Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
iOS 12.2
Objavljeno 25. ožujka 2019.
802.1X
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: napadač s mrežnim ovlastima može presresti promet putem mreže
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2019-6203: Dominic White (SensePost, (@singe))
Unos je dodan 15. travnja 2019.
Računi
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjerne vcf datoteke moglo se izazvati odbijanje usluge
Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti.
CVE-2019-8538: Trevor Spiniolas (@TrevorSpiniolas)
Unos je dodan 3. travnja 2019.
CFString
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obrada zlonamjernog niza mogla je izazvati odbijanje usluge
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
CVE-2019-8516: tim SWIPS (Frifee Inc.)
configd
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8552: Mohamed Ghannam (@_simo36)
Kontakti
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8511: anonimni istraživač
CoreCrypto
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2019-8542: anonimni istraživač
Exchange ActiveSync
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: korisnik može ovlastiti administratora tvrtke da na daljinu obriše njegov uređaj bez primjerene objave
Opis: taj je problem riješen poboljšanom transparentnošću.
CVE-2019-8512: anonimni istraživač, Dennis Munsie (Amazon.com)
Unos je ažuriran 3. travnja 2019.
FaceTime
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: korisnikov videozapis u pozivu aplikacije FaceTime možda se neće pauzirati ako korisnik izađe iz aplikacije FaceTime dok poziv zvoni
Opis: postojao je problem s pauziranjem videozapisa u aplikaciji FaceTime. Problem je riješen poboljšanom logikom.
CVE-2019-8550: Lauren Guzniczak (Keystone Academy)
Asistent za izvješća
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerna aplikacija može steći korijenske ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2019-8565: CodeColorist (Ant-Financial LightYear Labs)
Asistent za izvješća
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerna aplikacija može prebrisati proizvoljne datoteke
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2019-8521: CodeColorist (Ant-Financial LightYear Labs)
datoteka
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obrada zlonamjerno izrađene datoteke može otkriti korisničke informacije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2019-8906: Francisco Alonso
Unos je ažuriran 15. travnja 2019.
GeoServices
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: klikanje zlonamjerne veze u SMS-u može dovesti do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2019-8553: anonimni istraživač
iAP
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2019-8542: anonimni istraživač
IOHIDFamily
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju.
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8545: Adam Donenfeld ((@doadam), tim zLabs, Zimperium)
IOKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: lokalni korisnici mogli su čitati kernelsku memoriju
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8504: anonimni istraživač
IOKit SCSI
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8529: Juwei Lin ((@panicaII), Trend Micro Research) u suradnji s inicijativom Zero Day (Trend Micro)
Unos je ažuriran 15. travnja 2019.
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: udaljeni napadač može izmijeniti podatke o mrežnom prometu
Opis: prilikom rukovanja IPv6 paketima otkriven je problem s oštećenjem memorije. Problem je riješen poboljšanim upravljanjem memorijom.
CVE-2019-5608: Apple
Unos je dodan 6. kolovoza 2019.
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: udaljeni napadač mogao je probiti memoriju
Opis: otkriven je problem s prekoračenjem čitanja, koji je doveo do otkrivanja sadržaja kernelske memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8547: derrek (@derrekr6)
Unos je dodan 30. svibnja 2019.
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8525: Zhuo Liang i shrek_wzw (tim Nirvan, Qihoo 360)
Unos je dodan 30. svibnja 2019.
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: udaljeni napadač može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju
Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.
CVE-2019-8527: Ned Williamson (Google) i derrek (@derrekr6)
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun ((@S0rryMybad), tim Vulcan, Qihoo 360)
Unos je dodan 3. travnja 2019.
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8514: Samuel Groß (Google Project Zero)
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8540: Weibo Wang ((@ma1fan), tim Nirvan, Qihoo 360)
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: lokalni korisnici mogli su čitati kernelsku memoriju
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-7293: Ned Williamson (Google)
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije
Opis: otkriven je problem s prekoračenjem čitanja, koji je doveo do otkrivanja sadržaja kernelske memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-6207: Weibo Wang ((@ma1fan), tim Nirvan, Qihoo 360)
CVE-2019-8510: Stefan Esser (Antid0te UG)
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjerne e-mail poruke može se poremetiti potpis standarda S/MIME
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2019-7284: Damian Poddebniak (Sveučilište primijenjenih znanosti Münster)
MediaLibrary
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerna aplikacija može pristupiti ograničenim datotekama
Opis: problem s dopuštenjima riješen je uklanjanjem koda sa slabim točkama i dodavanjem dodatnih provjera.
CVE-2019-8532: Angel Ramirez, Min (Spark) Zheng i Xiaolong Bai (Alibaba Inc.)
Unos je dodan 30. svibnja 2019.
Poruke
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: lokalni korisnik mogao je pregledavati povjerljive korisničke informacije
Opis: problem s pristupom riješen je dodatnim ograničenjima za memoriju za testiranje.
CVE-2019-8546: ChiYuan Chang
Upravljanje napajanjem
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kod
Opis: u MIG generiranom kodu otkriven je veći broj problema s provjerom valjanosti ulaznih podataka. Ti su problemi riješeni poboljšanom provjerom valjanosti.
CVE-2019-8549: Mohamed Ghannam ((@_simo36), SSD Secure Disclosure (ssd-disclosure.com))
Zaštita privatnosti
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerne aplikacije mogle su pratiti korisnike između dviju instalacija
Opis: postojao je problem s privatnošću u kalibraciji senzora pokreta. Problem je riješen poboljšanom obradom senzora pokreta.
CVE-2019-8541: Stan (Jiexin) Zhang i Alastair R. Beresford (Sveučilište u Cambridgeu), Ian Sheret (Polymath Insight Limited)
ReplayKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerne aplikacije mogle su pristupiti mikrofonu bez obavještavanja korisnika
Opis: postojao je problem s API-jem u rukovanju podacima za mikrofon. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2019-8566: anonimni istraživač
Safari
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: web-mjesto može pristupiti podacima senzora bez pristanka korisnika
Opis: postojao je problem u upravljanju podacima o kretanju i orijentaciji. Problem je riješen poboljšanim ograničenjima.
CVE-2019-8554: anonimni istraživač
Čitač za Safari
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: omogućivanjem značajke čitača za Safari na zlonamjernoj web-stranici moglo se izazvati unakrsno skriptiranje
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2019-6204: Ryan Pickren (ryanpickren.com)
CVE-2019-8505: Ryan Pickren (ryanpickren.com)
Memorija za testiranje
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: proces u memoriji za testiranje mogao je zaobići ograničenja memorije za testiranje
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2019-8618: Brandon Azad
Unos je dodan 30. svibnja 2019.
Sigurnost
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: nepouzdani certifikat RADIUS poslužitelja može postati pouzdan
Opis: postojao je problem s provjerom valjanosti u upravljanju sidrom povjerenja. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2019-8531: anonimni istraživač, tim QA (SecureW2)
Unos je dodan 15. svibnja 2019.
Siri
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerna aplikacija može pokrenuti zahtjev za diktat bez odobrenja korisnika
Opis: postojao je problem s API-jem u rukovanju zahtjeva za diktat. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2019-8502: Luke Deshotels (Državno sveučilište Sjeverna Karolina), Jordan Beichler (Državno sveučilište Sjeverna Karolina), William Enck (Državno sveučilište Sjeverna Karolina), Costin Carabaș (Politehničko sveučilište u Bukureštu) i Răzvan Deaconescu (Politehničko sveučilište u Bukureštu)
TrueTypeScaler
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2019-8517: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2019-8551: Ryan Pickren (ryanpickren.com)
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8535: Zhiyang Zeng ((@Wester), Tencent Blade Team)
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2019-6201: dwfault u suradnji s ADLabom (Venustech)
CVE-2019-8518: Samuel Groß (Google Project Zero)
CVE-2019-8523: Apple
CVE-2019-8524: G. Geshev u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8558: Samuel Groß (Google Project Zero)
CVE-2019-8559: Apple
CVE-2019-8563: Apple
CVE-2019-8638: otkrio OSS-Fuzz
CVE-2019-8639: otkrio OSS-Fuzz
Unos je ažuriran 30. svibnja 2019.
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: proces u memoriji za testiranje mogao je zaobići ograničenja memorije za testiranje
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2019-8562: Wen Xu (SSLab, Georgia Tech) i Hanqing Zhao (laboratorij za istraživanje sigurnosti, Chaitin)
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: web-mjesto može pristupiti mikrofonu bez da se prikaže indikator korištenja mikrofona
Opis: problem s dosljednošću riješen je poboljšanim upravljanjem stanjem.
CVE-2019-6222: Denis Markov (Resonance Software)
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja može doći do otkrivanja osjetljivih korisničkih podataka
Opis: prilikom dohvaćanja API-ja postojao je problem različitih izvora. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8515: James Lee (@Windowsrcer)
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8536: Apple
CVE-2019-8544: anonimni istraživač
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2019-7285: dwfault u suradnji s ADLabom (Venustech)
CVE-2019-8556: Apple
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8506: Samuel Groß (Google Project Zero)
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerno web-mjesto može pokrenuti skripte u kontekstu drugog web-mjesta
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2019-8503: Linus Särud (Detectify)
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja može se otkriti procesna memorija
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
CVE-2019-7292: Zhunki i Zhiyi Zhang (tim Codesafe, 360 ESG)
Wi-Fi
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: uređaj se može pasivno pratiti prema njegovoj Wi-Fi MAC adresi
Opis: problem privatnosti korisnika riješen je uklanjanjem MAC adrese za emitiranje.
CVE-2019-8567: David Kreitschmann i Milan Stute (laboratorij za sigurno mobilno umrežavanje, Tehničko sveučilište Darmstadt)
XPC
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerna aplikacija može prebrisati proizvoljne datoteke
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2019-8530: CodeColorist (Ant-Financial LightYear Labs)
Dodatna zahvala
Računi
Željeli bismo zahvaliti Milanu Stuteu (laboratorij za sigurne mobilne mreže, Tehničko sveučilište u Darmstadtu) na pomoći.
Unos je dodan 30. svibnja 2019.
Knjige
Željeli bismo zahvaliti Yiğitu Canu Yilmazu (@yilmazcanyigit) za njegovu pomoć.
Kalendar
Željeli bismo zahvaliti anonimnom istraživaču, Peteru Hemsallu (104days.com) i Saschai Mogleru (mogler.com) na pomoći.
Kernel
Željeli bismo zahvaliti Brandonu Azadu, Razu Mashatu ((@RazMashat), Srednja škola Ilan Ramon), Brandonu Azadu (Google Project Zero) na pomoći.
Unos je ažuriran 30. svibnja 2019.
Brzi pregled
Željeli bismo zahvaliti Yiğitu Canu Yilmazu (@yilmazcanyigit) za njegovu pomoć.
Safari
Željeli bismo zahvaliti Nikhilu Mittalu (@c0d3G33k), Payatu Labs (payatu.com), Ryanu Pickrenu (ryanpickren.com) na pomoći.
Unos je ažuriran 30. svibnja 2019.
Snimanje zaslona
Željeli bismo zahvaliti Brandonu Mooreu (@Brandonsecurity) na njegovoj pomoći.
Unos je dodan 6. studenog 2019.
Vrijeme uporabe zaslona
Željeli bismo zahvaliti Brandonu Mooreu (@Brandonsecurity) na njegovoj pomoći.
WebKit
Željeli bismo zahvaliti Andreyu Kovalevu (Yandex Security Team), Davidu Houseu (Kaiser Permanente) i Radhi Patnayakuni (Salesforce) na pomoći.
Unos je ažuriran 8. listopada 2019.