Over de beveiligingsinhoud van iOS 18 en iPadOS 18
In dit document wordt de beveiligingsinhoud van iOS 18 en iPadOS 18 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
iOS 18 en iPadOS 18
Releasedatum: 16 september 2024
Accessibility
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een aanvaller met fysieke toegang kan mogelijk Siri gebruiken om toegang te krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
CVE-2024-40840: Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India
Accessibility
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een app kan mogelijk de geïnstalleerde apps van een gebruiker inventariseren
Beschrijving: dit probleem is verholpen door middel van verbeterde gegevensbescherming.
CVE-2024-40830: Chloe Surett
Accessibility
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een aanvaller met fysieke toegang tot een vergrendeld apparaat kan mogelijk apparaten in de buurt bedienen via toegankelijkheidsfuncties
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
CVE-2024-44171: Jake Derouin
Accessibility
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een aanvaller kan in hulpbedieningstoegang mogelijk recente foto's bekijken zonder identiteitscontrole
Beschrijving: dit probleem is verholpen door de aangeboden opties op een vergrendeld apparaat te beperken.
CVE-2024-40852: Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India
Cellular
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een externe aanvaller kan een denial-of-service veroorzaken
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
CVE-2024-27874: Tuan D. Hoang
Compression
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: het uitpakken van een kwaadwillig vervaardigd archief kan een aanvaller de mogelijkheid geven om willekeurige bestanden te schrijven
Beschrijving: een race condition is verholpen door verbeterde vergrendeling.
CVE-2024-27876: Snoolie Keffaber (@0xilis)
Control Center
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een app kan mogelijk het scherm opnemen zonder indicator
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2024-27869: een anonieme onderzoeker
Core Bluetooth
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een kwaadaardig Bluetooth-invoerapparaat kan mogelijk koppeling omzeilen
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
CVE-2024-44124: Daniele Antonioli
FileProvider
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een app kan toegang mogelijk krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: dit probleem is verholpen door een verbeterde validatie van symlinks.
CVE-2024-44131: @08Tc3wBB van Jamf
Game Center
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: er is een probleem met bestandstoegang verholpen door verbeterde invoervalidatie.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van de app
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2024-27880: Junsung Lee
ImageIO
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: het verwerken van een afbeelding kan leiden tot een denial-of-service
Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.
CVE-2024-44176: dw0r van ZeroPointer Lab in samenwerking met Trend Micro Zero Day Initiative en een anonieme onderzoeker
IOSurfaceAccelerator
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2024-44169: Antonio Zekić
Kernel
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: netwerkverkeer kan buiten een VPN-tunnel terechtkomen
Beschrijving: een logicaprobleem is verholpen door verbeterde controles.
CVE-2024-44165: Andrew Lytvynov
Kernel
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een app kan mogelijk ongeoorloofde toegang verkrijgen tot Bluetooth
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) en Mathy Vanhoef
libxml2
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.
CVE-2024-44198: OSS-Fuzz, Ned Williamson van Google Project Zero
Mail Accounts
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een app kan mogelijk toegang krijgen tot informatie over de contacten van een gebruiker
Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.
CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)
mDNSResponder
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een app kan mogelijk een denial-of-service veroorzaken
Beschrijving: een logicaprobleem is verholpen door verbeterde foutverwerking.
CVE-2024-44183: Olivier Levon
Model I/O
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot een denial-of-service
Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is door derden toegewezen. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.
CVE-2023-5841
NetworkExtension
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een app kan mogelijk ongeoorloofde toegang verkrijgen tot het lokale netwerk
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
CVE-2024-44147: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) en Mathy Vanhoef
Notes
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een app kan mogelijk willekeurige bestanden overschrijven
Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.
CVE-2024-44167: ajajfxhj
Printing
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een niet-versleuteld document kan naar een tijdelijk bestand worden geschreven bij het gebruik van een afdrukvoorbeeld
Beschrijving: een privacyprobleem is verholpen door verbeterde verwerking van bestanden.
CVE-2024-40826: een anonieme onderzoeker
Safari Private Browsing
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: tabbladen voor de privémodus zijn mogelijk zonder identiteitscontrole toegankelijk
Beschrijving: een probleem met identiteitscontrole is verholpen door verbeterd statusbeheer.
CVE-2024-44202: Kenneth Chew
Safari Private Browsing
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: tabbladen voor de privémodus zijn mogelijk zonder identiteitscontrole toegankelijk
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
CVE-2024-44127: Anamika Adhikari
Sandbox
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een app kan vertrouwelijke gebruikersgegevens vrijgeven
Beschrijving: dit probleem is verholpen door middel van verbeterde gegevensbescherming.
CVE-2024-40863: Csaba Fitzl (@theevilbit) van Offensive Security
Siri
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een aanvaller met fysieke toegang heeft mogelijk toegang tot contactpersonen vanaf het toegangsscherm
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2024-44139: Srijan Poudel
CVE-2024-44180: Bistrit Dahal
Siri
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een privacyprobleem is verholpen door gevoelige gegevens naar een veiligere locatie te verplaatsen.
CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)
Transparency
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een machtigingsprobleem is verholpen met aanvullende beperkingen.
CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)
UIKit
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een aanvaller kan onverwachte beëindiging van apps veroorzaken
Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.
CVE-2024-27879: Justin Cohen
WebKit
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot universele cross-site-scripting
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
WebKit Bugzilla: 268724
CVE-2024-40857: Ron Masas
WebKit
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een kwaadaardige website kan gegevens 'cross-origin' exfiltreren
Beschrijving: er was een cross-origin-probleem met iframe-elementen. Dit is verholpen door een verbeterde tracking van beveiligingsbronnen.
WebKit Bugzilla: 279452
CVE-2024-44187: Narendra Bhati, Manager Cyber Security bij Suma Soft Pvt. Ltd, Pune (India)
Wi-Fi
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een aanvaller kan de verbinding van een apparaat met een beveiligd netwerk mogelijk geforceerd verbreken
Beschrijving: een integriteitsprobleem met Beacon Protection is verholpen.
CVE-2024-40856: Domien Schepers
Aanvullende erkenning
Core Bluetooth
Met dank aan Nicholas C. of Onymos Inc. (onymos.com) voor de hulp.
Foundation
Met dank aan Ostorlab voor de hulp.
Installer
Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India, Christian Scalese, Ishan Boda, Shane Gallagher, Chi Yuan Chang van ZUSO ART en taikosoup voor de hulp.
Kernel
Met dank aan Braxton Anderson, Deutsche Telekom Security GmbH gesponsord door Bundesamt für Sicherheit in der Informationstechnik en Fakhri Zulkifli (@d0lph1n98) van PixiePoint Security voor de hulp.
Magnifier
Met dank aan Andr.Ess voor de hulp.
Maps
Met dank aan Kirin (@Pwnrin) voor de hulp.
Messages
Met dank aan Chi Yuan Chang van ZUSO ART en taikosoup voor de hulp.
MobileLockdown
Met dank aan Andr.Ess voor de hulp.
Notifications
Met dank aan een anonieme onderzoeker voor de hulp.
Passwords
Met dank aan Richard Hyunho Im (@r1cheeta) voor de hulp.
Photos
Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India, Harsh Tyagi, Kenneth Chew, Leandro Chaves, Saurabh Kumar van Technocrat Institute of Technology Bhopal, Shibin B Shaji, Vishnu Prasad P G, UST en Yusuf Kelany voor de hulp.
Safari
Met dank aan Hafiizh en YoKo Kho (@yokoacc) van HakTrak en James Lee (@Windowsrcer) voor de hulp.
Shortcuts
Met dank aan Cristian Dinca van "Tudor Vianu" National High School of Computer Science, Romania, Jacob Braun en een anonieme onderzoeker voor de hulp.
Siri
Met dank aan Rohan Paudel voor de hulp.
Status Bar
Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College Of Technology Bhopal India en Jacob Braun voor de hulp.
TCC
Met dank aan Vaibhav Prajapati voor de hulp.
UIKit
Met dank aan Andr.Ess voor de hulp.
Voice Memos
Met dank aan Lisa B voor de hulp.
WebKit
Met dank aan Avi Lumelsky, Uri Katz, (Oligo Security) en Johan Carlsson (joaxcar) voor de hulp.
Wi-Fi
Met dank aan Antonio Zekic (@antoniozekic) en ant4g0nist, en Tim Michaud (@TimGMichaud) van Moveworks.ai voor de hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.