מידע על תוכן האבטחה של iOS 18.1 ו-iPadOS 18.1

מסמך זה מתאר את תוכן האבטחה של iOS 18.1 ו-iPadOS 18.1.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID‏ במידת האפשר.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

iOS 18.1 ו-iPadOS 18.1

הופץ ב-28 באוקטובר 2024

Accessibility

זמין עבור: iPhone XS ואילך

השפעה: תוקף בעל גישה פיזית למכשיר נעול עלול להצליח לצפות במידע רגיש אודות המשתמש

תיאור: הבעיה טופלה באמצעות אימות משופר.

CVE-2024-44274‏: Rizki Maulana (rmrizki.my.id)‏, Matthew Butler‏, Jake Derouin

App Support

זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך

השפעה: יישום זדוני עלול להצליח להפעיל קיצורי דרך שרירותיים ללא הסכמת המשתמש

תיאור: בעיית טיפול בנתיב טופלה באמצעות לוגיקה משופרת.

CVE-2024-44255: חוקר אנונימי

AppleAVD

השפעה: ניתוח קובץ וידאו בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של המערכת

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2024-44232‏: Ivan Fratric מ-Google Project Zero

CVE-2024-44233‏: Ivan Fratric מ-Google Project Zero

CVE-2024-44234‏: Ivan Fratric מ-Google Project Zero

הרשומה נוספה ב-1 בנובמבר 2024

Calendar

השפעה: תוקף עם גישה לנתוני לוח שנה יכול לקרוא גם תזכורות

תיאור: בעיית טיפול בנתיב טופלה באמצעות לוגיקה משופרת.

CVE-2024-54535‏: K宝(@Pwnrin)

הרשומה נוספה ב‑15 בינואר 2025

CoreMedia Playback

השפעה: יישום זדוני עלול להצליח לגשת למידע פרטי

תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של קישורים סימבוליים.

CVE-2024-44273‏: pattern-f (@pattern_F_)‏, Hikerell of Loadshine Lab

CoreText

השפעה: עיבוד של גופן בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-44240‏: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative

CVE-2024-44302‏: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative

Foundation

השפעה: ניתוח קובץ עלול להוביל לחשיפת מידע של משתמש

תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2024-44282‏: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative

GPU Drivers

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: בעיית אתחול זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2024-40854‏: Wang Yu מ-Cyberserval

הרשומה נוספה ב‑15 בינואר 2025

ImageIO

השפעה: עיבוד של תמונה עלול לגרום לחשיפה של זיכרון תהליך

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2024-44215‏: Junsung Lee יחד עם Trend Micro Zero Day Initiative

ImageIO

השפעה: עיבוד הודעה בעלת מבנה זדוני עלול להוביל למניעת שירות

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2024-44297‏: Jex Amro

IOMobileFrameBuffer

השפעה: תוקף עשוי לגרום לסיום בלתי צפוי של פעולת מערכת או להפעלת קוד שרירותי בקושחת DCP

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2024-44299: ‏Ye Zhang‏ (‎@VAR10CK) מ-Baidu Security

CVE-2024-44241: ‏Ye Zhang‏ (‎@VAR10CK) מ-Baidu Security

CVE-2024-44242: ‏Ye Zhang‏ (‎@VAR10CK) מ-Baidu Security

הרשומה נוספה ב-11 בדצמבר 2024

IOSurface

השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2024-44285: חוקר אנונימי

iTunes

השפעה: תוקף מרוחק עלול להצליח לצאת מארגז חול של תוכן אינטרנט

תיאור: בעיה בטיפול בסכמת URL מותאמת אישית טופלה באמצעות אימות קלט משופר.

CVE-2024-40867‏: Ziyi Zhou (@Shanghai Jiao Tong University)‏, Tianxiao Hou (@Shanghai Jiao Tong University)

Kernel

השפעה: יישום עלול להצליח להדליף מצב ליבה רגיש

תיאור: בעיית חשיפת מידע טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.

CVE-2024-44239‏: Mateusz Krzywicki (@krzywix)‎

libarchive

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2024-44201: ‏Ben Roeder

הרשומה נוספה ב-11 בדצמבר 2024

Managed Configuration

השפעה: שחזור קובץ גיבוי שנוצר באופן זדוני עלול להוביל לשינויים בקובצי מערכת מוגנים

תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של קישורים סימבוליים.

CVE-2024-44258‏: Hichem Maloufi‏, Christian Mina‏, Ismail Amzdak

MobileBackup

השפעה: שחזור קובץ גיבוי שנוצר באופן זדוני עלול להוביל לשינויים בקובצי מערכת מוגנים

תיאור: בעיית לוגיקה תוקנה באמצעות טיפול משופר בקבצים.

CVE-2024-44252‏: Nimrat Khalsa‏, Davis Dai‏, James Gill (@jjtech@infosec.exchange)‎

Pro Res

השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2024-44277: חוקר אנונימי ו-Yinyi Wu ‏(‎@_3ndy1) מ-Dawn Security Lab of JD.com, Inc.‎

Safari Downloads

השפעה: תוקף עלול להצליח לעשות שימוש לא ראוי ביחסי אמון כדי להוריד תוכן זדוני

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2024-44259: ‏Narendra Bhati, מנהל אבטחת סייבר ב-Suma Soft Pvt. Ltd, פונה (הודו)

Safari Private Browsing

השפעה: גלישה פרטית עלולה לגרום להדלפה של חלק מהיסטוריית הגלישה

תיאור: דליפת מידע טופלה עם אימות נוסף.

CVE-2024-44229‏: Lucas Di Tomase

SceneKit

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לפגם בזיכרון

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2024-44218‏: Michael DePlante (@izobashi) מ-Trend Micro Zero Day Initiative

Security

השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות

תיאור: בעיית מניעת שירות טופלה באמצעות אימות קלט משופר.

CVE-2024-54538‏: Bing Shi‏, Wenchao Li ו-Xiaolong Bai מ-Alibaba Group, ו-Luyi Xing מ-Indiana University Bloomington

הרשומה נוספה ב-19 בדצמבר 2024

Shortcuts

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2024-44254‏: Kirin (@Pwnrin)‎

Shortcuts

השפעה: יישום זדוני עלול להשתמש בקיצורי דרך כדי לגשת לקבצים מוגבלים

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2024-44269: ‏Kirin‏ (‎@Pwnrin) וחוקר אנונימי

הרשומה עודכנה ב-11 בדצמבר 2024

Siri

השפעה: תוקף בעל גישה פיזית עשוי להצליח לגשת לאנשי קשר ממסך הנעילה

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2024-54470‏: Bistrit Dahal ו-Kenneth Chew

הרשומה נוספה ב‑15 בינואר 2025

Siri

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2024-44194‏: Rodolphe Brunetti (@eisw0lf)‎

Siri

השפעה: תוקף בעל גישה פיזית עשוי להצליח לגשת לתמונות של אנשי קשר ממסך הנעילה

תיאור: בעיה זו טופלה על ידי הגבלת האפשרויות המוצעות במכשיר נעול.

CVE-2024-40851‏: Abhay Kailasia (@abhay_kailasia) מ-Lakshmi Narain College of Technology Bhopal India‏, Srijan Poudel

Siri

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2024-44263‏: Kirin (@Pwnrin) ו-7feilee

Siri

השפעה: יישום בארגז חול עלול לגשת לנתוני משתמש רגישים ביומני המערכת

תיאור: בעיית חשיפת מידע טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.

CVE-2024-44278‏: Kirin (@Pwnrin)‎

Siri

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2024-44200: ‏Cristian Dinca‏ (icmd.tech)

הרשומה נוספה ב-11 בדצמבר 2024

Spotlight

השפעה: תוקף עלול להצליח להציג תוכן מוגבל ממסך הנעילה

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2024-44251‏: Abhay Kailasia (@abhay_kailasia) מ-Lakshmi Narain College of Technology Bhopal India

Spotlight

השפעה: תוקף עלול להצליח להציג תוכן מוגבל ממסך הנעילה

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-44235‏: Rizki Maulana (rmrizki.my.id)‏, Dalibor Milanovic‏, Richard Hyunho Im (@richeeta) יחד עם Route Zero Security

‎VoiceOver‎

השפעה: תוקף עלול להצליח להציג תוכן מוגבל ממסך הנעילה

תיאור: בעיה זו טופלה על ידי הגבלת האפשרויות המוצעות במכשיר נעול.

CVE-2024-44261: ‏Braylon‏ (‎@softwarescool)

Weather

השפעה: יישום עלול להצליח לזהות את המיקום הנוכחי של המשתמש

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2024-44290: ‏Kirin‏ (‎@Pwnrin)

הרשומה נוספה ב-11 בדצמבר 2024

WebKit

השפעה: קובצי Cookie השייכים למקור אחד עלולים להישלח למקור אחר

תיאור: בעיה של ניהול קובצי Cookie טופלה באמצעות ניהול מצבים משופר.

WebKit Bugzilla‏: 279226

CVE-2024-44212: ‏Wojciech Regula מ-SecuRing‏ (wojciechregula.blog)

הרשומה נוספה ב-11 בדצמבר 2024

WebKit

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול למנוע אכיפה של מדיניות אבטחת תוכן

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla‏: 278765

CVE-2024-44296‏: Narendra Bhati, מנהל אבטחת סייבר ב-Suma Soft Pvt.‎ Ltd, פונה (הודו)

WebKit

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

WebKit Bugzilla‏: 279780

CVE-2024-44244: חוקר אנונימי, Q1IQ ‏(‎@q1iqF) ו-P1umer ‏(‎@p1umer)

תודות נוספות

Accessibility

אנחנו מבקשים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia) מ-Lakshmi Narain College of Technology Bhopal India, ‏Chi Yuan Chang מ-ZUSO ART ו-taikosoup על הסיוע.

App Store

אנחנו מבקשים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia) מ-Lakshmi Narain College of Technology Bhopal India, ל-Chi Yuan Chang מ-ZUSO ART, ל-taikosoup ול-CARRY על הסיוע.

הרשומה עודכנה ב-11 בדצמבר 2024

Calculator

אנחנו מבקשים להודות ל-Kenneth Chew על הסיוע.

Calendar

אנחנו מבקשים להודות ל-K宝‏ (‎@Pwnrin) על הסיוע.

Camera

אנחנו מבקשים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia) מ-Lakshmi Narain College Of Technology Bhopal India על הסיוע.

Files

אנחנו מבקשים להודות ל-Chi Yuan Chang מ-ZUSO ART ו-taikosoup, ‏Christian Scalese על הסיוע.

ImageIO

אנחנו מבקשים להודות ל-Amir Bazine ו-Karsten König מ-CrowdStrike Counter Adversary Operations, חוקר אנונימי על הסיוע.

Messages

אנחנו מבקשים להודות ל-Collin Potter, ל-M. Aman Shahid ‏(@amansmughal) ולחוקר אנונימי על הסיוע.

הרשומה עודכנה ב‑15 בינואר 2025

NetworkExtension

אנחנו מבקשים להודות ל-Patrick Wardle מ-DoubleYou & the Objective-See Foundation על הסיוע.

Open vSwitch

אנחנו מבקשים להודות ל-David Coomber על הסיוע.

הרשומה נוספה ב‑15 בינואר 2025

Personalization Services

אנחנו מבקשים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia) מ-Lakshmi Narain College Of Technology Bhopal India ול-Bistrit Dahal על הסיוע.

Photos

אנחנו מבקשים להודות ל-James Robertson, ‏Kamil Bourouiba על הסיוע.

Safari Private Browsing

אנחנו מבקשים להודות לחוקר אנונימי ול-Jacob Compton על הסיוע.

הרשומה עודכנה ב-11 בדצמבר 2024

Safari Tabs

אנחנו מבקשים להודות ל-Jaydev Ahire על הסיוע.

Settings

אנחנו מבקשים להודות ל-JS, ל-Srijan Poudel, ל-Abhay Kailasia‏ (‎@abhay_kailasia) מ-LNCT Bhopal ו-C-DAC Thiruvananthapuram India, ל-Chi Yuan Chang מ-ZUSO ART, ל-taikosoup ול-CARRY על הסיוע.

הרשומה עודכנה ב-11 בדצמבר 2024

Shortcuts

אנחנו מבקשים להודות ל-Aaron Schlitt ‏(@aaron_sfn) מ-Hasso Plattner Institute, צוות Cybersecurity - Mobile & Wireless על הסיוע.

הרשומה נוספה ב‑15 בינואר 2025

Siri

אנחנו מבקשים להודות ל-Bistrit Dahal על הסיוע.

Spotlight

אנחנו מבקשים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia) מ-LNCT Bhopal ו-C-DAC Thiruvananthapuram India על הסיוע.

Time Zone

אנחנו מבקשים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia) מ-Lakshmi Narain College Of Technology Bhopal India ו-Siddharth Choubey על הסיוע.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

פורסם בתאריך: 23 בינואר 2025