Informationen zum Sicherheitsinhalt von iOS 11.4

In diesem Dokument wird der Sicherheitsinhalt von iOS 11.4 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

iOS 11.4

Veröffentlicht am 29. Mai 2018

Bluetooth

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Schadprogramm kann die Rechte erhöhen

Beschreibung: Ein Problem mit einem Stapelpufferüberlauf wurde durch eine verbesserte Größenüberprüfung behoben.

CVE-2018-4215: Abraham Masri (@cheesecakeufo)

Kontakte

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten VCF-Datei kann zu einem Denial-of-Service führen

Beschreibung: Bei der Verarbeitung von Telefonnummern bestand ein Überprüfungsproblem. Dieses Problem wurde durch eine verbesserte Überprüfung von Telefonnummern behoben.

CVE-2018-4100: Abraham Masri (@cheesecakeufo)

FontParser

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2018-4211: Proteas vom Qihoo 360 Nirvan Team

iBooks

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann in iBooks Aufforderungen zur Passworteingabe vortäuschen

Beschreibung: Ein Problem mit der Eingabeüberprüfung wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4202: Jerry Decime

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit einem Stapelpufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2018-4241: Ian Beer von Google Project Zero

CVE-2018-4243: Ian Beer von Google Project Zero

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4249: Kevin Backhouse von Semmle Ltd.

libxpc

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Anwendung kann erhöhte Benutzerrechte erlangen

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2018-4237: Samuel Groß (@5aelo) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Lupe

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Person mit physischem Zugriff auf ein iOS-Gerät kann auf dem Sperrbildschirm das letzte mit der Lupe verwendete Bild ansehen

Beschreibung: Bei der Lupenfunktion bestand ein Berechtigungsproblem.  Dieses Problem wurde durch zusätzliche Überprüfung der Berechtigung behoben.

CVE-2018-4239: Ein anonymer Forscher

Mail

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer kann den Inhalt von mit S/MIME verschlüsselten E-Mails abfangen

Beschreibung: Bei der Verarbeitung verschlüsselter E-Mails trat ein Problem auf. Dieses Problem wurde durch eine verbesserte Isolation von MIME in der Mail-App behoben.

CVE-2018-4227: Damian Poddebniak von der Fachhochschule Münster, Christian Dresen von der Fachhochschule Münster, Jens Müller von der Ruhr-Universität Bochum, Fabian Ising von der Fachhochschule Münster, Sebastian Schinzel von der Fachhochschule Münster, Simon Friedberger von der KU Leuven, Juraj Somorovsky von der Ruhr-Universität Bochum, Jörg Schwenk von der Ruhr-Universität Bochum

Nachrichten

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein lokaler Benutzer kann Angriffe mit falscher Identität durchführen

Beschreibung: Ein Eingabeproblem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4235: Anurodh Pokharel von Salesforce.com

Nachrichten

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Nachricht kann zu einem Denial-of-Service führen

Beschreibung: Dieses Problem wurde durch verbesserte Überprüfung von Nachrichten behoben.

CVE-2018-4240: Sriram (@Sri_Hxor) von PrimeFort Pvt. Ltd.

CVE-2018-4250: Metehan Yılmaz von Sesim Sarpkaya

Safari

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine in böser Absicht erstellte Website kann einen Denial-of-Service-Angriff verursachen

Beschreibung: Das Denial-of-Service-Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2018-4247: François Renaud, Jesse Viviano von Verizon Enterprise Solutions

Sicherheit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Benutzer können von in böser Absicht erstellten Websites mithilfe von Client-Zertifikaten getrackt werden

Beschreibung: Bei der Verarbeitung von S-MIME-Zertifikaten trat ein Problem auf. Dieses Problem wurde durch eine verbesserte Überprüfung von S-MIME-Zertifikaten behoben.

CVE-2018-4221: Damian Poddebniak von der Fachhochschule Münster, Christian Dresen von der Fachhochschule Münster, Jens Müller von der Ruhr-Universität Bochum, Fabian Ising von der Fachhochschule Münster, Sebastian Schinzel von der Fachhochschule Münster, Simon Friedberger von der KU Leuven, Juraj Somorovsky von der Ruhr-Universität Bochum, Jörg Schwenk von der Ruhr-Universität Bochum

Sicherheit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein lokaler Benutzer kann eine dauerhafte Accountkennung abrufen

Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2018-4223: Abraham Masri (@cheesecakeufo)

Sicherheit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein lokaler Benutzer kann eine dauerhafte Gerätekennung abrufen

Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2018-4224: Abraham Masri (@cheesecakeufo)

Sicherheit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein lokaler Benutzer könnte den Status des Schlüsselbunds ändern

Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2018-4225: Abraham Masri (@cheesecakeufo)

Sicherheit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein lokaler Nutzer kann auf vertrauliche Benutzerdaten zugreifen

Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2018-4226: Abraham Masri (@cheesecakeufo)

Siri

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Person mit physischem Zugang zu einem iOS-Gerät kann vom Sperrbildschirm aus Siri aktivieren

Beschreibung: Mit Siri-Berechtigungen bestand ein Problem. Dieses Problem wurde durch eine verbesserte Berechtigungsüberprüfung behoben.

CVE-2018-4238: Baljinder Singh, Muhammad khizer javed, Onur Can BIKMAZ (@CanBkmaz) von der Mustafa Kemal University

Siri

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Person mit physischem Zugang zu einem iOS-Gerät kann Siri nutzen, um Mitteilungen in Bezug auf Inhalte zu lesen, die eigentlich nicht im Sperrbildschirm angezeigt werden sollen

Beschreibung: Mit Siri-Berechtigungen bestand ein Problem. Dieses Problem wurde durch eine verbesserte Berechtigungsüberprüfung behoben.

CVE-2018-4252: Hunter Byrnes, Martin Winkelmann (@Winkelmannnn)

Siri-Kontakte

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer mit physischem Zugriff auf ein Gerät kann private Kontaktdaten einsehen

Beschreibung: Mit Siri-Berechtigungen bestand ein Problem. Dieses Problem wurde durch eine verbesserte Berechtigungsüberprüfung behoben.

CVE-2018-4244: Ein anonymer Forscher

UIKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Textdatei kann zu einem Denial-of-Service führen

Beschreibung: Bei der Textverarbeitung bestand ein Überprüfungsproblem. Dieses Problem wurde durch eine verbesserte Textüberprüfung behoben.

CVE-2018-4198: Hunter Byrnes

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu URL-Spoofing führen

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2018-4188: YoKo Kho (@YoKoAcc) von Mitra Integrasi Informatika, PT.

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4201: Ein anonymer Forscher

CVE-2018-4218: Natalie Silvanovich von Google Project Zero

CVE-2018-4233: Samuel Groß (@5aelo) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4199: Alex Plaskett, Georgi Geshev, Fabi Beterke und Nils von MWR Labs in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann dazu führen, dass Cookies überschrieben werden

Beschreibung: Bei der Verarbeitung von Cookies im Webbrowser trat ein Problem mit den Berechtigungen auf. Dieses Problem wurde durch verbesserte Beschränkungen behoben.

CVE-2018-4232: Ein anonymer Forscher, Aymeric Chaib

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch verbesserten Sperrschutz behoben.

CVE-2018-4192: Markus Gaasedelen, Nick Burnett und Patrick Biernat von Ret2 Systems Inc. in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Programmabbruch von Safari führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4214: Gefunden von OSS-Fuzz

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4204: Gefunden von OSS-Fuzz und Richard Zhu (fluorescence) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4246: Gefunden von OSS-Fuzz

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Durch den Besuch einer schadhaften Website können vertrauliche Daten offengelegt werden

Beschreibung: Anmeldedaten wurden beim Abrufen von Bildern mit CSS-Maske unerwartet gesendet. Dieses Problem wurde durch eine CORS-gestützte Abrufmethode behoben.

CVE-2018-4190: Jun Kokatsu (@shhnjk)

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4222: Natalie Silvanovich von Google Project Zero

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum:Fri Jun 08 22:16:42 GMT 2018