Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 12.3

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 12.3.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

iOS 12.3

Κυκλοφόρησε στις 13 Μαΐου 2019

AppleFileConduit

Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8593: Dany Lisiansky (@DanyL931)

Επαφές

Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση της περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης εισαγωγής αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8598: Omer Gull της Checkpoint Research

CoreAudio

Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ταινίας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2019-8585: riusksk της VulWar Corp σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Είδωλα δίσκων

Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2019-8560: Nikita Pupyshev του Bauman Moscow State Technological University

Η καταχώριση ενημερώθηκε στις 30 Μαΐου 2019

Πυρήνας

Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2019-8605: Ned Williamson σε συνεργασία με το Google Project Zero

Πυρήνας

Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς

Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να εκτελέσει ανάγνωση της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2019-8576: Brandon Azad του Google Project Zero, Junho Jang και Hanul Choi της ομάδας LINE Security Team

Η καταχώριση ενημερώθηκε στις 30 Μαΐου 2019

Πυρήνας

Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς

Αποτέλεσμα: Μια εφαρμογή μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να πραγματοποιήσει εγγραφή σε μνήμη πυρήνα

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8591: Ned Williamson σε συνεργασία με το Google Project Zero

Οθόνη κλειδώματος

Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς

Αποτέλεσμα: Ένας χρήστης με φυσική πρόσβαση σε μια συσκευή iOS ενδέχεται να μπορεί να δει τη διεύθυνση email που χρησιμοποιείται για το iTunes

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2019-8599: Jeremy Peña-Lopez (γνωστός και ως Radio) του University of North Florida

Mail

Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου μηνύματος μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα επαλήθευσης εισαγωγής αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8626: Natalie Silvanovich του Google Project Zero

Πλαίσιο εργασίας μηνυμάτων Mail

Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδεχομένως να έχει τη δυνατότητα να προκαλέσει αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2019-8613: Natalie Silvanovich του Google Project Zero

MobileInstallation

Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να τροποποιεί προστατευμένα τμήματα του συστήματος αρχείων

Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό symlinks. Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επικύρωση symlinks.

CVE-2019-8568: Dany Lisiansky (@DanyL931)

MobileLockdown

Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας

Περιγραφή: Ένα πρόβλημα επαλήθευσης εισαγωγής αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8637: Dany Lisiansky (@DanyL931)

Χώρος αποθήκευσης φωτογραφιών

Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς

Αποτέλεσμα: Μια διεργασία sandbox μπορεί να αποκτήσει τη δυνατότητα να παρακάμψει τους περιορισμούς του sandbox

Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με πρόσθετους περιορισμούς του sandbox.

CVE-2019-8617: ανώνυμος ερευνητής

SQLite

Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Ένα πρόβλημα επικύρωσης εισαγωγής αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8577: Omer Gull της Checkpoint Research

SQLite

Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς

Αποτέλεσμα: Ένα κακόβουλο ερώτημα SQL μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8600: Omer Gull της Checkpoint Research

SQLite

Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση της περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης εισαγωγής αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8598: Omer Gull της Checkpoint Research

SQLite

Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2019-8602: Omer Gull της Checkpoint Research

Γραμμή κατάστασης

Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς

Αποτέλεσμα: Η οθόνη κλειδώματος ενδέχεται να εμφανίζει ένα κλειδωμένο εικονίδιο μετά το ξεκλείδωμα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό περιβάλλοντος χρήστη.

CVE-2019-8630: Jon M. Morlan

StreamingZip

Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να τροποποιεί προστατευμένα τμήματα του συστήματος αρχείων

Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό symlinks. Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επικύρωση symlinks.

CVE-2019-8568: Dany Lisiansky (@DanyL931)

sysdiagnose

Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8574: Dayton Pidhirney (@_watbulb) της Seekintoo (@seekintoo)

WebKit

Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς

Αποτέλεσμα: Η επεξεργασία κακόβουλα δομημένου περιεχομένου ιστού ενδεχομένως να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2019-8607: Junho Jang και Hanul Choi της LINE Security Team

WebKit

Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2019-6237: G. Geshev σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro, Liu Long της Qihoo 360 Vulcan Team

CVE-2019-8571: 01 σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8583: sakura του Tencent Xuanwu Lab, jessica (@babyjess1ca_) του Tencent Keen Lab και dwfault σε συνεργασία με το ADLab της Venustech

CVE-2019-8584: G. Geshev της MWR Labs σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8586: ανώνυμος ερευνητής

CVE-2019-8587: G. Geshev σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8594: Suyoung Lee και Sooel Son του KAIST Web Security & Privacy Lab και HyungSeok Han και Sang Kil Cha του KAIST SoftSec Lab

CVE-2019-8595: G. Geshev της MWR Labs σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8596: Wen Xu του SSLab στο Georgia Tech

CVE-2019-8597: 01 σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8601: Fluoroacetate σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8608: G. Geshev σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8609: Wen Xu του SSLab, Georgia Tech

CVE-2019-8610: Ανώνυμος σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8611: Samuel Groß του Google Project Zero

CVE-2019-8615: G. Geshev της MWR Labs σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8619: Wen Xu του SSLab στο Georgia Tech και Hanqing Zhao του Chaitin Security Research Lab

CVE-2019-8622: Samuel Groß του Google Project Zero

CVE-2019-8623: Samuel Groß του Google Project Zero

CVE-2019-8628: Wen Xu του SSLab στο Georgia Tech και Hanqing Zhao του Chaitin Security Research Lab

Wi-Fi

Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς

Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου ενδέχεται να μπορεί να τροποποιήσει την κατάσταση του προγράμματος οδήγησης

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2019-8612: Milan Stute του Secure Mobile Networking Lab στο Technische Universität Darmstadt

Η καταχώριση προστέθηκε στις 30 Μαΐου 2019

Wi-Fi

Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς

Αποτέλεσμα: Μπορεί να γίνει παθητική παρακολούθηση μιας συσκευής από τη διεύθυνση MAC του WiFi

Περιγραφή: Ένα πρόβλημα απορρήτου χρήστη αντιμετωπίστηκε με αφαίρεση της διεύθυνσης MAC μετάδοσης.

CVE-2019-8620: David Kreitschmann και Milan Stute του Secure Mobile Networking Lab στο Technische Universität Darmstadt

Επιπλέον αναγνώριση

Clang

Θα θέλαμε να ευχαριστήσουμε τον Brandon Azad του Google Project Zero για τη βοήθειά του.

CoreFoundation

Θα θέλαμε να ευχαριστήσουμε τους Vozzie και Rami, καθώς και τους m4bln, Xiangqian Zhang και Huiming Liu του Xuanwu Lab της Tencent για τη βοήθειά τους.

Η καταχώριση ενημερώθηκε στις 30 Μαΐου 2019

Πυρήνας

Θα θέλαμε να ευχαριστήσουμε τους Denis Kopyrin, Brandon Azad του Google Project Zero για τη βοήθειά τους.

Η καταχώριση ενημερώθηκε στις 30 Μαΐου 2019

MediaLibrary

Θα θέλαμε να ευχαριστήσουμε τους Angel Ramirez και Min (Spark) Zheng, και Xiaolong Bai της Alibaba Inc. για τη βοήθειά τους.

MobileInstallation

Θα θέλαμε να ευχαριστήσουμε τον Yiğit Can YILMAZ (@yilmazcanyigit) για τη βοήθειά του.

Safari

Θα θέλαμε να ευχαριστήσουμε τον Ben Guild (@benguild) για τη βοήθειά του.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Υπάρχουν κίνδυνοι στη χρήση του Διαδικτύου. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες. Οι επωνυμίες άλλων εταιρειών και προϊόντων ενδέχεται να είναι εμπορικά σήματα των αντίστοιχων κατόχων τους.

Ημερομηνία δημοσίευσης: