Informacije o sigurnosnom sadržaju sustava iOS 18 i iPadOS 18

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 18 i iPadOS 18.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 18 i iPadOS 18

Objavljeno 16. rujna 2024.

Accessibility

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: napadač koji ima fizički pristup mogao bi upotrijebiti Siri za pristup osjetljivim korisničkim podacima

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-40840: Abhay Kailasia (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal, Indija)

Accessibility

Učinak: aplikacije bi mogla popisati i označiti brojevima aplikacije koje je korisnik instalirao

Opis: taj je problem riješen poboljšanom zaštitom podataka.

CVE-2024-40830: Chloe Surett

Accessibility

Učinak: napadač s fizičkim pristupom zaključanom uređaju mogao bi kontrolirati uređaje u blizini putem dostupnih značajki

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-44171: Jake Derouin

Accessibility

Učinak: napadač bi mogao slati novije fotografije bez dodatne autentifikacije dok je uključen pomoćni pristup

Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.

CVE-2024-40852: Abhay Kailasia (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal, Indija)

Cellular

Učinak: udaljeni napadač mogao bi uzrokovati odbijanje usluge

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-27874: Tuan D. Hoang

Compression

Učinak: raspakiravanjem zlonamjerne arhive napadačima se moglo omogućiti zapisivanje proizvoljnih datoteka

Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Učinak: aplikacija bi mogla snimiti zaslon bez indikatora

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-27869: anonimni istraživač

Core Bluetooth

Učinak: zlonamjerni Bluetooth priključeni uređaj mogao bi premostiti uparivanje

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-44124: Daniele Antonioli

FileProvider

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: ovaj je problem riješen poboljšanom provjerom valjanosti simboličkih veza.

CVE-2024-44131: @08Tc3wBB (Jamf)

Game Center

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem s pristupanjem datoteci riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-27880: Junsung Lee

ImageIO

Učinak: obrada slike mogla bi dovesti do prekida usluge

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2024-44176: dw0r (ZeroPointer Lab) u suradnji s projektom Zero Day Initiative (Trend Micro) i anonimni istraživač

IOSurfaceAccelerator

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-44169: Antonio Zekić

Kernel

Učinak: moguće mrežno curenje izvan VPN tunela

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2024-44165: Andrew Lytvynov

Kernel

Učinak: aplikacija može steći neovlašten pristup Bluetoothu

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) i Mathy Vanhoef

libxml2

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-44198: OSS-Fuzz, Ned Williamson (Google Project Zero)

Mail Accounts

Učinak: aplikacija bi mogla pristupiti informacijama o kontaktima korisnika

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

mDNSResponder

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: logička je pogreška riješena poboljšanim rješavanjem pogrešaka.

CVE-2024-44183: Olivier Levon

Model I/O

Učinak: obrada zlonamjerne slike može dovesti do odbijanja usluge

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2023-5841

NetworkExtension

Učinak: aplikacija može steći neovlašten pristup lokalnoj mreži

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-44147: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) i Mathy Vanhoef

Notes

Učinak: aplikacija bi mogla prebrisati proizvoljne datoteke

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2024-44167: ajajfxhj

Printing

Učinak: kada se koristio pregled za ispis, nešifrirani se dokument mogao zapisati u privremenu datoteku

Opis: problem s privatnosti riješen je poboljšanim rukovanjem datotekama.

CVE-2024-40826: anonimni istraživač

Safari Private Browsing

Učinak: karticama Privatno pretraživanje može se pristupati bez provjere identiteta

Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.

CVE-2024-44202: Kenneth Chew

Safari Private Browsing

Učinak: karticama Privatno pretraživanje može se pristupati bez provjere identiteta

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-44127: Anamika Adhikari

Sandbox

Učinak: aplikacija bi mogla otkriti osjetljive korisničke podatke

Opis: taj je problem riješen poboljšanom zaštitom podataka.

CVE-2024-40863: Csaba Fitzl (@theevilbit) of Offensive Security

Siri

Učinak: napadač s fizičkim pristupom može pristupati kontaktima sa zaključanog zaslona

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-44139: Srijan Poudel

CVE-2024-44180: Bistrit Dahal

Siri

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem privatnosti riješen je premještanjem osjetljivih podataka na sigurniju lokaciju.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

Transparency

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

UIKit

Učinak: napadač bi mogao uzrokovati neočekivano zatvaranje aplikacije

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2024-27879: Justin Cohen

WebKit

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: problem je riješen poboljšanim upravljanjem stanjem.

WebKit Bugzilla: 268724

CVE-2024-40857: Ron Masas

WebKit

Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore podataka

Opis: u „iframe” elementima postojao je problem s više izvora. To je riješeno poboljšanim praćenjem izvora sigurnosti.

WebKit Bugzilla: 279452

CVE-2024-44187: Narendra Bhati, voditelj odjela kibernetičke sigurnosti (Suma Soft Pvt.) Ltd, Pune, Indija)

Wi-Fi

Učinak: napadač bi mogao prisilno odspojiti uređaj sa sigurne mreže

Opis: problem s integritetom riješen je uvođenjem dodatne razine zaštite (Beacon).

CVE-2024-40856: Domien Schepers

Dodatna zahvala

Core Bluetooth

Zahvaljujemo se Nicholasu C. (Onymos Inc.) (onymos.com) na pomoći.

Foundation

Zahvaljujemo na pomoći tvrtki Ostorlab.

Installer

Na pomoći se zahvaljujuemo Abhayju Kailasiaju (@abhay_kailasia) (Lakshmi Narain College of Technology Bhopal India), Christianu Scaleseu, Ishanu Bodi, Shaneu Gallagheru, Chi Yuan Changu (ZUSO ART) i korisniku taikosoup.

Kernel

Na pomoći se zahvaljujemo Braxtonu Andersonu, Deutsche Telekom Security GmbH pod pokroviteljstvom Bundesamt für Sicherheit in der Informationstechnik, Fakhriju Zulkifliju (@d0lph1n98) (PixiePoint Security).

Magnifier

Zahvaljujemo se na pomoći korisniku Andr.Ess.

Maps

Zahvaljujemo Kirinu (@Pwnrin) na pomoći.

Messages

Zahvaljujemo se na pomoći Chi Yuan Changu (ZUSO ART) i korisniku taikosoup.

MobileLockdown

Zahvaljujemo se na pomoći korisniku Andr.Ess.

Notifications

Na pomoći zahvaljujemo anonimnom istraživaču.

Passwords

Zahvaljujemo se na pomoći Richardu Hyunho Imu (@r1cheeta).

Photos

Zahvaljujemo se na pomoći Abhayu Kailasiaju (@abhay_kailasia) (Lakshmi Narain College of Technology Bhopal India), Harshu Tyagiju, Kennethu Chewu, Leandru Chavesu, Saurabhu Kumaru (Technocrat Institute of Technology Bhopal), Shibin B Shajiju, Vishnu Prasadu P G, UST, Yusufu Kelanyju.

Safari

Na pomoći se zahvaljujemo korisnicima Hafiizh i YoKo Kho (@yokoacc) (HakTrak) i James Lee (@Windowsrcer).

Shortcuts

Na pomoći zahvaljujemo Cristianu Dinci (Nacionalna srednja škola za računalnu znanost „Tudor Vianu”, Rumunjska) te Jacobu Braunu, anonimnom istraživaču.

Siri

Na pomoći se zahvaljujemo Rohanu Paudelu.

Status Bar

Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Lakshmi Narain College of Technology, Bhopal, Indija) i Jacobu Braunu.

TCC

Na pomoći se zahvaljujemo Vaibhavu Prajapatiju.

UIKit

Zahvaljujemo se na pomoći korisniku Andr.Ess.

Voice Memos

Na pomoći se zahvaljujemo Lisi B.

WebKit

Na pomoći se zahvaljujemo korisnicima Avi Lumelsky, Uri Katz, (Oligo Security), Johan Carlsson (joaxcar).

Wi-Fi

Na pomoći se zahvaljujemo korisnicima Antonio Zekic (@antoniozekic) i ant4g0nist, Tim Michaud (@TimGMichaud) (Moveworks.ai).

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 20. rujna 2024.