Informacije o sigurnosnom sadržaju sustava iOS 18 i iPadOS 18

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 18 i iPadOS 18.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 18 i iPadOS 18

Objavljeno 16. rujna 2024.

Accessibility

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 7. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: napadač koji ima fizički pristup mogao bi upotrijebiti Siri za pristup osjetljivim korisničkim podacima

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-40840: Abhay Kailasia (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal, Indija)

Accessibility

Učinak: aplikacije bi mogla popisati i označiti brojevima aplikacije koje je korisnik instalirao

Opis: taj je problem riješen poboljšanom zaštitom podataka.

CVE-2024-40830: Chloe Surett

Accessibility

Učinak: napadači s fizičkim pristupom zaključanom uređaju mogli su putem značajki pristupačnosti upravljati obližnjim uređajima

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-44171: Jake Derouin (jakederouin.com)

Unos je ažuriran 3. ožujka 2025.

Accessibility

Učinak: napadač bi mogao slati novije fotografije bez dodatne autentifikacije dok je uključen pomoćni pristup

Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.

CVE-2024-40852: Abhay Kailasia (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal, Indija)

ARKit

Učinak: obrada zlonamjerne datoteke može dovesti do oštećenja skupa

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-44126: Holger Fuhrmannek

Unos je dodan 28. listopada 2024.

Cellular

Učinak: udaljeni napadač mogao bi uzrokovati odbijanje usluge

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-27874: Tuan D. Hoang

Compression

Učinak: raspakiravanjem zlonamjerne arhive napadačima se moglo omogućiti zapisivanje proizvoljnih datoteka

Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Učinak: aplikacija bi mogla snimiti zaslon bez indikatora

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-27869: anonimni istraživač

Core Bluetooth

Učinak: zlonamjerni Bluetooth priključeni uređaj mogao bi premostiti uparivanje

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-44124: Daniele Antonioli

FileProvider

Učinak: lokalni je korisnik mogao otkriti povjerljive korisničke podatke

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-54469: Csaba Fitzl (@theevilbit) (Kandji)

Unos je dodan 3. ožujka 2025.

FileProvider

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: ovaj je problem riješen poboljšanom provjerom valjanosti simboličkih veza.

CVE-2024-44131: @08Tc3wBB (Jamf)

Game Center

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem s pristupom datoteci riješen je poboljšanom provjerom valjanosti ulaznih podataka

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-27880: Junsung Lee

ImageIO

Učinak: obrada slike mogla bi dovesti do prekida usluge

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2024-44176: dw0r (ZeroPointer Lab) u suradnji s projektom Zero Day Initiative (Trend Micro) i anonimni istraživač

IOSurfaceAccelerator

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-44169: Antonio Zekić

Kernel

Učinak: mrežni promet mogao je procuriti izvan VPN tunela

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2024-44165: Andrew Lytvynov

Kernel

Učinak: aplikacija može steći neovlašten pristup Bluetoothu

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) i Mathy Vanhoef

LaunchServices

Učinak: aplikacija bi mogla izaći izvan ograničene memorije

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2024-44122: anonimni istraživač

Unos je dodan 3. ožujka 2025.

LaunchServices

Učinak: zlonamjerna bi aplikacija mogla izmijeniti druge aplikacije bez dopuštenja alata za upravljanje aplikacijom

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2024-54560: Kirin (@Pwnrin), Jeff Johnson (underpassapp.com)

Unos je dodan 3. ožujka 2025.

libxml2

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-44198: OSS-Fuzz, Ned Williamson (Google Project Zero)

Mail Accounts

Učinak: aplikacija bi mogla pristupiti informacijama o kontaktima korisnika

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

mDNSResponder

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: logička pogreška riješena je poboljšanim rukovanjem pogreškama.

CVE-2024-44183: Olivier Levon

Model I/O

Učinak: obrada zlonamjerne slike može dovesti do odbijanja usluge

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2023-5841

NetworkExtension

Učinak: aplikacija može steći neovlašten pristup lokalnoj mreži

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-44147: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) i Mathy Vanhoef

Notes

Učinak: aplikacija bi mogla prebrisati proizvoljne datoteke

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2024-44167: ajajfxhj

Passwords

Učinak: značajka automatskog unosa lozinke mogla bi unijeti lozinke i nakon neuspjele provjere autentičnosti

Opis: problem s dopuštenjima riješen je uklanjanjem koda sa slabim točkama i dodavanjem dodatnih provjera.

CVE-2024-44217: Bistrit Dahal, Joshua Keller, Lukas i anonimni istraživač

Unos je dodan 28. listopada, a ažuriran 3. ožujka 2025.

Printing

Učinak: kada se koristio pregled za ispis, nešifrirani se dokument mogao zapisati u privremenu datoteku

Opis: problem s privatnosti riješen je poboljšanim rukovanjem datotekama.

CVE-2024-40826: anonimni istraživač

Safari

Učinak: zlonamjerni web-sadržaj može kršiti pravila testiranja za iframe

Opis: problem rukovanja prilagođenom URL shemom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-44155: Narendra Bhati, voditelj odjela kibernetičke sigurnosti (Suma Soft Pvt.) Ltd, Pune, Indija)

Unos je dodan 28. listopada 2024.

Safari Private Browsing

Učinak: karticama Privatno pretraživanje može se pristupati bez provjere identiteta

Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.

CVE-2024-44202: Kenneth Chew

Safari Private Browsing

Učinak: karticama Privatno pretraživanje može se pristupati bez provjere identiteta

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-44127: Anamika Adhikari

Sandbox

Učinak: aplikacija bi mogla otkriti osjetljive korisničke podatke

Opis: taj je problem riješen poboljšanom zaštitom podataka.

CVE-2024-40863: Csaba Fitzl (@theevilbit) (Kandji)

Unos je ažuriran 28. listopada 2024.

SceneKit

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.

CVE-2024-44144: 냥냥

Unos je dodan 28. listopada 2024.

Security

Učinak: zlonamjerna aplikacija s korijenskim ovlastima mogla bi pristupiti unosu putem tipkovnice i informacijama o lokaciji bez pristanka korisnika

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2024-44123: Wojciech Regula (SecuRing) (wojciechregula.blog)

Unos je dodan 28. listopada 2024.

Sidecar

Dostupno za: 13-inčni iPad Pro, 12,9-inčni iPad Pro 3. generacije ili noviji, 11-inčni iPad Pro 1. generacije ili noviji, iPad Air 3. generacije ili noviji, iPad 7. generacije ili noviji i iPad mini 5. generacije ili noviji

Učinak: napadač s fizičkim pristupom macOS uređaju s omogućenom značajkom Sidecar mogao bi zaobići zaključani zaslon

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-44145: Om Kothawade (Zaprico Digital), Omar A. Alanis (UNTHSC College of Pharmacy)

Unos je dodan 28. listopada 2024.

Siri

Učinak: napadač s fizičkim pristupom uređaju mogao bi pročitati brojeve kontakata sa zaključanog zaslona

Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.

CVE-2024-44179: Bistrit Dahal, Matej Moravec (@MacejkoMoravec)

Unos je dodan 3. ožujka 2025.

Siri

Učinak: napadač bi mogao uz pomoć Siri omogućiti značajku automatskog odgovaranja na pozive

Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.

CVE-2024-40853: Chi Yuan Chang (ZUSO ART) i taikosoup

Unos je dodan 28. listopada 2024.

Siri

Učinak: napadač s fizičkim pristupom može pristupati kontaktima sa zaključanog zaslona

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-44139: Srijan Poudel

CVE-2024-44180: Bistrit Dahal

Siri

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem privatnosti riješen je premještanjem osjetljivih podataka na sigurniju lokaciju.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

TCC

Učinak: aplikacija bi korisnika na prijevaru mogla navesti da odobri pristup fotografijama iz svog fotoalbuma

Opis: problem s otimanjem klikova riješen je poboljšanjem postupka prikaza rukovanja.

CVE-2024-54558: Ron Masas (BreakPoint.sh) i anonimni istraživač

Unos je dodan 3. ožujka 2025.

Transparency

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

UIKit

Učinak: napadači su mogli izazvati neočekivano zatvaranje aplikacije

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2024-27879: Justin Cohen

WebKit

Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore podataka

Opis: problem s upravljanjem kolačićima riješen je poboljšanim upravljanjem stanjem.

WebKit Bugzilla: 287874

CVE-2024-54467: Narendra Bhati, voditelj odjela kibernetičke sigurnosti (Suma Soft Pvt.) Ltd, Pune, Indija)

Unos je dodan 3. ožujka 2025.

WebKit

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim provjerama.

WebKit Bugzilla: 268770

CVE-2024-44192: Tashita Software Security

Unos je dodan 3. ožujka 2025.

WebKit

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: problem je riješen poboljšanim upravljanjem stanjem.

WebKit Bugzilla: 268724

CVE-2024-40857: Ron Masas

WebKit

Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore podataka

Opis: u „iframe” elementima postojao je problem s više izvora. To je riješeno poboljšanim praćenjem izvora sigurnosti.

WebKit Bugzilla: 279452

CVE-2024-44187: Narendra Bhati, voditelj odjela kibernetičke sigurnosti (Suma Soft Pvt.) Ltd, Pune, Indija)

Wi-Fi

Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili oštećenje kernelske memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-44227: Tim Michaud (@TimGMichaud) (Moveworks.ai)

Unos je dodan 3. ožujka 2025.

Wi-Fi

Učinak: napadač bi mogao prisilno odspojiti uređaj sa sigurne mreže

Opis: problem s integritetom riješen je uvođenjem dodatne razine zaštite (Beacon).

CVE-2024-40856: Preet Dsouza (Fleming College, Computer Security & Investigations Program), Domien Schepers

Unos je ažuriran 3. ožujka 2025.

Dodatna zahvala

Accounts

Na pomoći zahvaljujemo korisniku IES Red Team (ByteDance).

Unos je dodan 3. ožujka 2025.

Core Bluetooth

Zahvaljujemo Nicholasu C. (Onymos Inc.) (onymos.com) na pomoći.

CoreGraphics

Na pomoći zahvaljujemo Abhayu Kailasiaju (@abhay_kailasia) (Lakshmi Narain College of Technology Bhopal India, Bharat (mrnoob)), Chiju Yuanu Changu (ZUSO ART) i korisniku taikosoup, J T.

Unos je dodan 3. ožujka 2025.

dyld

Na pomoći zahvaljujemo Abdelu Adimu Oisfiju (Shielder) (shielder.com), Pietru Francescu Tirenni i Davideu Silvettiju.

Unos je dodan 3. ožujka 2025.

Find My

Na pomoći zahvaljujemo g. Xiaofengu Liu sa Sveučilišta Shandong University.

Unos je dodan 3. ožujka 2025.

Foundation

Zahvaljujemo na pomoći tvrtki Ostorlab.

ImageIO

Na pomoći zahvaljujemo Junsungu Leeju.

Unos je dodan 3. ožujka 2025.

Installer

Na pomoći zahvaljujemo Abhayu Kailasiji (@abhay_kailasia) (Lakshmi Narain College of Technology Bhopal India), Chi Yuan Changu (ZUSO ART) i korisniku taikosoup, Christianu Scaleseu, Ishanu Bodi i Shaneu Gallagheru.

Unos je ažuriran 28. listopada 2024.

Kernel

Na pomoći se zahvaljujemo Braxtonu Andersonu, Deutsche Telekom Security GmbH pod pokroviteljstvom Bundesamt für Sicherheit in der Informationstechnik, Fakhriju Zulkifliju (@d0lph1n98) (PixiePoint Security).

Magnifier

Zahvaljujemo se na pomoći korisniku Andr.Ess.

Maps

Na pomoći zahvaljujemo Baibhavu Anandu Jhau (ReconWithMe) i Cristianu Dincu (Nacionalna srednja škola za računalnu znanosti Tudor Vianu, Rumunjska) i Kirinu (@Pwnrin).

Unos je ažuriran 3. ožujka 2025.

Messages

Zahvaljujemo se na pomoći Chi Yuan Changu (ZUSO ART) i korisniku taikosoup.

MobileLockdown

Zahvaljujemo se na pomoći korisniku Andr.Ess.

Notifications

Na pomoći zahvaljujemo Abhayu Kailasiaju (@abhay_kailasia) (Lakshmi Narain College of Technology Bhopal India, Bharat, Dev dutta (manas.dutta.75)), Prateeku Pawaru (vakil sahab) i anonimnom istraživaču.

Unos je ažuriran 3. ožujka 2025.

Passwords

Zahvaljujemo se na pomoći Richardu Hyunho Imu (@r1cheeta).

Photos

Zahvaljujemo se na pomoći Abhayu Kailasiaju (@abhay_kailasia) (Lakshmi Narain College of Technology Bhopal India), Harshu Tyagiju, Kennethu Chewu, Leandru Chavesu, Saurabhu Kumaru (Technocrat Institute of Technology Bhopal), Shibin B Shajiju, Vishnu Prasadu P G, UST, Yusufu Kelanyju i Junioru Vergari.

Unos je ažuriran 3. ožujka 2025.

Safari

Na pomoći se zahvaljujemo korisnicima Hafiizh i YoKo Kho (@yokoacc) (HakTrak) i James Lee (@Windowsrcer).

Settings

Na pomoći zahvaljujemo Abhayu Kailasiaju (@abhay_kailasia) (Lakshmi Narain College of Technology Bhopal India), Bistritu Dahalu, Chiju Yuanu Changu (ZUSO ART) i korisniku taikosoup, J T, Ethanu Bischofu.

Unos je dodan 3. ožujka 2025.

SharePlay

Na pomoći zahvaljujemo anonimnom istraživaču.

Unos je dodan 3. ožujka 2025.

Shortcuts

Na pomoći zahvaljujemo Cristianu Dinci (Nacionalna srednja škola za računalnu znanost „Tudor Vianu”, Rumunjska) te Jacobu Braunu, anonimnom istraživaču.

Siri

Na pomoći zahvaljujemo Abhayu Kailasiji (@abhay_kailasia) (Lakshmi Narain College of Technology Bhopal India) i Rohanu Paudelu i anonimnom istraživaču.

Unos je ažuriran 28. listopada 2024.

Spotlight

Na pomoći zahvaljujemo Paulu Henriku Batisti Rosi de Castro (@paulohbrc).

Unos je dodan 28. listopada 2024.

Status Bar

Na pomoći zahvaljujemo Abhayu Kailasiaju (@abhay_kailasia) (Lakshmi Narain College of Technology Bhopal India), Jacobu Braunu, Jakeu Derouinu (jakederouin.com) i Kennethu Chewu.

Unos je ažuriran 3. ožujka 2025.

TCC

Na pomoći se zahvaljujemo Vaibhavu Prajapatiju.

UIKit

Zahvaljujemo se na pomoći korisniku Andr.Ess.

Voice Memos

Na pomoći se zahvaljujemo Lisi B.

Wallet

Na pomoći zahvaljujemo Aaronu Schlittu (@aaron_sfn) iz tvrtke Hasso Plattner Institute.

Unos je ažuriran 24. siječnja 2025.

WebKit

Na pomoći zahvaljujemo Aviju Lumelskom (Oligo Security), Uriju Katzu (Oligo Security), Braylonu (@softwarescool), Eliju Greyu (eligrey.com), Johanu Carlssonu (joaxcar), Numanu Türleu i Rızı Sabuncu.

Unos je ažuriran 28. listopada 2024.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 12. ožujka 2025.