מידע על תוכן האבטחה של iOS 18.2 ו-iPadOS 18.2
מסמך זה מתאר את תוכן האבטחה של iOS 18.2 ו-iPadOS 18.2.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
iOS 18.2 ו-iPadOS 18.2
הופץ ב-11 בדצמבר 2024
AppleMobileFileIntegrity
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום זדוני עלול להצליח לגשת למידע פרטי
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)
AppleMobileFileIntegrity
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2024-54527: Mickey Jin (@patch1t)
Audio
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: ייתכן שהשתקת שיחה של בזמן הצלצול לא תביא להפעלת ההשתקה
תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצבים משופר.
CVE-2024-54503: Micheal Chukwu וחוקר אנונימי
Crash Reporter
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2024-54513: חוקר אנונימי
FontParser
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד של גופן בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-54486: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
ImageIO
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-54500: Junsung Lee יחד עם Trend Micro Zero Day Initiative
Kernel
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: תוקף עלול להצליח ליצור מיפוי זיכרון לקריאה בלבד שניתן לכתיבה
תיאור: מצב מירוץ טופל באמצעות אימות נוסף.
CVE-2024-54494: sohybbyk
Kernel
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח להדליף מצב ליבה רגיש
תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.
CVE-2024-54510: Joseph Ravichandran (@0xjprx) מ-MIT CSAIL
Kernel
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-44245: חוקר אנונימי
libexpat
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.
CVE-2024-45490
libxpc
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-54514: חוקר אנונימי
libxpc
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח לקבל הרשאות ברמה גבוהה יותר
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2024-44225: 风沐云烟(@binary_fmyy)
Passwords
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: תוקף במיקום מורשה ברשת עשוי להצליח לשנות תעבורה ברשת
תיאור: הבעיה טופלה באמצעות שימוש ב-HTTPS בעת שליחת מידע ברשת.
CVE-2024-54492: Talal Haj Bakry ו-Tommy Mysk מ-Mysk Inc. (@mysk_co)
Safari
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: במכשיר שבו מופעל 'ממסר פרטי', הוספת אתר לרשימת קריאה ב-Safari עלולה לחשוף בפני האתר את כתובת ה-IP שממנה המכשיר משדר
תיאור: הבעיה טופלה באמצעות ניתוב משופר של בקשות שנוצרו על-ידי Safari.
CVE-2024-44246: Jacob Braun
SceneKit
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-54501: Michael DePlante (@izobashi) מ-Zero Day Initiative של Trend Micro
VoiceOver
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: תוקף בעל גישה פיזית למכשיר iOS עשוי להצליח לצפות בתוכן של עדכונים ממסך הנעילה
תיאור: הבעיה טופלה על ידי הוספת לוגיקה.
CVE-2024-54485: Abhay Kailasia (@abhay_kailasia) מ-C-DAC Thiruvananthapuram India
WebKit
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 278497
CVE-2024-54479: Junsung Lee
WebKit Bugzilla: 281912
CVE-2024-54502: Brendon Tiszka מ-Google Project Zero
WebKit
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 282180
CVE-2024-54508: linjy מ-HKUS3Lab ו-chluo מ-WHUSecLab, Xiangwei Zhang מ-Tencent Security YUNDING LAB
WebKit
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להשחתת זיכרון
תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 282661
CVE-2024-54505: Gary Kwong
WebKit
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שביעי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להשחתת זיכרון
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 277967
CVE-2024-54534: Tashita Software Security
תודות נוספות
Accessibility
אנחנו מבקשים להודות ל-Abhay Kailasia (@abhay_kailasia) מ-Lakshmi Narain College of Technology Bhopal India, ל-Andr.Ess, ל-ל-Jake Derouin ול-Jason Gendron (@gendron_jason) על הסיוע.
App Protection
אנחנו מבקשים להודות ל-Abhay Kailasia (@abhay_kailasia) מ-Lakshmi Narain College Of Technology Bhopal India על הסיוע.
Calendar
אנחנו מבקשים להודות ל-Abhay Kailasia (@abhay_kailasia) מ-Lakshmi Narain College Of Technology Bhopal India על הסיוע.
FaceTime
ברצוננו להודות ל-椰椰 על הסיוע.
FaceTime Foundation
אנחנו מבקשים להודות ל-Joshua Pellecchia על הסיוע.
Family Sharing
אנחנו מבקשים להודות ל-Abhay Kailasia (@abhay_kailasia) מ-Lakshmi Narain College Of Technology Bhopal India ול-J T על הסיוע.
Notes
אנחנו מבקשים להודות ל-Katzenfutter על הסיוע.
Photos
אנחנו מבקשים להודות ל-Bistrit Dahal, ל-Chi Yuan Chang מ-ZUSO ART ול-taikosoup, ל-Finlay James (@Finlay1010), ל-Rizki Maulana (rmrizki.my.id) ול-Srijan Poudel על הסיוע.
Photos Storage
אנחנו מבקשים להודות ל-Jake Derouin (jakederouin.com) על הסיוע.
Proximity
אנחנו מבקשים להודות ל-Junming C. (@Chapoly1305) ול-Prof. Qiang Zeng מ-George Mason University על הסיוע.
Quick Response
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
Safari
אנחנו מבקשים להודות ל-Jayateertha Guruprasad על הסיוע.
Safari Private Browsing
אנחנו מבקשים להודות ל-Richard Hyunho Im (@richeeta) יחד עם Route Zero Security על הסיוע.
Settings
אנחנו מבקשים להודות ל-Akshith Muddasani, ל-Bistrit Dahal ול-Emanuele Slusarz על הסיוע.
Siri
אנחנו מבקשים להודות ל-Srijan Poudel על הסיוע.
Spotlight
אנחנו מבקשים להודות ל-Abhay Kailasia (@abhay_kailasia) מ-LNCT Bhopal ו-C-DAC Thiruvananthapuram India על הסיוע.
Status Bar
אנחנו מבקשים להודות ל-Abhay Kailasia (@abhay_kailasia) מ-Lakshmi Narain College Of Technology Bhopal India ול-Andr.Ess על הסיוע.
Swift
אנחנו מבקשים להודות ל-Marc Schoenefeld, ל-Dr. rer. הטבע, על הסיוע.
Time Zone
אנחנו מבקשים להודות ל-Abhay Kailasia (@abhay_kailasia) מ-LNCT Bhopal ו-C-DAC Thiruvananthapuram India על הסיוע.
WebKit
אנחנו מבקשים להודות ל-Hafiizh על הסיוע.
WindowServer
אנחנו מבקשים להודות ל-Felix Kratz על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.