Om sikkerhedsindholdet i iOS 11.3

Dette dokument beskriver sikkerhedsindholdet i iOS 11.3.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

iOS 11.3

Apple TV-app

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: En hacker med en privilegeret netværksposition kan efterligne anmodninger om adgangskoder i Apple TV-appen

Beskrivelse: Et problem med godkendelse af input blev løst via forbedret inputvalidering.

CVE-2018-4177: Jerry Decime

Ur

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: En person, som har fysisk adgang til en iOS-enhed, kan være i stand til at se e-mailadressen, der anvendes til iTunes

Beskrivelse: Der var et problem med afsløring af oplysninger i håndteringen af alarmer og stopure. Problemet blev løst ved forbedrede adgangsbegrænsninger.

CVE-2018-4123: Zaheen Hafzar M M (@zaheenhafzer)

CoreFoundation

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: En konkurrencetilstand er blevet løst med yderligere validering.

CVE-2018-4155: Samuel Groß (@5aelo)

CVE-2018-4158: Samuel Groß (@5aelo)

CoreText

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Behandling af en skadelig streng kan medføre et DoS-angreb

Beskrivelse: Et DoS-problem er løst ved forbedret hukommelsesbehandling.

CVE-2018-4142: Robin Leroy fra Google Switzerland GmbH

LinkPresentation

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen

Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.

CVE-2018-4390: Rayyan Bijoora (@Bijoora) fra The City School, PAF Chapter

CVE-2018-4391: Rayyan Bijoora (@Bijoora) fra The City School, PAF Chapter

Filsystemhændelser

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: En konkurrencetilstand er blevet løst med yderligere validering.

CVE-2018-4167: Samuel Groß (@5aelo)

File Widget

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: File Widget kan vise indhold på en låst enhed

Beskrivelse: File Widget viste cachelagrede data i den låste tilstand. Problemet er løst ved hjælp af forbedret statusadministration.

CVE-2018-4168: Brandon Moore

Find min iPhone

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: En person, som har fysisk adgang til enheden, kan deaktivere "Find min iPhone" uden at indtaste en adgangskode til iCloud

Beskrivelse: Der var en fejl med statusadministration ved gendannelse fra en backup. Problemet blev løst gennem forbedret tilstandskontrol under gendannelse.

CVE-2018-4172: Viljami Vastamäki

iCloud Drive

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: En konkurrencetilstand er blevet løst med yderligere validering.

CVE-2018-4151: Samuel Groß (@5aelo)

Kernel

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4150: En anonym programmør

Kernel

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2018-4104: Storbritanniens National Cyber Security Centre (NCSC)

Kernel

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4143: derrek (@derrekr6)

Kernel

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

Beskrivelse: Der var et problem med afsløring af oplysninger ved overgang af programstatus. Problemet er løst ved forbedret statusbehandling.

CVE-2018-4185: Brandon Azad

libxml2

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Behandling af webindhold med skadelig kode kan føre til et uventet nedbrud i Safari

Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2017-15412: Nick Wellnhofer

LinkPresentation

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen

Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.

CVE-2018-4390: Rayyan Bijoora (@Bijoora) fra The City School, PAF Chapter

CVE-2018-4391: Rayyan Bijoora (@Bijoora) fra The City School, PAF Chapter

LinkPresentation

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Behandling af en skadelig sms-besked kan medføre efterligning af brugergrænsefladen

Beskrivelse: Der var et problem med efterligning i håndteringen af URL-adresser. Problemet er løst ved forbedret inputvalidering.

CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng (@Wester) fra Tencent Security Platform Department

Mail

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: En angriber i en privilegeret netværksposition kan være i stand til at opfange indholdet af S/MIME-krypteret e-mail

Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.

CVE-2018-4174: John McCombs fra Integrated Mapping Ltd, McClain Looney fra LoonSoft Inc.

NSURLSession

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: En konkurrencetilstand er blevet løst med yderligere validering.

CVE-2018-4166: Samuel Groß (@5aelo)

PluginKit

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: En konkurrencetilstand er blevet løst med yderligere validering.

CVE-2018-4156: Samuel Groß (@5aelo)

Vis

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: En konkurrencetilstand er blevet løst med yderligere validering.

CVE-2018-4157: Samuel Groß (@5aelo)

Safari

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Indlæsning af et skadeligt websted ved klik på et link kan medføre manipulation med brugergrænsefladen

Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.

CVE-2018-4134: xisigr fra Tencents Xuanwu Lab (tencent.com), Zhiyang Zeng (@Wester) fra Tencent Security Platform Department

Fejl i forbindelse med automatisk udfyldning af adgangskoder, når der logges ind i Safari

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et skadelig websted kan være i stand til at hente automatisk udfyldte data i Safari uden eksplicit brugerinteraktion.

Beskrivelse: Automatisk udfyldning i Safari krævede ikke eksplicit brugerinteraktion for at finde sted. Problemet blev løst ved at forbedre heuristikker for automatisk udfyldning.

CVE-2018-4137

SafariViewController

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Indlæsning af et skadeligt websted kan medføre manipulering med brugergrænsefladen

Beskrivelse: Et problem med statusadministration blev løst ved at deaktivere input af tekst, indtil destinationssiden er indlæst.

CVE-2018-4149: Abhinash Jain (@abhinashjain)

Sikkerhed

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder

Beskrivelse: Et bufferoverløbsproblem er løst med forbedret godkendelse af størrelse.

CVE-2018-4144: Abraham Masri (@cheesecakeufo)

Statuslinje

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et skadeligt program kan få adgang til mikrofonen uden at oplyse brugeren

Beskrivelse: Der var et konsistensproblem i beslutningen om, hvornår brug af mikrofonen skulle vises for brugeren. Problemet er løst med forbedret godkendelse af funktioner.

CVE-2018-4173: Joshua Pokotilow fra pingmd

Lagringsplads

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: En konkurrencetilstand er blevet løst med yderligere validering.

CVE-2018-4154: Samuel Groß (@5aelo)

Systemindstillinger

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: En konfigurationsprofil kan fejlagtigt være aktiv efter fjernelse

Beskrivelse: Der var et problem i CFPreferences. Problemet er blevet løst via forbedret rensning af indstillinger.

CVE-2018-4115: Johann Thalakada, Vladimir Zubkov og Matt Vlasach fra Wandera

Telefoni

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: En ekstern hacker kan forårsage pludselig genstart af en enhed

Beskrivelse: Der var en reference til en NULL-pointer ved håndtering af Klasse 0-SMS-beskeder. Problemet er løst ved forbedret validering af beskeder.

CVE-2018-4140: @mjonsson, Arjan van der Oest fra Voiceworks BV

Telefoni

Fås til: iPhone 5s eller en nyere model og modeller af iPad Air-generationen med Wi-Fi + Cellular eller en nyere model

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med flere bufferoverløb blev rettet gennem forbedret inputvalidering.

CVE-2018-4148: Nico Golde fra Comsecuris UG

Webapp

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Cookies kan uventet forblive i en webapp

Beskrivelse: Et problem med cookiehåndtering blev løst gennem forbedret statusadministration.

CVE-2018-4110: Ben Compton og Jason Colley fra Cerner Corporation

WebKit

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4101: Yuan Deng fra Ant-financial Light-Year Security Lab

CVE-2018-4114: fundet af OSS-Fuzz

CVE-2018-4118: Jun Kokatsu (@shhnjk)

CVE-2018-4119: En anonym programmør, som arbejder med Trend Micros Zero Day Initiative

CVE-2018-4120: Hanming Zhang (@4shitak4) fra Qihoo 360 Vulcan Team

CVE-2018-4121: Natalie Silvanovich fra Google Project Zero

CVE-2018-4122: WanderingGlitch fra Trend Micros Zero Day Initiative

CVE-2018-4125: WanderingGlitch fra Trend Micros Zero Day Initiative

CVE-2018-4127: En anonym programmør, som arbejder med Trend Micros Zero Day Initiative

CVE-2018-4128: Zach Markley

CVE-2018-4129: likemeng fra Baidu Security Lab, der arbejder med Trend Micros Zero Day Initiative

CVE-2018-4130: Omair, der arbejder med Trend Micros Zero Day Initiative

CVE-2018-4161: WanderingGlitch fra Trend Micros Zero Day Initiative

CVE-2018-4162: WanderingGlitch fra Trend Micros Zero Day Initiative

CVE-2018-4163: WanderingGlitch fra Trend Micros Zero Day Initiative

CVE-2018-4165: Hanming Zhang (@4shitak4) fra Qihoo 360 Vulcan Team

WebKit

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Uventet interaktion med indekseringstyper forårsager en ASSERT-fejl

Beskrivelse: Der var et problem med indeksering af matrixer ved håndtering af en funktion i javascript-kernen. Problemet blev løst gennem forbedrede kontroller

CVE-2018-4113: fundet af OSS-Fuzz

WebKit

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Behandling af skadeligt webindhold kan muligvis forårsage et DoS-angreb

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input

CVE-2018-4146: fundet af OSS-Fuzz

WebKit

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et skadeligt websted kan eksfiltrere data på tværs af oprindelsessteder

Beskrivelse: Der var et problem med fetch-API'en på tværs af oprindelsessteder. Dette blev rettet gennem forbedret inputvalidering.

CVE-2018-4117: En anonym programmør, en anonym programmør

WebKit

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Uventet interaktion forårsager en ASSERT-fejl

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2018-4207: fundet af OSS-Fuzz

WebKit

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Uventet interaktion forårsager en ASSERT-fejl

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2018-4208: fundet af OSS-Fuzz

WebKit

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Uventet interaktion forårsager en ASSERT-fejl

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2018-4209: fundet af OSS-Fuzz

WebKit

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Uventet interaktion med indekseringstyper forårsagede en fejl

Beskrivelse: Der var et problem med indeksering af matrixer ved håndtering af en funktion i javascript-kernen. Problemet er løst ved forbedret kontrol.

CVE-2018-4210: fundet af OSS-Fuzz

WebKit

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Uventet interaktion forårsager en ASSERT-fejl

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2018-4212: fundet af OSS-Fuzz

WebKit

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Uventet interaktion forårsager en ASSERT-fejl

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2018-4213: fundet af OSS-Fuzz

WebKit

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Behandling af webindhold med skadelig kode kan føre til kodekørsel

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4145: fundet af OSS-Fuzz

WindowServer

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et program uden privilegier kunne muligvis indsamle tasteanslag, der var indtastet i andre programmer, selv når den sikre inputtilstand var aktiveret

Beskrivelse: Et program uden privilegier kunne indsamle tasteanslag, der var indtastet i andre programmer, ved at scanne tasternes tilstande, selv når den sikre inputtilstand var aktiveret. Problemet blev løst gennem en forbedret statusadministration.

CVE-2018-4131: Andreas Hegenberg fra folivora.AI GmbH

Yderligere anerkendelser

Mail

Vi vil gerne takke Sabri Haddouche (@pwnsdx) fra Wire Swiss GmbH for hjælpen.

Sikkerhed

Vi vil gerne takke Abraham Masri (@cheesecakeufo) for hjælpen.

WebKit

Vi vil gerne takke Johnny Nipper fra Tinder Security Team for hjælpen.