Om säkerhetsinnehållet i iOS 18 och iPadOS 18

I det här dokumentet beskrivs säkerhetsinnehållet i iOS 18 och iPadOS 18.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen finns på sidan Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

iOS 18 och iPadOS 18

Accessibility

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En angripare med fysisk åtkomst kanske kan använda Siri för att komma åt känsliga användardata

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2024-40840: Abhay Kailasia (@abhay_kailasia) på Lakshmi Narain College of Technology Bhopal India

Accessibility

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan kanske räkna en användares installerade appar

Beskrivning: Problemet åtgärdades genom förbättrat dataskydd.

CVE-2024-40830: Chloe Surett

Accessibility

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En angripare med fysisk åtkomst till en låst enhet kanske kan Styra enheter i närheten via hjälpmedelsfunktioner

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2024-44171: Jake Derouin

Accessibility

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En angripare kanske kan se de senaste bilderna utan att vara autentiserad i Åtkomststöd

Beskrivning: Problemet åtgärdades genom att begränsa tillgängliga alternativ på en låst enhet.

CVE-2024-40852: Abhay Kailasia (@abhay_kailasia) på Lakshmi Narain College of Technology Bhopal India

Cellular

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En fjärrangripare kan orsaka ett dos-angrepp

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2024-27874: Tuan D. Hoang

Compression

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Uppackning av ett arkiv med skadligt innehåll kan göra det möjligt för en angripare att skriva opålitliga filer

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan spela in skärmen utan en indikator

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-27869: En anonym forskare

Core Bluetooth

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

En skadlig Bluetooth-ingångsenhet kanske kan kringgå parkoppling

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2024-44124: Daniele Antonioli

FileProvider

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Problemet åtgärdades genom förbättrad validering av symlänkar.

CVE-2024-44131: @08Tc3wBB på Jamf

Game Center

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Ett problem med filåtkomst åtgärdades genom förbättrad indatavalidering.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av en skadlig fil kan leda till oväntad appavslutning

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2024-27880: Junsung Lee

ImageIO

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av en bild kan leda till ett dos-angrepp

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2024-44176: dw0r på ZeroPointer Lab i samarbete med Trend Micro Zero Day Initiative och en anonym forskare

IOSurfaceAccelerator

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan orsaka ett oväntat systemavslut

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2024-44169: Antonio Zekić

Kernel

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Nätverkstrafik kan läcka utanför en VPN-tunnel

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2024-44165: Andrew Lytvynov

Kernel

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan få obehörig åtkomst till Bluetooth

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) och Mathy Vanhoef

libxml2

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.

CVE-2024-44198: OSS-Fuzz, Ned Williamson på Google Project Zero

Mail Accounts

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan få åtkomst till information om en användares kontakter

Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

mDNSResponder

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan kanske orsaka ett DoS-angrepp

Beskrivning: Ett logikfel åtgärdades med hjälp av förbättrad felhantering.

CVE-2024-44183: Olivier Levon

Model I/O

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av en skadlig bild kan leda till att åtkomst till tjänsten nekas

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2023-5841

NetworkExtension

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan få obehörig åtkomst till lokalt nätverk

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2024-44147: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) och Mathy Vanhoef

Notes

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan skriva över opålitliga filer

Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.

CVE-2024-44167: ajajfxhj

Printing

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Icke krypterade dokument kan skrivas till en tillfällig fil vid förhandsvisning när förhandsvisning av utskrift används

Beskrivning: Ett integritetsproblem åtgärdades med förbättrad hantering av filer.

CVE-2024-40826: En anonym forskare

Safari Private Browsing

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Privata surfflikar kan nås utan autentisering

Beskrivning: Ett problem med autentisering åtgärdades genom förbättrad tillståndshantering.

CVE-2024-44202: Kenneth Chew

Safari Private Browsing

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Privata surfflikar kan nås utan autentisering

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2024-44127: Anamika Adhikari

Sandbox

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan kanske läcka känslig användarinformation

Beskrivning: Problemet åtgärdades genom förbättrat dataskydd.

CVE-2024-40863: Csaba Fitzl (@theevilbit) på Offensive Security

Siri

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En angripare med fysisk åtkomst kanske kan komma åt kontakter från låsskärmen

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-44139: Srijan Poudel

CVE-2024-44180: Bistrit Dahal

Siri

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Ett integritetsproblem åtgärdades genom flytt av känsliga data till en säkrare plats.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

Transparency

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

UIKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En angripare kanske kan orsaka en oväntad appavslutning

Beskrivning: Problemet hanterades med förbättrade gränskontroller.

CVE-2024-27879: Justin Cohen

WebKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt utformat webbinnehåll kan leda till universell skriptkörning över flera sajter

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2024-40857: Ron Masas

WebKit

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En webbplats med skadligt innehåll kan komma åt data från flera källor

Beskrivning: Ett problem med data från flera källor förekom i ”iframe”-element. Problemet åtgärdades genom förbättrad spårning av säkerhetskällor.

CVE-2024-44187: Narendra Bhati, Manager of Cyber Security på Suma Soft Pvt. Ltd, Pune (Indien)

Wi-Fi

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 7:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En angripare kanske kan tvinga en enhet att avbryta anslutningen till ett säkert nätverk

Beskrivning: Ett integritetsproblem åtgärdades med Beacon Protection.

CVE-2024-40856: Domien Schepers

Ytterligare tack

Core Bluetooth

Vi vill tacka Nicholas C. of Onymos Inc. (onymos.com) för hjälpen.

Foundation

Vi vill tacka Ostorlab för hjälpen.

Installer

Vi vill tacka Abhay Kailasia (@abhay_kailasia) på Lakshmi Narain College of Technology Bhopal Indien, Christian Scalese, Ishan Boda, Shane Gallagher, Chi Yuan Chang på ZUSO ART och taikosoup för hjälpen.

Kernel

Vi vill tacka Braxton Anderson, Deutsche Telekom Security GmbH sponsrad av Bundesamt für Sicherheit in der Informationstechnik, Fakhri Zulkifli (@d0lph1n98) of PixiePoint Security för hjälpen.

Magnifier

Vi vill tacka Andr.Ess för hjälpen.

Maps

Vi vill tacka Kirin (@Pwnrin) för hjälpen.

Messages

Vi vill tacka Chi Yuan Chang of ZUSO ART och taikosoup för hjälpen.

MobileLockdown

Vi vill tacka Andr.Ess för hjälpen.

Notifications

Vi vill tacka en anonym forskare för hjälpen.

Passwords

Vi vill tacka Richard Hyunho Im (@r1cheeta) för hjälpen.

Photos

Vi vill tacka Abhay Kailasia (@abhay_kailasia) på Lakshmi Narain College of Technology Bhopal Indien, Harsh Tyagi, Kenneth Chew, Leandro Chaves, Saurabh Kumar från Technocrat Institute of Technology Bhopal, Shibin B Shaji, Vishnu Prasad P G, UST, Yusuf Kelany för hjälpen.

Safari

Vi vill tacka Hafiizh och YoKo Kho (@yokoacc) på HakTrak, James Lee (@Windowsrcer) för hjälpen.

Shortcuts

Vi vill tacka Cristian Dinca på "Tudor Vianu" National High School of Computer Science, Rumänien, Jacob Braun och en anonym forskare för hjälpen.

Siri

Vi vill tacka Rohan Paudel för hjälpen.

Status Bar

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Lakshmi Narain College Of Technology Bhopal Indien och Jacob Braun för hjälpen.

TCC

Vi vill tacka Vaibhav Prajapati för hjälpen.

UIKit

Vi vill tacka Andr.Ess för hjälpen.

Voice Memos

Vi vill tacka Lisa B för hjälpen.

WebKit

Vi vill tacka Avi Lumelsky, Uri Katz, (Oligo Security), Johan Carlsson (joaxcar) för hjälpen.

Wi-Fi

Vi vill tacka Antonio Zekic (@antoniozekic) och ant4g0nist, Tim Michaud (@TimGMichaud) of Moveworks.ai för hjälpen.