Informacije o sigurnosnom sadržaju sustava iOS 12.4

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 12.4.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 12.4

Objavljeno 22. srpnja 2019.

Bluetooth

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji

Utjecaj: napadač s položaja privilegirane mreže može presresti Bluetooth promet (Key Negotiation of Bluetooth - KNOB)

Opis: na Bluetooth mreži otkriven je problem s provjerom valjanosti unosa. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-9506: Daniele Antonioli s SUTD-a, Singapur, dr. Nils Ole Tippenhauer iz CISPA-e, Njemačka i prof. Kasper Rasmussen sa Sveučilišta u Oxfordu, Engleska

Unos je dodan 13. kolovoza 2019.

Temeljni podaci

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji

Učinak: udaljeni napadač može probiti memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8646: Natalie Silvanovich (Google Project Zero)

Temeljni podaci

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji

Učinak: udaljeni napadač može uzrokovati arbitrarno izvršavanje koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8647: Samuel Groß i Natalie Silvanovich (Google Project Zero)

Temeljni podaci

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji

Učinak: udaljeni napadač može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8660: Samuel Groß i Natalie Silvanovich (Google Project Zero)

FaceTime

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji

Učinak: udaljeni napadač može uzrokovati arbitrarno izvršavanje koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8648: Tao Huang i Tielei Wang (tim Pangu)

Pronađeno u aplikacijama

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji

Učinak: udaljeni napadač može probiti memoriju

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2019-8663: Natalie Silvanovich (Google Project Zero)

Heimdal

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji

Učinak: u sustavu Samba postojao je problem koji je omogućivao napadačima izvršavanje neovlaštenih postupaka presretanjem komunikacija između usluga

Opis: taj je problem riješen poboljšanim provjerama za sprječavanje neovlaštenih postupaka.

CVE-2018-16860: Isaac Boukris i Andrew Bartlett (Samba Team i Catalyst)

libxslt

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji

Učinak: udaljeni napadač može vidjeti povjerljive podatke

Opis: problem s prekoračenjem stoga riješen je poboljšanom provjerom valjanosti ulaznih vrijednosti.

CVE-2019-13118: otkrio OSS-Fuzz

Poruke

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji

Učinak: udaljeni napadač može uzrokovati neočekivano zatvaranje aplikacije

Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti.

CVE-2019-8665: Michael Hernandez (XYZ Marketing)

Profili

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji

Opis: zlonamjerna aplikacija može ograničiti pristup web-stranicama

Opis: postojao je problem s provjerom valjanosti u provjeri valjanosti ovlasti. Taj je problem riješen poboljšanom provjerom valjanosti ovlasti za taj postupak.

CVE-2019-8698: Luke Deshotels, Jordan Beichler i William Enck (Državno sveučilište Sjeverna Karolina); Costin Carabaș i Răzvan Deaconescu (Politehničko sveučilište u Bukureštu)

Brzi pregled

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji

Učinak: napadač može pokrenuti upotrebu nakon besplatne probe u aplikaciji deserijalizirajući nepouzdani NSDictionary

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2019-8662: Natalie Silvanovich i Samuel Groß (Google Project Zero)

Siri

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji

Učinak: udaljeni napadač može probiti memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8646: Natalie Silvanovich (Google Project Zero)

Telefonija

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji

Učinak: pokretač telefonskog poziva može izazvati da primatelj odgovori na simultanu voki-toki vezu

Opis: postojao je logički problem prilikom javljanja na telefonske pozive. Taj je problem je riješen poboljšanim upravljanjem stanjem.

CVE-2019-8699: Marius Alexandru Boeru (@mboeru) i anonimni istraživač

Unos je ažuriran 25. srpnja 2019.

UIFoundation

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji

Učinak: raščlanjivanjem zlonamjernih dokumenata sustava Office može doći do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8657: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)

Wallet

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji

Učinak: korisnik može nehotice izvršiti kupnju unutar aplikacije na zaključanom zaslonu

Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.

CVE-2019-8682: Jeff Braswell (JeffBraswell.com)

WebKit

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: postojao je logički problem u rukovanju učitavanjima dokumenata. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2019-8690: Sergei Glazunov (Google Project Zero)

WebKit

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: postojao je logički problem u rukovanju sinkronim učitavanjima stranica. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2019-8649: Sergei Glazunov (Google Project Zero)

WebKit

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8658: akayn u suradnji s inicijativom Zero Day (Trend Micro)

WebKit

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2019-8644: G. Geshev u suradnji s inicijativom Zero Day (Trend Micro)

CVE-2019-8666: Zongming Wang (王宗明) i Zhe Jin (金哲) (Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.)

CVE-2019-8669: akayn u suradnji s inicijativom Zero Day (Trend Micro)

CVE-2019-8671: Apple

CVE-2019-8672: Samuel Groß (Google Project Zero)

CVE-2019-8673: Soyeon Park i Wen Xu (SSLab, Georgia Tech)

CVE-2019-8676: Soyeon Park i Wen Xu (SSLab, Georgia Tech)

CVE-2019-8677: Jihui Lu (Tencent KeenLab)

CVE-2019-8678: Anthony Lai ((@darkfloyd1014), Knownsec), Ken Wong ((@wwkenwong), VXRL), Jeonghoon Shin ((@singi21a), Theori), Johnny Yu ((@straight_blast), VX Browser Exploitation Group), Chris Chan ((@dr4g0nfl4me), VX Browser Exploitation Group), Phil Mok ((@shadyhamsters), VX Browser Exploitation Group), Alan Ho ((@alan_h0), Knownsec), Byron Wai (VX Browser Exploitation), P1umer (ADLab, Venustech)

CVE-2019-8679: Jihui Lu (Tencent KeenLab)

CVE-2019-8680: Jihui Lu (Tencent KeenLab)

CVE-2019-8681: G. Geshev u suradnji s inicijativom Zero Day (Trend Micro)

CVE-2019-8683: lokihardt (Google Project Zero)

CVE-2019-8684: lokihardt (Google Project Zero)

CVE-2019-8685: akayn, Dongzhuo Zhao u suradnji s laboratorijem ADLab (Venustech), Ken Wong ((@wwkenwong), VXRL), Anthony Lai ((@darkfloyd1014), VXRL) i Eric Lung ((@Khlung1), VXRL)

CVE-2019-8686: G. Geshev u suradnji s inicijativom Zero Day (Trend Micro)

CVE-2019-8687: Apple

CVE-2019-8688: Insu Yun (SSLab, Georgia Tech)

CVE-2019-8689: lokihardt (Google Project Zero)

Unos ažuriran 11. rujna 2019.

Dodatna zahvala

Game Center

Željeli bismo zahvaliti Minu (Spark) Zhengu i Xiaolongu Baiju (Alibaba Inc.) na pomoći.

Mobilna instalacija

Željeli bismo zahvaliti Danyju Lisianskyju (@DanyL931) na pomoći.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: