Informacije o sigurnosnom sadržaju sustava iOS 12.3

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 12.3.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 12.3

Izdano 13. svibnja 2019.

AppleFileConduit

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8593: Dany Lisiansky (@DanyL931)

Kontakti

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: zlonamjerne su aplikacije mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8598: Omer Gull (Checkpoint Research)

CoreAudio

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: obradom zlonamjerne datoteke videozapisa moglo je doći do izvršavanja proizvoljnog koda

Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8585: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day tvrtke Trend Micro

Slike diska

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: zlonamjerne su aplikacije mogle čitati ograničenu memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2019-8560: Nikita Pupyshev s Državnog tehnološkog sveučilišta Bauman Moskva

Kernel

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kod

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8605: Ned Williamson (Google Project Zero)

Kernel

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju.

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2019-8576: Brandon Azad (Google Project Zero), Junho Jang i Hanul Choi (LINE Security Team)

Kernel

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: aplikacija bi mogla prouzročiti neočekivani pad sustava ili pisati kernelsku memoriju

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8591: Ned Williamson (Google Project Zero)

Zaključani zaslon

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: osobe s fizičkim pristupom iOS uređaju mogle su vidjeti e-mail adresu koja se koristi za iTunes

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2019-8599: Jeremy Peña-Lopez (poznat i kao Radio) sa Sveučilišta Sjeverna Florida

Mail

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: obradom zlonamjerne poruke moglo se uzrokovati odbijanje usluge

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8626: Natalie Silvanovich (Google Project Zero)

Okruženje za e-mail poruke

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: udaljeni napadač može uzrokovati arbitrarno izvršavanje koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8613: Natalie Silvanovich (Google Project Zero)

Mobilna instalacija

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: lokalni korisnik može izmijeniti zaštićene dijelove datotečnog sustava

Opis: u rukovanju simboličkim vezama otkriven je problem s provjerom valjanosti. Taj je problem riješen poboljšanom provjerom simboličkih veza.

CVE-2019-8568: Dany Lisiansky (@DanyL931)

MobileLockdown

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: zlonamjerna aplikacija može steći korijenske ovlasti

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8637: Dany Lisiansky (@DanyL931)

Memorija fotografija

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: proces u memoriji za testiranje mogao je zaobići ograničenja memorije za testiranje

Opis: problem s pristupom riješen je dodatnim ograničenjima za memoriju za testiranje.

CVE-2019-8617: anonimni istraživač

SQLite

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanim rukovanjem memorijom.

CVE-2019-8577: Omer Gull, Checkpoint Research

SQLite

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: zlonamjerni SQL upit mogao je dovesti do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8600: Omer Gull, Checkpoint Research

SQLite

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: zlonamjerne su aplikacije mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8598: Omer Gull (Checkpoint Research)

SQLite

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja

Opis: problem s oštećenjem memorije riješen je uklanjanjem koda sa slabim točkama.

CVE-2019-8602: Omer Gull (Checkpoint Research)

Traka stanja

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: na zaključanom zaslonu može se prikazivati ikona lokota nakon otključavanja

Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.

CVE-2019-8630: Jon M. Morlan

StreamingZip

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: lokalni korisnik može izmijeniti zaštićene dijelove datotečnog sustava

Opis: u rukovanju simboličkim vezama otkriven je problem s provjerom valjanosti. Taj je problem riješen poboljšanom provjerom simboličkih veza.

CVE-2019-8568: Dany Lisiansky (@DanyL931)

sysdiagnose

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8574: Dayton Pidhirney (@_watbulb), Seekintoo (@seekintoo)

WebKit

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: obradom zlonamjernog web-sadržaja može se otkriti procesna memorija

Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8607: Junho Jang i Hanul Choi (LINE Security Team)

WebKit

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2019-6237: G. Geshev u suradnji s inicijativom Zero Day tvrtke Trend Micro, Liu Long (Qihoo 360 Vulcan Team)

CVE-2019-8571: 01 u suradnji s inicijativom Zero Day tvrtke Trend Micro

CVE-2019-8583: sakura (Tencent Xuanwu Lab), jessica (@babyjess1ca_) (Tencent Keen Lab) i dwfault (ADLab, Venustech)

CVE-2019-8584: G. Geshev (MWR Labs) u suradnji s inicijativom Zero Day tvrtke Trend Micro

CVE-2019-8586: anonimni istraživač

CVE-2019-8587: G. Geshev u suradnji s inicijativom Zero Day tvrtke Trend Micro

CVE-2019-8594: Suyoung Lee i Sooel Son (KAIST Web Security & Privacy Lab) i HyungSeok Han i Sang Kil Cha (KAIST SoftSec Lab)

CVE-2019-8595: G. Geshev (MWR Labs) u suradnji s inicijativom Zero Day tvrtke Trend Micro

CVE-2019-8596: Wen Xu (SSLab, Georgia Tech)

CVE-2019-8597: 01 u suradnji s inicijativom Zero Day tvrtke Trend Micro

CVE-2019-8601: Fluoroacetate u suradnji s inicijativom Zero Day tvrtke Trend Micro

CVE-2019-8608: G. Geshev u suradnji s inicijativom Zero Day tvrtke Trend Micro

CVE-2019-8609: Wen Xu (SSLab, Georgia Tech)

CVE-2019-8610: anonimni istraživač u suradnji s inicijativom Zero Day tvrtke Trend Micro

CVE-2019-8611: Samuel Groß (Google Project Zero)

CVE-2019-8615: G. Geshev (MWR Labs) u suradnji s inicijativom Zero Day tvrtke Trend Micro

CVE-2019-8619: Wen Xu (SSLab, Georgia Tech) i Hanqing Zhao (Chaitin Security Research Lab)

CVE-2019-8622: Samuel Groß (Google Project Zero)

CVE-2019-8623: Samuel Groß (Google Project Zero)

CVE-2019-8628: Wen Xu (SSLab, Georgia Tech) i Hanqing Zhao (Chaitin Security Research Lab)

Wi-Fi

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: uređaj se može pasivno pratiti prema njegovoj Wi-Fi MAC adresi

Opis: problem privatnosti korisnika riješen je uklanjanjem MAC adrese za emitiranje.

CVE-2019-8620: David Kreitschmann i Milan Stute (Secure Mobile Networking Lab, Tehničko sveučilište Darmstadt)

Dodatna zahvala

Clang

Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero) na pomoći.

CoreFoundation

Željeli bismo zahvaliti Vozzieju i Ramiju te m4bln, Xiangqian Zhangu, Huiming Liuju (Xuanwu Lab, Tencent) na pomoći.

Kernel

Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero) i anonimnom istraživaču na pomoći.

MediaLibrary

Željeli bismo zahvaliti Angelu Ramirezu i Min (Spark) Zhengu, Xiaolong Baiju (Alibaba Inc.) na pomoći.

Mobilna instalacija

Željeli bismo zahvaliti Yiğitu Canu Yilmazu (@yilmazcanyigit) za njegovu pomoć.

Safari

Željeli bismo zahvaliti Benu Guildu (@benguild) na pomoći.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: