Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple. Komunikaci se společností Apple můžete zašifrovat pomocí klíče PGP zabezpečení produktů Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
iOS 11.2.5
Vydáno 23. ledna 2018
Zvuk
K dispozici pro: iPhone 5s a novější, iPad Air a novější a iPod touch 6. generace
Dopad: Zpracování škodlivého zvukového souboru může vést ke spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
CVE-2018-4094: Mingi Cho, Seoyoung Kim, Young-Ho Lee, MinSik Shin a Taekyoung Kwon z týmu Information Security Lab, Jonsejská univerzita
Záznam aktualizován 16. listopadu 2018
Core Bluetooth
K dispozici pro: iPhone 5s a novější, iPad Air a novější a iPod touch 6. generace
Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2018-4087: Rani Idan (@raniXCH) z týmu Zimperium zLabs
CVE-2018-4095: Rani Idan (@raniXCH) z týmu Zimperium zLabs
Ovladač grafiky
K dispozici pro: iPhone 5s a novější, iPad Air a novější a iPod touch 6. generace
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2018-4109: Adam Donenfeld (@doadam) z týmu Zimperium zLabs
Záznam přidán 8. února 2018
Jádro
K dispozici pro: iPhone 5s a novější, iPad Air a novější a iPod touch 6. generace
Dopad: Aplikaci se může podařit číst vyhrazenou paměť.
Popis: Problém s inicializací paměti byl vyřešen vylepšením správy paměti.
CVE-2018-4090: Jann Horn z týmu Google Project Zero
Záznam aktualizován 16. listopadu 2018
Jádro
K dispozici pro: iPhone 5s a novější, iPad Air a novější a iPod touch 6. generace
Dopad: Aplikaci se může podařit číst vyhrazenou paměť.
Popis: Problém se souběhem byl vyřešen vylepšením zamykání.
CVE-2018-4092: Stefan Esser z týmu Antid0te UG
Záznam aktualizován 16. listopadu 2018
Jádro
K dispozici pro: iPhone 5s a novější, iPad Air a novější a iPod touch 6. generace
Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
CVE-2018-4082: Russ Cox ze společnosti Google
Záznam aktualizován 16. listopadu 2018
Jádro
K dispozici pro: iPhone 5s a novější, iPad Air a novější a iPod touch 6. generace
Dopad: Aplikaci se může podařit číst vyhrazenou paměť.
Popis: Problém s ověřováním byl vyřešen vylepšením sanitizace vstupů.
CVE-2018-4093: Jann Horn z týmu Google Project Zero
Jádro
K dispozici pro: iPhone 5s a novější, iPad Air a novější a iPod touch 6. generace
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2018-4189: anonymní výzkumník
Záznam přidán 2. května 2018
LinkPresentation
K dispozici pro: iPhone 5s a novější, iPad Air a novější a iPod touch 6. generace
Dopad: Zpracování škodlivé textové zprávy může vést k odmítnutí služeb aplikace.
Popis: Problém s vyčerpáním zdrojů byl vyřešen vylepšením ověřování vstupů.
CVE-2018-4100: Abraham Masri @cheesecakeufo
Záznam aktualizován 16. listopadu 2018
QuartzCore
K dispozici pro: iPhone 5s a novější, iPad Air a novější a iPod touch 6. generace
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Ve zpracovávání webového obsahu existoval problém s poškozením paměti. Problém byl vyřešen vylepšením ověřování vstupů.
CVE-2018-4085: Ret2 Systems Inc. ve spolupráci se Zero Day Initiative společnosti Trend Micro
Záznam aktualizován 16. listopadu 2018
Zabezpečení
K dispozici pro: iPhone 5s a novější, iPad Air a novější a iPod touch 6. generace
Dopad: U certifikátů mohla být nesprávně aplikována omezení názvů.
Popis: Ve zpracovávání omezení názvů existoval problém s vyhodnocováním certifikátů. Problém byl vyřešen vylepšením vyhodnocování důvěryhodnosti certifikátů.
CVE-2018-4086: Ian Haken ze společnosti Netflix
Záznam aktualizován 16. listopadu 2018
WebKit
K dispozici pro: iPhone 5s a novější, iPad Air a novější a iPod touch 6. generace
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.
CVE-2018-4088: Jeonghoon Shin ze společnosti Theori
CVE-2018-4089: Ivan Fratric z týmu Google Project Zero
CVE-2018-4096: nalezeno programem OSS-Fuzz
WebKit
K dispozici pro: iPhone 5s a novější, iPad Air a novější a iPod touch 6. generace
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.
CVE-2018-4147: Nalezeno programem OSS-Fuzz
Záznam přidán 18. října 2018
Načítání stránek ve WebKitu
K dispozici pro: iPhone 5s a novější, iPad Air a novější a iPod touch 6. generace
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.
CVE-2017-7830: Jun Kokatsu (@shhnjk)
Záznam přidán 18. října 2018