Az iOS 11.4.1 biztonsági változásjegyzéke
Ez a dokumentum az iOS 11.4.1 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
iOS 11.4.1
CFNetwork
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Időnként váratlanul megmaradtak a sütik a Safariban.
Leírás: Hatékonyabb ellenőrzésekkel hárítottunk el egy sütikezelési problémát.
CVE-2018-4293: anonim kutató
Core Bluetooth
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2018-4327: Apple
Emoji
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Bizonyos konfigurációk esetén szolgáltatásmegtagadás lépett fel emojik feldolgozásakor.
Leírás: Elhárítottunk egy szolgáltatásmegtagadással kapcsolatos problémát hatékonyabb memóriakezeléssel.
CVE-2018-4290: Patrick Wardle (Digita Security)
Kernel
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy a helyi felhasználók olvasni tudták a kernelmemóriát.
Leírás: Egy határérték-olvasási hiba miatt felfedhető volt a kernelmemória tartalma. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.
CVE-2018-4282: Adam Donenfeld (@doadam) (Zimperium zLabs Team), Proteas (Qihoo 360 Nirvan Team), Valentin „slashd” Shilnenkov
libxpc
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2018-4280: Brandon Azad
libxpc
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A rosszindulatú alkalmazások olvasni tudták a korlátozott memóriát.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határérték-olvasási hibát.
CVE-2018-4248: Brandon Azad
LinkPresentation
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.
Leírás: Kanonizálási probléma lépett fel az URL-címek kezelésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.
CVE-2018-4277: xisigr (Tencent; Xuanwu Lab; tencent.com)
Telefon
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A rosszindulatú alkalmazások adott esetben megkerülhetik a hívásmegerősítési felszólítást
Leírás: Logikai probléma lépett fel a hívás-URL-ek kezelésekor. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2018-4216: Abraham Masri (@cheesecakeufo)
WebKit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webhelyek ki tudtak szivárogtatni hangadatokat különböző forrásokból.
Leírás: Különböző forrásokból ki lehetett szivárogtatni hangelemeken keresztül beolvasott hangot. A hangszennyezés hatékonyabb felügyeletével hárítottuk el a problémát.
CVE-2018-4278: Jun Kokatsu (@shhnjk)
WebKit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webhelyek szolgáltatásmegtagadást tudtak előidézni.
Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.
CVE-2018-4266: az OSS-Fuzz fedezte fel
WebKit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.
Leírás: Kanonizálási probléma lépett fel az URL-címek kezelésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.
CVE-2018-4274: anonim kutató
WebKit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2018-4270: az OSS-Fuzz fedezte fel
WebKit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy típustévesztési hibát.
CVE-2018-4284: az OSS-Fuzz fedezte fel
WebKit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.
CVE-2018-4261: Omair, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2018-4262: Mateusz Krzywicki, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2018-4263: Arayz, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2018-4264: megtaláló: OSS-Fuzz, Yu Zhou és Jundong Xie (Ant-financial Light-Year Security Lab)
CVE-2018-4265: cc, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2018-4267: Arayz (Pangu team), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2018-4272: az OSS-Fuzz fedezte fel
WebKit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk több memóriasérüléssel kapcsolatos problémát.
CVE-2018-4271: az OSS-Fuzz fedezte fel
CVE-2018-4273: az OSS-Fuzz fedezte fel
WebKit-oldalbetöltés
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.
CVE-2018-4260: xisigr (Tencent; Xuanwu Lab; tencent.com)
Wi-Fi
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A rosszindulatú alkalmazások adott esetben ki tudtak törni a sandboxból.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2018-4275: Brandon Azad
További köszönetnyilvánítás
Kernel
Köszönjük juwei lin (@panicaII; Trend Micro) segítségét, aki a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként dolgozik.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.