Az iOS 12.3 biztonsági változásjegyzéke
Ez a dokumentum az iOS 12.3 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
iOS 12.3
AppleFileConduit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8593: Dany Lisiansky (@DanyL931)
Bluetooth
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A FIDO Biztonsági kulcsok Energiatakarékos Bluetooth (BLE) verzióinak Bluetooth-párosítási protokolljai helytelen konfigurációval rendelkeztek, és így a fizikai közelségben tartózkodó támadók a párosítás során hozzáférhettek a Bluetooth-forgalomhoz.
Leírás: A nem biztonságos Bluetooth-kapcsolattal rendelkező kiegészítők letiltásával hárítottuk el a problémát. A Google Titan Biztonsági kulcsának Energiatakarékos Bluetooth (BLE) verzióját használó ügyfeleknek javasoljuk, hogy a szükséges lépések megtétele érdekében tekintsék át az Android júniusi biztonsági közleményét (June Bulletins) és a Google tanácsait.
CVE-2019-2102: Matt Beaver és Erik Peterson (Microsoft Corp.)
Kontaktok
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A rosszindulatú alkalmazások olvasni tudták a korlátozott memóriát.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.
CVE-2019-8598: Omer Gull (Checkpoint Research)
CoreAudio
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2019-8585: riusksk (VulWar Corp), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CoreAudio
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb hibakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8592: riusksk (VulWar Corp), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CoreText
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2019-8582: riusksk (VulWar Corp), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
Lemezképek
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.
Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.
CVE-2019-8560: Nikita Pupyshev (Bauman Moscow State Technological University)
Kernel
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.
Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.
CVE-2019-8633: Zhuo Liang (Qihoo 360 Vulcan Team)
Kernel
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A helyi felhasználók váratlan rendszerleállást tudtak előidézni, illetve olvasni tudták a kernelmemóriát.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2019-8576: Brandon Azad (Google Project Zero), Junho Jang és Hanul Choi (LINE Security Team)
Kernel
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.
CVE-2019-8591: Ned Williamson, a Google Project Zero közreműködőjeként
Zárolt képernyő
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező személyek adott esetben meg tudták tekinteni az iTuneshoz használt e-mail-címet.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2019-8599: Jeremy Peña-Lopez (aka Radio; University of North Florida)
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott üzenetek feldolgozásakor szolgáltatásmegtagadás lépett fel.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.
CVE-2019-8626: natashenka (Google Project Zero)
Mail Message Framework
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A távoli támadók elő tudták idézni egy tetszőleges kód végrehajtását.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2019-8613: natashenka (Google Project Zero)
Üzenetek
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.
CVE-2019-8573: natashenka (Google Project Zero)
Üzenetek
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott üzenetek feldolgozásakor szolgáltatásmegtagadás lépett fel.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.
CVE-2019-8664: natashenka (Google Project Zero)
Üzenetek
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az iMessage-beszélgetések felhasználói továbbra is meg tudták változtatni az állapotot.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2019-8631: Jamie Bishop (Dynastic)
MobileInstallation
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A helyi felhasználók módosítani tudták a fájlrendszer védett részeit.
Leírás: Érvényesítési hiba lépett fel a szimbolikus hivatkozások kezelésekor. A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.
CVE-2019-8568: Dany Lisiansky (@DanyL931)
MobileLockdown
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A rosszindulatú alkalmazások gyökérszintű jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.
CVE-2019-8637: Dany Lisiansky (@DanyL931)
Fotótárhely
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.
Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.
CVE-2019-8617: anonim kutató
SQLite
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.
CVE-2019-8577: Omer Gull (Checkpoint Research)
SQLite
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott SQL-lekérdezések tetszőleges programkód végrehajtására adtak lehetőséget.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8600: Omer Gull (Checkpoint Research)
SQLite
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A rosszindulatú alkalmazások olvasni tudták a korlátozott memóriát.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.
CVE-2019-8598: Omer Gull (Checkpoint Research)
SQLite
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.
Leírás: Elhárítottunk egy memóriasérülési hibát a sebezhető kód eltávolításával.
CVE-2019-8602: Omer Gull (Checkpoint Research)
Állapotsáv
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy a zárolás feloldása után a zárolt állapotot jelző ikon jelent meg a zárolt képernyőn.
Leírás: A probléma a felhasználói felület hatékonyabb kezelésével hárult el.
CVE-2019-8630: Jon M. Morlan
StreamingZip
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A helyi felhasználók módosítani tudták a fájlrendszer védett részeit.
Leírás: Érvényesítési hiba lépett fel a szimbolikus hivatkozások kezelésekor. A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.
CVE-2019-8568: Dany Lisiansky (@DanyL931)
sysdiagnose
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb engedélyezési logikával küszöböltük ki a problémát.
CVE-2019-8574: Dayton Pidhirney (@_watbulb; Seekintoo, @seekintoo)
WebKit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a folyamatmemória közzététele.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2019-8607: Junho Jang és Hanul Choi (LINE Security Team)
WebKit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.
CVE-2019-6237: G. Geshev, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként, Liu Long (Qihoo 360 Vulcan Team)
CVE-2019-8571: 01, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2019-8583: sakura (Tencent Xuanwu Lab), jessica (@babyjess1ca_; Tencent Keen Lab) és dwfault, a Venustech ADLab közreműködőjeként
CVE-2019-8584: G. Geshev (MWR Labs), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2019-8586: anonim kutató
CVE-2019-8587: G. Geshev, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2019-8594: Suyoung Lee és Sooel Son (KAIST Web Security & Privacy Lab), valamint HyungSeok Han és Sang Kil Cha (KAIST SoftSec Lab)
CVE-2019-8595: G. Geshev (MWR Labs), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2019-8596: Wen Xu (SSLab, Georgia Tech)
CVE-2019-8597: 01, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2019-8601: Fluoroacetate, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2019-8608: G. Geshev, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2019-8609: Wen Xu (SSLab, Georgia Tech)
CVE-2019-8610: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2019-8611: Samuel Groß (Google Project Zero)
CVE-2019-8615: G. Geshev (MWR Labs), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2019-8619: Wen Xu (SSLab, Georgia Tech) és Hanqing Zhao (Chaitin Security Research Lab)
CVE-2019-8622: Samuel Groß (Google Project Zero)
CVE-2019-8623: Samuel Groß (Google Project Zero)
CVE-2019-8628: Wen Xu (SSLab, Georgia Tech) és Hanqing Zhao (Chaitin Security Research Lab)
Wi-Fi
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A magas hálózati jogosultságú támadók módosítani tudták a meghajtóállapotot.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2019-8612: Milan Stute (Secure Mobile Networking Lab, Technische Universität Darmstadt)
Wi-Fi
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A készülékek passzív módon nyomon követhetők voltak a Wi-Fi MAC-címük alapján.
Leírás: Egy felhasználói adatvédelmi probléma hárult el a szórási MAC-cím eltávolításával.
CVE-2019-8620: David Kreitschmann és Milan Stute (Secure Mobile Networking Lab, Technische Universität Darmstadt)
További köszönetnyilvánítás
Clang
Köszönjük Brandon Azad (Google Project Zero) segítségét.
CoreAudio
Köszönjük riusksk (VulWar Corp, a Trend Micro Zero Day Initiative kezdeményezésének közreműködője) segítségét.
CoreFoundation
Köszönjük m4bln, Xiangqian Zhang, Huiming Liu (Tencent; Xuanwu Lab), Vozzie és Rami segítségét.
Kernel
Köszönjük Denis Kopyrin, valamint Brandon Azad (Google Project Zero) segítségét.
MediaLibrary
Köszönjük Angel Ramirez és Min (Spark) Zheng, valamint Xiaolong Bai (Alibaba Inc.) segítségét.
MobileInstallation
Köszönjük Yiğit Can YILMAZ (@yilmazcanyigit) segítségét.
Safari
Köszönjük Ben Guild (@benguild) segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.