Az iOS 11.4 biztonsági változásjegyzéke
Ez a dokumentum az iOS 11.4 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
iOS 11.4
Bluetooth
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb méretellenőrzéssel kiküszöböltünk egy puffertúlcsordulást okozó problémát.
CVE-2018-4215: Abraham Masri (@cheesecakeufo)
Bluetooth
A következőkhöz érhető el: iPhone X, iPhone 8, iPhone 8 Plus, 6. generációs iPad és iPad Air 2
Nem érinti a következőt: HomePod
Érintett terület: A magas hálózati jogosultságú támadók adott esetben hozzá tudtak férni a Bluetooth-forgalomhoz.
Leírás: Beviteli érvényesség-ellenőrzési probléma állt fenn a Bluetooth esetén. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.
CVE-2018-5383: Lior Neumann és Eli Biham
Kontaktok
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott vcf-fájlok feldolgozásakor szolgáltatásmegtagadás lépett fel.
Leírás: Ellenőrzési hiba lépett fel a telefonszámok kezelésekor. A telefonszámok hatékonyabb ellenőrzésével hárították el a problémát.
CVE-2018-4100: Abraham Masri (@cheesecakeufo)
CoreGraphics
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2018-4194: Jihui Lu (Tencent KeenLab), Yu Zhou (Ant-financial Light-Year Security Lab)
Core Bluetooth
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2018-4330: Apple
FontParser
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2018-4211: Proteas (Qihoo 360 Nirvan Team)
iBooks
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A magas hálózati jogosultságú támadók meg tudták hamisítani a jelszó megerősítésére szolgáló párbeszédpaneleket az iBooksban.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.
CVE-2018-4202: Jerry Decime
Kernel
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.
CVE-2018-4241: Ian Beer (Google Project Zero)
CVE-2018-4243: Ian Beer (Google Project Zero)
Kernel
A következőkhöz érhető el: Apple TV 4K és 4. generációs Apple TV
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2018-4249: Kevin Backhouse (Semmle Ltd.)
libxpc
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.
CVE-2018-4237: Samuel Groß (@5aelo), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
libxpc
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2018-4404: Samuel Groß (@5aelo), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
Nagyító
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Egy iOS-készülékhez fizikai hozzáféréssel rendelkező személy a zárolt képernyőn meg tudta tekinteni a Nagyítóban használt legutolsó képet.
Leírás: Engedélyezési hiba állt fenn a Nagyítóban. További engedély-ellenőrzésekkel hárítottuk el a problémát.
CVE-2018-4239: anonim kutató
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy a támadók ki tudták szivárogtatni az S/MIME-titkosítású e-mailek tartalmát.
Leírás: Hiba lépett fel a Mailben a titkosított levelek kezelésekor. A Mailben a MIME hatékonyabb izolációjával hárult el a probléma.
CVE-2018-4227: Damian Poddebniak (Münster University of Applied Sciences), Christian Dresen (Münster University of Applied Sciences), Jens Müller (Ruhr University Bochum), Fabian Ising (Münster University of Applied Sciences), Sebastian Schinzel (Münster University of Applied Sciences), Simon Friedberger (KU Leuven), Juraj Somorovsky (Ruhr University Bochum), Jörg Schwenk (Ruhr University Bochum)
Üzenetek
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A helyi felhasználók személyes adatok eltulajdonítására irányuló támadásokat tudtak végrehajtani.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárult egy beszúrási probléma.
CVE-2018-4235: Anurodh Pokharel (Salesforce.com)
Üzenetek
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott üzenetek feldolgozásakor szolgáltatásmegtagadás lépett fel.
Leírás: Az üzenetek hatékonyabb ellenőrzésével hárítottuk el a problémát.
CVE-2018-4240: Sriram (@Sri_Hxor; PrimeFort Pvt. Ltd)
CVE-2018-4250: Metehan Yılmaz (Sesim Sarpkaya)
Safari
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webhelyek szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb ellenőrzéssel hárítottunk el egy szolgáltatásmegtagadással kapcsolatos problémát.
CVE-2018-4247: François Renaud, Jesse Viviano (Verizon Enterprise Solutions)
Biztonság
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A rosszindulatú webhelyek nyomon tudták követni a felhasználókat klienstanúsítványok segítségével.
Leírás: Hiba lépett fel az S-MIME-tanúsítványok kezelésekor. Az S-MIME-tanúsítványok hatékonyabb ellenőrzésével hárult el a probléma.
CVE-2018-4221: Damian Poddebniak (Münster University of Applied Sciences), Christian Dresen (Münster University of Applied Sciences), Jens Müller (Ruhr University Bochum), Fabian Ising (Münster University of Applied Sciences), Sebastian Schinzel (Münster University of Applied Sciences), Simon Friedberger (KU Leuven), Juraj Somorovsky (Ruhr University Bochum), Jörg Schwenk (Ruhr University Bochum)
Biztonság
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy a helyi felhasználók olvasni tudták az állandó fiókazonosítókat.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.
CVE-2018-4223: Abraham Masri (@cheesecakeufo)
Biztonság
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy a helyi felhasználók olvasni tudták az állandó készülékazonosítókat.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.
CVE-2018-4224: Abraham Masri (@cheesecakeufo)
Biztonság
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A helyi felhasználók módosítani tudták a Kulcskarika állapotát.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.
CVE-2018-4225: Abraham Masri (@cheesecakeufo)
Biztonság
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A helyi felhasználók meg tudtak tekinteni bizalmas jellegű felhasználói információkat.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.
CVE-2018-4226: Abraham Masri (@cheesecakeufo)
Siri
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Egy iOS-készülékhez fizikai hozzáféréssel rendelkező személy aktiválni tudta Sirit a zárolt képernyőről.
Leírás: Hiba állt fenn a Siri-engedélyekkel. Az engedélyek hatékonyabb ellenőrzésével hárították el a problémát.
CVE-2018-4238: Baljinder Singh, Muhammad khizer javed, Onur Can BIKMAZ (@CanBkmaz; Mustafa Kemal University)
Siri
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező személyek a Siri segítségével el tudták olvasni az olyan tartalmakhoz kapcsolódó értesítéseket, amelyek esetén az volt beállítva, hogy ne jelenjenek meg a zárolt képernyőn.
Leírás: Hiba állt fenn a Siri-engedélyekkel. Az engedélyek hatékonyabb ellenőrzésével hárították el a problémát.
CVE-2018-4252: Hunter Byrnes, Martin Winkelmann (@Winkelmannnn)
Siri Kontaktok
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező támadó adott esetben meg tudott tekinteni magánjellegű kontaktadatokat.
Leírás: Hiba állt fenn a Siri-engedélyekkel. Az engedélyek hatékonyabb ellenőrzésével hárították el a problémát.
CVE-2018-4244: anonim kutató
UIKit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott szöveges fájlok feldolgozásakor szolgáltatásmegtagadás lépett fel.
Leírás: Ellenőrzési hiba lépett fel a szövegek kezelésekor. A szövegek hatékonyabb ellenőrzésével hárítottuk el a problémát.
CVE-2018-4198: Hunter Byrnes
WebKit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.
CVE-2018-4188: YoKo Kho (@YoKoAcc; Mitra Integrasi Informatika, PT)
WebKit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.
CVE-2018-4201: anonim kutató
CVE-2018-4218: natashenka (Google Project Zero)
CVE-2018-4233: Samuel Groß (@5aelo), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
WebKit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.
CVE-2018-4199: Alex Plaskett, Georgi Geshev és Fabi Beterke (MWR Labs), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
WebKit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor a sütik felülírására került sor.
Leírás: Engedélyezési hiba lépett fel a webböngészősütik kezelésekor. Hatékonyabb korlátozásokkal hárították el a problémát.
CVE-2018-4232: anonim kutató, Aymeric Chaib
WebKit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.
CVE-2018-4192: Markus Gaasedelen, Amy Burnett és Patrick Biernat (Ret2 Systems, Inc), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőiként
WebKit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2018-4214: megtaláló: OSS-Fuzz
WebKit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2018-4204: az OSS-Fuzz és Richard Zhu (fluorescence) fedezte fel, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
WebKit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.
CVE-2018-4246: megtaláló: OSS-Fuzz
WebKit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy ártó szándékkal létrehozott webhelyek meglátogatásakor kiszivárogtak bizalmas jellegű adatok.
Leírás: A rendszer váratlanul elküldte a hitelesítő adatokat a CSS-maszkképek beolvasásakor. CORS-kompatibilis beolvasási módszer alkalmazásával hárult el a probléma.
CVE-2018-4190: Jun Kokatsu (@shhnjk)
WebKit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2018-4222: natashenka (Google Project Zero)
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.