Az iOS 12.1 biztonsági változásjegyzéke

Ez a dokumentum az iOS 12.1 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

iOS 12.1

Kiadási dátum: 2018. október 30.

AppleAVD

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Előfordult, hogy rosszindulatú videók FaceTime-on keresztül történő feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4384: Natalie Silvanovich (Google Project Zero)

Kontaktok

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott vcf-fájlok feldolgozásakor szolgáltatásmegtagadás lépett fel.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltek egy határérték-olvasási hibát.

CVE-2018-4365: anonim kutató

CoreCrypto

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A támadók a Miller-Rabin-prímtesztben fennálló rések kihasználásával helytelenül tudtak beazonosítani prímszámokat.

Leírás: Probléma állt fenn a prímszámok meghatározásához használt módszerrel. Azáltal hárítottuk el a problémát, hogy pszeudovéletlen alapokat használunk a prímszámok teszteléséhez.

CVE-2018-4398: Martin Albrecht, Jake Massimo és Kenny Paterson (Royal Holloway, University of London) és Juraj Somorovsky (Ruhr University, Bochum)

FaceTime

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A távoli támadók ki tudtak szivárogtatni memóriát.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4366: Natalie Silvanovich (Google Project Zero)

FaceTime

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A távoli támadók FaceTime-hívást tudtak kezdeményezni tetszőleges programkód végrehajtásával.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4367: Natalie Silvanovich (Google Project Zero)

Grafikus illesztőprogram

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A távoli támadók FaceTime-hívást tudtak kezdeményezni tetszőleges programkód végrehajtásával.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4384: Natalie Silvanovich (Google Project Zero)

ICU

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott karakterláncok feldolgozásakor sérült a halommemória.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4394: anonim kutató

IOHIDFamily

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4427: Pangu Team

IPSec

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy határérték-olvasási hibát.

CVE-2018-4371: Tim Michaud (@TimGMichaud; Leviathan Security Group)

Kernel

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Elhárítottunk egy memóriasérülési hibát a sebezhető kód eltávolításával.

CVE-2018-4420: Mohamed Ghannam (@_simo36)

Kernel

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4413: Juwei Lin (@panicaII; TrendMicro Mobile Security Team)

Kernel

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4419: Mohamed Ghannam (@_simo36)

Üzenetek

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott szöveges üzenetek feldolgozásakor lehetőség nyílt a felhasználói felület meghamisítására.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2018-4390: Rayyan Bijoora (@Bijoora; The City School, PAF Chapter)

CVE-2018-4391: Rayyan Bijoora (@Bijoora; The City School, PAF Chapter)

NetworkExtension

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Előfordult, hogy VPN-kiszolgálóhoz csatlakozva egy DNS-proxyhoz kerültek DNS-kérelmek.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2018-4369: anonim kutató

Megjegyzések

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A helyi támadók meg tudtak osztani elemeket a zárolt képernyőről.

Leírás: Egy zárolt képernyővel kapcsolatos hiba miatt hozzá lehetett férni a megosztási funkcióhoz a zárolt készüléken. Azáltal hárítottuk el a problémát, hogy korlátoztuk a zárolt készüléken felajánlott lehetőségek körét.

CVE-2018-4388: videosdebarraquito

Safari-olvasó

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A Safari Olvasó ártó szándékkal létrehozott weboldalon való engedélyezése webhelyek közötti, parancsfájlt alkalmazó univerzális támadásokra adott lehetőséget.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.

CVE-2018-4374: Ryan Pickren (ryanpickren.com)

Safari-olvasó

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A Safari Olvasó ártó szándékkal létrehozott weboldalon való engedélyezése webhelyek közötti, parancsfájlt alkalmazó univerzális támadásokra adott lehetőséget.

Leírás: Webhelyek közötti, parancsfájlt alkalmazó támadással összefüggő probléma állt fenn a Safari böngészőben. Hatékonyabb URL-ellenőrzéssel hárítottuk el a problémát.

CVE-2018-4377: Ryan Pickren (ryanpickren.com)

Biztonság

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Előfordult, hogy az S/MIME-aláírással ellátott üzenetek feldolgozásakor szolgáltatásmegtagadás lépett fel.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2018-4400: Yukinobu Nagayasu (LAC Co., Ltd.)

VoiceOver

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A helyi támadók adott esetben a zárolt képernyőn is meg tudták tekinteni a fényképeket.

Leírás: Egy zárolt képernyővel kapcsolatos hiba miatt hozzá lehetett férni a fényképekhez a zárolt készüléken a Válasz az Üzenetekkel funkció használatakor. Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.

CVE-2018-4387: videosdebarraquito

WebKit

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2018-4385: anonim kutató

WebKit

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2018-4372: HyungSeok Han, DongHyeon Oh és Sang Kil Cha (KAIST Softsec Lab, Korea)

CVE-2018-4373: ngg, alippai, DirtYiCE, KT (Tresorit), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2018-4375: Yu Haiwan és Wu Hongjun (Nanyang Technological University), Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2018-4376: 010, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2018-4382: lokihardt (Google Project Zero)

CVE-2018-4386: lokihardt (Google Project Zero)

CVE-2018-4392: zhunki (360 ESG Codesafe Team)

CVE-2018-4416: lokihardt (Google Project Zero)

WebKit

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webhelyek szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb bevitelellenőrzéssel elhárítottak egy erőforrásfogyással kapcsolatos hibát.

CVE-2018-4409: Sabri Haddouche (@pwnsdx; Wire Swiss GmbH)

WebKit

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor egy programkód végrehajtására került sor.

Leírás: Hatékonyabb ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4378: anonim kutató, zhunki (360 ESG Codesafe Team)

Wi-Fi

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzéssel hárítottunk el egy szolgáltatásmegtagadással kapcsolatos problémát.

CVE-2018-4368: Milan Stute és Alex Mariotto (Secure Mobile Networking Lab, Technische Universität Darmstadt)

További köszönetnyilvánítás

Tanúsítvány-aláírás

Köszönjük Yiğit Can YILMAZ (@yilmazcanyigit) segítségét.

CommonCrypto

Köszönjük egy anonim kutató segítségét.

iBooks

Köszönjük Sem Voigtländer (Fontys Hogeschool ICT) segítségét.

Biztonság

Köszönjük Marinos Bernitsas (Parachute) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: