Behoben:Die Verarbeitung einer in böser Absicht erstellten Nachricht kann zu einem Denial-of-Service führen
iOSApple
Update von:Über den Sicherheitsinhalt von iOS 18.1 und iPadOS 18.1
Veröffentlicht am 28. Oktober 2024
Zugänglichkeit
Verfügbar für: iPhone XS und höher
Auswirkungen: Ein Angreifer mit physischem Zugriff auf ein gesperrtes Gerät kann möglicherweise sensible Benutzerinformationen einsehen
Beschreibung: Das Problem wurde mit einer verbesserten Authentifizierung behoben.
CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin
App-Unterstützung
**Verfügbar für: iPhone XS und neuer, iPad Pro 13 Zoll, iPad Pro 12,9 Zoll 3. Generation und neuer, iPad Pro 11 Zoll 1. Generation und neuer, iPad Air 3. Generation und neuer, iPad 7. Generation und neuer und iPad mini 5.
Auswirkungen: Eine bösartige App kann möglicherweise beliebige Verknüpfungen ohne Zustimmung des Benutzers ausführen
Beschreibung: Ein Problem bei der Pfadbehandlung wurde mit verbesserter Logik behoben.
CVE-2024-44255: ein anonymer Forscher
CoreMedia-Wiedergabe
**Verfügbar für: iPhone XS und neuer, iPad Pro 13 Zoll, iPad Pro 12,9 Zoll 3. Generation und neuer, iPad Pro 11 Zoll 1. Generation und neuer, iPad Air 3. Generation und neuer, iPad 7. Generation und neuer und iPad mini 5.
Auswirkungen: Eine bösartige App kann möglicherweise auf private Informationen zugreifen
Beschreibung: Dieses Problem wurde durch eine verbesserte Handhabung von Symlinks behoben.
CVE-2024-44273: pattern-f (@pattern_F_), Hikerell von Loadshine Lab
CoreText
**Verfügbar für: iPhone XS und neuer, iPad Pro 13 Zoll, iPad Pro 12,9 Zoll 3. Generation und neuer, iPad Pro 11 Zoll 1. Generation und neuer, iPad Air 3. Generation und neuer, iPad 7. Generation und neuer und iPad mini 5.
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten Schriftart kann zur Offenlegung des Prozessspeichers führen
Beschreibung: Das Problem wurde mit verbesserten Prüfungen behoben.
CVE-2024-44240: Hossein Lotfi (@hosselot) von der Trend Micro Zero Day Initiative
CVE-2024-44302: Hossein Lotfi (@hosselot) von der Trend Micro Zero-Day-Initiative
Grundlage
Verfügbar für: iPhone XS und später, iPad Pro 13-Zoll, iPad Pro 12,9-Zoll 3. Generation und später, iPad Pro 11-Zoll 1. Generation und später, iPad Air 3. Generation und später, iPad 7. Generation und später, und iPad mini 5. Generation und später
Auswirkungen: Das Parsen einer Datei kann zur Offenlegung von Benutzerinformationen führen
Beschreibung: Ein Out-of-bounds-Read wurde mit einer verbesserten Eingabevalidierung behoben.
CVE-2024-44282: Hossein Lotfi (@hosselot) von der Trend Micro Zero Day Initiative
ImageIO
**Verfügbar für: iPhone XS und später, iPad Pro 13 Zoll, iPad Pro 12,9 Zoll 3. Generation und später, iPad Pro 11 Zoll 1. Generation und später, iPad Air 3. Generation und später, iPad 7. Generation und später und iPad mini 5.
Auswirkungen: Die Verarbeitung eines Bildes kann zu einer Offenlegung des Prozessspeichers führen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2024-44215: Junsung Lee arbeitet mit der Trend Micro Zero Day Initiative zusammen
ImageIO
**Verfügbar für: iPhone XS und neuer, iPad Pro 13 Zoll, iPad Pro 12,9 Zoll 3. Generation und neuer, iPad Pro 11 Zoll 1. Generation und neuer, iPad Air 3. Generation und neuer, iPad 7. Generation und neuer und iPad mini 5.
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten Nachricht kann zu einem Denial-of-Service führen
Beschreibung: Das Problem wurde mit verbesserten Bound Checks behoben.
CVE-2024-44297: Jex Amro
IOSurface
**Verfügbar für: iPhone XS und neuer, iPad Pro 13 Zoll, iPad Pro 12,9 Zoll 3. Generation und neuer, iPad Pro 11 Zoll 1. Generation und neuer, iPad Air 3. Generation und neuer, iPad 7. Generation und neuer und iPad mini 5.
Auswirkungen: Eine App kann möglicherweise einen unerwarteten Systemabbruch verursachen oder den Kernel-Speicher beschädigen
Beschreibung: Ein Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2024-44285: ein anonymer Forscher
iTunes
**Verfügbar für: iPhone XS und neuer, iPad Pro 13 Zoll, iPad Pro 12,9 Zoll 3. Generation und neuer, iPad Pro 11 Zoll 1. Generation und neuer, iPad Air 3. Generation und neuer, iPad 7. Generation und neuer und iPad mini 5.
Auswirkungen: Ein entfernter Angreifer kann möglicherweise aus der Sandbox für Webinhalte ausbrechen
Beschreibung: Ein Problem bei der Behandlung eines benutzerdefinierten URL-Schemas wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2024-40867: Ziyi Zhou (@Shanghai Jiao Tong Universität), Tianxiao Hou (@Shanghai Jiao Tong Universität)
Kernel
Verfügbar für: iPhone XS und höher, iPad Pro 13-Zoll, iPad Pro 12,9-Zoll 3. Generation und höher, iPad Pro 11-Zoll 1. Generation und höher, iPad Air 3. Generation und höher, iPad 7. Generation und höher und iPad mini 5. Generation und höher
Auswirkungen: Eine App kann möglicherweise sensible Kernel-Statusdaten ausspähen
Beschreibung: Ein Problem mit der Offenlegung von Informationen wurde durch verbesserte Schwärzung privater Daten für Protokolleinträge behoben.
CVE-2024-44239: Mateusz Krzywicki (@krzywix)
Verwaltete Konfiguration
**Verfügbar für: iPhone XS und höher, iPad Pro 13-Zoll, iPad Pro 12,9-Zoll 3. Generation und höher, iPad Pro 11-Zoll 1. Generation und höher, iPad Air 3. Generation und höher, iPad 7. Generation und höher und iPad mini 5.
Auswirkungen: Die Wiederherstellung einer in böser Absicht erstellten Sicherungsdatei kann zu einer Änderung geschützter Systemdateien führen
Beschreibung: Dieses Problem wurde durch eine verbesserte Handhabung von Symlinks behoben.
CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak
MobileBackup
**Verfügbar für: iPhone XS und neuer, iPad Pro 13 Zoll, iPad Pro 12,9 Zoll 3. Generation und neuer, iPad Pro 11 Zoll 1. Generation und neuer, iPad Air 3. Generation und neuer, iPad 7. Generation und neuer und iPad mini 5.
Auswirkungen: Die Wiederherstellung einer in böser Absicht erstellten Sicherungsdatei kann zu einer Änderung geschützter Systemdateien führen
Beschreibung: Ein Logikproblem wurde mit verbesserter Dateibehandlung behoben.
CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)
Pro Res
Verfügbar für: iPhone XS und neuer, iPad Pro 13-Zoll, iPad Pro 12,9-Zoll 3. Generation und neuer, iPad Pro 11-Zoll 1. Generation und neuer, iPad Air 3. Generation und neuer, iPad 7. Generation und neuer und iPad mini 5. Generation und neuer
Auswirkungen: Eine App kann möglicherweise einen unerwarteten Systemabbruch verursachen oder den Kernel-Speicher beschädigen
Beschreibung: Das Problem wurde durch eine verbesserte Speicherbehandlung behoben.
CVE-2024-44277: Ein anonymer Forscher und Yinyi Wu(@_3ndy1) vom Dawn Security Lab von JD.com, Inc.
Safari Downloads
**Verfügbar für: iPhone XS und höher, iPad Pro 13-Zoll, iPad Pro 12,9-Zoll 3. Generation und höher, iPad Pro 11-Zoll 1. Generation und höher, iPad Air 3. Generation und höher, iPad 7. Generation und höher und iPad mini 5.
Auswirkungen: Ein Angreifer kann möglicherweise eine Vertrauensbeziehung missbrauchen, um bösartige Inhalte herunterzuladen
Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2024-44259: Narendra Bhati, Manager für Cybersicherheit bei Suma Soft Pvt. Ltd, Pune (Indien)
Safari Private Browsing
**Verfügbar für: iPhone XS und neuer, iPad Pro 13 Zoll, iPad Pro 12,9 Zoll 3. Generation und neuer, iPad Pro 11 Zoll 1. Generation und neuer, iPad Air 3. Generation und neuer, iPad 7. Generation und neuer und iPad mini 5.
Auswirkungen: Privates Surfen kann einen Teil des Browserverlaufs preisgeben
Beschreibung: Ein Informationsleck wurde durch zusätzliche Validierung behoben.
CVE-2024-44229: Lucas Di Tomase
SceneKit
**Verfügbar für: iPhone XS und neuer, iPad Pro 13 Zoll, iPad Pro 12,9 Zoll 3. Generation und neuer, iPad Pro 11 Zoll 1. Generation und neuer, iPad Air 3. Generation und neuer, iPad 7. Generation und neuer und iPad mini 5.
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu einer Heap Corruption führen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2024-44218: Michael DePlante (@izobashi) von der Trend Micro Zero Day Initiative
Shortcuts
**Verfügbar für: iPhone XS und neuer, iPad Pro 13-Zoll, iPad Pro 12,9-Zoll 3. Generation und neuer, iPad Pro 11-Zoll 1. Generation und neuer, iPad Air 3. Generation und neuer, iPad 7. Generation und neuer und iPad mini 5.
Auswirkungen: Eine App kann möglicherweise auf sensible Benutzerdaten zugreifen
Beschreibung: Dieses Problem wurde mit einer verbesserten Schwärzung von sensiblen Informationen behoben.
CVE-2024-44254: Kirin (@Pwnrin)
Shortcuts
**Verfügbar für: iPhone XS und neuer, iPad Pro 13 Zoll, iPad Pro 12,9 Zoll 3. Generation und neuer, iPad Pro 11 Zoll 1. Generation und neuer, iPad Air 3. Generation und neuer, iPad 7. Generation und neuer und iPad mini 5.
Auswirkungen: Eine bösartige App kann Verknüpfungen verwenden, um auf eingeschränkte Dateien zuzugreifen
Beschreibung: Ein Logikproblem wurde mit verbesserten Prüfungen behoben.
CVE-2024-44269: ein anonymer Forscher
Siri
**Verfügbar für: iPhone XS und später, iPad Pro 13 Zoll, iPad Pro 12,9 Zoll 3. Generation und später, iPad Pro 11 Zoll 1. Generation und später, iPad Air 3. Generation und später, iPad 7. Generation und später und iPad mini 5.
Auswirkungen: Eine App kann möglicherweise auf sensible Benutzerdaten zugreifen
Beschreibung: Dieses Problem wurde durch verbesserte Schwärzung sensibler Informationen behoben.
CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)
Siri
Verfügbar für: iPhone XS und höher, iPad Pro 13-Zoll, iPad Pro 12,9-Zoll 3. Generation und höher, iPad Pro 11-Zoll 1. Generation und höher, iPad Air 3. Generation und höher, iPad 7. Generation und höher und iPad mini 5. Generation und höher
Auswirkungen: Ein Angreifer mit physischem Zugriff kann möglicherweise über den Sperrbildschirm auf Kontaktfotos zugreifen
Beschreibung: Dieses Problem wurde behoben, indem die auf einem gesperrten Gerät angebotenen Optionen eingeschränkt wurden.
CVE-2024-40851: Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College of Technology Bhopal Indien, Srijan Poudel
Siri
Verfügbar für: iPhone XS und höher, iPad Pro 13-Zoll, iPad Pro 12,9-Zoll 3. Generation und höher, iPad Pro 11-Zoll 1. Generation und höher, iPad Air 3. Generation und höher, iPad 7. Generation und höher und iPad mini 5. Generation und höher
Auswirkungen: Eine App kann möglicherweise auf benutzersensible Daten zugreifen
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2024-44263: Kirin (@Pwnrin) und 7feilee
Siri
Verfügbar für: iPhone XS und später, iPad Pro 13-Zoll, iPad Pro 12,9-Zoll 3. Generation und später, iPad Pro 11-Zoll 1. Generation und später, iPad Air 3. Generation und später, iPad 7. Generation und später und iPad mini 5. Generation und später
Auswirkungen: Eine App mit Sandbox kann möglicherweise auf sensible Benutzerdaten in Systemprotokollen zugreifen
Beschreibung: Ein Problem mit der Offenlegung von Informationen wurde durch eine verbesserte Schwärzung privater Daten für Protokolleinträge behoben.
CVE-2024-44278: Kirin (@Pwnrin)
Spotlight
**Verfügbar für: iPhone XS und neuer, iPad Pro 13 Zoll, iPad Pro 12,9 Zoll 3. Generation und neuer, iPad Pro 11 Zoll 1. Generation und neuer, iPad Air 3. Generation und neuer, iPad 7. Generation und neuer und iPad mini 5.
Auswirkungen: Ein Angreifer kann möglicherweise eingeschränkte Inhalte über den Sperrbildschirm anzeigen
Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2024-44251: Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College of Technology Bhopal Indien
Spotlight
Verfügbar für: iPhone XS und höher, iPad Pro 13-Zoll, iPad Pro 12,9-Zoll 3. Generation und höher, iPad Pro 11-Zoll 1. Generation und höher, iPad Air 3. Generation und höher, iPad 7. Generation und höher und iPad mini 5. Generation und höher
Auswirkungen: Ein Angreifer kann möglicherweise eingeschränkte Inhalte über den Sperrbildschirm anzeigen
Beschreibung: Das Problem wurde mit verbesserten Prüfungen behoben.
CVE-2024-44235: Rizki Maulana (rmrizki.my.id), Dalibor Milanovic, Richard Hyunho Im (@richeeta) mit Route Zero Security
VoiceOver
Verfügbar für: iPhone XS und neuer, iPad Pro 13-Zoll, iPad Pro 12,9-Zoll 3. Generation und neuer, iPad Pro 11-Zoll 1. Generation und neuer, iPad Air 3. Generation und neuer, iPad 7. Generation und neuer und iPad mini 5. Generation und neuer
Auswirkungen: Ein Angreifer kann möglicherweise eingeschränkte Inhalte über den Sperrbildschirm anzeigen
Beschreibung: Dieses Problem wurde behoben, indem die auf einem gesperrten Gerät angebotenen Optionen eingeschränkt wurden.
CVE-2024-44261: Braylon (@softwarescool)
WebKit
Verfügbar für: iPhone XS und neuer, iPad Pro 13-Zoll, iPad Pro 12,9-Zoll 3. Generation und neuer, iPad Pro 11-Zoll 1. Generation und neuer, iPad Air 3. Generation und neuer, iPad 7. Generation und neuer und iPad mini 5. Generation und neuer
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann die Durchsetzung der Inhaltssicherheitsrichtlinie verhindern
Beschreibung: Das Problem wurde mit verbesserten Prüfungen behoben.
WebKit Bugzilla: 278765
CVE-2024-44296: Narendra Bhati, Manager für Cybersicherheit bei Suma Soft Pvt. Ltd, Pune (Indien)
WebKit
**Verfügbar für: iPhone XS und neuer, iPad Pro 13 Zoll, iPad Pro 12,9 Zoll 3. Generation und neuer, iPad Pro 11 Zoll 1. Generation und neuer, iPad Air 3. Generation und neuer, iPad 7. Generation und neuer und iPad mini 5.
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabsturz führen
Beschreibung: Ein Problem der Speicherkorruption wurde mit verbesserter Eingabevalidierung behoben.
WebKit Bugzilla: 279780
CVE-2024-44244: ein anonymer Forscher, Q1IQ (@q1iqF) und P1umer (@p1umer)
