Informacije o sigurnosnom sadržaju sustava iOS 12.3
U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 12.3.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
iOS 12.3
AppleFileConduit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8593: Dany Lisiansky (@DanyL931)
Bluetooth
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zbog pogrešne konfiguracije protokola Bluetooth uparivanja FIDO sigurnosnih ključeva u verziji za Bluetooth Low Energy (BLE) moguće je da napadač u fizičkoj blizini presretne Bluetooth promet tijekom uparivanja
Opis: ovaj je problem riješen onemogućivanjem dodatne opreme s nesigurnim Bluetooth vezama. Kupci koji koriste Googleov Titan sigurnosni ključ u verziji za Bluetooth Low Energy (BLE) trebali bi pogledati Biltene za Android za lipanj i Googleove smjernice i poduzeti odgovarajuće radnje.
CVE-2019-2102: Matt Beaver i Erik Peterson, Microsoft Corp.
Kontakti
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerne su aplikacije mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8598: Omer Gull (Checkpoint Research)
CoreAudio
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjerne filmske datoteke može doći do izvršavanja proizvoljnog koda
Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8585: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)
CoreAudio
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem pogreškama.
CVE-2019-8592: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day tvrtke Trend Micro
Jezgreni tekst
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2019-8582: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)
Slike diska
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2019-8560: Nikita Pupyshev (Državno tehničko sveučilište Bauman Moskva)
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2019-8633: Zhuo Liang, Qihoo 360 Vulcan Team
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju.
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2019-8576: Brandon Azad (Google Project Zero), Junho Jang i Hanul Choi (tim za sigurnost, LINE)
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: neke aplikacije mogu uzrokovati neočekivani pad sustava, odnosno pisati kernelsku memoriju
Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8591: Ned Williamson u suradnji s Google Project Zero
Zaključani zaslon
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: osobe s fizičkim pristupom iOS uređaju mogle su vidjeti e-mail adresu koja se koristi za iTunes
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2019-8599: Jeremy Peña-Lopez (poznat i kao Radio, Sveučilište Sjeverna Florida)
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjerne poruke moglo se uzrokovati odbijanje usluge
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8626: natashenka (Google Project Zero)
Okruženje za e-mail poruke
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: udaljeni napadač može uzrokovati arbitrarno izvršavanje koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8613: natashenka (Google Project Zero)
Poruke
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: udaljeni napadač može uzrokovati sistemsko odbijanje usluge
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8573: natashenka (Google Project Zero)
Poruke
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjerne poruke moglo se uzrokovati odbijanje usluge
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8664: natashenka (Google Project Zero)
Poruke
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: korisnici uklonjeni iz iMessage razgovora i dalje mogu mijenjati stanje
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8631: Jamie Bishop, Dynastic
Mobilna instalacija
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: lokalni korisnik može izmijeniti zaštićene dijelove datotečnog sustava
Opis: postojao je problem s provjerom valjanosti prilikom rukovanja simboličkim vezama. Taj je problem riješen poboljšanom provjerom simboličkih veza.
CVE-2019-8568: Dany Lisiansky (@DanyL931)
MobileLockdown
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerna aplikacija može steći korijenske ovlasti
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8637: Dany Lisiansky (@DanyL931)
Memorija fotografija
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: proces u memoriji za testiranje mogao je zaobići ograničenja memorije za testiranje
Opis: problem s pristupom riješen je dodatnim ograničenjima za memoriju za testiranje.
CVE-2019-8617: anonimni istraživač
SQLite
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanim rukovanjem memorijom.
CVE-2019-8577: Omer Gull (Checkpoint Research)
SQLite
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerni SQL upit mogao je dovesti do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8600: Omer Gull (Checkpoint Research)
SQLite
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerne su aplikacije mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8598: Omer Gull (Checkpoint Research)
SQLite
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja
Opis: problem s oštećenjem memorije riješen je uklanjanjem koda sa slabim točkama.
CVE-2019-8602: Omer Gull (Checkpoint Research)
Traka stanja
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: na zaključanom zaslonu može se prikazivati ikona lokota nakon otključavanja
Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.
CVE-2019-8630: Jon M. Morlan
StreamingZip
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: lokalni korisnik može izmijeniti zaštićene dijelove datotečnog sustava
Opis: postojao je problem s provjerom valjanosti prilikom rukovanja simboličkim vezama. Taj je problem riješen poboljšanom provjerom simboličkih veza.
CVE-2019-8568: Dany Lisiansky (@DanyL931)
sysdiagnose
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem je riješen poboljšanjem logičkog procesa dozvola.
CVE-2019-8574: Dayton Pidhirney ((@_watbulb), Seekintoo, (@seekintoo))
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja može se otkriti procesna memorija
Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8607: Junho Jang i Hanul Choi (tim za sigurnost, LINE)
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2019-6237: G. Geshev u suradnji s inicijativom Zero Day (Trend Micro); Liu Long (tim Vulcan, Qihoo 360)
CVE-2019-8571: 01 u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8583: sakura (Tencent Xuanwu Lab), jessica ((@babyjess1ca_), Tencent Keen Lab) i dwfault (ADLab, Venustech)
CVE-2019-8584: G. Geshev (MWR Labs) u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8586: anonimni istraživač
CVE-2019-8587: G. Geshev u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8594: Suyoung Lee i Sooel Son (laboratorij za web-sigurnost i privatnost, KAIST) te HyungSeok Han i Sang Kil Cha (laboratorij za softversku sigurnost, KAIST)
CVE-2019-8595: G. Geshev (MWR Labs) u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8596: Wen Xu (SSLab, Georgia Tech)
CVE-2019-8597: 01 u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8601: Fluoroacetate u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8608: G. Geshev u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8609: Wen Xu (SSLab, Georgia Tech)
CVE-2019-8610: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8611: Samuel Groß (Google Project Zero)
CVE-2019-8615: G. Geshev (MWR Labs) u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8619: Wen Xu (SSLab, Georgia Tech) i Hanqing Zhao (laboratorij za istraživanje sigurnosti, Chaitin)
CVE-2019-8622: Samuel Groß (Google Project Zero)
CVE-2019-8623: Samuel Groß (Google Project Zero)
CVE-2019-8628: Wen Xu (SSLab, Georgia Tech) i Hanqing Zhao (laboratorij za istraživanje sigurnosti, Chaitin)
Wi-Fi
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: napadač na privilegiranoj poziciji na mreži može mijenjati stanje upravljačkog programa
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8612: Milan Stute (laboratorij za sigurno mobilno umrežavanje, Tehničko sveučilište Darmstadt)
Wi-Fi
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: uređaj se može pasivno pratiti prema njegovoj Wi-Fi MAC adresi
Opis: problem privatnosti korisnika riješen je uklanjanjem MAC adrese za emitiranje.
CVE-2019-8620: David Kreitschmann i Milan Stute (laboratorij za sigurno mobilno umrežavanje, Tehničko sveučilište Darmstadt)
Dodatna zahvala
Clang
Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero) na pomoći.
CoreAudio
Željeli bismo zahvaliti riusksku (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro) na pomoći.
CoreFoundation
Željeli bismo zahvaliti m4blnu, Xiangqian Zhangu, Huiming Liuju (laboratorij Xuanwu, Tencent), Vozzieju i Ramiju na pomoći.
Kernel
Željeli bismo zahvaliti Denisu Kopyrinu, Brandonu Azadu (Google Project Zero) na pomoći.
MediaLibrary
Željeli bismo zahvaliti Angelu Ramirezu i Min (Spark) Zhengu, Xiaolong Baiju (Alibaba Inc.) na pomoći.
Mobilna instalacija
Željeli bismo zahvaliti Yiğitu Canu Yilmazu (@yilmazcanyigit) za njegovu pomoć.
Safari
Željeli bismo zahvaliti Benu Guildu (@benguild) na pomoći.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.