Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
iOS 11.3.1
Kiadási dátum: 2018. április 24.
Crash Reporter
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb hibakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2018-4206: Ian Beer (Google Project Zero)
LinkPresentation
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott szöveges üzenetek feldolgozásakor lehetőség nyílt a felhasználói felület meghamisítására.
Leírás: Kanonizálási probléma lépett fel az URL-címek kezelésekor. Hatékonyabb URL-ellenőrzéssel hárították el a problémát.
CVE-2018-4187: Zhiyang Zeng (@Wester; Tencent Security Platform Department), Roman Mueller (@faker_)
WebKit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2018-4200: Ivan Fratric (Google Project Zero)
WebKit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2018-4204: Richard Zhu (fluorescence), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként, found by OSS-Fuzz