Az iOS 11.4.1 biztonsági változásjegyzéke

Ez a dokumentum az iOS 11.4.1 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

iOS 11.4.1

Kiadási dátum: 2018. július 9.

CFNetwork

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Időnként váratlanul megmaradtak a sütik a Safariban.

Leírás: Hatékonyabb ellenőrzésekkel hárítottunk el egy sütikezelési problémát.

CVE-2018-4293: anonim kutató

Core Bluetooth

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4327: Apple

Bejegyzés hozzáadva: 2018. augusztus 8.

Emoji

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Bizonyos konfigurációk esetén szolgáltatásmegtagadás lépett fel emojik feldolgozásakor.

Leírás: Elhárítottunk egy szolgáltatásmegtagadással kapcsolatos problémát hatékonyabb memóriakezeléssel.

CVE-2018-4290: Patrick Wardle (Digita Security)

Kernel

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Előfordult, hogy a helyi felhasználók olvasni tudták a kernelmemóriát.

Leírás: Egy határérték-olvasási hiba miatt felfedhető volt a kernelmemória tartalma. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2018-4282: Adam Donenfeld (@doadam) (Zimperium zLabs Team), Proteas (Qihoo 360 Nirvan Team)

A bejegyzés frissítve: 2018. október 18.

libxpc

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4280: Brandon Azad

libxpc

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határérték-olvasási hibát.

CVE-2018-4248: Brandon Azad

LinkPresentation

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: Kanonizálási probléma lépett fel az URL-címek kezelésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2018-4277: xisigr (Tencent; Xuanwu Lab; tencent.com)

Telefon

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások adott esetben megkerülhetik a hívásmegerősítési felszólítást

Leírás: Logikai probléma lépett fel a hívás-URL-ek kezelésekor. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2018-4216: Abraham Masri (@cheesecakeufo)

Bejegyzés hozzáadva: 2018. október 18.

WebKit

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webhelyek ki tudtak szivárogtatni hangadatokat különböző forrásokból.

Leírás: Különböző forrásokból ki lehetett szivárogtatni hangelemeken keresztül beolvasott hangot. A hangszennyezés hatékonyabb felügyeletével hárítottuk el a problémát.

CVE-2018-4278: Jun Kokatsu (@shhnjk)

WebKit

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webhelyek szolgáltatásmegtagadást tudtak előidézni.

Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.

CVE-2018-4266: az OSS-Fuzz fedezte fel

WebKit

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: Kanonizálási probléma lépett fel az URL-címek kezelésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2018-4274: anonim kutató

WebKit

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4270: az OSS-Fuzz fedezte fel

WebKit

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy típustévesztési hibát.

CVE-2018-4284: az OSS-Fuzz fedezte fel

A bejegyzés frissítve: 2018. október 18.

WebKit

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2018-4261: Omair, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2018-4262: Mateusz Krzywicki, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2018-4263: Arayz, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2018-4264: megtaláló: OSS-Fuzz, Yu Zhou és Jundong Xie (Ant-financial Light-Year Security Lab)

CVE-2018-4265: cc, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2018-4267: Arayz (Pangu team), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2018-4272: az OSS-Fuzz fedezte fel

WebKit

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk több memóriasérüléssel kapcsolatos problémát.

CVE-2018-4271: az OSS-Fuzz fedezte fel

CVE-2018-4273: az OSS-Fuzz fedezte fel

WebKit-oldalbetöltés

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2018-4260: xisigr (Tencent; Xuanwu Lab; tencent.com)

Wi-Fi

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások adott esetben ki tudtak törni a sandboxból.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4275: Brandon Azad

További köszönetnyilvánítás

Kernel

Köszönjük juwei lin (@panicaII; Trend Micro) segítségét, aki a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként dolgozik.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: