Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
iOS 11.1
Kiadási dátum: 2017. október 31.
CoreText
A következőkhöz érhető el: iPhone 5 és újabb, és iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott szövegfájlok feldolgozása váratlan alkalmazásleálláshoz vezetett.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy szolgáltatásmegtagadással kapcsolatos problémát.
CVE-2017-13849: Ro (SavSec)
Kernel
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2017-13799: Lufeng Li (Qihoo 360 Vulcan Team)
Bejegyzés frissítve 2017. november 10-én.
Kernel
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A rosszindulatú alkalmazások információkat tudtak szerezni a készüléken lévő egyéb alkalmazások jelenlétéről és működéséről.
Leírás: Az alkalmazások korlátlanul hozzá tudtak férni az operációs rendszer által kezelt folyamatinformációkhoz. Gyakoriságkorlátozással küszöbölték ki a problémát.
CVE-2017-13852: Xiaokuan Zhang és Yinqian Zhang (Ohio State University), Xueqiang Wang és XiaoFeng Wang (Indiana University Bloomington) és Xiaolong Bai (Tsinghua University)
Bejegyzés hozzáadva 2017. november 10-én.
Üzenetek
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező személyek a zárolt képernyőről hozzá tudtak férni a fényképekhez.
Leírás: Egy zárolt képernyővel kapcsolatos hiba miatt hozzá lehetett férni a fényképekhez a zárolt készüléken a Válasz az Üzenetekkel funkció használatakor. Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.
CVE-2017-13844: Miguel Alvarado (iDeviceHelp INC)
Siri
A következőkhöz érhető el: iPhone 5 és újabb, és iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező személyek a Siri segítségével el tudták olvasni az olyan tartalmakhoz kapcsolódó értesítéseket, amelyek esetén az volt beállítva, hogy ne jelenjenek meg a zárolt képernyőn.
Leírás: Hiba állt fenn a Siri-engedélyekkel. Az engedélyek hatékonyabb ellenőrzésével hárították el a problémát.
CVE-2017-13805: Yiğit Can YILMAZ (@yilmazcanyigit), Ayden Panhuyzen (madebyayden.co)
A bejegyzés frissítve: 2018. június 14.
StreamingZip
A következőkhöz érhető el: iPhone 5 és újabb, és iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A rosszindulatú zip-fájlok módosítani tudták a fájlrendszer korlátozott területeit.
Leírás: Hatékonyabb ellenőrzéssel elhárítottak egy útvonalkezelési hibát.
CVE-2017-13804: @qwertyoruiopz (KJC Research Intl.) S.R.L.
UIKit
A következőkhöz érhető el: iPhone 5 és újabb, és iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Fel lehetett fedni a biztonságos szövegmezőkben lévő karaktereket.
Leírás: Fókuszváltáskor megjelentek a biztonságos szövegmezőkben lévő karakterek. Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.
CVE-2017-7113: anonim kutató, Duraiamuthan Harikrishnan (Tech Mahindra), Ricardo Sampayo (Bemo Ltd)
WebKit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.
CVE-2017-13783: Ivan Fratric (Google Project Zero)
CVE-2017-13784: Ivan Fratric (Google Project Zero)
CVE-2017-13785: Ivan Fratric (Google Project Zero)
CVE-2017-13791: Ivan Fratric (Google Project Zero)
CVE-2017-13792: Ivan Fratric (Google Project Zero)
CVE-2017-13793: Hanul Choi, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2017-13794: Ivan Fratric (Google Project Zero)
CVE-2017-13795: Ivan Fratric (Google Project Zero)
CVE-2017-13796: Ivan Fratric (Google Project Zero)
CVE-2017-13797: Ivan Fratric (Google Project Zero)
CVE-2017-13798: Ivan Fratric (Google Project Zero)
CVE-2017-13788: xisigr (Tencent; Xuanwu Lab; tencent.com)
CVE-2017-13802: Ivan Fratric (Google Project Zero)
CVE-2017-13803: chenqin (陈钦; Ant-financial Light-Year Security)
Bejegyzés frissítve: 2017. december 21.
Wi-Fi
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus és iPhone X
Nem érinti a következőket: iPhone 7, iPhone 7 Plus, iPhone 6s, iPhone 6s Plus, iPhone 6, iPhone 6 Plus, iPhone SE, iPhone 5s, iPad Air és újabb modellek, valamint 6. generációs iPod touch
Érintett terület: A Wi-Fi-hatókörön belül tartózkodó támadók ki tudták kényszeríteni az egyszeri kulcsok ismételt használatát a WPA-s unicast-/PTK-kliensekben (Key Reinstallation Attacks – KRACK)
Leírás: Logikai probléma lépett fel az állapotváltások kezelésekor. Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.
CVE-2017-13077: Mathy Vanhoef (imec-DistriNet csoport, KU Leuven)
CVE-2017-13078: Mathy Vanhoef (imec-DistriNet csoport, KU Leuven)
Bejegyzés frissítve 2017. november 3-án.
Wi-Fi
A következőkhöz érhető el: iPhone 7 és újabb, iPad Pro (9,7 hüvelykes, 2016 eleje és újabb)
Érintett terület: A Wi-Fi-hatókörön belül tartózkodó támadók ki tudták kényszeríteni az egyszeri kulcsok ismételt használatát a WPA-s multicast-/GTK-kliensekben (Key Reinstallation Attacks – KRACK).
Leírás: Logikai probléma lépett fel az állapotváltások kezelésekor. Hatékonyabb állapotkezeléssel küszöböltuk ki a problémát.
CVE-2017-13080: Mathy Vanhoef (imec-DistriNet csoport, KU Leuven)
Bejegyzés frissítve 2017. november 3-án.