Zawartość związana z zabezpieczeniami w systemach iOS 18 i iPadOS 18

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemach iOS 18 i iPadOS 18.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

iOS 18 i iPadOS 18

Accessibility

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: osoba atakująca z fizycznym dostępem może być w stanie użyć Siri w celu uzyskania dostępu do poufnych danych użytkownika

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2024-40840: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College z Technology Bhopal India

Accessibility

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może być w stanie odczytać listę aplikacji zainstalowanych przez użytkownika.

Opis: ten błąd naprawiono przez ulepszenie ochrony danych.

CVE-2024-40830: Chloe Surett

Accessibility

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: osoba atakująca mająca fizyczny dostęp do zablokowanego urządzenia może być w stanie poprzez funkcje dostępności użyć funkcji Sterowanie pobliskimi urządzeniami.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2024-44171: Jake Derouin (jakederouin.com)

Accessibility

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: osoba atakująca może być w stanie uzyskać dostęp do ostatnich zdjęć bez uwierzytelnienia poprzez dostęp wspomagany.

Opis: ten błąd usunięto przez ograniczenie opcji oferowanych na zablokowanym urządzeniu.

CVE-2024-40852: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College z Technology Bhopal India

ARKit

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanego pliku mogło doprowadzić do uszkodzenia sterty.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-44126: Holger Fuhrmannek

Cellular

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2024-27874: Tuan D. Hoang

Compression

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może umożliwić osobie atakującej zapisanie dowolnych plików.

Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może być w stanie zarejestrować ekran bez wskaźnika.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-27869: anonimowy badacz

Core Bluetooth

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: złośliwe urządzenie wejściowe Bluetooth może ominąć łączenie w parę.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2024-44124: Daniele Antonioli

FileProvider

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: użytkownik lokalny może ujawnić poufne informacje użytkownika.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-54469: Csaba Fitzl (@theevilbit) z Kandji

FileProvider

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.

CVE-2024-44131: @08Tc3wBB z Jamf

Game Center

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: usunięto błąd dostępu do pliku przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2024-27880: Junsung Lee

ImageIO

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: przetworzenie obrazu może doprowadzić do ataku typu „odmowa usługi”.

Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2024-44176: dw0r z ZeroPointer Lab w ramach programu Zero Day Initiative firmy Trend Micro i anonimowy badacz

IOSurfaceAccelerator

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2024-44169: Antonio Zekić

Kernel

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: ruch sieciowy może wyciekać poza tunel VPN.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2024-44165: Andrew Lytvynov

Kernel

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może uzyskać nieautoryzowany dostęp do Bluetooth.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) i Mathy Vanhoef

LaunchServices

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2024-44122: anonimowy badacz

LaunchServices

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: złośliwa aplikacja może być w stanie modyfikować inne aplikacje bez uprawnienia Zarządzanie aplikacjami.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2024-54560: Kirin (@Pwnrin), Jeff Johnson (underpassapp.com)

libxml2

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2024-44198: OSS-Fuzz, Ned Williamson z Google Project Zero

Mail Accounts

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do informacji o kontaktach użytkownika.

Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

mDNSResponder

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”.

Opis: naprawiono błąd logiczny przez poprawienie obsługi błędów.

CVE-2024-44183: Olivier Levon

Model I/O

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ataku typu „odmowa usługi”.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE na stronie cve.org.

CVE-2023-5841

NetworkExtension

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może uzyskać nieautoryzowany dostęp do funkcji Lokalna sieć.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2024-44147: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) i Mathy Vanhoef

Notes

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może być w stanie nadpisywać arbitralnie wybrane pliki.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2024-44167: ajajfxhj

Passwords

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: funkcja Wypełnianie haseł może wypełniać hasła po nieudanym uwierzytelnieniu.

Opis: naprawiono błąd uprawnień przez usunięcie kodu związanego z luką w zabezpieczeniach i wprowadzenie dodatkowych procedur sprawdzania.

CVE-2024-44217: Bistrit Dahal, Joshua Keller, Lukas i anonimowy badacz

Printing

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: podczas korzystania z podglądu wydruku może dojść do zapisania niezaszyfrowanego dokumentu w pliku tymczasowym.

Opis: rozwiązano problem dotyczący prywatności przez ulepszenie obsługi plików.

CVE-2024-40826: anonimowy badacz

Safari 

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: złośliwie spreparowana zawartość www może naruszać zasady piaskownicy iframe.

Opis: rozwiązano problem z obsługą własnego schematu adresu URL przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2024-44155: Narendra Bhati, menedżer ds. cyberbezpieczeństwa w Suma Soft Pvt. Ltd, Pune (India).

Safari Private Browsing

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: dostęp do kart przeglądania prywatnego można uzyskać bez uwierzytelnienia.

Opis: usunięto błąd dotyczący uwierzytelniania przez poprawienie mechanizmu zarządzania stanem.

CVE-2024-44202: Kenneth Chew

Safari Private Browsing

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: dostęp do kart przeglądania prywatnego można uzyskać bez uwierzytelnienia.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2024-44127: Anamika Adhikari

Sandbox

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może być w stanie ujawnić poufne informacje użytkownika.

Opis: ten błąd naprawiono przez ulepszenie ochrony danych.

CVE-2024-40863: Csaba Fitzl (@theevilbit) z Kandji

SceneKit

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury sprawdzania poprawności rozmiaru.

CVE-2024-44144: 냥냥

Security

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: złośliwa aplikacja z uprawnieniami użytkownika root może uzyskać dostęp do danych wprowadzanych z klawiatury i informacji o lokalizacji bez zgody użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2024-44123: Wojciech Reguła z SecuRing (wojciechregula.blog)

Sidecar

Dostępne dla: iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: osoba atakująca mająca fizyczny dostęp do urządzenia z systemem macOS z włączoną funkcją Sidecar może być w stanie ominąć ekran blokady.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2024-44145: Om Kothawade z Zaprico Digital, Omar A. Alanis z UNTHSC College of Pharmacy

Siri

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: osoba atakująca mająca fizyczny dostęp do urządzenia może być w stanie odczytać numery do kontaktów z poziomu zablokowanego ekranu.

Opis: ten błąd usunięto przez ograniczenie opcji oferowanych na zablokowanym urządzeniu.

CVE-2024-44179: Bistrit Dahal, Matej Moravec (@MacejkoMoravec)

Siri

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: osoba atakująca może być w stanie użyć Siri w celu włączenia funkcji Automatyczne odbieranie połączeń.

Opis: ten błąd usunięto przez ograniczenie opcji oferowanych na zablokowanym urządzeniu.

CVE-2024-40853: Chi Yuan Chang z ZUSO ART i taikosoup

Siri

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: osoba atakująca mająca fizyczny dostęp może być w stanie uzyskać dostęp do kontaktów z poziomu ekranu blokady.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-44139: Srijan Poudel

CVE-2024-44180: Bistrit Dahal

Siri

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: rozwiązano problem z prywatnością przez przeniesienie poufnych danych do bezpieczniejszej lokalizacji.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

TCC

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może być w stanie nakłonić użytkownika do przyznania dostępu do zdjęć z biblioteki zdjęć użytkownika.

Opis: naprawiono błąd związany z przechwyceniem kliknięcia przez poprawienie procedur obsługi widoków poza procesem.

CVE-2024-54558: Ron Masas z BreakPoint.sh i anonimowy badacz.

Transparency

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

UIKit

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: osoba atakująca może być w stanie spowodować nieoczekiwane zakończenie działania aplikacji.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.

CVE-2024-27879: Justin Cohen

WebKit

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: złośliwie spreparowana witryna internetowa może przesyłać dane między różnymi źródłami.

Opis: naprawiono błąd zarządzania plikami cookie przez poprawienie procedur zarządzania stanem.

CVE-2024-54467: Narendra Bhati, menedżer z Cyber Security At Suma Soft Pvt. Ltd, Pune (India).

WebKit

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-44192: Tashita Software Security

WebKit

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może spowodować atak UXSS (universal cross site scripting).

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2024-40857: Ron Masas

WebKit

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: złośliwie spreparowana witryna internetowa może przesyłać dane między różnymi źródłami.

Opis: z elementami iframe występował błąd obsługi różnych źródeł. Ten błąd rozwiązano przez poprawienie mechanizmu śledzenia źródeł informacji dotyczących zabezpieczeń.

CVE-2024-44187: Narendra Bhati, Manager z Cyber Security at Suma Soft Pvt. Ltd, Pune (India).

Wi-Fi

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie pamięci jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2024-44227: Tim Michaud (@TimGMichaud) z Moveworks.ai

Wi-Fi

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 7. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: osoba atakująca może być w stanie wymusić rozłączenie urządzenia z bezpieczną siecią.

Opis: naprawiono błąd dotyczący spójności przez wprowadzenie ochrony sygnalizatorów.

CVE-2024-40856: Preet Dsouza (Fleming College, Computer Security & Investigations Program), Domien Schepers

Dodatkowe podziękowania

Accounts

Dziękujemy za udzieloną pomoc: IES Red Team z ByteDance.

Core Bluetooth

Dziękujemy za udzieloną pomoc: Nicholas C. z Onymos Inc. (onymos.com).

CoreGraphics

Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College z Technology Bhopal India, Bharat (mrnoob), Chi Yuan Chang z ZUSO ART i taikosoup, J T.

dyld

Dziękujemy za udzieloną pomoc: Abdel Adim Oisfi z Shielder (shielder.com), Pietro Francesco Tirenna i Davide Silvetti.

Find My

Dziękujemy za udzieloną pomoc: Xiaofeng Liu z Shandong University.

Foundation

Dziękujemy za udzieloną pomoc: Ostorlab.

ImageIO

Dziękujemy za udzieloną pomoc: Junsung Lee.

Installer

Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College z Technology Bhopal India, Chi Yuan Chang z ZUSO ART i taikosoup, Christian Scalese, Ishan Boda, Shane Gallagher.

Kernel

Dziękujemy za udzieloną pomoc: Braxton Anderson, Deutsche Telekom Security GmbH sponsored by Bundesamt für Sicherheit in der Informationstechnik, Fakhri Zulkifli (@d0lph1n98) z PixiePoint Security.

Magnifier

Dziękujemy za udzieloną pomoc: Andr.Ess.

Maps

Dziękujemy za udzieloną pomoc: Cristian Dinca z Tudor Vianu National High School of Computer Science, Rumunia, i Kirin (@Pwnrin).

Messages

Dziękujemy za udzieloną pomoc: Chi Yuan Chang z ZUSO ART i taikosoup.

MobileLockdown

Dziękujemy za udzieloną pomoc: Andr.Ess.

Notifications

Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal, Dev dutta (manas.dutta.75), Prateek Pawar (vakil sahab) i anonimowy badacz.

Passwords

Dziękujemy za udzieloną pomoc: Richard Hyunho Im (@r1cheeta).

Photos

Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College z Technology Bhopal India, Harsh Tyagi, Kenneth Chew, Leandro Chaves, Saurabh Kumar from Technocrat Institute z Technology Bhopal, Shibin B Shaji, Vishnu Prasad P G, UST, Yusuf Kelany i Junior Vergara.

Safari 

Dziękujemy za udzieloną pomoc: Hafiizh i YoKo Kho (@yokoacc) z HakTrak, James Lee (@Windowsrcer).

Settings

Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College z Technology Bhopal India, Bistrit Dahal, Chi Yuan Chang z ZUSO ART, i taikosoup, Ethan Bischof.

SharePlay

Dziękujemy anonimowemu badaczowi za pomoc.

Shortcuts

Dziękujemy za udzieloną pomoc: Cristian Dinca z "Tudor Vianu" National High School z Computer Science, Romania, Jacob Braun, anonimowy badacz.

Siri

Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology Bhopal India, Rohan Paudel, anonimowy badacz.

Spotlight

Dziękujemy za udzieloną pomoc: Paulo Henrique Batista Rosa de Castro (@paulohbrc).

Status Bar

Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal India, Jacob Braun, Jake Derouin (jakederouin.com) i Kenneth Chew.

TCC

Dziękujemy za udzieloną pomoc: Vaibhav Prajapati.

UIKit

Dziękujemy za udzieloną pomoc: Andr.Ess.

Voice Memos

Dziękujemy za udzieloną pomoc: Lisa B.

Wallet

Dziękujemy za udzieloną pomoc: Aaron Schlitt (@aaron_sfn) z Hasso Plattner Institute.

WebKit

Dziękujemy za udzieloną pomoc: Avi Lumelsky z Oligo Security, Uri Katz z Oligo Security, Braylon (@softwarescool), Eli Grey (eligrey.com), Johan Carlsson (joaxcar), Numan Türle - Rıza Sabuncu.