Apple iOS 18.1.1

Apple iOS 18 logo (79 pix) Apple heeft versie 18.1.1 van iOS en iPadOS uitgebracht. In iOS 18, dat geschikt is voor alle modellen waar ook iOS 17 op draait, is het onder meer mogelijk het beginscherm aan te passen, is er ondersteuning voor Rich Communication Services, heeft het bedieningspaneel een opfrisbeurt gekregen en is de fotoapp vernieuwd. Verder is er een wachtwoordmanager en kunnen apps worden verborgen of worden afgeschermd. Versie 18.1.1 is uitgebracht om enkele beveiligingsproblemen te verhelpen.

iOS 18.1.1 and iPadOS 18.1.1

JavaScriptCore

Available for: iPhone XS and later, iPad Pro 13-inch, iPad Pro 12.9-inch 3rd generation and later, iPad Pro 11-inch 1st generation and later, iPad Air 3rd generation and later, iPad 7th generation and later, and iPad mini 5th generation and later

Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited on Intel-based Mac systems.

Description: The issue was addressed with improved checks.

WebKit Bugzilla: 283063

CVE-2024-44308: Clément Lecigne and Benoît Sevens of Google's Threat Analysis Group

WebKit

Available for: iPhone XS and later, iPad Pro 13-inch, iPad Pro 12.9-inch 3rd generation and later, iPad Pro 11-inch 1st generation and later, iPad Air 3rd generation and later, iPad 7th generation and later, and iPad mini 5th generation and later

Impact: Processing maliciously crafted web content may lead to a cross site scripting attack. Apple is aware of a report that this issue may have been actively exploited on Intel-based Mac systems.

Description: A cookie management issue was addressed with improved state management.

WebKit Bugzilla: 283095

CVE-2024-44309: Clément Lecigne and Benoît Sevens of Google's Threat Analysis Group

Apple iOS 18.0

Reacties (39)

jcbvm

20 november 2024 21:51

Toch is het nog steeds “raar” dat er een hele os patch moet komen voor wat WebKit bug fixes. Had apple hier niet een snellere oplossing voor?

Dreamvoid

Smartphones

@jcbvm • 21 november 2024 15:30

Webkit is een deel van het OS inmiddels, niet enkel meer een losse Safari app. Ontzettend veel apps gebruiken het.

jcbvm

@Dreamvoid • 21 november 2024 17:45

Snap ik, maar dat is bij Android niet anders. Die kunnen echter meestal hun webview component apart updaten via de store

stenkate @jcbvm • 20 november 2024 22:33

Ik heb inderdaad volgens mij nog nooit een Rapid Security Response download ervaren nee.

jcbvm

@stenkate • 21 november 2024 17:45

Ah dat was de naam ervan inderdaad

DefaultError 20 november 2024 09:50

iOS 17.7.2 is ook beschikbaar als security update, je hoeft niet perse over naar 18.1.1.
@xFeverr @robbinkg @Referix
Update is aan te raden.@Roofpigeon
edit: @Drobanir (Mag 17.7.2 ook wat aandacht).

[Reactie gewijzigd door DefaultError op 20 november 2024 09:57]

Olaf van der Spek @DefaultError • 20 november 2024 09:58

Hoe lang duurt het voordat iOS een rode stip laat zien dat ie beschikbaar is of hem zelf installeerd?
Ik heb automatische updates aan staan, zit op 17.7, zie dat de update beschikbaar is (maar installeer hem niet handmatig), en toch geen automatische installatie of rode stip.
En 17.7.1 is al een tijdje uit.

[Reactie gewijzigd door Olaf van der Spek op 20 november 2024 09:59]

Roofpigeon 20 november 2024 09:14

ik heb de update draaien op een 15 Pro. het beste is dat je eindelijk de tiles kunt detachen van de continuous grid. verder vind ik het aanpassen van kleurtjes op de tiles niet zo interessant. interessanter is het vergroten van de tiles en de tile-titles verbergen wel wat mooier staan maar het is onnodig.
de photos app moet ik aan wennen. De interface van de torch intensity vind ik dan wel weer veel mooier.

Overall kun je prima zonder deze update denk ik.

robbinkg @Roofpigeon • 20 november 2024 09:21

Dit is een security update... installeren dus.

CH4OS @robbinkg • 20 november 2024 10:26

Met de komst van 18.2 binnenkort, en er niet echt duidelijk is hoe groot de impact is als je nog niet zou updaten, zie ik niet waarom het installeren van de update een "dus" is.

lenwar

Smartphones
Apple
Apple iPhone

@CH4OS • 20 november 2024 11:19

Deze update omvat het oplossen van twee CVEs
CVE-2024-44308 in JavacriptCore - De mogelijkheid van het uitvoeren van arbitraire code (deze werd actief misbruikt op MacOS)
CVE-2024-44309 in Webkit - onbedoelde cross-site scripts door een fout in het cookie-management mechanisme.

In de breedste zin, is het altijd zinvol om beveiligingsupdates (dus de x.y.Z-updates) te installeren. Ook als je nog niet wat ze inhouden. Deze updates zouden geen (onverwachte) gedragsveranderingen moeten veroorzaken voor de gebruiker. Met de x.Y-updates kan er wel gedrag veranderen, en dan kan je dus even kijken of je verwacht dat je hier last van kan krijgen.

CH4OS @lenwar • 20 november 2024 11:22

Voor beide fixes is een nieuwe versie van Safari benodigd, die in deze release zit. Een app die ik sowieso al niet heel veel gebruik op mijn iPhone. Ik ga er dus van uit dat de kans dat ik hier last van krijg minimaal is, dan update ik in December wel, wanneer 18.2 uitkomt.

Carlos0_0

Apple iPhone
Apple
Smartphones

@CH4OS • 20 november 2024 11:37

Echter draaien alle andere browsers op ios ook nog steeds op webkit, oftewel safari als nog.

CH4OS @Carlos0_0 • 20 november 2024 11:42

Dat is prima, ik gebruik alleen nauwelijks een browser op mijn iPhone...

Aegir81 @CH4OS • 20 november 2024 13:41

Ook alle apps die linkjes kunnen openen gebruiken Safari/webkit. Il vermoed dat je sowieso wel kunt profiteren van de update.

lenwar

Smartphones
Apple
Apple iPhone

@Aegir81 • 20 november 2024 15:44

En überhaupt alle mechanismen die op achtergrond webdata verwerken. Niet alleen iets dat zichtbaar een website is. Kijk naar bijvoorbeeld een app als Amazon, bol.com, Albert Heijn, McDonalds, enz. (Effectief alle apps die dynamisch opgemaakte content ophalen zonder vast stramien.) Dat zijn wezenlijk wrappers om webdiensten. Geloof maar dat die gewoon data met CSS/XML/JSON opsturen door Webkit/JavaScriptCore worden opgebouwd. Je bent bijna gek om het anders te doen.

lenwar

Smartphones
Apple
Apple iPhone

@CH4OS • 20 november 2024 11:41

Nou nee. Safari is 'slechts' een browser. Dit gaat over Webkit en JavascriptCore. Dit zijn componenten die (onder andere) Safari gebruikt, die direct in het besturingssysteem zitten.

Iedere browser (op dit moment nog) en ieder ander type app die iets met webpagina's doet gebruikt 'dus' Webkit en JavascriptCore, aangezien dit, de facto, de enige webparser en JavaScript engine zijn die op iOS zijn. (Door Apple z'n 'filosofie', maar dat is een andere discussie.)

Of jij er individueel last van krijgt in dit specifieke geval, kunnen we geen van beiden iets zinnigs over zeggen. Het is puur afhankelijk van welke website (al dan niet bewust) misbruik probeert te maken van de betreffende CVE's. Uiteraard wordt de kans kleiner als je minder web-pagina's consumeert, maar er is er maar één nodig die het rottig doet. Desnoods door derde partijen.

Ik zou in elk geval geen reden kunnen bedenken om niet een actief misbruikte CVE te patchen.

xFeverr @Roofpigeon • 20 november 2024 09:23

Je beschrijft de veranderingen sinds iOS 18.0, maar we zijn alweer twee maanden en 3 updates verder. Dit is een security update, dus 'je kunt prima zonder deze update' is daarin een slecht advies.

CH4OS @xFeverr • 20 november 2024 10:32

En waarom kun je niet zonder deze update? iOS 18.2 (die deze updates vast ook bezit) komt in December uit. Waarom zou ik nu deze update ook ("moeten") installeren, wat is de brand precies?

pbk @CH4OS • 20 november 2024 10:58

De reden is dat het altijd beter is om security-updates z.s.m. te installeren, omdat daarmee kwetsbaarheden worden verholpen. Uiteraard kan je altijd wachten met security-updates installeren, maar je loopt dan wel een risico.

CH4OS @pbk • 20 november 2024 11:10

Ik doe dat zeker ook, maar wel als het potentieel gevaar erg groot is en een andere update nog wel ver weg is. Ik begrijp dat er een update aan Safari is gedaan die in deze release van iOS zit (ik heb een van de CVE-nummers even opgezocht).

Nu gebruik ik Safari niet heel veel op mijn iPhone, dus een erg groot risico vormt het voor mij dus niet. Dan wacht ik liever tot de 18.2 release, die voor December ingepland staat. Ik hoef niet per se een update te installeren 'om het installeren', als soort van van "vinkje", "om het maar te hebben".

pbk @CH4OS • 20 november 2024 14:51

Ben wel benieuwd of je weleens mensen op ICT-gebied helpt die wat minder vaardig zijn op dat gebied. Denk dat de meeste Tweakers dat wel doen in hun omgeving. Ik in elk geval wel

Is dan je advies om te wachten met updates of om ze juist te installeren? Ik adviseer altijd eerst om eens alle updates te draaien. Voor veiligheid en ook omdat het vaak sommige problemen al 'vanzelf' verhelpt.

CH4OS @pbk • 20 november 2024 14:54

In mijn prive omgeving weinig (daar hou ik het ook actief wat afzijdig allemaal), wel omdat het ook tot mijn werkzaamheden behoort, al hebben we gelukkig weinig Apple hardware om te supporten.

Updates adviseer ik dus niet zo snel, om meerdere redenen trouwens.

Meeste mensen (op de zaak dan) hebben hun Apple device sowieso prive gekocht, dus dan kan ik qua support er al weinig mee.

Maar met 18.2 voor de deur, denk ik niet dat de impact groot genoeg is voor mij om zo kort na elkaar twee updates te gaan installeren.

[Reactie gewijzigd door CH4OS op 20 november 2024 15:06]

DieMitchell

@pbk • 20 november 2024 11:09

realistisch gezien is dit risico bijna 0.

pbk @DieMitchell • 20 november 2024 13:59

Dat zal per security-update verschillen. Kan best het geval zijn in dit geval, maar in het algemeen is het aan te raden om security-updates zo snel mogelijk te installeren.

DieMitchell

@pbk • 20 november 2024 14:02

Heb je een recent voorbeeld waarin dit op grote schaal misbruikt is?

pbk @DieMitchell • 20 november 2024 14:48

Misbruik bij iOS bedoel je? Nee dat niet. Maar berichten zoals deze zie je regelmatig voorbij komen:
nieuws: Kritieke rce-kwetsbaarheid in e-mailsoftware Zimbra wordt actief misb...

Waarom zou je het risico nemen door security updates niet te installeren? Het is wat anders dan een feature-update die daadwerkelijk wat aan je OS verandert.

DieMitchell

@pbk • 20 november 2024 14:50

ios, android, windows, je koelkast, de led lampen, etc. En ik heb het hier over de os en/of firmware, niet externe software.

lenwar

Smartphones
Apple
Apple iPhone

@DieMitchell • 20 november 2024 19:11

Apple zegt dat dezelfde CVE op MacOS actief werd misbruikt:

[quote]Apple is aware of a report that this issue may have been actively exploited on Intel-based Mac systems[/quote{
(Ondertussen in het artikel)

Referix @Roofpigeon • 20 november 2024 09:22

Ik denk dat jij doelt op iOS 18.0, een update van meer dan twee maanden geleden.
Dit bericht gaat over iOS 18.1.1, waarin een aantal belangrijk security fixes zijn doorgevoerd. Ik adviseer om z.s.m. te updaten.

CH4OS @Referix • 20 november 2024 10:28

Met andere updates in het verschiet en zonder te weten wat de impact is als je nog niet de update hebt, vind ik het ook niet verstandig om "zsm" te updaten. Ik zou dat in elk geval willen weten, zodat ik voor mijzelf een afweging kan maken of ik het risico kan lopen, in afwachting tot iOS 18.2 komt (in December al) die deze fixes vast ook heeft.

[Reactie gewijzigd door CH4OS op 20 november 2024 10:29]

Aaargh! @CH4OS • 20 november 2024 10:36

De impact is dat je telefoon gecompromitteerd kan worden door simpelweg een website te bezoeken.

Er is iig bekend dat deze fout actief misbruikt wordt op x86 Macs maar dezelfde fout zit ook in de ARM versie van MacOS en ook iOS, dus de kans is groot dat ie ook daar misbruikt wordt of gaat worden.

Als je er geen probleem mee hebt dat andere mensen je telefoon kunnen overnemen dan kan je de update negeren.

CH4OS @Aaargh! • 20 november 2024 10:45

In de CVE wordt gesproken over dat het is opgelost in Safari, die released is in deze nieuwe versies. Maar dan moet je blijkbaar dus wel Safari gebruiken, zolang je dat dus niet doet, lijkt de kans mij ook klein dat je hier last van gaat krijgen. Ik krijg echt een storm in een glas water gevoel hierbij, als ik volgende maand upgrade naar 18.2 lijkt me dat voorlopig snel genoeg.

Aaargh! @CH4OS • 20 november 2024 12:22

Maar dan moet je blijkbaar dus wel Safari gebruiken, zolang je dat dus niet doet, lijkt de kans mij ook klein dat je hier last van gaat krijgen.

Niet Safari maar WebKit.

Alle browsers op iOS gebruiken op dit moment WebKit, alsmede als elke applicatie die een content in een webview laad.

DieMitchell

@Aaargh! • 20 november 2024 11:08

De impact is dat je telefoon gecompromitteerd kan worden door simpelweg een website te bezoeken.

Hoe vaak hoor je nou dat mensen gehackt worden omdat ze achterlopen op security updates?

FrostyPeet 20 november 2024 09:24

N.B. NL-8 is ook al uitgerold en bijgewerkt voor de digitale braille lezers onder ons. Dus NL-6 of EU-8 is niet meer nodig. Als je wil weten hoe NL-8 "leest", kijk even op de site van de Braille Autoriteit (voor Nederland en Vlaanderen).

bastv 23 november 2024 13:09

18.1.1 negeerde bij mij het oplaad limiet van 80% dacht ik
Maar dat is blijkbaar nu design:
https://www.reddit.com/r/...ng_past_set_charge_limit/

Gallo_Claudio 5 december 2024 10:09

Wat mij opvalt is dat Yahoo email ineens niet meer goed werkt op mijn iPhone. Raar, dat ga ik eens uitzoeken.

Op dit item kan niet meer gereageerd worden.

Versienummer	18.1.1
Releasestatus	Final
Besturingssystemen	iOS
Website	Apple
Download	https://support.apple.com/nl-nl/HT204204
Licentietype	Freeware

18-04	Apple iOS 18.4.1	14
01-04	Apple iOS 18.4	40
16-03	Apple iOS 18.3.2	11
11-02	Apple iOS 18.3.1	14
28-01	Apple iOS 18.3	20
12-01	Apple iOS 18.2.1	22
13-12	Apple iOS 18.2	15
20-11	Apple iOS 18.1.1	40
28-10	Apple iOS 18.1	72
04-10	Apple iOS 18.0.1	58

Firmware-update: Apple iOS 18.1.1

iOS 18.1.1 and iPadOS 18.1.1

JavaScriptCore

WebKit

Update-historie

Lees meer

Reacties (39)

Sorteer op:

Weergave: