Informacije o sigurnosnom sadržaju sustava iOS 11.3

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 11.3.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

iOS 11.3

Objavljeno 29. ožujka 2018.

Apple TV App

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: napadači s mrežnim ovlastima mogli su krivotvoriti upise za lozinku u aplikaciji Apple TV App

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2018-4177: Jerry Decime

Unos je dodan 13. travnja 2018.

Sat

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: osobe s fizičkim pristupom iOS uređaju mogle su vidjeti e-mail adresu koja se koristi za iTunes

Opis: prilikom rukovanja alarmima i brojačima pojavio se problem razotkrivanja informacija. Problem je riješen povećanjem ograničenja pristupa.

CVE-2018-4123: Zaheen Hafzar M M (@zaheenhafzer)

CoreFoundation

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2018-4155: Samuel Groß (@5aelo)

CVE-2018-4158: Samuel Groß (@5aelo)

Jezgreni tekst

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: obrada zlonamjernog niza mogla je izazvati odbijanje usluge

Opis: problem s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.

CVE-2018-4142: Robin Leroy (Google Switzerland GmbH)

Događaji datotečnog sustava

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2018-4167: Samuel Groß (@5aelo)

Widget za datoteke

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: widget za datoteke mogao je prikazivati sadržaje na zaključanom uređaju

Opis: widget za datoteke prikazivao je predmemorirane podatke u zaključanom stanju. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2018-4168: Brandon Moore

Nađi moj iPhone

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: osoba s fizičkim pristupom uređaju mogla je bez unosa lozinke za iCloud onemogućiti opciju Nađi moj iPhone

Opis: prilikom obnove iz sigurnosne kopije postojao je problem s upravljanjem stanjem. Problem je riješen poboljšanom provjerom stanja tijekom obnove.

CVE-2018-4172: Viljami Vastamäki

iCloud Drive

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2018-4151: Samuel Groß (@5aelo)

Kernel

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: uz kernelske ovlasti zlonamjerna aplikacija mogla je izvršiti proizvoljni kod

Opis: više problema oštećene memorije riješeno je poboljšanim rukovanjem memorijom.

CVE-2018-4150: anonimni istraživač

Kernel

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2018-4104: britanski Nacionalni centar za kibernetičku sigurnost (NCSC)

Kernel

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: uz kernelske ovlasti aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2018-4143: derrek (@derrekr6)

Kernel

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije

Opis: u prijelazu između stanja programa otkriven je problem s otkrivanjem podataka. Taj je problem riješen poboljšanim rukovanjem stanjem.

CVE-2018-4185: Brandon Azad

Unos je dodan 19. srpnja 2018.

libxml2

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja preglednika Safari

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2017-15412: Nick Wellnhofer

Unos je dodan 18. listopada 2018.

Mail

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: napadači s mrežnim ovlastima mogli su presresti sadržaj e-mail poruka šifriranih pomoću standarda S/MIME

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2018-4174: John McCombs (Integrated Mapping Ltd), McClain Looney (LoonSoft Inc).

Unos je ažuriran 13. travnja 2018.

NSURLSession

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2018-4166: Samuel Groß (@5aelo)

PluginKit

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2018-4156: Samuel Groß (@5aelo)

Brzi pregled

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2018-4157: Samuel Groß (@5aelo)

Safari

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: na zlonamjernom web-mjestu klikom na vezu moglo se krivotvoriti sučelje

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2018-4134: xisigr (Tencentov odjel Xuanwu Lab (tencent.com)), Zhiyang Zeng (@Wester) (Tencentov odjel za sigurnosne platforme)

Automatska ispuna prilikom prijave u pregledniku Safari

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: zlonamjerno web-mjesto moglo je otkriti podatke automatski unesene u pregledniku Safari bez izričite akcije korisnika.

Opis: automatska ispuna u pregledniku Safari nije prethodno tražila izričitu akciju korisnika. Problem je riješen poboljšanom heuristikom automatske ispune.

CVE-2018-4137

Kontroler za prikaz u Safariju

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: posjet zlonamjernom web-mjestu može uzrokovati krivotvorenje korisničkog sučelja

Opis: problem s upravljanjem stanjem riješen je onemogućivanjem unosa teksta tijekom učitavanja odredišne stranice.

CVE-2018-4149: Abhinash Jain (@abhinashjain)

Sigurnost

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja

Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.

CVE-2018-4144: Abraham Masri (@cheesecakeufo)

Traka stanja

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: zlonamjerne aplikacije mogle su pristupiti mikrofonu bez obavještavanja korisnika

Opis: postojao je problem s dosljednošću prilikom donošenja odluke o tome kada prikazati indikator korištenja mikrofona. Problem je riješen poboljšanom provjerom valjanosti mogućnosti.

CVE-2018-4173: Joshua Pokotilow (pingmd)

Unos je dodan 9. travnja 2018.

Pohrana

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2018-4154: Samuel Groß (@5aelo)

Postavke sustava

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: konfiguracijski profil mogao je i nakon uklanjanja ostati pogrešno aktivan

Opis: u modulu CFPreferences postojao je problem. Problem je riješen poboljšanim čišćenjem postavki.

CVE-2018-4115: Johann Thalakada, Vladimir Zubkov i Matt Vlasach (Wandera)

Telefonija

Dostupno za: iPhone 5s i noviji te modele iPad Air uređaja i novijih sa značajkom Wi-Fi + Cellular

Učinak: udaljeni napadač mogao je izazvati neočekivano ponovno pokretanje uređaja

Opis: postojao je problem s dereferenciranjem NULL pokazivača u načinu obrade SMS poruke klase 0. Problem je riješen poboljšanom provjerom valjanosti poruka.

CVE-2018-4140: @mjonsson, Arjan van der Oest (Voiceworks BV)

Unos je ažuriran 30. ožujka 2018.

Telefonija

Dostupno za: iPhone 5s i noviji te modele iPad Air uređaja i novijih sa značajkom Wi-Fi + Cellular

Učinak: udaljeni napadač mogao je pokrenuti proizvoljni kod

Opis: problem višestrukog preljeva međuspremnika riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2018-4148: Nico Golde (Comsecuris UG)

Unos je dodan 30. ožujka 2018.

Web-aplikacija

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: kolačići su mogli neočekivano ostati u web-aplikaciji

Opis: problem s upravljanjem kolačićima riješen je poboljšanim upravljanjem stanjem.

CVE-2018-4110: Ben Compton i Jason Colley (Cerner Corporation)

WebKit

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: više problema oštećene memorije riješeno je poboljšanim rukovanjem memorijom.

CVE-2018-4101: Yuan Deng (Ant-financial Light-Year Security Lab)

CVE-2018-4114: otkrio OSS-Fuzz

CVE-2018-4118: Jun Kokatsu (@shhnjk)

CVE-2018-4119: anonimni istraživač i inicijativa Zero Day (Trend Micro)

CVE-2018-4120: Hanming Zhang (@4shitak4) (tim Vulcan, Qihoo 360)

CVE-2018-4121: Natalie Silvanovich (Google Project Zero)

CVE-2018-4122: WanderingGlitch inicijative Zero Day (Trend Micro)

CVE-2018-4125: WanderingGlitch inicijative Zero Day (Trend Micro)

CVE-2018-4127: anonimni istraživač i inicijativa Zero Day (Trend Micro)

CVE-2018-4128: Zach Markley

CVE-2018-4129: likemeng (Baidu Security Lab) i inicijativa Zero Day (Trend Micro)

CVE-2018-4130: Omair i inicijativa Zero Day (Trend Micro)

CVE-2018-4161: WanderingGlitch inicijative Zero Day (Trend Micro)

CVE-2018-4162: WanderingGlitch inicijative Zero Day (Trend Micro)

CVE-2018-4163: WanderingGlitch inicijative Zero Day (Trend Micro)

CVE-2018-4165: Hanming Zhang (@4shitak4) (Qihoo 360 Vulcan Team)

WebKit

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: neočekivana interakcija s vrstama indeksiranja uzrokovala je pogrešku ASSERT

Opis: pri rukovanju funkcijom u jezgri javascripta postojao je problem s indeksiranjem polja. Problem je riješen poboljšanim provjerama

CVE-2018-4113: otkrio OSS-Fuzz

WebKit

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: obradom zlonamjernog web-sadržaja moglo se izazvati odbijanje usluge

Opis: problem oštećenja memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2018-4146: otkrio OSS-Fuzz

WebKit

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore podataka

Opis: prilikom dohvaćanja API-ja postojao je problem različitih izvora. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2018-4117: anonimni istraživač, anonimni istraživač

WebKit

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: neočekivana interakcija uzrokuje kvar ASSERT

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2018-4207: otkrio OSS-Fuzz

Unos dodan 2. svibnja 2018.

WebKit

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: neočekivana interakcija uzrokuje kvar ASSERT

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2018-4208: otkrio OSS-Fuzz

Unos dodan 2. svibnja 2018.

WebKit

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: neočekivana interakcija uzrokuje kvar ASSERT

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2018-4209: otkrio OSS-Fuzz

Unos dodan 2. svibnja 2018.

WebKit

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: neočekivana interakcija s vrstama indeksiranja uzrokovala je kvar

Opis: pri rukovanju funkcijom u jezgri javascripta postojao je problem s indeksiranjem polja. Taj je problem riješen poboljšanom provjerom autentičnosti.

CVE-2018-4210: otkrio OSS-Fuzz

Unos dodan 2. svibnja 2018.

WebKit

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: neočekivana interakcija uzrokuje kvar ASSERT

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2018-4212: otkrio OSS-Fuzz

Unos dodan 2. svibnja 2018.

WebKit

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: neočekivana interakcija uzrokuje kvar ASSERT

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2018-4213: otkrio OSS-Fuzz

Unos dodan 2. svibnja 2018.

WebKit

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja koda

Opis: više problema oštećene memorije riješeno je poboljšanim rukovanjem memorijom.

CVE-2018-4145: otkrio OSS-Fuzz

Unos je dodan 18. listopada 2018.

WindowServer

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: aplikacije bez ovlasti mogle su bilježiti pritiske na tipke u drugim aplikacijama i uz omogućen mod za sigurni unos

Opis: aplikacije bez ovlasti mogle su putem provjere stanja tipki bilježiti pritiske na tipke u drugim aplikacijama i uz omogućen mod za sigurni unos. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2018-4131: Andreas Hegenberg (folivora.AI GmbH)

Dodatna zahvala

Mail

Na pomoći zahvaljujemo Sabriju Haddoucheu (@pwnsdx) iz tvrtke Wire Swiss GmbH.

Unos je dodan 21. lipnja 2018.

Sigurnost

Na pomoći zahvaljujemo Abrahamu Masriju (@cheesecakeufo).

Unos je dodan 13. travnja 2018.

WebKit

Na pomoći zahvaljujemo Johnnyju Nipperu iz tima za sigurnost aplikacije Tinder.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: