Despre conținutul de securitate din iOS 18.2 și iPadOS 18.2

Acest document descrie conținutul de securitate din iOS 18.2 și iPadOS 18.2.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

iOS 18.2 şi iPadOS 18.2

Publicare: miercuri, 11 decembrie 2024

AppleMobileFileIntegrity

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 13 inchi, iPad Pro 12,9 inchi (a 3-a generație și modele ulterioare), iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 7-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație rău intenționată poate accesa informații confidențiale

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2024-54527: Mickey Jin (@patch1t)

Audio

Impact: anularea sunetului unui apel în timp ce sună soneria poate provoca activarea anulării sunetului

Descriere: a fost rezolvată o problemă legată de inconstanța interfeței cu utilizatorul prin gestionarea îmbunătățită a stării.

CVE-2024-54503: Micheal Chukwu și un cercetător anonim

Crash Reporter

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2024-54513: un cercetător anonim

FontParser

Impact: procesarea unui font creat cu rea intenție poate cauza divulgarea memoriei procesului

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-54486: Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative

ImageIO

Impact: procesarea unei imagini create cu rea intenție poate cauza divulgarea memoriei de proces

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-54500: Junsung Lee în colaborare cu Trend Micro Zero Day Initiative

Kernel

Impact: un atacator ar putea crea o mapare de memorie numai pentru citire în care se poate scrie

Descriere: a fost rezolvată o condiție de rulare prin validare suplimentară.

CVE-2024-54494: sohybbyk

Kernel

Impact: o aplicație poate scurge informații sensibile privind starea kernelului

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) (MIT CSAIL)

Kernel

Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau la coruperea memoriei kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2024-44245: un cercetător anonim

libexpat

Impact: un atacator la distanță poate provoca închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la adresa cve.org.

CVE-2024-45490

libxpc

Impact: o aplicație poate evada din sandbox

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-54514: un cercetător anonim

libxpc

Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

Passwords

Impact: este posibil ca un atacator dintr-o poziție privilegiată în rețea să poată modifica traficul de rețea

Descriere: această problemă a fost remediată utilizându-se HTTPS atunci când se trimit informații prin rețea.

CVE-2024-54492: Talal Haj Bakry și Tommy Mysk de la Mysk Inc. (@mysk_co)

Safari

Impact: pe un dispozitiv cu funcția Transmisie privată activată, adăugarea unui site web la lista de lecturi din Safari poate dezvălui adresa IP de origine a site-ului web

Descriere: problema a fost rezolvată prin îmbunătățirea direcționării cererilor inițiate de Safari.

CVE-2024-44246: Jacob Braun

SceneKit

Impact: procesarea unui fișier creat cu rea intenție poate cauza o refuzare a serviciului (DoS)

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-54501: Michael DePlante (@izobashi) din cadrul Trend Micro's Zero Day Initiative

VoiceOver

Impact: un atacator cu acces fizic la un dispozitiv iOS ar putea vizualiza conținutul notificărilor din ecranul de blocare

Descriere: Problema a fost rezolvată prin adăugarea unei logici suplimentare.

CVE-2024-54485: Abhay Kailasia (@abhay_kailasia) de la C-DAC Thiruvananthapuram India

WebKit

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

WebKit Bugzilla: 278497

CVE-2024-54479: Seunghyun Lee

WebKit Bugzilla: 281912

CVE-2024-54502: Brendon Tiszka de la Google Project Zero

WebKit

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

WebKit Bugzilla: 282180

CVE-2024-54508: linjy de la HKUS3Lab și chluo de la WHUSecLab, Xiangwei Zhang de la Tencent Security YUNDING LAB

WebKit

Impact: procesarea conținutului web creat cu rea intenție poate duce la coruperea memoriei

Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.

WebKit Bugzilla: 282661

CVE-2024-54505: Gary Kwong

WebKit

Impact: procesarea conținutului web creat cu rea intenție poate duce la coruperea memoriei

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

WebKit Bugzilla: 277967

CVE-2024-54534: Tashita Software Security

Alte mențiuni

Accessibility

Dorim să le mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal India, Andr.Ess, Jake Derouin, Jason Gendron (@gendron_jason) pentru asistența acordată.

App Protection

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal India pentru asistența acordată.

Calendar

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal India pentru asistența acordată.

FaceTime

Dorim să-i mulțumim lui 椰椰 pentru asistența acordată.

FaceTime Foundation

Dorim să-i mulțumim lui Joshua Pellecchia pentru asistența acordată.

Family Sharing

Dorim să-i mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal India, J T pentru asistența acordată.

Notes

Dorim să-i mulțumim lui Katzenfutter pentru asistența acordată.

Photos

Dorim să le mulțumim lui Bistrit Dahal, Chi Yuan Chang de la ZUSO ART și taikosoup, Finlay James (@Finlay1010), Rizki Maulana (rmrizki.my.id), Srijan Poudel pentru asistența acordată.

Photos Storage

Dorim să-i mulțumim lui Jake Derouin (jakederouin.com) pentru asistența acordată.

Proximity

Dorim să le mulțumim lui Junming C. (@Chapoly1305) și profesorului Qiang Zeng de la George Mason University pentru asistența acordată.

Quick Response

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

Safari

Dorim să-i mulțumim lui Jayateertha Guruprasad pentru asistența acordată.

Safari Private Browsing

Dorim să-i mulțumim lui Richard Hyunho Im (@richeeta) de la Route Zero Security pentru asistența acordată.

Settings

Dorim să le mulțumim lui Akshith Muddasani, Bistrit Dahal, Emanuele Slusarz pentru asistența acordată.

Siri

Dorim să-i mulțumim lui Srijan Poudel pentru asistența acordată.

Spotlight

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la LNCT Bhopal și C-DAC Thiruvananthapuram India pentru asistența acordată.

Status Bar

Dorim să-i mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal India, Andr.Ess pentru asistența acordată.

Swift

Dorim să-i mulțumim lui Marc Schoenefeld, Dr. rer. nat. pentru asistența acordată.

Time Zone

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la LNCT Bhopal și C-DAC Thiruvananthapuram India pentru asistența acordată.

WebKit

Dorim să-i mulțumim lui Hafiizh pentru asistența acordată.

WindowServer

Dorim să îi mulțumim lui Felix Kratz pentru asistența acordată.

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: 17 decembrie 2024