Informationen zum Sicherheitsinhalt von iOS 12.3

In diesem Dokument wird der Sicherheitsinhalt von iOS 12.3 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

iOS 12.3

Veröffentlicht am 13. Mai 2019

AppleFileConduit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8593: Dany Lisiansky (@DanyL931)

Bluetooth

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Aufgrund einer Fehlkonfiguration in den Bluetooth-Kopplungsprotokollen einer "Bluetooth Low Energy"-Version (BLE) von FIDO-Sicherheitsschlüsseln kann ein Angreifer mit physischer Nähe möglicherweise den Bluetooth-Verkehr während der Kopplung abfangen.

Beschreibung: Dieses Problem wurde behoben, indem Zubehör mit unsicheren Bluetooth-Verbindungen deaktiviert wurde. Kunden, die die "Bluetooth Low Energy"-Version (BLE) des Titan Security Key von Google verwenden, sollten die Juni-Bulletins von Android und die Hinweise von Google lesen und entsprechende Maßnahmen ergreifen.

CVE-2019-2102: Matt Beaver und Erik Peterson von der Microsoft Corp.

Eintrag am 17. September 2019 hinzugefügt

Kontakte

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Schadprogramm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Problem mit der Eingabeüberprüfung wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8598: Omer Gull von Checkpoint Research

CoreAudio

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Filmdatei kann zur Ausführung von willkürlichem Code führen

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8585: riusksk von VulWar Corp in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CoreAudio

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Fehlerverarbeitung behoben.

CVE-2019-8592: riusksk von VulWar Corp in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 1. August 2019 hinzugefügt

CoreText

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schrift kann zur Preisgabe des Prozessspeichers führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2019-8582: riusksk von VulWar Corp in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 25. Juli 2019 hinzugefügt

Disk-Images

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2019-8560: Nikita Pupyshev von der Staatlichen Technischen Universität Moskau "Bauman"

Eintrag am 30. Mai 2019 aktualisiert

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2019-8633: Zhuo Liang vom Qihoo 360 Vulcan Team

Eintrag am 17. September 2019 hinzugefügt

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein lokaler Benutzer kann möglicherweise einen unerwarteten Systemabbruch verursachen oder Kernelspeicher lesen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2019-8576: Brandon Azad von Google Project Zero, Junho Jang und Hanul Choi vom LINE Security Team

Eintrag am 30. Mai 2019 aktualisiert

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Anwendung kann einen unerwarteten Systemabbruch verursachen oder in den Kernel-Speicher schreiben.

Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8591: Ned Williamson in Zusammenarbeit mit Google Project Zero

Sperrbildschirm

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Person mit physischem Zugriff auf ein iOS-Gerät kann die für iTunes verwendete E-Mail-Adresse einsehen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2019-8599: Jeremy Peña-Lopez (alias Radio) von der University of North Florida

Mail

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Nachricht kann zu einem Denial-of-Service führen.

Beschreibung: Ein Problem mit der Eingabeüberprüfung wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8626: natashenka von Google Project Zero

Mail Message Framework

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein entfernter Angreifer kann die Ausführung von willkürlichem Code verursachen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8613: natashenka von Google Project Zero

Nachrichten

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein entfernter Angreifer kann einen Denial-of-Service des Systems verursachen.

Beschreibung: Ein Problem mit der Eingabeüberprüfung wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8573: natashenka von Google Project Zero

Eintrag am 3. Juli 2019 hinzugefügt

Nachrichten

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Nachricht kann zu einem Denial-of-Service führen.

Beschreibung: Ein Problem mit der Eingabeüberprüfung wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8664: natashenka von Google Project Zero

Eintrag am 3. Juli 2019 hinzugefügt

Nachrichten

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein aus einer iMessage-Konversation entfernter Nutzer kann möglicherweise immer noch den Status ändern

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-8631: Jamie Bishop von Dynastic

Eintrag am 1. August 2019 hinzugefügt

MobileInstallation

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein lokaler Benutzer kann geschützte Bereiche des Dateisystems ändern.

Beschreibung: Bei der Verarbeitung von Symlinks bestand ein Überprüfungsproblem. Dieses Problem wurde durch eine verbesserte Überprüfung der Symlinks behoben.

CVE-2019-8568: Dany Lisiansky (@DanyL931)

MobileLockdown

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Schadprogramm kann möglicherweise Root-Rechte erlangen.

Beschreibung: Ein Problem mit der Eingabeüberprüfung wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8637: Dany Lisiansky (@DanyL931)

Fotos-Speicher

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein in der Sandbox ausgeführter Prozess kann möglicherweise Sandbox-Einschränkungen umgehen.

Beschreibung: Ein Zugriffsproblem wurde durch zusätzliche Sandbox-Einschränkungen behoben.

CVE-2019-8617: Ein anonymer Forscher

SQLite

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Anwendung kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Ein Problem bei der Eingabeüberprüfung wurde durch eine verbesserte Arbeitsspeicherverwaltung behoben.

CVE-2019-8577: Omer Gull von Checkpoint Research

SQLite

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine in böser Absicht erstellte SQL-Anfrage kann zur Ausführung von willkürlichem Code führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8600: Omer Gull von Checkpoint Research

SQLite

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Schadprogramm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Problem mit der Eingabeüberprüfung wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8598: Omer Gull von Checkpoint Research

SQLite

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.

Beschreibung: Ein Speicherfehler wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2019-8602: Omer Gull von Checkpoint Research

Statusleiste

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Auf dem Sperrbildschirm wird u. U. nach dem Entsperren ein Schlosssymbol angezeigt.

Beschreibung: Das Problem wurde durch verbesserte UI-Verwaltung behoben.

CVE-2019-8630: Jon M. Morlan

StreamingZip

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein lokaler Benutzer kann geschützte Bereiche des Dateisystems ändern.

Beschreibung: Bei der Verarbeitung von Symlinks bestand ein Überprüfungsproblem. Dieses Problem wurde durch eine verbesserte Überprüfung der Symlinks behoben.

CVE-2019-8568: Dany Lisiansky (@DanyL931)

sysdiagnose

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Das Problem wurde durch verbesserte Berechtigungslogik behoben.

CVE-2019-8574: Dayton Pidhirney (@_watbulb) von Seekintoo (@seekintoo)

Eintrag am 3. Februar 2020 aktualisiert

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten kann Prozessspeicher offengelegt werden.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8607: Junho Jang und Hanul Choi vom LINE Security Team

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-6237: G. Geshev in Zusammenarbeit mit der Zero Day Initiative von Trend Micro, Liu Long vom Qihoo 360 Vulcan Team

CVE-2019-8571: 01 in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2019-8583: sakura vom Xuanwu Lab von Tencent, jessica (@babyjess1ca_) vom Keen Lab von Tencent und dwfault vom ADLab von Venustech

CVE-2019-8584: G. Geshev von MWR Labs in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2019-8586: Ein anonymer Forscher

CVE-2019-8587: G. Geshev in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2019-8594: Suyoung Lee und Sooel Son vom Web Security & Privacy Lab von KAIST und HyungSeok Han und Sang Kil Cha vom SoftSec Lab von KAIST

CVE-2019-8595: G. Geshev von MWR Labs in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2019-8596: Wen Xu vom SSLab der Georgia Tech

CVE-2019-8597: 01 in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2019-8601: Fluoroacetate in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2019-8608: G. Geshev in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2019-8609: Wen Xu vom SSLab der Georgia Tech

CVE-2019-8610: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2019-8611: Samuel Groß von Google Project Zero

CVE-2019-8615: G. Geshev von MWR Labs in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2019-8619: Wen Xu vom SSLab der Georgia Tech und Hanqing Zhao vom Chaitin Security Research Lab

CVE-2019-8622: Samuel Groß von Google Project Zero

CVE-2019-8623: Samuel Groß von Google Project Zero

CVE-2019-8628: Wen Xu vom SSLab der Georgia Tech und Hanqing Zhao vom Chaitin Security Research Lab

WLAN

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann den Treiberstatus ändern.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-8612: Milan Stute vom Secure Mobile Networking Lab der Technischen Universität Darmstadt

Eintrag am 30. Mai 2019 hinzugefügt

WLAN

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Gerät kann möglicherweise durch seine WLAN-MAC-Adresse passiv nachverfolgt werden.

Beschreibung: Ein Problem mit dem Datenschutz von Benutzerdaten wurde behoben, indem die Broadcast-MAC-Adresse entfernt wurde.

CVE-2019-8620: David Kreitschmann und Milan Stute vom Secure Mobile Networking Lab an der Technischen Universität Darmstadt

Zusätzliche Danksagung

Clang

Wir möchten uns bei Brandon Azad von Google Project Zero für die Unterstützung bedanken.

CoreAudio

Wir danken riusksk von VulWar Corp in Zusammenarbeit mit der Zero Day Initiative von Trend Micro für die Unterstützung.

Eintrag am 25. Juli 2019 hinzugefügt

CoreFoundation

Wir möchten uns bei m4bln, Xiangqian Zhang, Huiming Liu vom Xuanwu Lab von Tencent, Vozzie und Rami für die Unterstützung bedanken.

Eintrag am 30. Mai 2019 aktualisiert

Kernel

Wir möchten uns bei Denis Kopyrin und Brandon Azad von Google Project Zero für die Unterstützung bedanken.

Eintrag am 30. Mai 2019 aktualisiert

MediaLibrary

Wir möchten uns bei Angel Ramirez und Min (Spark) Zheng, Xiaolong Bai von Alibaba Inc. für die Unterstützung bedanken.

MobileInstallation

Wir möchten uns bei Yiğit Can YILMAZ (@yilmazcanyigit) für die Unterstützung bedanken.

Safari

Wir möchten uns bei Ben Guild (@benguild) für die Unterstützung bedanken.

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: