Informacije o sigurnosnom sadržaju sustava iOS 11.3
U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 11.3.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
iOS 11.3
Apple TV App
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: napadači s mrežnim ovlastima mogli su krivotvoriti upise za lozinku u aplikaciji Apple TV App
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4177: Jerry Decime
Sat
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: osobe s fizičkim pristupom iOS uređaju mogle su vidjeti e-mail adresu koja se koristi za iTunes
Opis: prilikom rukovanja alarmima i brojačima pojavio se problem razotkrivanja informacija. Problem je riješen poboljšanim ograničenjem pristupa.
CVE-2018-4123: Zaheen Hafzar M M (@zaheenhafzer)
CoreFoundation
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2018-4155: Samuel Groß (@5aelo)
CVE-2018-4158: Samuel Groß (@5aelo)
Jezgreni tekst
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obrada zlonamjernog niza mogla je izazvati odbijanje usluge
Opis: problem s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4142: Robin Leroy (Google Switzerland GmbH)
LinkPresentation
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2018-4390: Rayyan Bijoora (@Bijoora) (The City School, PAF Chapter)
CVE-2018-4391: Rayyan Bijoora (@Bijoora) (The City School, PAF Chapter)
Događaji datotečnog sustava
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2018-4167: Samuel Groß (@5aelo)
Widget za datoteke
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: widget za datoteke mogao je prikazivati sadržaje na zaključanom uređaju
Opis: widget za datoteke prikazivao je predmemorirane podatke u zaključanom stanju. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2018-4168: Brandon Moore
Nađi moj iPhone
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: osoba s fizičkim pristupom uređaju mogla je bez unosa lozinke za iCloud onemogućiti opciju Nađi moj iPhone
Opis: prilikom obnove iz sigurnosne kopije postojao je problem s upravljanjem stanjem. Problem je riješen poboljšanom provjerom stanja tijekom obnove.
CVE-2018-4172: Viljami Vastamäki
iCloud Drive
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2018-4151: Samuel Groß (@5aelo)
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: uz kernelske ovlasti zlonamjerna aplikacija mogla je izvršiti proizvoljni kod
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2018-4150: anonimni istraživač
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2018-4104: britanski Nacionalni centar za kibernetičku sigurnost (NCSC)
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4143: derrek (@derrekr6)
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije
Opis: u prijelazu između stanja programa otkriven je problem s otkrivanjem podataka. Taj je problem riješen poboljšanim rukovanjem stanjem.
CVE-2018-4185: Brandon Azad
libxml2
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2017-15412: Nick Wellnhofer
LinkPresentation
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2018-4390: Rayyan Bijoora (@Bijoora) (The City School, PAF Chapter)
CVE-2018-4391: Rayyan Bijoora (@Bijoora) (The City School, PAF Chapter)
LinkPresentation
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjerne tekstne poruke može se poremetiti korisničko sučelje
Opis: u načinu obrade URL-ova otkriven je problem s lažiranjem. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng ((@Wester), Tencentov odjel sigurnosne platforme)
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: napadači s mrežnim ovlastima mogli su presresti sadržaj e-mail poruka šifriranih pomoću standarda S/MIME
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2018-4174: John McCombs (Integrated Mapping Ltd), McClain Looney (LoonSoft Inc).
NSURLSession
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2018-4166: Samuel Groß (@5aelo)
PluginKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2018-4156: Samuel Groß (@5aelo)
Brzi pregled
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2018-4157: Samuel Groß (@5aelo)
Safari
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: na zlonamjernom web-mjestu klikom na vezu moglo se krivotvoriti sučelje
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2018-4134: xisigr (Tencentov odjel Xuanwu Lab (tencent.com)), Zhiyang Zeng (@Wester) (Tencentov odjel za sigurnosne platforme)
Automatska ispuna prilikom prijave u pregledniku Safari
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerno web-mjesto moglo je otkriti podatke automatski unesene u pregledniku Safari bez izričite akcije korisnika.
Opis: automatska ispuna u pregledniku Safari nije prethodno tražila izričitu akciju korisnika. Problem je riješen poboljšanom heuristikom automatske ispune.
CVE-2018-4137
Kontroler za prikaz u Safariju
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: posjet zlonamjernom web-mjestu mogao je uzrokovati krivotvorenje korisničkog sučelja
Opis: problem s upravljanjem stanjem riješen je onemogućivanjem unosa teksta tijekom učitavanja odredišne stranice.
CVE-2018-4149: Abhinash Jain (@abhinashjain)
Sigurnost
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja
Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.
CVE-2018-4144: Abraham Masri (@cheesecakeufo)
Traka stanja
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerne aplikacije mogle su pristupiti mikrofonu bez obavještavanja korisnika
Opis: postojao je problem s dosljednošću prilikom donošenja odluke o tome kada prikazati indikator korištenja mikrofona. Problem je riješen poboljšanom provjerom valjanosti mogućnosti.
CVE-2018-4173: Joshua Pokotilow (pingmd)
Pohrana
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2018-4154: Samuel Groß (@5aelo)
Postavke sustava
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: konfiguracijski profil mogao je i nakon uklanjanja ostati pogrešno aktivan
Opis: u modulu CFPreferences postojao je problem. Problem je riješen poboljšanim čišćenjem postavki.
CVE-2018-4115: Johann Thalakada, Vladimir Zubkov i Matt Vlasach (Wandera)
Telefonija
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: udaljeni napadač mogao je izazvati neočekivano ponovno pokretanje uređaja
Opis: postojao je problem s dereferenciranjem NULL pokazivača u načinu obrade SMS poruke klase 0. Problem je riješen poboljšanom provjerom poruka.
CVE-2018-4140: @mjonsson, Arjan van der Oest (Voiceworks BV)
Telefonija
Dostupno za: iPhone 5s i noviji te modele generacije iPad Air uređaja i novije sa značajkom Wi-Fi + Cellular
Učinak: udaljeni napadač mogao je pokrenuti proizvoljni kod
Opis: problem višestrukog preljeva međuspremnika riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4148: Nico Golde (Comsecuris UG)
Web-aplikacija
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: kolačići su mogli neočekivano ostati u web-aplikaciji
Opis: problem s upravljanjem kolačićima riješen je poboljšanim upravljanjem stanjem.
CVE-2018-4110: Ben Compton i Jason Colley (Cerner Corporation)
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2018-4101: Yuan Deng (Ant-financial Light-Year Security Lab)
CVE-2018-4114: otkrio OSS-Fuzz
CVE-2018-4118: Jun Kokatsu (@shhnjk)
CVE-2018-4119: anonimni istraživač i inicijativa Zero Day (Trend Micro)
CVE-2018-4120: Hanming Zhang (@4shitak4) (tim Vulcan, Qihoo 360)
CVE-2018-4121: Natalie Silvanovich (Google Project Zero)
CVE-2018-4122: WanderingGlitch inicijative Zero Day (Trend Micro)
CVE-2018-4125: WanderingGlitch inicijative Zero Day (Trend Micro)
CVE-2018-4127: anonimni istraživač i inicijativa Zero Day (Trend Micro)
CVE-2018-4128: Zach Markley
CVE-2018-4129: likemeng (Baidu Security Lab) i inicijativa Zero Day (Trend Micro)
CVE-2018-4130: Omair i inicijativa Zero Day (Trend Micro)
CVE-2018-4161: WanderingGlitch inicijative Zero Day (Trend Micro)
CVE-2018-4162: WanderingGlitch inicijative Zero Day (Trend Micro)
CVE-2018-4163: WanderingGlitch inicijative Zero Day (Trend Micro)
CVE-2018-4165: Hanming Zhang (@4shitak4) (Qihoo 360 Vulcan Team)
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: neočekivana interakcija s vrstama indeksiranja uzrokovala je pogrešku ASSERT
Opis: pri rukovanju funkcijom u jezgri javascripta postojao je problem s indeksiranjem polja. Problem je riješen poboljšanim provjerama
CVE-2018-4113: otkrio OSS-Fuzz
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja moglo se izazvati odbijanje usluge
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka
CVE-2018-4146: otkrio OSS-Fuzz
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore podataka
Opis: prilikom dohvaćanja API-ja postojao je problem različitih izvora. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4117: anonimni istraživač, anonimni istraživač
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: neočekivana interakcija uzrokuje kvar ASSERT
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2018-4207: otkrio OSS-Fuzz
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: neočekivana interakcija uzrokuje kvar ASSERT
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2018-4208: otkrio OSS-Fuzz
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: neočekivana interakcija uzrokuje kvar ASSERT
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2018-4209: otkrio OSS-Fuzz
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: neočekivana interakcija s vrstama indeksiranja uzrokovala je kvar
Opis: pri rukovanju funkcijom u jezgri javascripta postojao je problem s indeksiranjem polja. Taj je problem riješen poboljšanom provjerom autentičnosti.
CVE-2018-4210: otkrio OSS-Fuzz
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: neočekivana interakcija uzrokuje kvar ASSERT
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2018-4212: otkrio OSS-Fuzz
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: neočekivana interakcija uzrokuje kvar ASSERT
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2018-4213: otkrio OSS-Fuzz
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2018-4145: otkrio OSS-Fuzz
WindowServer
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: aplikacije bez ovlasti mogle su bilježiti pritiske na tipke u drugim aplikacijama i uz omogućen mod za sigurni unos
Opis: aplikacije bez ovlasti mogle su putem provjere stanja tipki bilježiti pritiske na tipke u drugim aplikacijama i uz omogućen mod za sigurni unos. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2018-4131: Andreas Hegenberg (folivora.AI GmbH)
Dodatna zahvala
Na pomoći zahvaljujemo Sabriju Haddoucheu (@pwnsdx) iz tvrtke Wire Swiss GmbH.
Sigurnost
Na pomoći zahvaljujemo Abrahamu Masriju (@cheesecakeufo).
WebKit
Na pomoći zahvaljujemo Johnnyju Nipperu iz tima za sigurnost aplikacije Tinder.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.