Az iOS 12.1.1 biztonsági változásjegyzéke

Ez a dokumentum az iOS 12.1.1 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

iOS 12.1.1

Kiadási dátum: 2018. december 5.

Airport

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2018-4303: Mohamed Ghannam (@_simo36)

Lemezképek

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4465: Pangu Team

FaceTime

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A helyi támadók adott esetben a zárolt képernyőn is meg tudtak tekinteni kontaktokat.

Leírás: Egy zárolt képernyővel kapcsolatos hiba miatt hozzá lehetett férni a kontaktokhoz a zárolt készüléken. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2018-4430: videosdebarraquito

File Provider

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások információkat tudtak szerezni a készüléken lévő egyéb alkalmazások jelenlétéről

Leírás: A jogosultságok megadásának javításával hárítottuk el a problémát.

CVE-2018-4446: Luke Deshotels, Jordan Beichler és William Enck (North Carolina State)

University; Costin Carabaș és Răzvan Deaconescu (University POLITEHNICA, Bucharest)

Kernel

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Előfordult, hogy a helyi felhasználók olvasni tudták a kernelmemóriát.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2018-4431: Egy független biztonsági kutató jelentette ezt a biztonsági rést a Beyond Security által vezetett SecuriTeam Secure Disclosure programnak

CVE-2018-4448: Brandon Azad

Bejegyzés hozzáadva: 2019. június 24.

Kernel

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Elhárítottunk egy szolgáltatásmegtagadási hibát a sebezhető kód eltávolításával.

CVE-2018-4460: Kevin Backhouse (Semmle Security Research Team)

Kernel

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Előfordult, hogy a helyi felhasználók olvasni tudták a kernelmemóriát.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2018-4431: Egy független biztonsági kutató jelentette ezt a biztonsági rést a Beyond Security által vezetett SecuriTeam Secure Disclosure programnak

Bejegyzés frissítve: 2018. december 18.

Kernel

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2018-4435: Jann Horn (Google Project Zero), Juwei Lin(@panicaII) és Junzhi Lu (TrendMicro Mobile Security Team), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés frissítve: 2018. december 18.

Kernel

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4447: Juwei Lin(@panicaII) és Zhengyu Dong (TrendMicro Mobile Security Team), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés frissítve: 2018. december 18.

Kernel

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4461: Ian Beer (Google Project Zero)

LinkPresentation

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott e-mailek feldolgozásakor meghamisítható volt a felhasználói felület.

Leírás: Kanonizálási probléma lépett fel az URL-címek kezelésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2018-4429: Victor Le Pochat (imec-DistriNet, KU Leuven)

Profilok

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Előfordult, hogy a nem megbízható konfigurációs profilok ellenőrzött profilokként jelentek meg.

Leírás: Tanúsítványhitelesítési probléma állt fenn a konfigurációs profilokban. További ellenőrzésekkel hárítottuk el a problémát.

CVE-2018-4436: James Seeley @Code4iOS, Joseph S. (JJS Securities)

Bejegyzés frissítve: 2018. december 18.

Safari

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a felhasználói felület.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.

CVE-2018-4439: xisigr (Tencent; Xuanwu Lab; tencent.com)

Safari

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2018-4440: Wenxu Wu (Tencent Security Xuanwu Lab; xlab.tencent.com)

Safari

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Előfordult, hogy a felhasználó nem tudta teljes mértékben törölni a böngészési előzményeket.

Leírás: Az „Előzm. és webhelyadatok törlése” funkció nem törölte az előzményeket. Az adattörlés javításával küszöböltük ki a problémát.

CVE-2018-4445: William Breuer

VoiceOver

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A helyi támadók meg tudtak osztani elemeket a zárolt képernyőről.

Leírás: Egy zárolt képernyővel kapcsolatos hiba miatt hozzá lehetett férni a megosztási funkcióhoz a zárolt készüléken. Azáltal hárítottuk el a problémát, hogy korlátoztuk a zárolt készüléken felajánlott lehetőségek körét.

CVE-2018-4428: videosdebarraquito

Bejegyzés hozzáadva: 2019. január 22.

WebKit

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4441: lokihardt (Google Project Zero)

CVE-2018-4442: lokihardt (Google Project Zero)

CVE-2018-4443: lokihardt (Google Project Zero)

WebKit

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Memóriasérülést kiváltó logikai probléma állt fenn. Hatékonyabb állapotkezeléssel küszöböltuk ki a problémát.

CVE-2018-4438: lokihardt (Google Project Zero), Qixun Zhao (Qihoo 360 Vulcan Team)

A bejegyzés frissítve: 2019. január 22.

WebKit

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Előfordult, hogy ártó szándékkal létrehozott webhelyek meglátogatásakor kiszivárogtak bizalmas jellegű adatok.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2018-4444: James Lee (@Windowsrcer; S2SWWW; s2swww.com)

Bejegyzés hozzáadva: 2019. április 3.

WebKit

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2018-4437: HyungSeok Han, DongHyeon Oh és Sang Kil Cha (KAIST Softsec Lab, Korea)

CVE-2018-4464: HyungSeok Han, DongHyeon Oh és Sang Kil Cha (KAIST Softsec Lab, Korea)

További köszönetnyilvánítás

Profilok

Köszönjük Luke Deshotels, Jordan Beichler és William Enck (North Carolina State University), valamint Costin Carabaș és Răzvan Deaconescu (University POLITEHNICA, Bucharest) segítségét.

SafariViewController

Köszönjük Yiğit Can YILMAZ (@yilmazcanyigit) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: