Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
iOS 11.4.1
Objavljeno 9. srpnja 2018.
CFNetwork
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: kolačići su mogli neočekivano ostati u pregledniku Safari
Opis: problem s upravljanjem kolačićima riješen je poboljšanim provjerama.
CVE-2018-4293: anonimni istraživač
Core Bluetooth
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4327: Apple
Unos je dodan 8. kolovoza 2018.
Emotikoni
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom emotikona uz određene konfiguracije moglo se uzrokovati odbijanje usluge
Opis: problem s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4290: Patrick Wardle (Digita Security)
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: lokalni korisnici mogli su čitati kernelsku memoriju
Opis: otkriven je problem s prekoračenjem čitanja, koji je doveo do otkrivanja sadržaja kernelske memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4282: Adam Donenfeld (@doadam) – Zimperium zLabs Team, Proteas (Qihoo 360 Nirvan Team), Valentin "slashd" Šilnenkov
Unos ažuriran 16. studenoga 2018.
libxpc
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4280: Brandon Azad
libxpc
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerne su aplikacije mogle čitati ograničenu memoriju
Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4248: Brandon Azad
LinkPresentation
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake
Opis: u načinu obrade URL-ova otkriven je problem s lažiranjem. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4277: xisigr (Tencentov odjel Xuanwu Lab (tencent.com))
Telefon
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerna aplikacija mogla bi zaobići upit za potvrdu poziva
Opis: postojao je problem s logikom u obradi URL-ova poziva. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2018-4216: Abraham Masri (@cheesecakeufo)
Unos je dodan 18. listopada 2018.
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore audiopodataka
Opis: mogli su se doznati svi izvori zvuka dohvaćenog putem audioelemenata. Taj je problem riješen poboljšanim praćenjem sigurnosnih propusta za zvuk.
CVE-2018-4278: Jun Kokatsu (@shhnjk)
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerno web-mjesto moglo bi uzrokovati odbijanje usluge
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2018-4266: otkrio OSS-Fuzz
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake
Opis: u načinu obrade URL-ova otkriven je problem s lažiranjem. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4274: anonimni istraživač
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4270: otkrio OSS-Fuzz
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4284: otkrio OSS-Fuzz
Unos ažuriran 18. listopada 2018.
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2018-4261: Omair i inicijativa Zero Day (Trend Micro)
CVE-2018-4262: Mateusz Krzywicki i inicijativa Zero Day (Trend Micro)
CVE-2018-4263: Arayz i inicijativa Zero Day (Trend Micro)
CVE-2018-4264: otkrio OSS-Fuzz, Yu Zhou i Jundong Xie (Ant-financial Light-Year Security Lab)
CVE-2018-4265: cc i inicijativa Zero Day (Trend Micro)
CVE-2018-4267: Arayz (tim za Pangu) i inicijativa Zero Day (Trend Micro)
CVE-2018-4272: otkrio OSS-Fuzz
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4271: otkrio OSS-Fuzz
CVE-2018-4273: otkrio OSS-Fuzz
Učitavanje stranice WebKita
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2018-4260: xisigr (Tencentov odjel Xuanwu Lab (tencent.com))
Wi-Fi
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerne su aplikacije mogle izaći izvan ograničene memorije
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4275: Brandon Azad
Dodatna zahvala
Kernel
Na pomoći zahvaljujemo Juwei Linu (@panicaII) (Trend Micro i inicijativa Zero Day (Trend Micro)).