Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
iOS 12.4
Objavljeno 22. srpnja 2019.
Bluetooth
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji
Utjecaj: napadač s položaja privilegirane mreže može presresti Bluetooth promet (Key Negotiation of Bluetooth - KNOB)
Opis: na Bluetooth mreži otkriven je problem s provjerom valjanosti unosa. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-9506: Daniele Antonioli s SUTD-a, Singapur, dr. Nils Ole Tippenhauer iz CISPA-e, Njemačka i prof. Kasper Rasmussen sa Sveučilišta u Oxfordu, Engleska
Izmjene za ovo izdanje rješavaju probleme za CVE-2020-10135.
Unos je dodan 13. kolovoza 2019., ažurirano 25. lipnja 2020.
Temeljni podaci
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji
Učinak: udaljeni napadač može probiti memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8646: natashenka (Google Project Zero)
Temeljni podaci
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji
Učinak: udaljeni napadač može uzrokovati arbitrarno izvršavanje koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8647: Samuel Groß i natashenka (Google Project Zero)
Temeljni podaci
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji
Učinak: udaljeni napadač može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8660: Samuel Groß i natashenka (Google Project Zero)
FaceTime
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji
Učinak: udaljeni napadač može uzrokovati arbitrarno izvršavanje koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8648: Tao Huang i Tielei Wang (tim Pangu)
Pronađeno u aplikacijama
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji
Učinak: udaljeni napadač može probiti memoriju
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2019-8663: natashenka (Google Project Zero)
Game Center
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji
Učinak: lokalni korisnik može čitati trajni identifikator računa
Opis: problem je riješen novim ovlastima.
CVE-2019-8702: Min (Spark) Zheng i Xiaolong Bai (Alibaba Inc.)
Unos dodan 24. veljače 2020.
Heimdal
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji
Učinak: u sustavu Samba postojao je problem koji je omogućivao napadačima izvršavanje neovlaštenih postupaka presretanjem komunikacija između usluga
Opis: taj je problem riješen poboljšanim provjerama za sprječavanje neovlaštenih postupaka.
CVE-2018-16860: Isaac Boukris i Andrew Bartlett (Samba Team i Catalyst)
Obrada slika
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji
Učinak: obrada zlonamjerne slike može izazvati odbijanje usluge
Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti.
CVE-2019-8668: anonimni istraživač
Unos je dodan 8. listopada 2019.
libxslt
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji
Učinak: udaljeni napadač može vidjeti povjerljive podatke
Opis: problem s prekoračenjem stoga riješen je poboljšanom provjerom valjanosti ulaznih vrijednosti.
CVE-2019-13118: otkrio OSS-Fuzz
Poruke
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji
Učinak: udaljeni napadač može uzrokovati neočekivano zatvaranje aplikacije
Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti.
CVE-2019-8665: Michael Hernandez (XYZ Marketing)
Profili
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji
Opis: zlonamjerna aplikacija može ograničiti pristup web-stranicama
Opis: postojao je problem s provjerom valjanosti u provjeri valjanosti ovlasti. Taj je problem riješen poboljšanom provjerom valjanosti ovlasti za taj postupak.
CVE-2019-8698: Luke Deshotels, Jordan Beichler i William Enck (Državno sveučilište Sjeverna Karolina); Costin Carabaș i Răzvan Deaconescu (Politehničko sveučilište u Bukureštu)
Brzi pregled
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji
Učinak: napadač može pokrenuti upotrebu nakon besplatne probe u aplikaciji deserijalizirajući nepouzdani NSDictionary
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2019-8662: natashenka i Samuel Groß (Google Project Zero)
Siri
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji
Učinak: udaljeni napadač može probiti memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8646: natashenka (Google Project Zero)
Telefonija
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji
Učinak: pokretač telefonskog poziva može izazvati da primatelj odgovori na simultanu voki-toki vezu
Opis: postojao je logički problem prilikom javljanja na telefonske pozive. Taj je problem je riješen poboljšanim upravljanjem stanjem.
CVE-2019-8699: Marius Alexandru Boeru (@mboeru) i anonimni istraživač
Unos je ažuriran 25. srpnja 2019.
UIFoundation
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji
Učinak: raščlanjivanjem zlonamjernih dokumenata sustava Office može doći do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8657: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)
Wallet
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji
Učinak: korisnik može nehotice izvršiti kupnju unutar aplikacije na zaključanom zaslonu
Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.
CVE-2019-8682: Jeff Braswell (JeffBraswell.com)
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: postojao je logički problem u rukovanju učitavanjima dokumenata. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2019-8690: Sergei Glazunov (Google Project Zero)
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: postojao je logički problem u rukovanju sinkronim učitavanjima stranica. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2019-8649: Sergei Glazunov (Google Project Zero)
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8658: akayn u suradnji s inicijativom Zero Day (Trend Micro)
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2019-8644: G. Geshev u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8666: Zongming Wang (王宗明) i Zhe Jin (金哲) (Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.)
CVE-2019-8669: akayn u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8671: Apple
CVE-2019-8672: Samuel Groß (Google Project Zero)
CVE-2019-8673: Soyeon Park i Wen Xu (SSLab, Georgia Tech)
CVE-2019-8676: Soyeon Park i Wen Xu (SSLab, Georgia Tech)
CVE-2019-8677: Jihui Lu (Tencent KeenLab)
CVE-2019-8678: Anthony Lai ((@darkfloyd1014), Knownsec), Ken Wong ((@wwkenwong), VXRL), Jeonghoon Shin ((@singi21a), Theori), Johnny Yu ((@straight_blast), VX Browser Exploitation Group), Chris Chan ((@dr4g0nfl4me), VX Browser Exploitation Group), Phil Mok ((@shadyhamsters), VX Browser Exploitation Group), Alan Ho ((@alan_h0), Knownsec), Byron Wai (VX Browser Exploitation), P1umer (ADLab, Venustech)
CVE-2019-8679: Jihui Lu (Tencent KeenLab)
CVE-2019-8680: Jihui Lu (Tencent KeenLab)
CVE-2019-8681: G. Geshev u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8683: lokihardt (Google Project Zero)
CVE-2019-8684: lokihardt (Google Project Zero)
CVE-2019-8685: akayn, Dongzhuo Zhao u suradnji s laboratorijem ADLab (Venustech), Ken Wong ((@wwkenwong), VXRL), Anthony Lai ((@darkfloyd1014), VXRL) i Eric Lung ((@Khlung1), VXRL)
CVE-2019-8686: G. Geshev u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8687: Apple
CVE-2019-8688: Insu Yun (SSLab, Georgia Tech)
CVE-2019-8689: lokihardt (Google Project Zero)
Unos ažuriran 11. rujna 2019.
Dodatna zahvala
Game Center
Željeli bismo zahvaliti Minu (Spark) Zhengu i Xiaolongu Baiju (Alibaba Inc.) na pomoći.
Mobilna instalacija
Željeli bismo zahvaliti Danyju Lisianskyju (@DanyL931) na pomoći.