Informacije o sigurnosnom sadržaju sustava iOS 12.1.1
U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 12.1.1.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
iOS 12.1.1
Airport
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja
Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4303: Mohamed Ghannam (@_simo36)
Slike diska
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4465: tim za Pangu
FaceTime
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: lokalni napadač može na zaključanom zaslonu vidjeti kontakte
Opis: zbog problema sa zaključanim zaslonom bio je moguć pristup kontaktima na zaključanom uređaju. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2018-4430: videosdebarraquito
Davatelj datoteka
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerne aplikacije mogle su otkriti podatke o prisutnosti drugih aplikacija na uređaju
Opis: taj je problem riješen poboljšanim pravima.
CVE-2018-4446: Luke Deshotels, Jordan Beichler i William Enck (Sveučilište North Carolina State);
Sveučilište; Costin Carabaș i Răzvan Deaconescu (Politehničko sveučilište u Bukureštu)
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: lokalni korisnici mogli su čitati kernelsku memoriju
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4431: tu je ranjivost neovisni istraživač sigurnosti prijavio programu sigurnog otkrivanja tima za sigurnost SecuriTeam tvrtke Beyond Security
CVE-2018-4448: Brandon Azad
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: napadač s mrežnim ovlastima mogao bi izazvati napad odbijanja usluge
Opis: problem s odbijanjem usluge riješen je uklanjanjem koda sa slabim točkama.
CVE-2018-4460: Kevin Backhouse (tim za provjeru sigurnosti tvrtke Semmle)
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: lokalni korisnici mogli su čitati kernelsku memoriju
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4431: tu je ranjivost neovisni istraživač sigurnosti prijavio programu sigurnog otkrivanja tima za sigurnost SecuriTeam tvrtke Beyond Security
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2018-4435: Jann Horn (Google Project Zero), Juwei Lin (@panicaII) i Junzhi Lu (tim za sigurnost na mobilnim uređajima (TrendMicro)) u suradnji s inicijativom Zero Day (Trend Micro)
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2018-4447: Juwei Lin (@panicaII) i Zhengyu Dong (tim za sigurnost na mobilnim uređajima (TrendMicro)) u suradnji s inicijativom Zero Day (Trend Micro)
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4461: Ian Beer (Google Project Zero)
LinkPresentation
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obrada zlonamjerne e-pošte može dovesti do lažiranja korisničkog sučelja
Opis: u načinu obrade URL-ova otkriven je problem s lažiranjem. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4429: Victor Le Pochat (imec-DistriNet, KU Leuven)
Profili
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: nepouzdan konfiguracijski profil može se nepravilno prikazati kao verificiran
Opis: u konfiguracijskim profilima otkriven je problem s provjerom valjanosti certifikata. Problem je riješen dodatnim provjerama.
CVE-2018-4436: James Seeley @Code4iOS, Joseph S. (JJS Securities)
Safari
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: posjet zlonamjernom web-mjestu mogao je uzrokovati krivotvorenje korisničkog sučelja
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2018-4439: xisigr (Tencentov odjel Xuanwu Lab (tencent.com))
Safari
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2018-4440: Wenxu Wu (Tencentov sigurnosni odjel Xuanwu Lab (xlab.tencent.com))
Safari
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: korisnik možda neće u potpunosti moći izbrisati povijest pretraživanja
Opis: odabirom opcije „Očisti povijest i podatke web-mjesta” povijest se nije očistila. Problem je riješen poboljšanim brisanjem podataka.
CVE-2018-4445: William Breuer
VoiceOver
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: lokalni napadač mogao je na zaključanom zaslonu dijeliti stavke
Opis: zbog problema sa zaključanim zaslonom putem njega bilo je moguće dijeljenje funkcija. Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.
CVE-2018-4428: videosdebarraquito
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4441: lokihardt (Google Project Zero)
CVE-2018-4442: lokihardt (Google Project Zero)
CVE-2018-4443: lokihardt (Google Project Zero)
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: postojeći logički problem rezultirao je oštećenjem memorije. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2018-4438: lokihardt (Google Project Zero), Qixun Zhao (tim Vulcan tvrtke Qihoo 360)
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja može doći do otkrivanja osjetljivih korisničkih podataka
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2018-4444: James Lee (@Windowsrcer), S2SWWW.com
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2018-4437: HyungSeok Han, DongHyeon Oh i Sang Kil Cha (KAIST Softsec Lab, Koreja)
CVE-2018-4464: HyungSeok Han, DongHyeon Oh i Sang Kil Cha (KAIST Softsec Lab, Koreja)
Dodatna zahvala
Profili
Željeli bismo zahvaliti Lukeu Deshotelsu, Jordanu Beichleru i Williamu Encku (Sveučilište North Carolina State) te Costinu Carabașu i Răzvanu Deaconescu (Politehničko sveučilište u Bukureštu) za njihovu pomoć.
Kontroler za prikaz u Safariju
Željeli bismo zahvaliti Yiğitu Canu Yilmazu (@yilmazcanyigit) za njegovu pomoć.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.