Acerca dos conteúdos de segurança do iOS 18.2 e iPadOS 18.2

Este documento descreve os conteúdos de segurança do iOS 18.2 e iPadOS 18.2.

Acerca das atualizações de segurança da Apple

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes estão listados na página Lançamentos de segurança da Apple.

Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.

Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple.

iOS 18.2 e iPadOS 18.2

AppleMobileFileIntegrity

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (3.ª geração e posterior), iPad Pro de 11 polegadas (1.ª geração e posterior), iPad Air (3.ª geração e posterior), iPad (7.ª geração e posterior) e iPad mini (5.ª geração e posterior)

Impacto: uma app maliciosa poderá conseguir aceder a informações privadas

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (3.ª geração e posterior), iPad Pro de 11 polegadas (1.ª geração e posterior), iPad Air (3.ª geração e posterior), iPad (7.ª geração e posterior) e iPad mini (5.ª geração e posterior)

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: este problema foi resolvido através de verificações melhoradas.

CVE-2024-54527: Mickey Jin (@patch1t)

Audio

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (3.ª geração e posterior), iPad Pro de 11 polegadas (1.ª geração e posterior), iPad Air (3.ª geração e posterior), iPad (7.ª geração e posterior) e iPad mini (5.ª geração e posterior)

Impacto: silenciar uma chamada do enquanto toca poderá não desativar o som

Descrição: foi resolvido um problema de inconsistência na interface de utilizador através da gestão melhorada do estado.

CVE-2024-54503: Micheal Chukwu e um investidor anónimo

Crash Reporter

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (3.ª geração e posterior), iPad Pro de 11 polegadas (1.ª geração e posterior), iPad Air (3.ª geração e posterior), iPad (7.ª geração e posterior) e iPad mini (5.ª geração e posterior)

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2024-54513: um investigador anónimo

FontParser

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (3.ª geração e posterior), iPad Pro de 11 polegadas (1.ª geração e posterior), iPad Air (3.ª geração e posterior), iPad (7.ª geração e posterior) e iPad mini (5.ª geração e posterior)

Impacto: o processamento de um tipo de letra criado com intuito malicioso poderá provocar a divulgação da memória de processamento

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2024-54486: Hossein Lotfi (@hosselot) do programa Zero Day Initiative da Trend Micro

ImageIO

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (3.ª geração e posterior), iPad Pro de 11 polegadas (1.ª geração e posterior), iPad Air (3.ª geração e posterior), iPad (7.ª geração e posterior) e iPad mini (5.ª geração e posterior)

Impacto: o processamento de uma imagem criada com intuito malicioso poderá provocar a divulgação da memória de processamento

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2024-54500: Junsung Lee em colaboração com o programa Zero Day Initiative da Trend Micro

Kernel

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (3.ª geração e posterior), iPad Pro de 11 polegadas (1.ª geração e posterior), iPad Air (3.ª geração e posterior), iPad (7.ª geração e posterior) e iPad mini (5.ª geração e posterior)

Impacto: um atacante poderá conseguir criar um mapeamento de uma memória só de leitura onde é possível escrever

Descrição: foi resolvida uma condição de disputa através de validação adicional.

CVE-2024-54494: sohybbyk

Kernel

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (3.ª geração e posterior), iPad Pro de 11 polegadas (1.ª geração e posterior), iPad Air (3.ª geração e posterior), iPad (7.ª geração e posterior) e iPad mini (5.ª geração e posterior)

Impacto: uma app poderá conseguir divulgar o estado confidencial do kernel

Descrição: foi resolvida uma condição de disputa através do bloqueio melhorado.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) da MIT CSAIL

Kernel

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (3.ª geração e posterior), iPad Pro de 11 polegadas (1.ª geração e posterior), iPad Air (3.ª geração e posterior), iPad (7.ª geração e posterior) e iPad mini (5.ª geração e posterior)

Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema ou danificar a memória do kernel

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2024-44245: um investigador anónimo

libexpat

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (3.ª geração e posterior), iPad Pro de 11 polegadas (1.ª geração e posterior), iPad Air (3.ª geração e posterior), iPad (7.ª geração e posterior) e iPad mini (5.ª geração e posterior)

Impacto: um atacante remoto poderá provocar o encerramento inesperado da app ou a execução de um código arbitrário

Descrição: esta é uma vulnerabilidade existente em código open source e o Software da Apple encontra-se entre os projetos afetados. O ID CVE foi atribuído por terceiros. Saiba mais sobre o problema e o ID CVE em cve.org.

CVE-2024-45490

libxpc

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (3.ª geração e posterior), iPad Pro de 11 polegadas (1.ª geração e posterior), iPad Air (3.ª geração e posterior), iPad (7.ª geração e posterior) e iPad mini (5.ª geração e posterior)

Impacto: uma app poderá conseguir infringir a sandbox

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2024-54514: um investigador anónimo

libxpc

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (3.ª geração e posterior), iPad Pro de 11 polegadas (1.ª geração e posterior), iPad Air (3.ª geração e posterior), iPad (7.ª geração e posterior) e iPad mini (5.ª geração e posterior)

Impacto: uma app poderá conseguir obter privilégios elevados

Descrição: foi resolvido um problema de lógica através de verificações melhoradas.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

Passwords

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (3.ª geração e posterior), iPad Pro de 11 polegadas (1.ª geração e posterior), iPad Air (3.ª geração e posterior), iPad (7.ª geração e posterior) e iPad mini (5.ª geração e posterior)

Impacto: um atacante com uma posição privilegiada na rede poderá conseguir alterar o tráfego de rede

Descrição: este problema foi resolvido através da utilização de HTTPS durante o envio de informações pela rede.

CVE-2024-54492: Talal Haj Bakry e Tommy Mysk da Mysk Inc. (@mysk_co)

Safari

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (3.ª geração e posterior), iPad Pro de 11 polegadas (1.ª geração e posterior), iPad Air (3.ª geração e posterior), iPad (7.ª geração e posterior) e iPad mini (5.ª geração e posterior)

Impacto: num dispositivo com o Reencaminhamento privado ativo, adicionar um site à Lista de leitura do Safari pode revelar o endereço IP de origem ao site

Descrição: o problema foi resolvido através de melhorias no encaminhamento de pedidos com origem no Safari.

CVE-2024-44246: Jacob Braun

SceneKit

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (3.ª geração e posterior), iPad Pro de 11 polegadas (1.ª geração e posterior), iPad Air (3.ª geração e posterior), iPad (7.ª geração e posterior) e iPad mini (5.ª geração e posterior)

Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar uma recusa de serviço

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2024-54501: Michael DePlante (@izobashi) do programa Zero Day Initiative da Trend Micro

VoiceOver

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (3.ª geração e posterior), iPad Pro de 11 polegadas (1.ª geração e posterior), iPad Air (3.ª geração e posterior), iPad (7.ª geração e posterior) e iPad mini (5.ª geração e posterior)

Impacto: um atacante com acesso físico a um dispositivo iOS poderá conseguir ver o conteúdo de notificações a partir do ecrã bloqueado

Descrição: o problema foi resolvido através da adição de lógica.

CVE-2024-54485: Abhay Kailasia (@abhay_kailasia) do C-DAC Thiruvananthapuram, Índia

WebKit

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (3.ª geração e posterior), iPad Pro de 11 polegadas (1.ª geração e posterior), iPad Air (3.ª geração e posterior), iPad (7.ª geração e posterior) e iPad mini (5.ª geração e posterior)

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar uma falha inesperada no processo

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2024-54479: Seunghyun Lee

CVE-2024-54502: Brendon Tiszka do Google Project Zero

WebKit

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (3.ª geração e posterior), iPad Pro de 11 polegadas (1.ª geração e posterior), iPad Air (3.ª geração e posterior), iPad (7.ª geração e posterior) e iPad mini (5.ª geração e posterior)

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar uma falha inesperada no processo

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2024-54508: linjy do HKUS3Lab e chluo do WHUSecLab, Xiangwei Zhang do Tencent Security YUNDING LAB

WebKit

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (3.ª geração e posterior), iPad Pro de 11 polegadas (1.ª geração e posterior), iPad Air (3.ª geração e posterior), iPad (7.ª geração e posterior) e iPad mini (5.ª geração e posterior)

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a corrupção da memória

Descrição: foi resolvido um problema de confusão de tipos através do processamento melhorado da memória.

CVE-2024-54505: Gary Kwong

WebKit

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (3.ª geração e posterior), iPad Pro de 11 polegadas (1.ª geração e posterior), iPad Air (3.ª geração e posterior), iPad (7.ª geração e posterior) e iPad mini (5.ª geração e posterior)

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a corrupção da memória

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2024-54534: Tashita Software Security

Agradecimentos adicionais

Accessibility

Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) da Lakshmi Narain College of Technology Bhopal, Índia, Andr.Ess, Jake Derouin e Jason Gendron (@gendron_jason) pela sua colaboração.

App Protection

Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) da Lakshmi Narain College of Technology Bhopal, Índia, pela sua colaboração.

Calendar

Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) da Lakshmi Narain College of Technology Bhopal, Índia, pela sua colaboração.

FaceTime

Os nossos agradecimentos a 椰椰 pela sua colaboração.

FaceTime Foundation

Gostaríamos de agradecer a Joshua Pellecchia pela sua colaboração.

Family Sharing

Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) da Lakshmi Narain College of Technology Bhopal, Índia, e J T pela sua colaboração.

Notes

Gostaríamos de agradecer a Katzenfutter pela sua colaboração.

Photos

Gostaríamos de agradecer a Bistrit Dahal, Chi Yuan Chang da ZUSO ART e taikosoup, Finlay James (@Finlay1010), Rizki Maulana (rmrizki.my.id), Srijan Poudel pela sua colaboração.

Photos Storage

Gostaríamos de agradecer a Jake Derouin (jakederouin.com) pela sua colaboração.

Proximity

Gostaríamos de agradecer a Junming C. (@Chapoly1305) e ao Prof. Qiang Zeng da George Mason University pela sua colaboração.

Quick Response

Gostaríamos de agradecer a um investigador anónimo pela sua colaboração.

Safari

Gostaríamos de agradecer a Jayateertha Guruprasad pela sua colaboração.

Safari Private Browsing

Gostaríamos de agradecer a Richard Hyunho Im (@richeeta) da Route Zero Security pela sua colaboração.

Settings

Gostaríamos de agradecer a Akshith Muddasani, Bistrit Dahal, Emanuele Slusarz pela sua colaboração.

Siri

Gostaríamos de agradecer a Srijan Poudel pela sua colaboração.

Spotlight

Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) do LNCT, Bhopal, e C-DAC Thiruvananthapuram, Índia, pela sua colaboração.

Status Bar

Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) da Lakshmi Narain College of Technology Bhopal, Índia, e Andr.Ess pela sua colaboração.

Swift

Gostaríamos de agradecer a Marc Schoenefeld, Dr. rer. nat. pela sua colaboração.

Time Zone

Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) do LNCT, Bhopal, e C-DAC Thiruvananthapuram, Índia, pela sua colaboração.

WebKit

Gostaríamos de agradecer a Hafiizh pela sua colaboração.

WindowServer

Gostaríamos de agradecer a Felix Kratz pela sua colaboração.