Obsah zabezpečenia v systémoch iOS 18 a iPadOS 18

V tomto dokumente sa opisuje obsah zabezpečenia v systémoch iOS 18 a iPadOS 18.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke Zabezpečenie produktov Apple.

iOS 18 a iPadOS 18

Dátum vydania: 16. septembra 2024

Accessibility

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšie), 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (7. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Útočník s fyzickým prístupom môže byť schopný získať prostredníctvom Siri prístup k citlivým údajom používateľa

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-40840: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology v Bhópale v Indii

Accessibility

Dopad: Aplikácia môže byť schopná vymenovať nainštalované apky používateľa

Popis: Tento problém bol vyriešený vylepšením ochrany údajov.

CVE-2024-40830: Chloe Surett

Accessibility

Dopad: Útočník s fyzickým prístupom k uzamknutému zariadeniu môže byť schopný ovládať zariadenia nablízku prostredníctvom funkcií prístupnosti

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-44171: Jake Derouin

Accessibility

Dopad: Útočník si môže byť schopný zobraziť posledné fotografie bez overenia v systéme Assistive Access

Popis: Tento problém bol vyriešený obmedzením možností dostupných na zamknutom zariadení.

CVE-2024-40852: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology v Bhópale v Indii

Cellular

Dopad: Vzdialený útočník môže byť schopný spôsobiť odopretie služby

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-27874: Tuan D. Hoang

Compression

Dopad: Rozbalenie archívu so škodlivým kódom môže umožniť útočníkovi zapisovať ľubovoľné súbory

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Dopad: Aplikácia môže nahrávať obrazovku bez zobrazenia indikátora

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-27869: anonymný výskumník

Core Bluetooth

Dopad: Škodlivé vstupné Bluetooth zariadenie môže obísť proces párovania

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-44124: Daniele Antonioli

FileProvider

Dopad: Aplikácia môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený vylepšením overovania symbolických odkazov.

CVE-2024-44131: @08Tc3wBB z Jamf

Game Center

Dopad: Aplikácia môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému s prístupom k súborom, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s čítaním údajov mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-27880: Junsung Lee

ImageIO

Dopad: Spracovanie obrázka môže viesť k odopretiu služby

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2024-44176: dw0r z ZeroPointer Lab spolupracujúci s Trend Micro Zero Day Initiative a anonymný výskumník

IOSurfaceAccelerator

Dopad: Aplikácia môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-44169: Antonio Zekić

Kernel

Dopad: Sieťový prenos môže unikať z tunela VPN

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2024-44165: Andrew Lytvynov

Kernel

Dopad: Aplikácia môže získať neoprávnený prístup k rozhraniu Bluetooth

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) a Mathy Vanhoef

libxml2

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-44198: OSS-Fuzz, Ned Williamson z Google Project Zero

Mail Accounts

Dopad: Aplikácia môže byť schopná získať prístup k informáciám o používateľských kontaktoch

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením redigovania súkromných údajov v položkách záznamov.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

mDNSResponder

Dopad: Aplikácia môže byť schopná spôsobiť odopretie služby

Popis: Dochádzalo k logickej chybe, ktorá bola vyriešená vylepšením spracovania chýb.

CVE-2024-44183: Olivier Levon

Model I/O

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k odopretiu služby

Popis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2023-5841

NetworkExtension

Dopad: Aplikácia môže získať neoprávnený prístup k lokálnej sieti

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-44147: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) a Mathy Vanhoef

Notes

Dopad: Aplikácia môže byť schopná prepisovať ľubovoľné súbory

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2024-44167: ajajfxhj

Printing

Dopad: Pri používaní náhľadu funkcie tlače sa môže nezašifrovaný dokument zapísať do dočasného súboru

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením spracovania súborov.

CVE-2024-40826: anonymný výskumník

Safari Private Browsing

Dopad: Prístup ku kartám anonymného prezerania je možný bez overenia

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2024-44202: Kenneth Chew

Safari Private Browsing

Dopad: Prístup ku kartám anonymného prezerania je možný bez overenia

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-44127: Anamika Adhikari

Sandbox

Dopad: Aplikácia môže byť schopná spôsobiť únik citlivých používateľských informácií

Popis: Tento problém bol vyriešený vylepšením ochrany údajov.

CVE-2024-40863: Csaba Fitzl (@theevilbit) z Offensive Security

Siri

Dopad: Útočník s fyzickým prístupom môže získať prístup ku kontaktom zo zamknutej obrazovky

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-44139: Srijan Poudel

CVE-2024-44180: Bistrit Dahal

Siri

Dopad: Aplikácia môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený presunutím citlivých údajov do bezpečnejšieho umiestnenia.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

Transparency

Dopad: Aplikácia môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

UIKit

Dopad: Útočník môže byť schopný spôsobiť neočakávané ukončenie apky

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2024-27879: Justin Cohen

WebKit

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)

Popis: Tento problém bol vyriešený vylepšením správy stavu.

WebKit Bugzilla: 268724

CVE-2024-40857: Ron Masas

WebKit

Dopad: Webová stránka so škodlivým kódom môže spôsobiť neoprávnené získanie údajov s rôznym pôvodom

Popis: V rámcoch iframe dochádzalo k problému so zámenou pôvodu. Tento problém bol vyriešený vylepšením sledovania pôvodov zabezpečenia.

WebKit Bugzilla: 279452

CVE-2024-44187: Narendra Bhati, manažér kybernetickej bezpečnosti v spoločnosti Suma Soft Pvt. Ltd, Pune (India)

Wi-Fi

Dopad: Útočník môže prinútiť zariadenie odpojiť sa od zabezpečenej siete

Popis: Problém s integritou bol riešený pomocou prvku Beacon Protection.

CVE-2024-40856: Domien Schepers

Ďalšie poďakovanie

Core Bluetooth

Poďakovanie za pomoc si zaslúži Nicholas C. z Onymos Inc. (onymos.com).

Foundation

Poďakovanie za pomoc si zaslúži spoločnosť Ostorlab.

Installer

Poďakovanie za pomoc si zaslúži Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology Bhopal India, Christian Scalese, Ishan Boda, Shane Gallagher, Chi Yuan Chang z ZUSO ART a taikosoup.

Kernel

Poďakovanie za pomoc si zaslúži Anderson, Deutsche Telekom Security GmbH s podporou Bundesamt für Sicherheit in der Informationstechnik, Fakhri Zulkifli (@d0lph1n98) z PixiePoint Security.

Magnifier

Poďakovanie za pomoc si zaslúži Andr.Ess.

Maps

Poďakovanie za pomoc si zaslúži Kirin (@Pwnrin).

Messages

Poďakovanie za pomoc si zaslúži Chi Yuan Chang z ZUSO ART a taikosoup.

MobileLockdown

Poďakovanie za pomoc si zaslúži Andr.Ess.

Notifications

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Passwords

Poďakovanie za pomoc si zaslúži Richard Hyunho Im (@r1cheeta).

Photos

Poďakovanie za pomoc si zaslúži Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology Bhopal India, Harsh Tyagi, Kenneth Chew, Leandro Chaves, Saurabh Kumar z Technocrat Institute of Technology Bhopal, Shibin B Shaji, Vishnu Prasad P G, UST, Yusuf Kelany.

Safari

Poďakovanie za pomoc si zaslúži Hafiizh a YoKo Kho (@yokoacc) z HakTrak, James Lee (@Windowsrcer).

Shortcuts

Poďakovanie za pomoc si zaslúži Cristian Dinca z „Tudor Vianu“ National High School of Computer Science, Rumunsko, Jacob Braun, anonymný výskumník.

Siri

Poďakovanie za pomoc si zaslúži Rohan Paudel.

Status Bar

Poďakovanie za pomoc si zaslúži Abhay Kailasia (@abhay_kailasia) of Lakshmi Narain College of Technology Bhopal India, Jacob Braun.

TCC

Poďakovanie za pomoc si zaslúži Vaibhav Prajapati.

UIKit

Poďakovanie za pomoc si zaslúži Andr.Ess.

Voice Memos

Poďakovanie za pomoc si zaslúži Lisa B.

WebKit

Poďakovanie za pomoc si zaslúži Avi Lumelsky, Uri Katz, (Oligo Security), Johan Carlsson (joaxcar).

Wi-Fi

Poďakovanie za pomoc si zaslúži Antonio Zekic (@antoniozekic) a ant4g0nist, Tim Michaud (@TimGMichaud) z Moveworks.ai.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: 22. septembra 2024