Om sikkerhedsindholdet i iOS 11.3

Dette dokument beskriver sikkerhedsindholdet i iOS 11.3.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

iOS 11.3

Udgivet 29. marts 2018

Appen Apple TV

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: En hacker med en privilegeret netværksposition kan efterligne anmodninger om adgangskoder i appen Apple TV

Beskrivelse: Et problem med godkendelse af input blev løst via forbedret inputvalidering.

CVE-2018-4177: Jerry Decime

Post tilføjet 13. april 2018

Ur

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: En person, som har fysisk adgang til en iOS-enhed, kan være i stand til at se e-mailadressen, der anvendes til iTunes

Beskrivelse: Der var et problem med afsløring af oplysninger i håndteringen af alarmer og stopure. Problemet blev løst via forbedret adgangsbegrænsning.

CVE-2018-4123: Zaheen Hafzar M M (@zaheenhafzer)

CoreFoundation

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: En konkurrencetilstand er blevet løst med yderligere validering.

CVE-2018-4155: Samuel Groß (@5aelo)

CVE-2018-4158: Samuel Groß (@5aelo)

CoreText

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Behandling af en skadelig streng kan medføre et DoS-angreb

Beskrivelse: Der var et DoS-problem, som er løst med forbedret hukommelsesbehandling.

CVE-2018-4142: Robin Leroy fra Google Switzerland GmbH

Filsystemhændelser

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: En konkurrencetilstand er blevet løst med yderligere validering.

CVE-2018-4167: Samuel Groß (@5aelo)

File Widget

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: File Widget kan vise indhold på en låst enhed

Beskrivelse: File Widget viste cachelagrede data i den låste tilstand. Problemet er løst ved hjælp af forbedret statusadministration.

CVE-2018-4168: Brandon Moore

Find min iPhone

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: En person, som har fysisk adgang til enheden, kan deaktivere "Find min iPhone" uden at indtaste en adgangskode til iCloud

Beskrivelse: Der var en fejl med statusadministration ved gendannelse fra en backup. Problemet blev løst gennem forbedret tilstandskontrol under gendannelse.

CVE-2018-4172: Viljami Vastamäki

iCloud Drive

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: En konkurrencetilstand er blevet løst med yderligere validering.

CVE-2018-4151: Samuel Groß (@5aelo)

Kernel

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4150: En anonym programmør

Kernel

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2018-4104: Storbritanniens National Cyber Security Centre (NCSC)

Kernel

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4143: derrek (@derrekr6)

Kernel

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

Beskrivelse: Der var et problem med afsløring af oplysninger ved overgang af programstatus. Problemet er løst ved forberedet statusbehandling.

CVE-2018-4185: Brandon Azad

Post tilføjet 19. juli 2018

Mail

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: En angriber i en privilegeret netværksposition kan være i stand til at opfange indholdet af S/MIME-krypteret e-mail

Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.

CVE-2018-4174: John McCombs fra Integrated Mapping Ltd, McClain Looney fra LoonSoft Inc.

Post opdateret 13. april 2018

NSURLSession

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: En konkurrencetilstand er blevet løst med yderligere validering.

CVE-2018-4166: Samuel Groß (@5aelo)

PluginKit

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: En konkurrencetilstand er blevet løst med yderligere validering.

CVE-2018-4156: Samuel Groß (@5aelo)

Vis

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: En konkurrencetilstand er blevet løst med yderligere validering.

CVE-2018-4157: Samuel Groß (@5aelo)

Safari

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Indlæsning af et skadeligt websted ved klik på et link kan medføre manipulation med brugergrænsefladen

Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.

CVE-2018-4134: xisigr fra Tencents Xuanwu Lab (tencent.com), Zhiyang Zeng (@Wester) fra Tencent Security Platform Department

Fejl i forbindelse med automatisk udfyldning af adgangskoder, når der logges ind i Safari

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et skadelig websted kan være i stand til at hente automatisk udfyldte data i Safari uden eksplicit brugerinteraktion.

Beskrivelse: Automatisk udfyldning i Safari krævede ikke eksplicit brugerinteraktion for at finde sted. Problemet blev løst ved at forbedre heuristikker for automatisk udfyldning.

CVE-2018-4137

SafariViewController

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Indlæsning af et skadeligt websted kan medføre manipulering med brugergrænsefladen

Beskrivelse: Et problem med statusadministration blev løst ved at deaktivere input af tekst, indtil destinationssiden er indlæst.

CVE-2018-4149: Abhinash Jain (@abhinashjain)

Sikkerhed

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder

Beskrivelse: Et bufferoverløbsproblem er løst med forbedret godkendelse af størrelse.

CVE-2018-4144: Abraham Masri (@cheesecakeufo)

Statuslinje

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et skadeligt program kan få adgang til mikrofonen uden at oplyse brugeren

Beskrivelse: Der var et konsistensproblem i beslutningen om, hvornår brug af mikrofonen skulle vises for brugeren. Problemet er løst med forbedret godkendelse af funktionaliteter.

CVE-2018-4173: Joshua Pokotilow fra pingmd

Post tilføjet 9. april 2018

Lagringsplads

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: En konkurrencetilstand er blevet løst med yderligere validering.

CVE-2018-4154: Samuel Groß (@5aelo)

Systemindstillinger

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: En konfigurationsprofil kan fejlagtigt være aktiv efter fjernelse

Beskrivelse: Der var et problem i CFPreferences. Problemet er blevet løst via forbedret rensning af indstillinger.

CVE-2018-4115: Johann Thalakada, Vladimir Zubkov og Matt Vlasach fra Wandera

Telefoni

Fås til: iPhone 5s eller en nyere model og modeller af iPad Air-generationen med Wi-Fi + Cellular eller en nyere model

Effekt: En ekstern hacker kan forårsage pludselig genstart af en enhed

Beskrivelse: Der var en reference til en null-pointer ved håndtering af Klasse 0-sms-beskeder. Problemet er løst ved forbedret godkendelse af sms-beskeder.

CVE-2018-4140: @mjonsson, Arjan van der Oest fra Voiceworks BV

Post opdateret 30. marts 2018

Telefoni

Fås til: iPhone 5s eller en nyere model og modeller af iPad Air-generationen med Wi-Fi + Cellular eller en nyere model

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med flere bufferoverløb blev rettet gennem forbedret inputvalidering.

CVE-2018-4148: Nico Golde fra Comsecuris UG

Post tilføjet 30. marts 2018

Webapp

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Cookies kan uventet forblive i en webapp

Beskrivelse: Et problem med cookiehåndtering blev løst gennem forbedret statusadministration.

CVE-2018-4110: Ben Compton og Jason Colley fra Cerner Corporation

WebKit

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4101: Yuan Deng fra Ant-financial Light-Year Security Lab

CVE-2018-4114: fundet af OSS-Fuzz

CVE-2018-4118: Jun Kokatsu (@shhnjk)

CVE-2018-4119: En anonym programmør, som arbejder med Trend Micros Zero Day Initiative

CVE-2018-4120: Hanming Zhang (@4shitak4) fra Qihoo 360 Vulcan Team

CVE-2018-4121: Natalie Silvanovich fra Google Project Zero

CVE-2018-4122: WanderingGlitch fra Trend Micros Zero Day Initiative

CVE-2018-4125: WanderingGlitch fra Trend Micros Zero Day Initiative

CVE-2018-4127: En anonym programmør, som arbejder med Trend Micros Zero Day Initiative

CVE-2018-4128: Zach Markley

CVE-2018-4129: likemeng fra Baidu Security Lab, der arbejder med Trend Micros Zero Day Initiative

CVE-2018-4130: Omair, der arbejder med Trend Micros Zero Day Initiative

CVE-2018-4161: WanderingGlitch fra Trend Micros Zero Day Initiative

CVE-2018-4162: WanderingGlitch fra Trend Micros Zero Day Initiative

CVE-2018-4163: WanderingGlitch fra Trend Micros Zero Day Initiative

CVE-2018-4165: Hanming Zhang (@4shitak4) fra Qihoo 360 Vulcan Team

WebKit

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Uventet interaktion med indekseringstyper forårsager en ASSERT-fejl

Beskrivelse: Der var et problem med indeksering af matrixer ved håndtering af en funktion i javascript-kernen. Problemet blev løst gennem forbedrede kontroller

CVE-2018-4113: fundet af OSS-Fuzz

WebKit

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Behandling af skadeligt webindhold kan muligvis forårsage et DoS-angreb

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input

CVE-2018-4146: fundet af OSS-Fuzz

WebKit

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et skadeligt websted kan eksfiltrere data på tværs af oprindelsessteder

Beskrivelse: Der var et problem med fetch-API'en på tværs af oprindelsessteder. Dette blev rettet gennem forbedret inputvalidering.

CVE-2018-4117: En anonym programmør, en anonym programmør

WebKit

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Uventet interaktion forårsager en ASSERT-fejl

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2018-4207: fundet af OSS-Fuzz

Post tilføjet 2. maj 2018

WebKit

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Uventet interaktion forårsager en ASSERT-fejl

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2018-4208: fundet af OSS-Fuzz

Post tilføjet 2. maj 2018

WebKit

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Uventet interaktion forårsager en ASSERT-fejl

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2018-4209: fundet af OSS-Fuzz

Post tilføjet 2. maj 2018

WebKit

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Uventet interaktion med indekseringstyper forårsagede en fejl

Beskrivelse: Der var et problem med indeksering af matrixer ved håndtering af en funktion i javascript-kernen. Problemet er løst ved forbedret kontrol.

CVE-2018-4210: fundet af OSS-Fuzz

Post tilføjet 2. maj 2018

WebKit

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Uventet interaktion forårsager en ASSERT-fejl

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2018-4212: fundet af OSS-Fuzz

Post tilføjet 2. maj 2018

WebKit

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Uventet interaktion forårsager en ASSERT-fejl

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2018-4213: fundet af OSS-Fuzz

Post tilføjet 2. maj 2018

WindowServer

Fås til: iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generation

Effekt: Et program uden privilegier kunne muligvis indsamle tasteanslag, der var indtastet i andre programmer, selv når den sikre inputtilstand var aktiveret

Beskrivelse: Et program uden privilegier kunne indsamle tasteanslag, der var indtastet i andre programmer, ved at scanne tasternes tilstande, selv når den sikre inputtilstand var aktiveret. Problemet blev løst gennem en forbedret statusadministration.

CVE-2018-4131: Andreas Hegenberg fra folivora.AI GmbH

Yderligere anerkendelser

Mail

Vi vil gerne takke Sabri Haddouche (@pwnsdx) fra Wire Swiss GmbH for hjælpen.

Post tilføjet 21. juni 2018

Sikkerhed

Vi vil gerne takke Abraham Masri (@cheesecakeufo) for hjælpen.

Post tilføjet 13. april 2018

WebKit

Vi vil gerne takke Johnny Nipper fra Tinder Security Team for hjælpen.

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: