Informationen zum Sicherheitsinhalt von iOS 12.1.3
In diesem Dokument wird der Sicherheitsinhalt von iOS 12.1.3 beschrieben.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.
iOS 12.1.3
AppleKeyStore
Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)
Auswirkung: Ein in der Sandbox ausgeführter Prozess kann möglicherweise Sandbox-Einschränkungen umgehen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.
CVE-2019-6235: Brandon Azad
Bluetooth
Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)
Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann die Ausführung willkürlichen Codes verursachen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2019-6200: Ein anonymer Forscher
Core Media
Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)
Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2019-6202: Fluoroacetate in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2019-6221: Fluoroacetate in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CoreAnimation
Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)
Auswirkung: Ein Schadprogramm kann eingeschränkten Speicher lesen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2019-6231: Zhuo Liang vom Qihoo 360 Nirvan Team
CoreAnimation
Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)
Auswirkung: Ein Schadprogramm kann die Sandbox umgehen.
Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-6230: Proteas, Shrek_wzw und Zhuo Liang vom Qihoo 360 Nirvan Team
FaceTime
Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)
Auswirkung: Ein Remote-Angreifer ist möglicherweise in der Lage, einen FaceTime-Anruf zu initiieren, der ein willkürliches Ausführen von Code verursacht
Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-6224: natashenka von Google Project Zero
IOKit
Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)
Auswirkung: Ein Schadprogramm kann die Sandbox umgehen.
Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-6214: Ian Beer von Google Project Zero
Kernel
Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)
Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.
CVE-2019-6225: Brandon Azad von Google Project Zero, Qixun Zhao vom Qihoo 360 Vulcan Team
Kernel
Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)
Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2019-6210: Ned Williamson von Google
Kernel
Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)
Auswirkung: Ein Schadprogramm kann unerwartete Änderungen im Arbeitsspeicher, der von Prozessen gemeinsam genutzt wird, verursachen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung des Sperrstatus behoben.
CVE-2019-6205: Ian Beer von Google Project Zero
Kernel
Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2019-6213: Ian Beer von Google Project Zero
Kernel
Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)
Auswirkung: Das Layout des Kernelspeichers kann möglicherweise von einem Schadprogramm ermittelt werden.
Beschreibung: Es bestand ein Problem, das den Lesezugriff auf Speicher außerhalb des zugewiesenen Bereichs ermöglichte. Dadurch wurden Inhalte des Kernelspeichers offengelegt. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2019-6209: Brandon Azad von Google Project Zero
Kernel
Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)
Auswirkung: Ein Schadprogramm kann unerwartete Änderungen im Arbeitsspeicher, der von Prozessen gemeinsam genutzt wird, verursachen
Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-6208: Jann Horn von Google Project Zero
Tastatur
Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)
Auswirkung: Beim automatischen Ausfüllen von Passwörtern können Passwörter eingegeben werden, nachdem sie manuell gelöscht wurden
Beschreibung: Beim automatischen Ausfüllen trat ein Problem auf. Das Ausfüllen wurde nach dem Abbrechen fortgesetzt. Das Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2019-6206: Sergey Pershenkov
libxpc
Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)
Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2019-6218: Ian Beer von Google Project Zero
Verarbeitung natürlicher Sprache
Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Nachricht kann zu einem Denial-of-Service führen.
Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Prüfung behoben.
CVE-2019-6219: Authier Thomas
Safari Reader
Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem Cross-Site-Scripting-Angriff führen
Beschreibung: In Safari gab es mehrere Cross-Site-Scripting-Probleme. Dieses Problem wurde durch eine verbesserte URL-Überprüfung behoben.
CVE-2019-6228: Ryan Pickren (ryanpickren.com)
SQLite
Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)
Auswirkung: Eine in böser Absicht erstellte SQL-Anfrage kann zur Ausführung von willkürlichem Code führen
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2018-20346: Tencent Blade Team
CVE-2018-20505: Tencent Blade Team
CVE-2018-20506: Tencent Blade Team
WebKit
Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-6227: Qixun Zhao vom Qihoo 360 Vulcan Team
CVE-2019-6233: G. Geshev von MWR Labs in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2019-6234: G. Geshev von MWR Labs in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
WebKit
Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Überprüfung behoben.
CVE-2019-6229: Ryan Pickren (ryanpickren.com)
WebKit
Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-6215: Lokihardt von Google Project Zero
WebKit
Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-6212: Mike Zhang vom The Pangu-Team, Wen Xu vom SSLab von der Georgia Tech
CVE-2019-6216: Fluoroacetate in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2019-6217: Fluoroacetate in Zusammenarbeit mit der Zero Day Initiative von Trend Micro, Proteas, shrek_wzw und Zhuo Liang vom Qihoo 360 Nirvan Team
CVE-2019-6226: Apple
WebKit
Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)
Auswirkung: Bei der Verarbeitung von in böser Absicht erstellten Webinhalten können vertrauliche Nutzerdaten offengelegt werden.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2019-8570: James Lee (@Windowsrcer) von S2SWWW.com
WebRTC
Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2019-6211: Georgi Geshev (@munmap), Fabi Beterke (@pwnfl4k3s) und Rob Miller (@trotmaster99) von MWR Labs (@mwrlabs) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
Zusätzliche Danksagung
mDNSResponder
Wir möchten uns bei Fatemah Alharbi von der University of California, Riverside (UCR), und Taibah University (TU), Feng Qian von der University of Minnesota – Twin City, Jie Chang von LinkSure Network, Nael Abu-Ghazaleh von der University of California, Riverside (UCR), Yuchen Zhou von der Northeastern University und Zhiyun Qian von der University of California, Riverside (UCR), für die Unterstützung bedanken.
Safari Reader
Wir danken Ryan Pickren (ryanpickren.com) für die Unterstützung.
WebKit
Wir danken James Lee (@Windowsrcer) von Kryptos Logic für die Unterstützung.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.