Az iOS 12.1.3 biztonsági változásjegyzéke

Ez a dokumentum az iOS 12.1.3 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 12.1.3

Kiadási dátum: 2019. január 22.

AppleKeyStore

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-6235: Brandon Azad

Bluetooth

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A magas hálózati jogosultságú támadók tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2019-6200: anonim kutató

Core Media

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2019-6202: Fluoroacetate, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2019-6221: Fluoroacetate, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CoreAnimation

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2019-6231: Zhuo Liang (Qihoo 360 Nirvan Team)

CoreAnimation

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások adott esetben ki tudtak törni a sandboxból.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2019-6230: Proteas, Shrek_wzw és Zhuo Liang (Qihoo 360 Nirvan Team)

FaceTime

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A távoli támadók FaceTime-hívást tudtak kezdeményezni tetszőleges programkód végrehajtásával.

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2019-6224: natashenka (Google Project Zero)

IOKit

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások adott esetben ki tudtak törni a sandboxból.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2019-6214: Ian Beer (Google Project Zero)

Kernel

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-6225: Brandon Azad (Google Project Zero), Qixun Zhao (Qihoo 360 Vulcan Team)

Kernel

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-6210: Ned Williamson (Google)

Kernel

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások váratlan változásokat tudtak előidézni a folyamatok között megosztott memóriában.

Leírás: A zárolt állapot hatékonyabb ellenőrzésével elhárítottunk egy memóriasérülési hibát.

CVE-2019-6205: Ian Beer (Google Project Zero)

Kernel

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2019-6213: Ian Beer (Google Project Zero)

Kernel

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások meg tudták állapítani a kernelmemória felépítését.

Leírás: Egy határértéken kívüli olvasási hiba miatt felfedhető volt a kernelmemória tartalma. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2019-6209: Brandon Azad (Google Project Zero)

Kernel

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások váratlan változásokat tudtak előidézni a folyamatok között megosztott memóriában.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2019-6208: Jann Horn (Google Project Zero)

Billentyűzet

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Az automatikus jelszókitöltő funkció időnként kitöltötte a jelszót, miután manuálisan törölték.

Leírás: Az automatikus jelszókitöltő funkció működésbe lépett, miután leállították. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2019-6206: Sergey Pershenkov

libxpc

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-6218: Ian Beer (Google Project Zero)

Természetesnyelv-feldolgozás (NLP)

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott üzenetek feldolgozásakor szolgáltatásmegtagadás lépett fel.

Leírás: Hatékonyabb ellenőrzéssel hárítottunk el egy szolgáltatásmegtagadással kapcsolatos problémát.

CVE-2019-6219: Authier Thomas

Safari olvasó

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Webhelyek közötti, parancsfájlt alkalmazó támadással összefüggő probléma állt fenn a Safari böngészőben. Hatékonyabb URL-ellenőrzéssel hárítottuk el a problémát.

CVE-2019-6228: Ryan Pickren (ryanpickren.com)

SQLite

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott SQL-lekérdezések tetszőleges programkód végrehajtására adtak lehetőséget.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk több memóriasérüléssel kapcsolatos problémát.

CVE-2018-20346: Tencent Blade Team

CVE-2018-20505: Tencent Blade Team

CVE-2018-20506: Tencent Blade Team

WebKit

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-6227: Qixun Zhao (Qihoo 360 Vulcan Team)

CVE-2019-6233: G. Geshev (MWR Labs), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2019-6234: G. Geshev (MWR Labs), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

WebKit

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.

CVE-2019-6229: Ryan Pickren (ryanpickren.com)

WebKit

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2019-6215: Lokihardt (Google Project Zero)

WebKit

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2019-6212: Mike Zhang (The Pangu team), Wen Xu (SSLab, Georgia Tech)

CVE-2019-6216: Fluoroacetate, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2019-6217: Fluoroacetate, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként, Proteas, Shrek_wzw és Zhuo Liang (Qihoo 360 Nirvan Team)

CVE-2019-6226: Apple

Bejegyzés frissítve: 2019. február 15.

WebKit

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor adott esetben felfedhetők voltak a bizalmas felhasználói adatok.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2019-8570: James Lee (@Windowsrcer; S2SWWW.com)

Bejegyzés hozzáadva: 2019. április 3., frissítve: 2019. szeptember 11.

WebRTC

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-6211: Georgi Geshev (@munmap), Fabi Beterke (@pwnfl4k3s) és Rob Miller (@trotmaster99; MWR Labs – @mwrlabs), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

További köszönetnyilvánítás

mDNSResponder

Köszönjük a következők segítségét: Fatemah Alharbi [(University of California), Riverside (UCR) és Taibah University (TU)], Feng Qian (University of Minnesota – Twin City), Jie Chang (LinkSure Network), Nael Abu-Ghazaleh (University of California), Riverside (UCR), Yuchen Zhou (Northeastern University), Zhiyun Qian (University of California), Riverside (UCR).

Bejegyzés frissítve: 2019. február 15.

Safari olvasó

Köszönjük Ryan Pickren (ryanpickren.com) segítségét.

WebKit

Köszönjük James Lee (@Windowsrcer; Kryptos Logic) segítségét.

Bejegyzés frissítve: 2019. február 15.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: