Informationen zum Sicherheitsinhalt von iOS 11.3

In diesem Dokument wird der Sicherheitsinhalt von iOS 11.3 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

iOS 11.3

Veröffentlicht am 29. März 2018

Apple TV App

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann Aufforderungen zur Passworteingabe in der Apple TV App fälschen

Beschreibung: Ein Problem mit der Eingabeüberprüfung wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4177: Jerry Decime

Eintrag am 13. April 2018 hinzugefügt

Uhr

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Person mit physischem Zugriff auf ein iOS-Gerät kann die für iTunes verwendete E-Mail-Adresse einsehen

Beschreibung: Bei der Verarbeitung von Weckern und Timern kann es zur Offenlegung von Informationen kommen. Dieses Problem wurde durch verbesserte Zugriffsbeschränkungen behoben.

CVE-2018-4123: Zaheen Hafzar M M (@zaheenhafzer)

CoreFoundation

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Anwendung kann erhöhte Benutzerrechte erlangen.

Beschreibung: Eine Race-Bedingung wurde mit einer zusätzlichen Überprüfung behoben.

CVE-2018-4155: Samuel Groß (@5aelo)

CVE-2018-4158: Samuel Groß (@5aelo)

CoreText

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Zeichenfolge kann zu einem Denial-of-Service führen

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4142: Robin Leroy von der Google Switzerland GmbH

Dateisystemereignisse

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Anwendung kann erhöhte Benutzerrechte erlangen.

Beschreibung: Eine Race-Bedingung wurde mit einer zusätzlichen Überprüfung behoben.

CVE-2018-4167: Samuel Groß (@5aelo)

Dateien-Widget

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Das Dateien-Widget kann Inhalte auf einem gesperrten Gerät anzeigen

Beschreibung: Das Dateien-Widget zeigte Daten im Cache an, als es sich im gesperrten Status befand. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2018-4168: Brandon Moore

Mein iPhone suchen

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Person mit physischem Zugang zum Gerät kann "Mein iPhone suchen" deaktivieren, ohne dafür ein iCloud-Passwort eingeben zu müssen

Beschreibung: Ein Problem mit der Statusverwaltung bestand, wenn eine Wiederherstellung aus einem Backup erfolgte. Dieses Problem wurde durch eine verbesserte Statusüberprüfung während der Wiederherstellung behoben.

CVE-2018-4172: Viljami Vastamäki

iCloud Drive

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Anwendung kann erhöhte Benutzerrechte erlangen.

Beschreibung: Eine Race-Bedingung wurde mit einer zusätzlichen Überprüfung behoben.

CVE-2018-4151: Samuel Groß (@5aelo)

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4150: Ein anonymer Forscher

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2018-4104: Britisches National Cyber Security Centre (NCSC)

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4143: derrek (@derrekr6)

Mail

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann die Inhalte von E-Mails, die mit S/MIME verschlüsselt sind, abfangen

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2018-4174: John McCombs von Integrated Mapping Ltd, McClain Looney von LoonSoft Inc.

Eintrag am 13. April 2018 aktualisiert

NSURLSession

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Anwendung kann erhöhte Benutzerrechte erlangen.

Beschreibung: Eine Race-Bedingung wurde mit einer zusätzlichen Überprüfung behoben.

CVE-2018-4166: Samuel Groß (@5aelo)

PluginKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Anwendung kann erhöhte Benutzerrechte erlangen.

Beschreibung: Eine Race-Bedingung wurde mit einer zusätzlichen Überprüfung behoben.

CVE-2018-4156: Samuel Groß (@5aelo)

Übersicht

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Anwendung kann erhöhte Benutzerrechte erlangen.

Beschreibung: Eine Race-Bedingung wurde mit einer zusätzlichen Überprüfung behoben.

CVE-2018-4157: Samuel Groß (@5aelo)

Safari

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Der Besuch einer in böser Absicht erstellten Website durch Klicken auf einen Link kann zu UI-Spoofing führen

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2018-4134: xisigr vom Xuanwu Lab von Tencent (tencent.com), Zhiyang Zeng (@Wester) vom Tencent Security Platform Department

Automatisches Ausfüllen beim Login in Safari

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine in böser Absicht erstellte Website kann automatisch ausgefüllte Daten in Safari ohne ausdrückliche Benutzerinteraktion exfiltrieren.

Beschreibung: Die Funktion zum automatischen Ausfüllen in Safari erforderte vor dem Ausfüllen keine ausdrückliche Benutzerinteraktion. Das Problem wurde durch verbesserte Heuristik für das automatische Ausfüllen behoben.

CVE-2018-4137

SafariViewController

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine in böser Absicht erstellte Website kann Elemente der Benutzeroberfläche fälschen (UI-Spoofing).

Beschreibung: Ein Statusverwaltungsproblem wurde behoben, indem die Texteingabe so lange deaktiviert wird, bis die Zielseite geladen ist.

CVE-2018-4149: Abhinash Jain (@abhinashjain)

Sicherheit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Schadprogramm kann Rechte erhöhen.

Beschreibung: Ein Problem mit einem Stapelpufferüberlauf wurde durch eine verbesserte Größenüberprüfung behoben.

CVE-2018-4144: Abraham Masri (@cheesecakeufo)

Statusleiste

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Schadprogramm könnte ohne Wissen des Benutzers auf das Mikrofon zugreifen

Beschreibung: Bei der Entscheidung, wann die Anzeige über die Mikrofonverwendung erscheinen soll, bestand eine Unstimmigkeit. Das Problem wurde durch eine verbesserte Leistungsüberprüfung behoben.

CVE-2018-4173: Joshua Pokotilow von pingmd

Eintrag am 9. April 2018 hinzugefügt

Speicher

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Anwendung kann erhöhte Benutzerrechte erlangen.

Beschreibung: Eine Race-Bedingung wurde mit einer zusätzlichen Überprüfung behoben.

CVE-2018-4154: Samuel Groß (@5aelo)

Systemeinstellungen

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Konfigurationsprofil kann nach dem Entfernen fälschlicherweise erhalten bleiben

Beschreibung: In CFPreferences bestand ein Problem. Dieses Problem wurde durch eine verbesserte Bereinigung der Einstellungen behoben.

CVE-2018-4115: Johann Thalakada, Vladimir Zubkov und Matt Vlasach von Wandera

Telefonie

Verfügbar für: iPhone 5s und neuer, Wi-Fi + Cellular-Modelle des iPad Air und neuer

Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Neustart eines Geräts verursachen

Beschreibung: Bei der Verarbeitung von SMS-Nachrichten der Klasse 0 bestand ein Problem mit einem Null-Zeiger-Rückverweis. Dieses Problem wurde durch eine verbesserte Nachrichtenüberprüfung behoben.

CVE-2018-4140: @mjonsson, Arjan van der Oest von Voiceworks BV

Eintrag am 30. März 2018 aktualisiert

Telefonie

Verfügbar für: iPhone 5s und neuer, Wi-Fi + Cellular-Modelle des iPad Air und neuer

Auswirkung: Ein entfernter Angreifer kann willkürlichen Code ausführen

Beschreibung: Mehrere Pufferüberläufe wurden durch eine verbesserte Eingabeüberprüfung verhindert.

CVE-2018-4148: Nico Golde von Comsecuris UG

Eintrag am 30. März 2018 hinzugefügt

Web-App

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Cookies können unerwartet in der Web-App bleiben

Beschreibung: Ein Cookie-Verwaltungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2018-4110: Ben Compton und Jason Colley von Cerner Corporation

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4101: Yuan Deng vom Ant-financial Light-Year Security Lab

CVE-2018-4114: Gefunden von OSS-Fuzz

CVE-2018-4118: Jun Kokatsu (@shhnjk)

CVE-2018-4119: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2018-4120: Hanming Zhang (@4shitak4) vom Qihoo 360 Vulcan Team

CVE-2018-4121: Natalie Silvanovich von Google Project Zero

CVE-2018-4122: WanderingGlitch von der Zero Day Initiative von Trend Micro

CVE-2018-4125: WanderingGlitch von der Zero Day Initiative von Trend Micro

CVE-2018-4127: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2018-4128: Zach Markley

CVE-2018-4129: likemeng vom Baidu Security Lab in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2018-4130: Omair in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2018-4161: WanderingGlitch von der Zero Day Initiative von Trend Micro

CVE-2018-4162: WanderingGlitch von der Zero Day Initiative von Trend Micro

CVE-2018-4163: WanderingGlitch von der Zero Day Initiative von Trend Micro

CVE-2018-4165: Hanming Zhang (@4shitak4) vom Qihoo 360 Vulcan Team

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Unerwartete Interaktion mit Indizierungsarten, was einen ASSERT-Fehler verursacht

Beschreibung: Bei der Behandlung einer Funktion im JavaScript-Kern bestand ein Problem mit der Indizierung von Arrays. Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2018-4113: Gefunden von OSS-Fuzz

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem Denial-of-Service führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben

CVE-2018-4146: Gefunden von OSS-Fuzz

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine in böser Absicht erstellte Website kann Daten von verschiedenen Quellen exfiltrieren.

Beschreibung: Es bestand ein Cross-Origin-Problem mit der Abruf-API. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4117: Ein anonymer Forscher, ein anonymer Forscher

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Unerwartete Interaktion verursacht einen ASSERT-Fehler

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2018-4207: Gefunden von OSS-Fuzz

Eintrag am 2. Mai 2018 hinzugefügt

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Unerwartete Interaktion verursacht einen ASSERT-Fehler

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2018-4208: Gefunden von OSS-Fuzz

Eintrag am 2. Mai 2018 hinzugefügt

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Unerwartete Interaktion verursacht einen ASSERT-Fehler

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2018-4209: Gefunden von OSS-Fuzz

Eintrag am 2. Mai 2018 hinzugefügt

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Unerwartete Interaktion mit Indizierungstypen verursachte einen Fehler

Beschreibung: Bei der Behandlung einer Funktion im JavaScript-Kern bestand ein Problem mit der Indizierung von Arrays. Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2018-4210: Gefunden von OSS-Fuzz

Eintrag am 2. Mai 2018 hinzugefügt

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Unerwartete Interaktion verursacht einen ASSERT-Fehler

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2018-4212: Gefunden von OSS-Fuzz

Eintrag am 2. Mai 2018 hinzugefügt

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Unerwartete Interaktion verursacht einen ASSERT-Fehler

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2018-4213: Gefunden von OSS-Fuzz

Eintrag am 2. Mai 2018 hinzugefügt

WindowServer

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine unberechtigte Anwendung kann womöglich Tastatureingaben protokollieren, die in anderen Anwendungen eingegeben wurden, obwohl der sichere Eingabemodus aktiviert ist

Beschreibung: Durch das Scannen des Tastenstatus konnte eine unberechtigte Anwendung Tastatureingaben protokollieren, die in anderen Anwendungen eingegeben wurden, obwohl der sichere Eingabemodus aktiviert war. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2018-4131: Andreas Hegenberg von der folivora.AI GmbH

Zusätzliche Danksagung

Mail

Wir danken Sabri Haddouche (@pwnsdx) der Wire Swiss GmbH für die Unterstützung.

Eintrag hinzugefügt am 21. Juni 2018

Sicherheit

Wir danken Abraham Masri (@cheesecakeufo) für seine Unterstützung.

Eintrag am 13. April 2018 hinzugefügt

WebKit

Wir danken Johnny Nipper vom Tinder Security Team für seine Unterstützung.

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: Sat Jul 07 04:16:31 GMT 2018