Despre conținutul de securitate din iOS 18 și iPadOS 18

Acest document descrie conținutul de securitate din iOS 18 și din iPadOS 18.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina , Securitatea produselor Apple.

iOS 18 și iPadOS 18

Lansare: luni, 16 septembrie 2024

Accessibility

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 13 inchi, iPad Pro 12,9 inchi (a 3-a generație și modele ulterioare), iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 7-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: un atacator cu acces fizic poate folosi asistentul Siri pentru a accesa date sensibile despre utilizatori

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-40840: Abhay Kailasia (@abhay_kailasia) din cadrul Lakshmi Narain College of Technology Bhopal, India

Accessibility

Impact: o aplicație ar putea fi capabilă să enumere aplicațiile instalate de utilizator

Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.

CVE-2024-40830: Chloe Surett

Accessibility

Impact: un atacator cu acces fizic la un dispozitiv blocat ar putea utiliza Control dispozitive din apropiere prin intermediul funcțiilor de accesibilitate

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-44171: Jake Derouin (jakederouin.com)

Intrare actualizată pe 3 martie 2025

Accessibility

Impact: un atacator ar putea fi capabil să vadă fotografiile recente fără autentificare în Assistive Access

Descriere: această problemă a fost rezolvată prin restricționarea opțiunilor oferite pe un dispozitiv blocat.

CVE-2024-40852: Abhay Kailasia (@abhay_kailasia) din cadrul Lakshmi Narain College of Technology Bhopal, India

ARKit

Impact: este posibil ca procesarea unei fișier creat cu rea intenție să poată provoca alterarea segmentului

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-44126: Holger Fuhrmannek

Adăugare intrare: 28 octombrie 2024

Cellular

Impact: un atacator aflat la distanță poate cauza o refuzare a serviciilor (DoS)

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-27874: Tuan D. Hoang

Compression

Impact: despachetarea unei arhive create cu rea intenție poate permite unui atacator să scrie fișiere arbitrare

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Impact: o aplicație ar putea fi capabilă să înregistreze ecranul fără un indicator

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-27869: un cercetător anonim

Core Bluetooth

Impact: un dispozitiv de intrare Bluetooth malițios ar putea ocoli procesul de asociere

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-44124: Daniele Antonioli

FileProvider

Impact: un utilizator local poate cauza scurgeri de informații sensibile ale utilizatorilor

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-54469: Csaba Fitzl (@theevilbit) de la Kandji

Adăugare intrare: 3 martie 2025

FileProvider

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.

CVE-2024-44131: @08Tc3wBB de la Jamf

Game Center

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: o problemă de acces la fișiere a fost remediată prin îmbunătățirea validării intrării.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Impact: Procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2024-27880: Junsung Lee

ImageIO

Impact: procesarea unei imagini poate duce la refuzul serviciului

Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2024-44176: dw0r sau ZeroPointer Lab, lucrând în colaborare cu Trend Micro Zero Day Initiative și un cercetător anonim

IOSurfaceAccelerator

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2024-44169: Antonio Zekić

Kernel

Impact: traficul de rețea s-ar putea scurge în afara tunelului VPN

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2024-44165: Andrew Lytvynov

Kernel

Impact: o aplicație poate obține acces neautorizat la Bluetooth

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) și Mathy Vanhoef

LaunchServices

Impact: O aplicație poate evada din sandbox

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2024-44122: un cercetător anonim

Adăugare intrare: 3 martie 2025

LaunchServices

Impact: este posibil ca o aplicație rău-intenționată să poată modifica alte aplicații fără a avea permisiunea de gestionare a aplicațiilor

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2024-54560: Kirin (@Pwnrin), Jeff Johnson (underpassapp.com)

Adăugare intrare: 3 martie 2025

libxml2

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.

CVE-2024-44198: OSS-Fuzz, Ned Williamson de la Google Project Zero

Mail Accounts

Impact: o aplicație poate accesa informații despre contactele unui utilizator

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

mDNSResponder

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: o eroare de logică a fost remediată prin îmbunătățirea gestionării erorilor.

CVE-2024-44183: Olivier Levon

Model I/O

Impact: procesarea unei imagini create cu rea intenție poate cauza o refuzare a serviciului (DoS)

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la adresa cve.org.

CVE-2023-5841

NetworkExtension

Impact: o aplicație poate obține acces neautorizat la rețeaua locală

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-44147: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) și Mathy Vanhoef

Notes

Impact: o aplicație poate suprascrie fișiere arbitrare

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2024-44167: ajajfxhj

Passwords

Impact: Completarea automată a parolelor poate completa parole după eșuarea autentificării

Descriere: a fost rezolvată o problemă legată de permisiuni prin eliminarea codului vulnerabil și adăugarea de verificări suplimentare.

CVE-2024-44217: Bistrit Dahal, Joshua Keller, Lukas și un cercetător anonim

Adăugare intrare: 28 octombrie 2024, actualizare intrare: 3 martie 2025

Printing

Impact: un document necriptat poate fi scris într-un fișier temporar atunci când se utilizează previzualizarea imprimării

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea gestionării fișierelor.

CVE-2024-40826: un cercetător anonim

Safari

Impact: Conținutul site-urilor web create cu rea intenție poate încălca politica de sandboxing iframe

Descriere: prin optimizarea validării intrărilor, s-a rezolvat o problemă privind gestionarea schemei URL personalizate.

CVE-2024-44155: Narendra Bhati, Manager de Securitate cibernetică la Suma Soft Pvt. Ltd, Pune (India)

Adăugare intrare: 28 octombrie 2024

Safari Private Browsing

Impact: filele de navigare privată pot fi accesate fără autentificare

Descriere: a fost rezolvată o problemă de autentificare prin îmbunătățirea gestionării stării.

CVE-2024-44202: Kenneth Chew

Safari Private Browsing

Impact: filele de navigare privată pot fi accesate fără autentificare

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-44127: Anamika Adhikari

Sandbox

Impact: o aplicație poate scurge informații sensibile ale utilizatorilor

Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.

CVE-2024-40863: Csaba Fitzl (@theevilbit) din cadrul Kandji

Intrare actualizată pe 28 octombrie 2024

SceneKit

Impact: Procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de depășire de memoriei-tampon prin îmbunătățirea validării dimensiunii.

CVE-2024-44144: 냥냥

Adăugare intrare: 28 octombrie 2024

Security

Impact: o aplicație rău intenționată, cu privilegii de rădăcină, poate accesa intrările de tastatură și informațiile despre locație, fără acordul utilizatorului

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2024-44123: Wojciech Regula de la SecuRing (wojciechregula.blog)

Adăugare intrare: 28 octombrie 2024

Sidecar

Disponibilitate pentru: iPad Pro 13 inchi, iPad Pro 12,9 inchi (a 3-a generație și modele ulterioare), iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 7-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: un atacator cu acces fizic la un dispozitiv cu macOS, cu Sidecar activat, poate ocoli ecranul de blocare

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-44145: Om Kothawade de la Zaprico Digital, Omar A. Alanis de la UNTHSC College of Pharmacy

Adăugare intrare: 28 octombrie 2024

Siri

Impact: un atacator cu acces fizic la un dispozitiv poate citi numere de contact din ecranul de blocare

Descriere: această problemă a fost rezolvată prin restricționarea opțiunilor oferite pe un dispozitiv blocat.

CVE-2024-44179: Bistrit Dahal, Matej Moravec (@MacejkoMoravec)

Adăugare intrare: 3 martie 2025

Siri

Impact: un atacator poate utiliza Siri pentru a activa Preluare automată apeluri

Descriere: această problemă a fost rezolvată prin restricționarea opțiunilor oferite pe un dispozitiv blocat.

CVE-2024-40853: Chi Yuan Chang de la ZUSO ART și taikosoup

Adăugare intrare: 28 octombrie 2024

Siri

Impact: un atacator cu acces fizic ar putea accesa contacte din ecranul de blocare

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-44139: Srijan Poudel

CVE-2024-44180: Bistrit Dahal

Siri

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: a fost rezolvată o problemă de confidențialitate prin mutarea datelor sensibile într-o locație mai securizată.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

TCC

Impact: o aplicație poate păcăli un utilizator să îi acorde accesul la fotografii din biblioteca de fotografii a utilizatorului

Descriere: a fost rezolvată o problemă de clickjacking prin îmbunătățirea gestionării vizualizării în afara procesului.

CVE-2024-54558: Ron Masas (BreakPoint.sh) și un cercetător anonim

Adăugare intrare: 3 martie 2025

Transparency

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

UIKit

Impact: un atacator ar putea cauza închiderea neașteptată a aplicației

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2024-27879: Justin Cohen

WebKit

Impact: un site web rău intenționat poate exfiltra date cu origini încrucișate

Descriere: a fost rezolvată o problemă de gestionare a modulelor cookie prin gestionarea îmbunătățită a stării.

WebKit Bugzilla: 287874

CVE-2024-54467: Narendra Bhati, Manager de Securitate cibernetică la Suma Soft Pvt. Ltd, Pune (India)

Adăugare intrare: 3 martie 2025

WebKit

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

WebKit Bugzilla: 268770

CVE-2024-44192: Tashita Software Security

Adăugare intrare: 3 martie 2025

WebKit

Impact: procesarea unui conținut web creat cu rea intenție poate cauza crearea de scripturi universale între site-uri

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

WebKit Bugzilla: 268724

CVE-2024-40857: Ron Masas

WebKit

Impact: un site web rău intenționat poate exfiltra date cu origini încrucișate

Descriere: în elementele „iframe” a existat o problemă legată de originile diferite. Aceasta a fost rezolvată prin îmbunătățirea urmăririi originilor de securitate.

WebKit Bugzilla: 279452

CVE-2024-44187: Narendra Bhati, Manager de Securitate cibernetică la Suma Soft Pvt. Ltd, Pune (India)

Wi-Fi

Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau la coruperea memoriei kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2024-44227: Tim Michaud (@TimGMichaud) de la Moveworks.ai

Adăugare intrare: 3 martie 2025

Wi-Fi

Impact: un atacator ar putea forța un dispozitiv să se deconecteze de la o rețea securizată

Descriere: o problemă de integritate a fost rezolvată cu protecția Beacon.

CVE-2024-40856: Preet Dsouza (Fleming College, Programul pentru securitate și investigații cibernetice), Domien Schepers

Intrare actualizată pe 3 martie 2025

Alte mențiuni

Accounts

Dorim să mulțumim IES Red Team de la ByteDance pentru asistența acordată.

Adăugare intrare: 3 martie 2025

Core Bluetooth

Dorim să-i mulțumim lui Nicholas C. de la Onymos Inc. (onymos.com) pentru asistența acordată.

CoreGraphics

Dorim să le mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal India, Bharat (mrnoob), Chi Yuan Chang de la ZUSO ART și taikosoup, J T pentru asistența acordată.

Adăugare intrare: 3 martie 2025

dyld

Dorim să le mulțumim lui Abdel Adim Oisfi de la Shielder (shielder.com), Pietro Francesco Tirenna și Davide Silvetti pentru asistența acordată.

Adăugare intrare: 3 martie 2025

Find My

Dorim să îi mulțumim domnului Xiaofeng Liu de la Shandong University pentru asistența acordată.

Adăugare intrare: 3 martie 2025

Foundation

Dorim să îi mulțumim lui Ostorlab pentru asistența acordată.

ImageIO

Dorim să-i mulțumim lui Junsung Lee pentru asistența acordată.

Adăugare intrare: 3 martie 2025

Installer

Dorim să le mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal India, Chi Yuan Chang de la ZUSO ART și lui taikosoup, Christian Scalese, Ishan Boda, Shane Gallagher pentru asistența acordată.

Intrare actualizată pe 28 octombrie 2024

Kernel

Dorim să le mulțumim lui Braxton Anderson, Deutsche Telekom Security GmbH sponsorizat de Bundesamt für Sicherheit in der Informationstechnik, Fakhri Zulkifli (@d0lph1n98) de la PixiePoint Security pentru asistența acordată.

Magnifier

Dorim să îi mulțumim lui Andr.Ess pentru asistență.

Maps

Dorim să le mulțumim lui Cristian Dinca de la Liceul Național de Informatică „Tudor Vianu”, România și lui Kirin (@Pwnrin) pentru asistența acordată.

Intrare actualizată pe 3 martie 2025

Messages

Dorim să le mulțumim lui Chi Yuan Chang de la ZUSO ART și lui taikosoup pentru asistență.

MobileLockdown

Dorim să îi mulțumim lui Andr.Ess pentru asistență.

Notifications

Dorim să le mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal, Dev dutta (manas.dutta.75), lui Prateek Pawar (vakil sahab) și unui cercetător anonim pentru asistența acordată.

Intrare actualizată pe 3 martie 2025

Passwords

Dorim să-i mulțumim lui Richard Hyunho Im (@r1cheeta) pentru asistență.

Photos

Dorim să le mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal India, Harsh Tyagi, Kenneth Chew, Leandro Chaves, Saurabh Kumar de la Technocrat Institute of Technology Bhopal, Shibin B Shaji, Vishnu Prasad P G, UST, Yusuf Kelany și Junior Vergara pentru asistența acordată.

Intrare actualizată pe 3 martie 2025

Safari

Dorim să îi mulțumim lui Hafiizh și YoKo Kho (@yokoacc) de la HakTrak și James Lee (@Windowsrcer) pentru asistență.

Settings

Dorim să le mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal India, Bistrit Dahal, Chi Yuan Chang de la ZUSO ART și lui taikosoup, Ethan Bischof pentru asistența acordată.

Adăugare intrare: 3 martie 2025

SharePlay

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

Adăugare intrare: 3 martie 2025

Shortcuts

Dorim să îi mulțumim lui Cristian Dinca (Colegiul Național de Informatică „Tudor Vianu”, România), lui Jacob Braun și unui cercetător anonim pentru asistența acordată.

Siri

Dorim să le mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal India, Rohan Paudel și unui cercetător anonim pentru asistență.

Intrare actualizată pe 28 octombrie 2024

Spotlight

Dorim să îi mulțumim lui Paulo Henrique Batista Rosa de Castro (@paulohbrc) pentru asistența acordată.

Adăugare intrare: 28 octombrie 2024

Status Bar

Dorim să le mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal India, Jacob Braun, Jake Derouin (jakederouin.com) și Kenneth Chew pentru asistența acordată.

Intrare actualizată pe 3 martie 2025

TCC

Dorim să îi mulțumim lui Vaibhav Prajapati pentru asistență.

UIKit

Dorim să îi mulțumim lui Andr.Ess pentru asistență.

Voice Memos

Dorim să îi mulțumim lui Lisa B pentru asistență.

Portofel

Dorim să-i mulțumim lui Aaron Schlitt (@aaron_sfn) de la Hasso Plattner Institute pentru asistența acordată.

Intrare actualizată pe 24 ianuarie 2025

WebKit

Dorim să le mulțumim lui Avi Lumelsky de la Oligo Security, Uri Katz de la Oligo Security, Braylon (@softwarescool), Eli Grey (eligrey.com), Johan Carlsson (joaxcar), Numan Türle - Rıza Sabuncu pentru asistența acordată.

Intrare actualizată pe 28 octombrie 2024

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: 07 martie 2025