В документе поддержки Apple перечислила более 25 исправлений безопасности, которые включены в обновления iOS 18.1 и iPadOS 18.1 на этой неделе для iPhone и iPad. Мы рекомендуем вскоре обновить ваше устройство, чтобы оставаться защищенным.

Чтобы обновить свой iPhone или iPad, откройте приложение «Настройки», затем нажмите «Основные» → «Обновление ПО».

Полные примечания по безопасности для iOS 18.1 и iPadOS 18.1:

Доступность
Доступно для: iPhone XS и новее

Воздействие: Злоумышленник, имеющий физический доступ к заблокированному устройству, может получить доступ к конфиденциальной информации пользователя

Описание: Проблема устранена благодаря улучшенной аутентификации.

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

Поддержка приложений
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее

Воздействие: Вредоносное приложение может запускать произвольные ярлыки без согласия пользователя

Описание: Проблема обработки путей устранена благодаря улучшенной логике.

CVE-2024-44255: анонимный исследователь

CoreMedia Playback
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее

Воздействие: Вредоносное приложение может получить доступ к личной информации

Описание: Эта проблема устранена благодаря улучшенной обработке символических ссылок.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell из Loadshine Lab

CoreText
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее

Воздействие: Обработка специально созданного шрифта может привести к раскрытию памяти процесса

Описание: Проблема устранена благодаря улучшенным проверкам.

CVE-2024-44240: Hossein Lotfi (@hosselot) из Trend Micro Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot) из Trend Micro Zero Day Initiative

Foundation
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее

Воздействие: Обработка файла может привести к раскрытию информации о пользователе

Описание: Проблема чтения за пределами допустимых границ устранена благодаря улучшенной проверке ввода.

CVE-2024-44282: Hossein Lotfi (@hosselot) из Trend Micro Zero Day Initiative

ImageIO
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее

Воздействие: Обработка изображения может привести к раскрытию памяти процесса

Описание: Эта проблема устранена благодаря улучшенным проверкам.

CVE-2024-44215: Junsung Lee совместно с Trend Micro Zero Day Initiative

ImageIO
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее

Воздействие: Обработка специально созданного сообщения может привести к отказу в обслуживании

Описание: Проблема устранена благодаря улучшенным проверкам границ.

CVE-2024-44297: Jex Amro

IOSurface
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее

Воздействие: Приложение может вызвать неожиданное завершение работы системы или повреждение памяти ядра

Описание: Проблема использования после освобождения памяти устранена благодаря улучшенному управлению памятью.

CVE-2024-44285: анонимный исследователь

iTunes
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее

Воздействие: Удаленный злоумышленник может обойти защиту песочницы веб-контента

Описание: Проблема обработки пользовательских URL-схем устранена благодаря улучшенной проверке ввода.

CVE-2024-40867: Ziyi Zhou (@Shanghai Jiao Tong University), Tianxiao Hou (@Shanghai Jiao Tong University)

Kernel
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее

Воздействие: Приложение может раскрыть конфиденциальное состояние ядра

Описание: Проблема раскрытия информации устранена благодаря улучшенному сокрытию личных данных в записях журнала.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Managed Configuration
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее

Воздействие: Восстановление специально созданного файла резервной копии может привести к изменению защищенных системных файлов

Описание: Эта проблема устранена благодаря улучшенной обработке символических ссылок.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее

Воздействие: Восстановление специально созданного файла резервной копии может привести к изменению защищенных системных файлов

Описание: Проблема логики устранена благодаря улучшенной обработке файлов.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее

Воздействие: Приложение может вызвать неожиданное завершение работы системы или повреждение памяти ядра

Описание: Проблема устранена благодаря улучшенной обработке памяти.

CVE-2024-44277: анонимный исследователь и Yinyi Wu(@_3ndy1) из Dawn Security Lab компании JD.com, Inc.

Safari Downloads
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее

Воздействие: Злоумышленник может злоупотребить доверительными отношениями для загрузки вредоносного контента

Описание: Эта проблема устранена благодаря улучшенному управлению состоянием.

CVE-2024-44259: Narendra Bhati, менеджер по кибербезопасности в Suma Soft Pvt. Ltd, Пуна (Индия)

Safari Private Browsing
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее

Воздействие: Приватный просмотр может привести к утечке некоторой истории просмотров

Описание: Утечка информации устранена благодаря дополнительной проверке.

CVE-2024-44229: Lucas Di Tomase

SceneKit
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее

Воздействие: Обработка специально созданного файла может привести к повреждению кучи

Описание: Эта проблема устранена благодаря улучшенным проверкам.

CVE-2024-44218: Michael DePlante (@izobashi) из Trend Micro Zero Day Initiative

Shortcuts
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее

Воздействие: Приложение может получить доступ к конфиденциальным данным пользователя

Описание: Эта проблема устранена благодаря улучшенному сокрытию конфиденциальной информации.

CVE-2024-44254: Kirin (@Pwnrin)

Shortcuts
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее

Воздействие: Вредоносное приложение может использовать ярлыки для доступа к ограниченным файлам

Описание: Проблема логики устранена благодаря улучшенным проверкам.

CVE-2024-44269: анонимный исследователь

Siri
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее

Воздействие: Приложение может получить доступ к конфиденциальным данным пользователя

Описание: Эта проблема устранена благодаря улучшенному сокрытию конфиденциальной информации.

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее

Воздействие: Злоумышленник, имеющий физический доступ, может получить доступ к фотографиям контактов с экрана блокировки

Описание: Проблема устранена путем ограничения опций, предлагаемых на заблокированном устройстве.

CVE-2024-40851: Abhay Kailasia (@abhay_kailasia) из Lakshmi Narain College of Technology Bhopal, Индия, Srijan Poudel

Siri
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее

Воздействие: Приложение может получить доступ к конфиденциальным данным пользователя

Описание: Проблема логики устранена благодаря улучшенному управлению состоянием.

CVE-2024-44263: Kirin (@Pwnrin) и 7feilee

Siri
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее

Воздействие: Приложение в песочнице может получить доступ к конфиденциальным данным пользователя в системных журналах

Описание: Проблема раскрытия информации устранена благодаря улучшенному сокрытию личных данных в записях журнала.

CVE-2024-44278: Kirin (@Pwnrin)

Spotlight
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее

Воздействие: Злоумышленник может просматривать ограниченный контент с экрана блокировки

Описание: Эта проблема устранена благодаря улучшенному управлению состоянием.

CVE-2024-44251: Abhay Kailasia (@abhay_kailasia) из Lakshmi Narain College of Technology Bhopal, Индия

Spotlight
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее

Воздействие: Злоумышленник может просматривать ограниченный контент с экрана блокировки

Описание: Проблема была устранена путем улучшения проверок.

CVE-2024-44235: Rizki Maulana (rmrizki.my.id), Dalibor Milanovic, Richard Hyunho Im (@richeeta) совместно с Route Zero Security

VoiceOver
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее

Воздействие: Злоумышленник может получить доступ к ограниченному контенту с экрана блокировки

Описание: Проблема была устранена путем ограничения опций, предлагаемых на заблокированном устройстве.

CVE-2024-44261: Braylon (@softwarescool)

WebKit
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее

Воздействие: Обработка специально созданного веб-контента может привести к невозможности применения политики безопасности контента

Описание: Проблема была устранена путем улучшения проверок.

WebKit Bugzilla: 278765

CVE-2024-44296: Нарендра Бхати, менеджер по кибербезопасности в Suma Soft Pvt. Ltd, Пуна (Индия)

WebKit
Доступно для: iPhone XS и новее, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 3-го поколения и новее, iPad Pro 11 дюймов 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 7-го поколения и новее, а также iPad mini 5-го поколения и новее

Воздействие: Обработка специально созданного веб-контента может привести к неожиданному сбою процесса

Описание: Проблема с повреждением памяти была устранена путем улучшения проверки входных данных.

WebKit Bugzilla: 279780

CVE-2024-44244: анонимный исследователь, Q1IQ (@q1iqF) и P1umer (@p1umer)