Az iOS 12.4 biztonsági változásjegyzéke

Ez a dokumentum az iOS 12.4 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 12.4

Kiadási dátum: 2019. július 22.

Bluetooth

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy magas hálózati jogosultságú támadók hozzá tudtak férni a Bluetooth-forgalomhoz (Key Negotiation of Bluetooth – KNOB)

Leírás: Beviteli érvényesség-ellenőrzési probléma állt fenn a Bluetooth esetén. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2019-9506: Daniele Antonioli (SUTD, Szingapúr), Dr. Nils Ole Tippenhauer (CISPA, Németország) és Prof. Kasper Rasmussen (University of Oxford, Anglia)

Bejegyzés hozzáadva: 2019. augusztus 13.

Core Data

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs és újabb iPod touch.

Érintett terület: A távoli támadók ki tudtak szivárogtatni memóriát.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2019-8646: Natalie Silvanovich (Google Project Zero)

Core Data

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs és újabb iPod touch.

Érintett terület: A távoli támadók elő tudták idézni egy tetszőleges kód végrehajtását.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2019-8647: Samuel Groß és Natalie Silvanovich (Google Project Zero)

Core Data

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs és újabb iPod touch.

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8660: Samuel Groß és Natalie Silvanovich (Google Project Zero)

FaceTime

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs és újabb iPod touch.

Érintett terület: A távoli támadók elő tudták idézni egy tetszőleges kód végrehajtását.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8648: Tao Huang és Tielei Wang (Team Pangu)

Found in Apps

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs és újabb iPod touch.

Érintett terület: A távoli támadók ki tudtak szivárogtatni memóriát.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2019-8663: Natalie Silvanovich (Google Project Zero)

Heimdal

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs és újabb iPod touch.

Érintett terület: Fennállt egy probléma a Sambában, ami lehetővé tette, hogy a támadók jogosulatlanul műveleteket hajtsanak végre a szolgáltatások között folyó kommunikációhoz való hozzáféréssel.

Leírás: Úgy hárítottuk el a problémát, hogy hatékonyabb ellenőrzéseket vezettünk be a jogosulatlan műveletek megakadályozására.

CVE-2018-16860: Isaac Boukris és Andrew Bartlett (Samba Team), Catalyst

libxslt

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs és újabb iPod touch.

Érintett terület: A távoli támadók meg tudtak tekinteni bizalmas jellegű információkat.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy veremtúlcsordulást okozó problémát.

CVE-2019-13118: az OSS-Fuzz fedezte fel

Üzenetek

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs és újabb iPod touch.

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzéssel hárítottunk el egy szolgáltatásmegtagadással kapcsolatos problémát.

CVE-2019-8665: Michael Hernandez (XYZ Marketing)

Profilok

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások korlátozni tudták a webhelyekhez való hozzáférést.

Leírás: Érvényesítési hiba lépett fel a jogosultsági ellenőrzések során. A folyamatjogosultság hatékonyabb ellenőrzésével hárítottuk el a problémát.

CVE-2019-8698: Luke Deshotels, Jordan Beichler és William Enck (North Carolina State University); Costin Carabaș és Răzvan Deaconescu (University POLITEHNICA of Bucharest)

Gyorsnézet

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs és újabb iPod touch.

Érintett terület: A támadók ki tudtak váltani „Use-after-free” (felszabadítás utáni használattal kapcsolatos) állapotot az alkalmazásokban egy nem megbízható NSDictionary deszerializálásával.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2019-8662: Natalie Silvanovich és Samuel Groß (Google Project Zero)

Siri

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs és újabb iPod touch.

Érintett terület: A távoli támadók ki tudtak szivárogtatni memóriát.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2019-8646: Natalie Silvanovich (Google Project Zero)

Telefonálás

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs és újabb iPod touch.

Érintett terület: A telefonhívás kezdeményezője el tudta érni, hogy a címzett szimultán Walkie-Talkie-kapcsolatot fogadjon.

Leírás: Logikai probléma lépett fel a telefonhívások fogadásakor. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2019-8699: Marius Alexandru Boeru (@mboeru) és egy anonim kutató

Bejegyzés frissítve 2019. július 25-én.

UIFoundation

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott Office-dokumentumok elemzésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2019-8657: riusksk (VulWar Corp), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Wallet

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs és újabb iPod touch.

Érintett terület: A felhasználók véletlenül végre tudtak hajtani alkalmazáson belüli vásárlást a zárolt képernyőn.

Leírás: A probléma a felhasználói felület hatékonyabb kezelésével hárult el.

CVE-2019-8682: Jeff Braswell (JeffBraswell.com)

WebKit

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs és újabb iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Logikai probléma lépett fel dokumentumbetöltések kezelésekor. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2019-8690: Sergei Glazunov (Google Project Zero)

WebKit

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs és újabb iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Logikai probléma lépett fel egyidejű oldalbetöltések kezelésekor. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2019-8649: Sergei Glazunov (Google Project Zero)

WebKit

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs és újabb iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2019-8658: akayn, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

WebKit

A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2019-8644: G. Geshev, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2019-8666: Zongming Wang (王宗明) és Zhe Jin (金哲; Chengdu Security Response Center; Qihoo 360 Technology Co. Ltd.)

CVE-2019-8669: akayn, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2019-8671: Apple

CVE-2019-8672: Samuel Groß (Google Project Zero)

CVE-2019-8673: Soyeon Park és Wen Xu (SSLab; Georgia Tech)

CVE-2019-8676: Soyeon Park és Wen Xu (SSLab; Georgia Tech)

CVE-2019-8677: Jihui Lu (Tencent KeenLab)

CVE-2019-8678: Anthony Lai (@darkfloyd1014; Knownsec), Ken Wong (@wwkenwong; VXRL), Jeonghoon Shin (@singi21a; Theori), Johnny Yu (@straight_blast; VX Browser Exploitation Group), Chris Chan (@dr4g0nfl4me; VX Browser Exploitation Group), Phil Mok (@shadyhamsters; VX Browser Exploitation Group), Alan Ho (@alan_h0; Knownsec), Byron Wai (VX Browser Exploitation), P1umer (ADLab of Venustech)

CVE-2019-8679: Jihui Lu (Tencent KeenLab)

CVE-2019-8680: Jihui Lu (Tencent KeenLab)

CVE-2019-8681: G. Geshev, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2019-8683: lokihardt (Google Project Zero)

CVE-2019-8684: lokihardt (Google Project Zero)

CVE-2019-8685: akayn, Dongzhuo Zhao a Venustech ADLab közreműködőjeként, Ken Wong (@wwkenwong; VXRL), Anthony Lai (@darkfloyd1014; VXRL) és Eric Lung (@Khlung1; VXRL)

CVE-2019-8686: G. Geshev, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2019-8687: Apple

CVE-2019-8688: Insu Yun (SSLab; Georgia Tech)

CVE-2019-8689: lokihardt (Google Project Zero)

Bejegyzés frissítve: 2019. szeptember 11.

További köszönetnyilvánítás

Game Center

Köszönjük Min (Spark) Zheng és Xiaolong Bai (Alibaba Inc.) segítségét.

MobileInstallation

Köszönjük Dany Lisiansky (@DanyL931) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: