Over de beveiligingsinhoud van iOS 11.3

In dit document wordt de beveiligingsinhoud van iOS 11.3 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging. U kunt communicatie met Apple coderen via de Apple Product Security PGP-sleutel.

Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.

iOS 11.3

Releasedatum: 29 maart 2018

Apple TV-app

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk valselijk om wachtwoorden vragen in de Apple TV App

Beschrijving: een probleem met invoervalidatie is opgelost door verbeterde invoervalidatie.

CVE-2018-4177: Jerry Decime

Toegevoegd op 13 april 2018

Klok

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: iemand met fysieke toegang tot een iOS-apparaat kan mogelijk het e-mailadres zien dat voor iTunes wordt gebruikt

Beschrijving: er was een probleem met de vrijgave van informatie bij de verwerking van alarmen en timers. Dit probleem is verholpen door middel van verbeterde toegangsbeperkingen.

CVE-2018-4123: Zaheen Hafzar M M (@zaheenhafzer)

CoreFoundation

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.

CVE-2018-4155: Samuel Groß (@5aelo)

CVE-2018-4158: Samuel Groß (@5aelo)

CoreText

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: het verwerken van een kwaadwillig vervaardigde tekenreeks kan leiden tot een denial of service

Beschrijving: een probleem met denial of service is verholpen door een verbeterde verwerking van het geheugen.

CVE-2018-4142: Robin Leroy van Google Switzerland GmbH

Bestandssysteemgebeurtenissen

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.

CVE-2018-4167: Samuel Groß (@5aelo)

Bestanden-widget

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: Bestanden-widget kan inhoud op een vergrendeld apparaat weergeven

Beschrijving: de Bestanden-widget vertoonde cachegegevens in de vergrendelde toestand. Dit probleem is opgelost door een verbeterd statusbeheer.

CVE-2018-4168: Brandon Moore

Zoek mijn iPhone

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een persoon met fysieke toegang tot het apparaat kan Zoek mijn iPhone uitschakelen zonder een iCloud-wachtwoord in te voeren

Beschrijving: er was een probleem met statusbeheer bij het herstellen van een reservekopie. Dit probleem is verholpen dankzij een verbeterde controle van de status tijdens herstel.

CVE-2018-4172: Viljami Vastamäki

iCloud Drive

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.

CVE-2018-4151: Samuel Groß (@5aelo)

Kernel

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een schadelijk programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2018-4150: een anonieme onderzoeker

Kernel

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een programma kan beperkt geheugen lezen

Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.

CVE-2018-4104: het National Cyber Security Centre (NCSC) in het Verenigd Koninkrijk

Kernel

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2018-4143: derrek (@derrekr6)

Kernel

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een schadelijk programma kan de lay-out van het kernelgeheugen bepalen

Beschrijving: er was een probleem met de vrijgave van informatie bij de overgang van de programmastatus. Dit probleem is verholpen door een verbeterde statusverwerking.

CVE-2018-4185: Brandon Azad

Toegevoegd op 19 juli 2018

Mail

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan de inhoud van met S/MIME gecodeerde e-mails onderscheppen

Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen met verbeterd statusbeheer.

CVE-2018-4174: John McCombs van Integrated Mapping Ltd, McClain Looney van LoonSoft Inc.

Bijgewerkt op 13 april 2018

NSURLSession

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.

CVE-2018-4166: Samuel Groß (@5aelo)

PluginKit

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.

CVE-2018-4156: Samuel Groß (@5aelo)

Snelle weergave

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.

CVE-2018-4157: Samuel Groß (@5aelo)

Safari

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een bezoek aan een kwaadwillige website door op een koppeling te klikken kan leiden tot vervalsing van de gebruikersinterface

Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen met verbeterd statusbeheer.

CVE-2018-4134: xisigr van Tencent's Xuanwu Lab (tencent.com), Zhiyang Zeng (@Wester) van Tencent Security Platform Department

Automatisch invullen van wachtwoorden in Safari

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een schadelijke website kan automatisch ingevulde gegevens in Safari exfiltreren zonder nadrukkelijke gebruikersinteractie.

Beschrijving: voor het automatisch invullen van gegevens in Safari was geen nadrukkelijke gebruikersinteractie vereist. Het probleem is verholpen door een verbeterde methodiek voor automatisch invullen.

CVE-2018-4137

SafariViewController

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een bezoek aan een schadelijke website kan leiden tot vervalsing van de gebruikersinterface

Beschrijving: een probleem met statusbeheer is opgelost door tekstinvoer uit te schakelen totdat de bestemmingspagina is geladen.

CVE-2018-4149: Abhinash Jain (@abhinashjain)

Beveiliging

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een schadelijk programma kan de bevoegdheden verhogen

Beschrijving: een bufferoverloop is verholpen door verbeterde groottevalidatie.

CVE-2018-4144: Abraham Masri (@cheesecakeufo)

Statusbalk

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een schadelijk programma kan mogelijk toegang krijgen tot de microfoon zonder dat de gebruiker het merkt

Beschrijving: er was een consistentieprobleem bij het beslissen wanneer de indicator voor microfoongebruik moet worden getoond. Het probleem is verholpen met verbeterde functionaliteitsvalidatie.

CVE-2018-4173: Joshua Pokotilow van pingmd

Toegevoegd op 9 april 2018

Opslag

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.

CVE-2018-4154: Samuel Groß (@5aelo)

Systeemvoorkeuren

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: na verwijdering blijft een configuratieprofiel mogelijk ten onrechte nog van kracht

Beschrijving: er was een probleem in CFPreferences. Dit probleem is verholpen door een verbeterde opschoning van voorkeuren.

CVE-2018-4115: Johann Thalakada, Vladimir Zubkov en Matt Vlasach van Wandera

Telefonie

Beschikbaar voor: iPhone 5s en hoger, en WiFi + Cellular-modellen van iPad Air en nieuwer

Impact: een externe aanvaller kan ervoor zorgen dat een apparaat onverwacht opnieuw start

Beschrijving: er was een null pointer-dereferentie bij de verwerking van Class 0 sms-berichten. Dit probleem is verholpen door een verbeterde validatie van berichten.

CVE-2018-4140: @mjonsson, Arjan van der Oest van Voiceworks BV

Bijgewerkt op 30 maart 2018

Telefonie

Beschikbaar voor: iPhone 5s en hoger, en WiFi + Cellular-modellen van iPad Air en nieuwer

Impact: een externe aanvaller kan willekeurige code uitvoeren

Beschrijving: er zijn meerdere bufferoverlopen verholpen door verbeterde invoervalidatie.

CVE-2018-4148: Nico Golde van Comsecuris UG

Toegevoegd op 30 maart 2018

Webapp

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: cookies kunnen onverwacht blijven bestaan in de webapp

Beschrijving: een probleem met het beheer van cookies is verholpen door verbeterd statusbeheer.

CVE-2018-4110: Ben Compton en Jason Colley van Cerner Corporation

WebKit

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2018-4101: Yuan Deng van Ant-financial Light-Year Security Lab

CVE-2018-4114: gevonden door OSS-Fuzz

CVE-2018-4118: Jun Kokatsu (@shhnjk)

CVE-2018-4119: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van Trend Micro

CVE-2018-4120: Hanming Zhang (@4shitak4) van het Qihoo 360 Vulcan Team

CVE-2018-4121: Natalie Silvanovich van Google Project Zero

CVE-2018-4122: WanderingGlitch van het Zero Day Initiative van Trend Micro

CVE-2018-4125: WanderingGlitch van het Zero Day Initiative van Trend Micro

CVE-2018-4127: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van Trend Micro

CVE-2018-4128: Zach Markley

CVE-2018-4129: likemeng van Baidu Security Lab in samenwerking met het Zero Day Initiative van Trend Micro

CVE-2018-4130: Omair in samenwerking met het Zero Day Initiative van Trend Micro

CVE-2018-4161: WanderingGlitch van het Zero Day Initiative van Trend Micro

CVE-2018-4162: WanderingGlitch van het Zero Day Initiative van Trend Micro

CVE-2018-4163: WanderingGlitch van het Zero Day Initiative van Trend Micro

CVE-2018-4165: Hanming Zhang (@4shitak4) van het Qihoo 360 Vulcan Team

WebKit

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: onverwachte interactie met indexeringstypes veroorzaakt een ASSERT-fout

Beschrijving: er was sprake van een matrixindexeringsprobleem bij het verwerken van een functie in JavaScriptCore. Dit probleem is verholpen door verbeterde controles

CVE-2018-4113: gevonden door OSS-Fuzz

WebKit

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot een denial of service

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie

CVE-2018-4146: gevonden door OSS-Fuzz

WebKit

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een kwaadaardige website kan gegevens 'cross-origin' exfiltreren

Beschrijving: er was een probleem met 'cross-origin'-aanvragen opgetreden met de fetch-API. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2018-4117: een anonieme onderzoeker, een anonieme onderzoeker

WebKit

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een onverwachte interactie veroorzaakt een ASSERT-fout

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2018-4207: gevonden door OSS-Fuzz

Toegevoegd op 2 mei 2018

WebKit

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een onverwachte interactie veroorzaakt een ASSERT-fout

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2018-4208: gevonden door OSS-Fuzz

Toegevoegd op 2 mei 2018

WebKit

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een onverwachte interactie veroorzaakt een ASSERT-fout

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2018-4209: gevonden door OSS-Fuzz

Toegevoegd op 2 mei 2018

WebKit

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: onverwachte interactie met indexeringstypen veroorzaakte een fout

Beschrijving: er was sprake van een matrixindexeringsprobleem bij het verwerken van een functie in JavaScriptCore. Dit probleem is verholpen door middel van verbeterde controles.

CVE-2018-4210: gevonden door OSS-Fuzz

Toegevoegd op 2 mei 2018

WebKit

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een onverwachte interactie veroorzaakt een ASSERT-fout

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2018-4212: gevonden door OSS-Fuzz

Toegevoegd op 2 mei 2018

WebKit

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een onverwachte interactie veroorzaakt een ASSERT-fout

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2018-4213: gevonden door OSS-Fuzz

Toegevoegd op 2 mei 2018

WindowServer

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een onbevoegd programma kan toetsaanslagen in andere programma's registeren, zelfs wanneer de veilige invoermodus is ingeschakeld

Beschrijving: door het scannen van toetsstatussen kon een onbevoegd programma toetsaanslagen in andere programma's registreren, zelfs wanneer de veilige invoermodus was ingeschakeld. Dit probleem is verholpen door verbeterd statusbeheer.

CVE-2018-4131: Andreas Hegenberg van folivora.AI GmbH

Aanvullende erkenning

Mail

Met dank aan Sabri Haddouche (@pwnsdx) van Wire Swiss GmbH voor zijn hulp.

Toegevoegd op 21 juni 2018

Beveiliging

We willen Abraham Masri (@cheesecakeufo) bedanken voor de assistentie.

Toegevoegd op 13 april 2018

WebKit

Met dank aan Johnny Nipper van Tinder Security Team voor zijn hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: