

Cellular

השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2024-27874‏: Tuan D. Hoang

Compression

השפעה: פירוק ארכיון בעל מבנה זדוני עלול לאפשר לתוקף לכתוב קבצים שרירותיים

תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.

CVE-2024-27876: ‏Snoolie Keffaber‏ (‎@0xilis)

Control Center

השפעה: יישום עלול להצליח להקליט את המסך ללא מחוון

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-27869: חוקר אנונימי

Core Bluetooth

השפעה: מכשיר קלט זדוני בחיבור Bluetooth עלול לעקוף קישור

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2024-44124‏: Daniele Antonioli

FileProvider

השפעה: משתמש מקומי עשוי להדליף מידע רגיש אודות המשתמש

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-54469:‏ Csaba Fitzl ‏(‎@theevilbit) מ-Kandji

הרשומה עודכנה ב-3 במרץ 2025

FileProvider

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.

CVE-2024-44131: ‏‎@08Tc3wBB מ-Jamf

Game Center

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיית גישה לקבצים טופלה באמצעות אימות קלט משופר.

CVE-2024-40850: ‏Denis Tokarev‏ (‎@illusionofcha0s)

ImageIO

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2024-27880: ‏Junsung Lee

ImageIO

השפעה: עיבוד תמונה עלול לגרום למניעת שירות

תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2024-44176‏: dw0r מ-ZeroPointer Lab יחד עם Trend Micro Zero Day Initiative וחוקר אנונימי

IOSurfaceAccelerator

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2024-44169: ‏Anton Boegler

Kernel

השפעה: תעבורת רשת עלולה לדלוף אל מחוץ למנהרת VPN

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2024-44165: ‏Andrew Lytvynov

Kernel

השפעה: יישום עלול לקבל גישה לא מורשית ל-Bluetooth

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2024-44191‏: Alexander Heinrich‏, SEEMOO‏, DistriNet‏, KU Leuven (@vanhoefm)‏, TU Darmstadt (@Sn0wfreeze) ו-Mathy Vanhoef

LaunchServices

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2024-44122: חוקר אנונימי

הרשומה נוספה ב-3 במרץ 2025

LaunchServices

השפעה: ייתכן שיישום זדוני יוכל לשנות יישומים אחרים גם אם אין לו הרשאת ניהול יישומים

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2024-54560:‏ Kirin ‏(‎@Pwnrin),‏ Jeff Johnson ‏(underpassapp.com)

הרשומה נוספה ב-3 במרץ 2025

libxml2

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.

CVE-2024-44198: ‏OSS-Fuzz, נד וויליאמסון מ-Google Project Zero

Mail Accounts

השפעה: יישום עלול להצליח לגשת למידע על אנשי הקשר של משתמש

תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.

CVE-2024-40791: ‏Rodolphe BRUNETTI‏ (‎@eisw0lf)

mDNSResponder

השפעה: יישום עלול להצליח לגרום למניעת שירות

תיאור: שגיאת לוגיקה טופלה באמצעות טיפול משופר בשגיאות.

CVE-2024-44183: ‏Olivier Levon

Model I/O

השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול להוביל למניעת שירות

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2023-5841

NetworkExtension

השפעה: יישום עלול לקבל גישה לא מורשית לרשת מקומית

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2024-44147‏: Alexander Heinrich‏, SEEMOO‏, DistriNet‏, KU Leuven‏ (@vanhoefm)‏, TU Darmstadt‏ (@Sn0wfreeze) ו-Mathy Vanhoef

Notes

השפעה: יישום עלול להצליח למחוק קבצים שרירותיים

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2024-44167: ‏ajajfxhj

Passwords

השפעה: מילוי אוטומטי של סיסמאות עלול למלא סיסמאות לאחר כישלון באימות

תיאור: בעיית הרשאות טופלה באמצעות הסרה של קוד פגיע והוספת בדיקות.

CVE-2024-44217:‏ Bistrit Dahal,‏ Joshua Keller,‏ Lukas וחוקר אנונימי

הרשומה נוספה ב-28 באוקטובר 2024, עודכנה ב-3 במרץ 2025

Printing

השפעה: מסמך לא מוצפן עלול להיכתב לקובץ זמני בעת שימוש בתצוגה מקדימה להדפסה

תיאור: בעיית אבטחה טופלה באמצעות שיפור הטיפול בקבצים.

CVE-2024-40826: חוקר אנונימי

Safari

השפעה: תוכן אינטרנט בעל מבנה זדוני עלול להפר את מדיניות השימוש ב'ארגז חול' של iframe

תיאור: בעיה בטיפול בסכמת URL מותאמת אישית טופלה באמצעות אימות קלט משופר.

CVE-2024-44155: ‏Narendra Bhati, מנהל אבטחת סייבר ב-Suma Soft Pvt.‎ Ltd, פונה (הודו)

הרשומה נוספה ב-28 באוקטובר 2024

Safari Private Browsing

השפעה: ניתן לגשת לכרטיסיות 'גלישה פרטית' ללא אימות

תיאור: בעיית אימות טופלה באמצעות ניהול מצבים משופר.

CVE-2024-44202‏: Kenneth Chew

Safari Private Browsing

השפעה: ניתן לגשת לכרטיסיות 'גלישה פרטית' ללא אימות

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2024-44127‏: Anamika Adhikari

Sandbox

השפעה: יישום עלול להצליח להדליף מידע רגיש אודות המשתמש

תיאור: בעיה זו טופלה באמצעות הגנת נתונים משופרת.

CVE-2024-40863‏: Csaba Fitzl (@theevilbit) מ-Kandji

הרשומה עודכנה ב-28 באוקטובר 2024

SceneKit

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: גלישת חוצץ טופלה ואימות הגודל שופר.

CVE-2024-44144: ‏냥냥

הרשומה נוספה ב-28 באוקטובר 2024

Security

השפעה: יישום זדוני עם הרשאות בסיס עלול להצליח לגשת אל קלט מהמקלדת ואל פרטי מיקום ללא הסכמת המשתמש

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2024-44123: ‏Wojciech Regula מ-SecuRing‏ (wojciechregula.blog)

הרשומה נוספה ב-28 באוקטובר 2024

Sidecar

זמין עבור: iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך

השפעה: תוקף בעל גישה פיזית למכשיר macOS שבו מופעל Sidecar עלול להצליח לעקוף את נעילת המסך

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2024-44145‏: Om Kothawade מ-Zaprico Digital‏, Omar A. Alanis מ-UNTHSC College of Pharmacy

הרשומה נוספה ב-28 באוקטובר 2024

Siri

השפעה: ייתכן שתוקף בעל גישה פיזית למכשיר יוכל לקרוא מספרים של אנשי קשר ממסך הנעילה

תיאור: בעיה זו טופלה על ידי הגבלת האפשרויות המוצעות במכשיר נעול.

CVE-2024-44179:‏ Bistrit Dahal‏, Matej Moravec ‏(‎@MacejkoMoravec)

הרשומה נוספה ב-3 במרץ 2025

Siri

השפעה: תוקף עלול להשתמש ב-Siri כדי לאפשר מענה אוטומטי לשיחות

תיאור: בעיה זו טופלה על ידי הגבלת האפשרויות המוצעות במכשיר נעול.

CVE-2024-40853: ‏Chi Yuan Chang מ-ZUSO ART ו-taikosoup

הרשומה נוספה ב-28 באוקטובר 2024

Siri

השפעה: תוקף בעל גישה פיזית עשוי להצליח לגשת לאנשי קשר ממסך הנעילה

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-44139‏: Srijan Poudel

CVE-2024-44180: ‏Bistrit Dahal

Siri

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיית פרטיות טופלה על ידי העברת נתונים רגישים למיקום מאובטח יותר.

CVE-2024-44170: ‏K宝‏, LFY‏ (‎@secsys), ‏Smi1e‏, ‏yulige‏, ‏Cristian Dinca‏ (icmd.tech), ‏Rodolphe BRUNETTI‏ (‎@eisw0lf)

TCC

השפעה: ייתכן שיישום יוכל לגרום למשתמש בדרכי מרמה להעניק לו גישה לתמונות מספריית התמונות

תיאור: נפתרה בעיה של חטיפת קליקים על ידי שיפור של עיבוד תצוגות מחוץ למרחב העיבוד.

CVE-2024-54558: ‏Ron Masas מ-BreakPoint.sh וחוקר אנונימי

הרשומה נוספה ב-3 במרץ 2025

Transparency

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2024-44184: ‏Bohdan Stasiuk‏ (‎@Bohdan_Stasiuk)

UIKit

השפעה: תוקף עלול להצליח לגרום לסיום בלתי צפוי של פעולת יישום

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2024-27879‏: Justin Cohen

WebKit

השפעה: אתר אינטרנט זדוני עלול לחלץ מקורות מרובים של נתונים

תיאור: בעיה של ניהול קובצי Cookie טופלה באמצעות ניהול מצבים משופר.

WebKit Bugzilla‏: 287874

CVE-2024-54467: ‏Narendra Bhati, מנהל אבטחת סייבר ב-Suma Soft Pvt.‎ Ltd, פונה (הודו)

הרשומה נוספה ב-3 במרץ 2025

WebKit

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla‏: 268770

CVE-2024-44192: ‏Tashita Software Security

הרשומה נוספה ב-3 במרץ 2025

WebKit

השפעה: עיבוד תוכן אינטרנטי בעל מבנה זדוני עלול לגרום ל-Scripting אוניברסלי בין אתרים

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

WebKit Bugzilla‏: 268724

CVE-2024-40857‏: Ron Masas

WebKit

השפעה: אתר אינטרנט זדוני עלול לחלץ מקורות מרובים של נתונים

תיאור: בעיה של מקורות מרובים הייתה קיימת באלמנטים מסוג 'iframe'. הבעיה טופלה באמצעות מעקב משופר אחרי מקורות אבטחה.

WebKit Bugzilla‏: 279452

CVE-2024-44187‏: Narendra Bhati, מנהל אבטחת סייבר ב-Suma Soft Pvt.‎ Ltd, פונה (הודו)

Wi-Fi

השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2024-44227: ‏Tim Michaud ‏(‎@TimGMichaud) מ-Moveworks.ai

הרשומה נוספה ב-3 במרץ 2025

Wi-Fi

השפעה: תוקף עלול להצליח לגרום למכשיר להתנתק מרשת מאובטחת

תיאור: בעיית תקינות טופלה באמצעות Beacon Protection.

CVE-2024-40856‏: Preet Dsouza (‏Fleming College, ‏תוכנית Computer Security & Investigations Program)‏, Domien Schepers

הרשומה נוספה ב-3 במרץ 2025

הכרה נוספת

Accounts

אנחנו מבקשים להודות ל-IES Red Team מ-ByteDance על הסיוע.

הרשומה נוספה ב-3 במרץ 2025

Core Bluetooth

אנחנו רוצים להודות ל-Nicholas C.‎ מ-Onymos Inc.‎‏ (onymos.com) על העזרה.

CoreGraphics

אנחנו רוצים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia) מ-Lakshmi Narain College of Technology בבופאל הודו, ל-Bharat ‏(mrnoob), ל-Chi Yuan Chang מ-ZUSO ART ול-taikosoup, J T על העזרה.

הרשומה נוספה ב-3 במרץ 2025

dyld

אנחנו רוצים להודות ל-Abdel Adim Oisfi מ-Shielder ‏(shielder.com), ל-Pietro Francesco Tirenna ול-Davide Silvetti על העזרה.

הרשומה נוספה ב-3 במרץ 2025

Find My

אנחנו רוצים להודות ל-Mr. Xiaofeng Liu מ-Shandong University על העזרה.

הרשומה נוספה ב-3 במרץ 2025

Foundation

אנחנו מבקשים להודות ל-Ostorlab על הסיוע.

ImageIO

אנחנו מבקשים להודות ל-Junsung Lee על הסיוע.

הרשומה נוספה ב-3 במרץ 2025

Installer

אנחנו מבקשים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia) מ-Lakshmi Narain College Of Technology Bhopal India, ‏Chi Yuan Chang מ-ZUSO ART ו-taikosoup, ‏Christian Scalese, ‏Ishan Boda, ‏Shane Gallagher על הסיוע.

הרשומה עודכנה ב-28 באוקטובר 2024

Kernel

אנחנו מבקשים להודות ל-Braxton Anderson, ל-Deutsche Telekom Security GmbH sponsored by Bundesamt für Sicherheit in der Informationstechnik, ל-Fakhri Zulkifli‏ (@d0lph1n98) מ-PixiePoint Security על הסיוע.

Magnifier

אנחנו מבקשים להודות ל-Andr.Ess על הסיוע.

Maps

אנחנו רוצים להודות ל-Cristian Dinca מ-‎"Tudor Vianu" National High School of Computer Science ברומניה ול-Kirin ‏(‎@Pwnrin) על העזרה.

הרשומה עודכנה ב-3 במרץ 2025

Messages

אנחנו מבקשים להודות ל-Chi Yuan Chang מ-ZUSO ART ול-taikosoup על הסיוע.

MobileLockdown

אנחנו מבקשים להודות ל-Andr.Ess על הסיוע.

Notifications

אנחנו רוצים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia) מ-Lakshmi Narain College of Technology בבופאל, ל-Dev dutta ‏(manas.dutta.75), ל-Prateek Pawar ‏(vakil sahab) ולחוקר אנונימי על העזרה.

הרשומה עודכנה ב-3 במרץ 2025

Passwords

אנחנו מבקשים להודות ל-Richard Hyunho Im‏ (@r1cheeta) על הסיוע.

Photos

אנחנו רוצים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia) מ-Lakshmi Narain College of Technology בבופאל הודו, ל-Harsh Tyagi, ל-Kenneth Chew, ל-Leandro Chaves, ל-Saurabh Kumar מ-Technocrat Institute of Technology בבופאל, ל-Shibin B Shaji, ל-Vishnu Prasad P G, ל-UST, ל-Yusuf Kelany ול-Junior Vergara על העזרה.

הרשומה עודכנה ב-3 במרץ 2025

Safari

אנו מבקשים להודות ל-Hafiizh ול-YoKo Kho‏ (@yokoacc) מ-HakTrak ול-James Lee‏ (@Windowsrcer) על הסיוע.

Settings

אנחנו רוצים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia) מ-Lakshmi Narain College of Technology בבופאל הודו, ל-Bistrit Dahal, ל-Chi Yuan Chang מ-ZUSO ART, ל-taikosoup ול-Ethan Bischof על העזרה.

הרשומה נוספה ב-3 במרץ 2025

SharePlay

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

הרשומה נוספה ב-3 במרץ 2025

Shortcuts

אנחנו מבקשים להודות ל-Cristian Dinca מבית הספר התיכון הלאומי Tudor Vianu למדעי המחשב ברומניה, ל-Jacob Braun ולחוקר אנונימי על הסיוע.

Siri

אנחנו מבקשים להודות ל-Abhay Kailasia‏ (‎@abhay_kailasia) מ-Lakshmi Narain College of Technology Bhopal India, ל-Rohan Paudel ולחוקר אנונימי על הסיוע.

הרשומה עודכנה ב-28 באוקטובר 2024

Spotlight

אנחנו מבקשים להודות ל-Paulo Henrique Batista Rosa de Castro ‏(‎@paulohbrc) על הסיוע.

הרשומה נוספה ב-28 באוקטובר 2024

Status Bar

אנחנו רוצים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia) מ-Lakshmi Narain College of Technology בבופאל הודו, ל-Jacob Braun, ל-Jake Derouin ‏(jakederouin.com) ול-Kenneth Chew על העזרה.

הרשומה עודכנה ב-3 במרץ 2025

TCC

אנחנו מבקשים להודות ל-Vaibhav Prajapati על הסיוע.

UIKit

אנחנו מבקשים להודות ל-Andr.Ess על הסיוע.

Voice Memos

אנחנו מבקשים להודות ל-Lisa B על הסיוע.

Wallet

אנחנו מבקשים להודות ל-Aaron Schlitt ‏(@aaron_sfn) מ-Hasso Plattner Institute על הסיוע.

הרשומה עודכנה ב‑24 בינואר 2025

WebKit

אנחנו מבקשים להודות ל-Avi Lumelsky מ-Oligo Security, ל-Uri Katz מ-Oligo Security, ל-Braylon‏ (‎@softwarescool), ל-Eli Grey‏ (eligrey.com), ל-Johan Carlsson‏ (joaxcar), ל-Numan Türle‏ - Rıza Sabuncu על הסיוע.

הרשומה עודכנה ב-28 באוקטובר 2024

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

פורסם בתאריך: 07 במרץ 2025