Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
iOS 11.4.1
Κυκλοφόρησε στις 9 Ιουλίου 2018
CFNetwork
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Τα cookie ενδέχεται να παραμένουν απρόσμενα στο Safari
Περιγραφή: Ένα πρόβλημα διαχείρισης cookie αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2018-4293: ανώνυμος ερευνητής
Core Bluetooth
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4327: Apple
Η καταχώριση προστέθηκε στις 8 Αυγούστου 2018
Χαρακτήρες Emoji
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η επεξεργασία emoji σε ορισμένες διαμορφώσεις ενδέχεται να οδηγήσει σε άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4290: Patrick Wardle της Digita Security
Πυρήνας
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορέσει να διαβάσει τα περιεχόμενα της μνήμης πυρήνα
Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων το οποίο οδήγησε στην αποκάλυψη περιεχομένου μνήμης πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.
CVE-2018-4282: Adam Donenfeld (@doadam) από την ομάδα του Zimperium zLabs, Proteas από την ομάδα του Qihoo 360 Nirvan, Valentin «slashd» Shilnenkov
Η καταχώριση ενημερώθηκε στις 16 Νοεμβρίου 2018
libxpc
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4280: Brandon Azad
libxpc
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση της περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης εισαγωγής.
CVE-2018-4248: Brandon Azad
LinkPresentation
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση της γραμμής διευθύνσεων
Περιγραφή: Υπήρχε πρόβλημα πλαστογράφησης στον χειρισμό των διευθύνσεων URL. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.
CVE-2018-4277: xisigr του Tencent Xuanwu Lab (tencent.com)
Τηλέφωνο
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να έχει τη δυνατότητα να παρακάμψει το ερώτημα επιβεβαίωσης κλήσης
Περιγραφή: Υπήρχε ένα σφάλμα λογικής στον χειρισμό των διευθύνσεων URL κλήσης. Αυτό το θέμα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2018-4216: Abraham Masri (@cheesecakeufo)
Η καταχώριση προστέθηκε στις 18 Οκτωβρίου 2018
WebKit
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να αποσπάσει δεδομένα ήχου μεταξύ προελεύσεων
Περιγραφή: Ενδέχεται να γίνει απόσπαση μεταξύ προελεύσεων του ήχου που προέρχεται από στοιχεία ήχου. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη παρακολούθηση των αλλοιώσεων ήχου.
CVE-2018-4278: Jun Kokatsu (@shhnjk)
WebKit
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Ένας κακόβουλος ιστότοπος μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επικύρωσης.
CVE-2018-4266: εντοπίστηκε από το OSS-Fuzz
WebKit
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση της γραμμής διευθύνσεων
Περιγραφή: Υπήρχε πρόβλημα πλαστογράφησης στον χειρισμό των διευθύνσεων URL. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.
CVE-2018-4274: ανώνυμος ερευνητής
WebKit
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου web μπορεί να οδηγήσει σε μη αναμενόμενο σφάλμα στο Safari
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4270: εντοπίστηκε από το OSS-Fuzz
WebKit
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4284: εντοπίστηκε από το OSS-Fuzz
Η καταχώριση ενημερώθηκε στις 18 Οκτωβρίου 2018
WebKit
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4261: Omair σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2018-4262: Mateusz Krzywicki σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2018-4263: Arayz σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2018-4264: εντοπίστηκε από το OSS-Fuzz, τον Yu Zhou και τον Jundong Xie του Ant-financial Light-Year Security Lab
CVE-2018-4265: cc σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2018-4267: Arayz της ομάδας Pangu σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2018-4272: εντοπίστηκε από το OSS-Fuzz
WebKit
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου web μπορεί να οδηγήσει σε μη αναμενόμενο σφάλμα στο Safari
Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένη επικύρωση εισόδου.
CVE-2018-4271: εντοπίστηκε από το OSS-Fuzz
CVE-2018-4273: εντοπίστηκε από το OSS-Fuzz
Φόρτωση σελίδων WebKit
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση της γραμμής διευθύνσεων
Περιγραφή: Ένα πρόβλημα μη συνεπούς περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2018-4260: xisigr του Tencent Xuanwu Lab (tencent.com)
Wi-Fi
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4275: Brandon Azad
Επιπλέον αναγνώριση
Πυρήνας
Θα θέλαμε να ευχαριστήσουμε τον juwei lin (@panicaII) της Trend Micro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro για τη βοήθειά του.