Obsah zabezpečenia v systémoch iOS 18.2 a iPadOS 18.2

V tomto dokumente sa opisuje obsah zabezpečenia v systémoch iOS 18.2 a iPadOS 18.2.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

iOS 18.2 a iPadOS 18.2

Dátum vydania: 11. decembra 2024

Accounts

Dostupné pre: iPhone XS a novší, 13-palcový iPad Pro, 12,9-palcový iPad Pro (3. generácia a novšia), 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (7. generácia a novšia), iPad mini (5. generácia a novšia)

Dopad: Fotky v albume so skrytými fotkami môže byť možné zobraziť bez overenia

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením spracovania súborov.

CVE-2024-54488: Benjamin Hornbeck, Skadz (@skadz108), Chi Yuan Chang (ZUSO ART) a taikosoup

Dátum pridania záznamu: 27. januára 2025

APFS

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-54541: Arsenii Kostromin (0x3c3e) a anonymný výskumník

Dátum pridania záznamu: 27. januára 2025

Apple Account

Dopad: Útočník s oprávneniami v sieti môže byť schopný sledovať aktivitu používateľa

Popis: Tento problém bol vyriešený vylepšením spracovania protokolov.

CVE-2024-40864: Wojciech Regula zo spoločnosti SecuRing (wojciechregula.blog)

Dátum pridania záznamu: 2. apríla 2025

AppleMobileFileIntegrity

Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k súkromným informáciám

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54527: Mickey Jin (@patch1t)

Audio

Dopad: Stíšenie hovoru počas zvonenia nemusí viesť k zapnutiu stíšenia

Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2024-54503: Micheal Chukwu a anonymný výskumník

Contacts

Dopad: Apka môže byť schopná zobraziť automaticky vyplnené kontaktné údaje z apiek Správy a Mail v systémových protokoloch.

Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2024-54550: Smi1e (@Smi1eSEC)

Dátum pridania záznamu: 27. januára 2025

Crash Reporter

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2024-54513: anonymný výskumník

Face Gallery

Dopad: Systémový binárny súbor by sa mohol použiť na vytvorenie jedinečnej identity Apple účtu používateľa

Popis: Tento problém bol vyriešený odstránením príslušných príznakov.

CVE-2024-54512: Bistrit Dahal

Dátum pridania záznamu: 27. januára 2025

FontParser

Dopad: Spracovanie písma so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54486: Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

ICU

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2024-54478: Gary Kwong

Dátum pridania záznamu: 27. januára 2025

ImageIO

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2024-54499: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum pridania záznamu: 27. januára 2025

ImageIO

Dopad: Spracovanie obrázka so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54500: Junsung Lee v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

IOMobileFrameBuffer

Dopad: Apka môže byť schopná poškodiť pamäť koprocesora

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2024-54517: Ye Zhang (@VAR10CK) z tímu Baidu Security

CVE-2024-54518: Ye Zhang (@VAR10CK) z tímu Baidu Security

CVE-2024-54522: Ye Zhang (@VAR10CK) z tímu Baidu Security

CVE-2024-54523: Ye Zhang (@VAR10CK) z tímu Baidu Security

Dátum pridania záznamu: 27. januára 2025

Kernel

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54468: Anonymný výskumník

Dátum pridania záznamu: 27. januára 2025

Kernel

Dopad: Útočník s používateľskými oprávneniami môže byť schopný čítať pamäť jadra

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-54507: Joseph Ravichandran (@0xjprx) z tímu MIT CSAIL

Dátum pridania záznamu: 27. januára 2025

Kernel

Dopad: Útočník môže byť schopný vytvoriť mapovanie pamäte len na čítanie, ktoré umožní zapisovanie

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2024-54494: sohybbyk

Kernel

Dopad: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) z tímu MIT CSAIL

Kernel

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-44245: anonymný výskumník

libexpat

Dopad: Vzdialený útočník môže spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu

Popis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2024-45490

libxpc

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54514: Anonymný výskumník

libxpc

Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2024-44225: 风沐云烟 (@binary_fmyy)

MobileBackup

Dopad: Obnovenie súboru zálohy so škodlivým kódom môže viesť k úprave chránených systémových súborov

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením spracovania súborov.

CVE-2024-54525: Andrew James Gonzalez, Dragon Fruit Security (Davis Dai, ORAC 落云, Frank Du – spolupráca na zisťovaní)

Dátum pridania záznamu: 17. marca 2025

Passkeys

Dopad: Funkcia automatického vypĺňania hesiel môže po neúspešnej autentifikácii vypĺňať heslá

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) z tímu C-DAC Thiruvananthapuram India, Rakeshkumar Talaviya, Tomomasa Hiraiwa

Dátum pridania záznamu: 27. januára 2025, dátum aktualizovania: 17. marca 2025

Passwords

Dopad: Používateľ s oprávneniami v sieti môže byť schopný spôsobiť únik citlivých informácií

Popis: Tento problém bol vyriešený použitím zabezpečenia HTTPS pri odosielaní informácií v sieti.

CVE-2024-44276: Talal Haj Bakry a Tommy Mysk z tímu Mysk Inc. @mysk_co

Dátum pridania záznamu: 17. marca 2025

Passwords

Dopad: Útočník s oprávneniami v sieti môže byť schopný upravovať sieťové prenosy

Popis: Tento problém bol vyriešený použitím zabezpečenia HTTPS pri odosielaní informácií v sieti.

CVE-2024-54492: Talal Haj Bakry a Tommy Mysk z tímu Mysk Inc. (@mysk_co)

QuartzCore

Dopad: Spracovanie webového obsahu môže viesť k odopretiu služby

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54497: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum pridania záznamu: 27. januára 2025

Safari

Dopad: Pridanie webovej stránky do zoznamu Na prečítanie v Safari na zariadení so zapnutým Súkromným prenosom môže odhaliť pôvodnú IP adresu webovej stránky

Popis: Problém bol vyriešený vylepšením smerovania požiadaviek pochádzajúcich zo Safari.

CVE-2024-44246: Jacob Braun

Safari Private Browsing

Dopad: Prístup k tabom anonymného prezerania je možný bez overenia

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2024-54542: Rei (@reizydev), Kenneth Chew

Dátum pridania záznamu: 27. januára 2025

SceneKit

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54501: Michael DePlante (@izobashi) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

Vim

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k poškodeniu haldy

CVE-2024-45306

Dátum pridania záznamu: 27. januára 2025

VoiceOver

Dopad: Útočník s fyzickým prístupom k zariadeniu so systémom iOS môže byť schopný zobraziť obsah oznámení zo zamknutej obrazovky

Popis: Problém bol vyriešený pridaním ďalšej logiky.

CVE-2024-54485: Abhay Kailasia (@abhay_kailasia) z centra C-DAC Thiruvananthapuram v Indii

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Tento problém bol vyriešený vylepšením kontrol.

WebKit Bugzilla: 278497

CVE-2024-54479: Seunghyun Lee

WebKit Bugzilla: 281912

CVE-2024-54502: Brendon Tiszka z tímu Google Project Zero

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

WebKit Bugzilla: 282180

CVE-2024-54508: linjy z tímu HKUS3Lab a chluo z tímu WHUSecLab, Xiangwei Zhang z tímu YUNDING LAB spoločnosti Tencent Security

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k poškodeniu pamäte

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

WebKit Bugzilla: 282661

CVE-2024-54505: Gary Kwong

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k poškodeniu pamäte

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

WebKit Bugzilla: 277967

CVE-2024-54534: Tashita Software Security

WebKit Bugzilla: 282450

CVE-2024-54543: Lukas Bernhard, Gary Kwong a anonymný výskumník

Dátum aktualizovania záznamu: 27. januára 2025

Ďalšie poďakovanie

Accessibility

Poďakovanie za pomoc si zaslúžia Abhay Kailasia (@abhay_kailasia) z vysokej školy Lakshmi Narain College of Technology v Bhópále v Indii, Andr.Ess, Jake Derouin, Jason Gendron (@gendron_jason).

App Protection

Poďakovanie za pomoc si zaslúži Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology v Bhópále v Indii.

Bluetooth

Poďakovanie za pomoc si zaslúži Sophie Winter.

Dátum pridania záznamu: 17. marca 2025

Calendar

Poďakovanie za pomoc si zaslúži Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology v Bhópále v Indii.

Face Gallery

Poďakovanie za pomoc si zaslúži Bistrit Dahal.

Dátum pridania záznamu: 17. marca 2025

FaceTime

Poďakovanie za pomoc si zaslúži 椰椰.

FaceTime Foundation

Poďakovanie za pomoc si zaslúži Joshua Pellecchia.

Family Sharing

Poďakovanie za pomoc si zaslúžia Abhay Kailasia (@abhay_kailasia) z vysokej školy Lakshmi Narain College of Technology v Bhópále v Indii, J T.

Files

Poďakovanie za pomoc si zaslúži Christian Scalese.

Dátum pridania záznamu: 27. januára 2025

MobileLockdown

Poďakovanie za pomoc si zaslúži Tecno Service.

Dátum pridania záznamu: 17. marca 2025

Notes

Poďakovanie za pomoc si zaslúži Katzenfutter.

Photos

Poďakovanie za pomoc si zaslúžia Bistrit Dahal, Chi Yuan Chang z tímu ZUSO ART a taikosoup, Finlay James (@Finlay1010), Rizki Maulana (rmrizki.my.id), Srijan Poudel.

Photos Storage

Poďakovanie za pomoc si zaslúži Jake Derouin (jakederouin.com).

Proximity

Poďakovanie za pomoc si zaslúžia Junming C. (@Chapoly1305) a Prof. Qiang Zeng z Univerzity Georga Masona.

Quick Response

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Safari

Poďakovanie za pomoc si zaslúži Jayateertha Guruprasad.

Safari Private Browsing

Poďakovanie za pomoc si zaslúži Richard Hyunho Im (@richeeta) z tímu Route Zero Security.

Settings

Poďakovanie za pomoc si zaslúžia Akshith Muddasani, Bistrit Dahal, Emanuele Slusarz a Abhishek Kanaujia.

Dátum aktualizovania záznamu: 27. januára 2025

Siri

Poďakovanie za pomoc si zaslúži Srijan Poudel a Bistrit Dahal.

Dátum aktualizovania záznamu: 27. januára 2025

Spotlight

Poďakovanie za pomoc si zaslúžia Abhay Kailasia (@abhay_kailasia) zo školy LNCT v Bhópále a centrum C-DAC Thiruvananthapuram v Indii.

Status Bar

Poďakovanie za pomoc si zaslúžia Abhay Kailasia (@abhay_kailasia) z vysokej školy Lakshmi Narain College of Technology v Bhópále v Indii, Andr.Ess.

Swift

Poďakovanie za pomoc si zaslúži Marc Schoenefeld, Dr. rer. nat.

Time Zone

Poďakovanie za pomoc si zaslúžia Abhay Kailasia (@abhay_kailasia) zo školy LNCT v Bhópále a centrum C-DAC Thiruvananthapuram v Indii.

WebKit

Poďakovanie za pomoc si zaslúži Hafiizh.

WindowServer

Poďakovanie za pomoc si zaslúži Felix Kratz.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: 9. apríla 2025