Over de beveiligingsinhoud van iOS 18 en iPadOS 18

In dit document wordt de beveiligingsinhoud van iOS 18 en iPadOS 18 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

iOS 18 en iPadOS 18

Releasedatum: 16 september 2024

Accessibility

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (7e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een aanvaller met fysieke toegang kan mogelijk Siri gebruiken om toegang te krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2024-40840: Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India

Accessibility

Impact: een app kan mogelijk de geïnstalleerde apps van een gebruiker inventariseren

Beschrijving: dit probleem is verholpen door middel van verbeterde gegevensbescherming.

CVE-2024-40830: Chloe Surett

Accessibility

Impact: een aanvaller met fysieke toegang tot een vergrendeld apparaat kan mogelijk apparaten in de buurt bedienen via toegankelijkheidsfuncties

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2024-44171: Jake Derouin

Accessibility

Impact: een aanvaller kan in hulpbedieningstoegang mogelijk recente foto's bekijken zonder identiteitscontrole

Beschrijving: dit probleem is verholpen door de aangeboden opties op een vergrendeld apparaat te beperken.

CVE-2024-40852: Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India

Cellular

Impact: een externe aanvaller kan een denial-of-service veroorzaken

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2024-27874: Tuan D. Hoang

Compression

Impact: het uitpakken van een kwaadwillig vervaardigd archief kan een aanvaller de mogelijkheid geven om willekeurige bestanden te schrijven

Beschrijving: een race condition is verholpen door verbeterde vergrendeling.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Impact: een app kan mogelijk het scherm opnemen zonder indicator

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-27869: een anonieme onderzoeker

Core Bluetooth

Impact: een kwaadaardig Bluetooth-invoerapparaat kan mogelijk koppeling omzeilen

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2024-44124: Daniele Antonioli

FileProvider

Impact: een app kan toegang mogelijk krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door een verbeterde validatie van symlinks.

CVE-2024-44131: @08Tc3wBB van Jamf

Game Center

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: er is een probleem met bestandstoegang verholpen door verbeterde invoervalidatie.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van de app

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2024-27880: Junsung Lee

ImageIO

Impact: het verwerken van een afbeelding kan leiden tot een denial-of-service

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2024-44176: dw0r van ZeroPointer Lab in samenwerking met Trend Micro Zero Day Initiative en een anonieme onderzoeker

IOSurfaceAccelerator

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-44169: Antonio Zekić

Kernel

Impact: netwerkverkeer kan buiten een VPN-tunnel terechtkomen

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2024-44165: Andrew Lytvynov

Kernel

Impact: een app kan mogelijk ongeoorloofde toegang verkrijgen tot Bluetooth

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) en Mathy Vanhoef

libxml2

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.

CVE-2024-44198: OSS-Fuzz, Ned Williamson van Google Project Zero

Mail Accounts

Impact: een app kan mogelijk toegang krijgen tot informatie over de contacten van een gebruiker

Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

mDNSResponder

Impact: een app kan mogelijk een denial-of-service veroorzaken

Beschrijving: een logicaprobleem is verholpen door verbeterde foutverwerking.

CVE-2024-44183: Olivier Levon

Model I/O

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot een denial-of-service

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is door derden toegewezen. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2023-5841

NetworkExtension

Impact: een app kan mogelijk ongeoorloofde toegang verkrijgen tot het lokale netwerk

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2024-44147: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) en Mathy Vanhoef

Notes

Impact: een app kan mogelijk willekeurige bestanden overschrijven

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

CVE-2024-44167: ajajfxhj

Printing

Impact: een niet-versleuteld document kan naar een tijdelijk bestand worden geschreven bij het gebruik van een afdrukvoorbeeld

Beschrijving: een privacyprobleem is verholpen door verbeterde verwerking van bestanden.

CVE-2024-40826: een anonieme onderzoeker

Safari Private Browsing

Impact: tabbladen voor de privémodus zijn mogelijk zonder identiteitscontrole toegankelijk

Beschrijving: een probleem met identiteitscontrole is verholpen door verbeterd statusbeheer.

CVE-2024-44202: Kenneth Chew

Safari Private Browsing

Impact: tabbladen voor de privémodus zijn mogelijk zonder identiteitscontrole toegankelijk

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2024-44127: Anamika Adhikari

Sandbox

Impact: een app kan vertrouwelijke gebruikersgegevens vrijgeven

Beschrijving: dit probleem is verholpen door middel van verbeterde gegevensbescherming.

CVE-2024-40863: Csaba Fitzl (@theevilbit) van Offensive Security

Siri

Impact: een aanvaller met fysieke toegang heeft mogelijk toegang tot contactpersonen vanaf het toegangsscherm

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-44139: Srijan Poudel

CVE-2024-44180: Bistrit Dahal

Siri

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een privacyprobleem is verholpen door gevoelige gegevens naar een veiligere locatie te verplaatsen.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

Transparency

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een machtigingsprobleem is verholpen met aanvullende beperkingen.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

UIKit

Impact: een aanvaller kan onverwachte beëindiging van apps veroorzaken

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2024-27879: Justin Cohen

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot universele cross-site-scripting

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

WebKit Bugzilla: 268724

CVE-2024-40857: Ron Masas

WebKit

Impact: een kwaadaardige website kan gegevens 'cross-origin' exfiltreren

Beschrijving: er was een cross-origin-probleem met iframe-elementen. Dit is verholpen door een verbeterde tracking van beveiligingsbronnen.

WebKit Bugzilla: 279452

CVE-2024-44187: Narendra Bhati, Manager Cyber Security bij Suma Soft Pvt. Ltd, Pune (India)

Wi-Fi

Impact: een aanvaller kan de verbinding van een apparaat met een beveiligd netwerk mogelijk geforceerd verbreken

Beschrijving: een integriteitsprobleem met Beacon Protection is verholpen.

CVE-2024-40856: Domien Schepers

Aanvullende erkenning

Core Bluetooth

Met dank aan Nicholas C. of Onymos Inc. (onymos.com) voor de hulp.

Foundation

Met dank aan Ostorlab voor de hulp.

Installer

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India, Christian Scalese, Ishan Boda, Shane Gallagher, Chi Yuan Chang van ZUSO ART en taikosoup voor de hulp.

Kernel

Met dank aan Braxton Anderson, Deutsche Telekom Security GmbH gesponsord door Bundesamt für Sicherheit in der Informationstechnik en Fakhri Zulkifli (@d0lph1n98) van PixiePoint Security voor de hulp.

Magnifier

Met dank aan Andr.Ess voor de hulp.

Maps

Met dank aan Kirin (@Pwnrin) voor de hulp.

Messages

Met dank aan Chi Yuan Chang van ZUSO ART en taikosoup voor de hulp.

MobileLockdown

Met dank aan Andr.Ess voor de hulp.

Notifications

Met dank aan een anonieme onderzoeker voor de hulp.

Passwords

Met dank aan Richard Hyunho Im (@r1cheeta) voor de hulp.

Photos

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India, Harsh Tyagi, Kenneth Chew, Leandro Chaves, Saurabh Kumar van Technocrat Institute of Technology Bhopal, Shibin B Shaji, Vishnu Prasad P G, UST en Yusuf Kelany voor de hulp.

Safari

Met dank aan Hafiizh en YoKo Kho (@yokoacc) van HakTrak en James Lee (@Windowsrcer) voor de hulp.

Shortcuts

Met dank aan Cristian Dinca van "Tudor Vianu" National High School of Computer Science, Romania, Jacob Braun en een anonieme onderzoeker voor de hulp.

Siri

Met dank aan Rohan Paudel voor de hulp.

Status Bar

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College Of Technology Bhopal India en Jacob Braun voor de hulp.

TCC

Met dank aan Vaibhav Prajapati voor de hulp.

UIKit

Met dank aan Andr.Ess voor de hulp.

Voice Memos

Met dank aan Lisa B voor de hulp.

WebKit

Met dank aan Avi Lumelsky, Uri Katz, (Oligo Security) en Johan Carlsson (joaxcar) voor de hulp.

Wi-Fi

Met dank aan Antonio Zekic (@antoniozekic) en ant4g0nist, en Tim Michaud (@TimGMichaud) van Moveworks.ai voor de hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: 24 september 2024