Informationen zum Sicherheitsinhalt von iOS 11.2

In diesem Dokument wird der Sicherheitsinhalt von iOS 11.2 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

iOS 11.2

Veröffentlicht am 2. Dezember 2017

App Store

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann Aufforderungen zur Passworteingabe im App Store vortäuschen

Beschreibung: Ein Problem mit der Eingabeüberprüfung wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-7164: Jerry Decime

Eintrag am 11. Januar 2018 hinzugefügt

Rechner

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer mit höheren Netzwerkrechten kann Währungsumrechnungskurse ändern

Beschreibung: Wechselkurse wurden über HTTP anstatt über HTTPS abgerufen. Dieses Problem wurde durch Aktivieren von HTTPS für Wechselkurse behoben.

CVE-2017-2411: Richard Shupak (linkedin.com/in/rshupak), Seth Vargo (@sethvargo) von Google und ein anonymer Forscher

Eintrag am 2. Mai 2018 hinzugefügt und am 14. Juni 2018 aktualisiert

CFNetwork-Sitzung

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7172: Richard Zhu (fluorescence) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 22. Januar 2018 hinzugefügt

CoreAnimation

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit erhöhten Benutzerrechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7171: 360 Security in Zusammenarbeit mit der Zero Day Initiative von Trend Micro und Tencent Keen Security Lab (@keen_lab) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 22. Januar 2018 hinzugefügt

IOKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Statusverwaltung behoben.

CVE-2017-13847: Ian Beer von Google Project Zero

Eintrag am 10. Januar 2018 aktualisiert

IOKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7162: Tencent Keen Security Lab (@keen_lab) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 21. Dezember 2017 hinzugefügt und am 10. Januar 2018 aktualisiert

IOMobileFrameBuffer

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13879: Apple

IOSurface

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13861: Ian Beer von Google Project Zero

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13904: Kevin Backhouse von Semmle Ltd.

Eintrag am 14. Februar 2018 hinzugefügt

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Der Kernelspeicher kann von einem Programm gelesen werden (Meltdown).

Beschreibung: Systeme mit Mikroprozessoren, die "speculative execution" und eine indirekte Prognose des Programmflusses nutzen, können einem Angreifer mit lokalem Benutzerzugriff über eine Seitenkanalanalyse des Daten-Cache die unberechtigte Offenlegung von Informationen erlauben.

CVE-2017-5754: Jann Horn von Google Project Zero, Moritz Lipp von der Technischen Universität Graz, Michael Schwarz von der Technischen Universität Graz, Daniel Gruss von der Technischen Universität Graz, Thomas Prescher von der Cyberus Technology GmbH, Werner Haas von der Cyberus Technology GmbH, Stefan Mangard von der Technischen Universität Graz, Paul Kocher, Daniel Genkin von der University of Pennsylvania und University of Maryland, Yuval Yarom von der University of Adelaide und Data61 sowie Mike Hamburg von Rambus (Cryptography Research Division)

Eintrag am 4. Januar 2018 hinzugefügt und am 10. Januar 2018 aktualisiert

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13862: Apple

CVE-2017-13867: Ian Beer von Google Project Zero

CVE-2017-13876: Ian Beer von Google Project Zero

Eintrag am 21. Dezember 2017 aktualisiert

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2017-13833: Brandon Azad

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13855: Jann Horn von Google Project Zero

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Verschiedene Überprüfungsprobleme wurden durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-13865: Ian Beer von Google Project Zero

CVE-2017-13868: Brandon Azad

CVE-2017-13869: Jann Horn von Google Project Zero

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein lokaler Benutzer kann einen unerwarteten Systemabbruch verursachen oder Kernel-Speicher lesen.

Beschreibung: Im Kernel bestand ein Problem mit der Eingabeüberprüfung. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-7154: Jann Horn von Google Project Zero

Eintrag am 21. Dezember 2017 hinzugefügt

Mail

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Für die Verschlüsselung wird ein falsches Zertifikat verwendet.

Beschreibung: Bei der Verarbeitung von verschlüsselten E-Mails bestand ein Problem mit S/MIME. Das Problem wurde durch eine verbesserte Auswahl der Verschlüsselungszertifikate behoben.

CVE-2017-13874: Nicolas Devillard

Eintrag am 9. April 2018 aktualisiert

E-Mail-Entwürfe

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer mit privilegierter Netzwerkposition kann ggf. E-Mails abfangen.

Beschreibung: Bei S/MIME-Berechtigungen bestand ein Verschlüsselungsproblem. Dieses Problem wurde durch zusätzliche Überprüfungen und Benutzerkontrolle behoben.

CVE-2017-13860: Michael Weishaar von der INNEO Solutions GmbH

Mail Message Framework

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu URL-Spoofing führen

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-7152: Oliver Paukstadt von der Thinking Objects GmbH (to.com)

Eintrag am 21. Dezember 2017 hinzugefügt

ReplayKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Benutzer kann womöglich die Übertragung des Bildschirms nicht steuern

Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13888: Peter Pau (ArcanaArt.com)

Eintrag hinzugefügt am 21. Juni 2018

SafariViewController

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu URL-Spoofing führen

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-13891: Janne Raiskila (@raiskila)

Eintrag hinzugefügt am 21. Juni 2018

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13885: 360 Security in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 22. Januar 2018 hinzugefügt

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7165: 360 Security in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 22. Januar 2018 hinzugefügt

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13884: 360 Security in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 22. Januar 2018 hinzugefügt

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine in böser Absicht erstellte Website kann Elemente der Benutzeroberfläche fälschen (UI-Spoofing).

Beschreibung: Weiterleitungsantworten zur Fehlermeldung "401 Unauthorized" könnten es einer in böswilliger Absicht erstellten Website ermöglichen, bei gemischten Inhalten das Schlosssymbol fälschlicherweise anzuzeigen. Dieses Problem wurde durch eine verbesserte URL-Anzeigelogik behoben.

CVE-2017-7153: Jerry Decime

Eintrag am 11. Januar 2018 hinzugefügt

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7156: Yuan Deng vom Ant-financial Light-Year Security Lab

CVE-2017-7157: Ein anonymer Forscher

CVE-2017-13856: Jeonghoon Shin

CVE-2017-13870: Tencent Keen Security Lab (@keen_lab) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-7160: Richard Zhu (fluorescence) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-13866: Tencent Keen Security Lab (@keen_lab) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 13. Dezember 2017 hinzugefügt und am 4. Mai 2018 aktualisiert

WLAN

Verfügbar für: iPhone 6s, iPhone 6s Plus, iPhone 6, iPhone 6 Plus, iPhone SE, iPhone 5s, iPad Pro (12,9", 1. Generation), iPad Air 2, iPad Air, iPad (5. Generation), iPad mini 4, iPad mini 3, iPad mini 2 und iPod touch (6. Generation)
Veröffentlicht für iPhone 7 und neuer und iPad Pro (9,7", Anfang 2016) und neuer in iOS 11.1.

Auswirkung: Ein Angreifer, der sich in WLAN-Reichweite befindet, kann ein Wiederverwenden von Nonce-Werten in WPA-Multicast/GTK-Clients (Key Reinstallation Attacks – KRACK) erzwingen.

Beschreibung: Bei der Behandlung von Statusübergängen kam es zu einem Logikproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-13080: Mathy Vanhoef von der imec-DistriNet-Gruppe an der KU Leuven

Zusätzliche Danksagung

WebKit

Wir danken Yiğit Can YILMAZ (@yilmazcanyigit) und dem Forscher Abhinash Jain (@abhinashjain) für ihre Unterstützung.

Eintrag am 14. Februar 2018 hinzugefügt und am 9. April 2018 aktualisiert

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: Mon Jul 09 23:45:42 GMT 2018