Zawartość związana z zabezpieczeniami w systemie iOS 12.2

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w systemie iOS 12.2.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

iOS 12.2

Wydano 25 marca 2019 r.

802.1X

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może być w stanie przechwycić ruch sieciowy.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2019-6203: Dominic White z SensePost (@singe)

Wpis dodano 15 kwietnia 2019 r.

Konta

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: przetworzenie złośliwie spreparowanego pliku VCF mogło doprowadzić do ataku typu „odmowa usługi”.

Opis: rozwiązano problem z podatnością na atak typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności.

CVE-2019-8538: Trevor Spiniolas (@TrevorSpiniolas)

Wpis dodano 3 kwietnia 2019 r.

CFString

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: przetworzenie złośliwie spreparowanego ciągu znaków mogło doprowadzić do ataku typu „odmowa usługi”.

Opis: usunięto błąd sprawdzania poprawności przez poprawienie logiki sprawdzania.

CVE-2019-8516: SWIPS Team z Frifee Inc.

configd

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.

Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8552: Mohamed Ghannam (@_simo36)

Kontakty

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2019-8511: anonimowy badacz

CoreCrypto

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2019-8542: anonimowy badacz

Exchange ActiveSync

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: użytkownik może autoryzować administratora korporacyjnego do zdalnego wymazania swojego urządzenia bez wyświetlenia odpowiedniego wyjaśnienia.

Opis: ten błąd naprawiono przez zapewnienie większej transparentności.

CVE-2019-8512: anonimowy badacz, Dennis Munsie z Amazon.com

Wpis uaktualniono 3 kwietnia 2019 r.

FaceTime

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: obraz wideo przedstawiający użytkownika może nie zostać wstrzymany w połączeniu FaceTime, jeśli użytkownik opuści aplikację FaceTime po nadejściu połączenia przychodzącego.

Opis: w procedurze wstrzymywania obrazu wideo w aplikacji FaceTime wstępował błąd. Ten błąd naprawiono przez poprawienie procedur obsługi procesów logicznych.

CVE-2019-8550: Lauren Guzniczak z Keystone Academy

Asystent opinii

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: usunięto sytuację wyścigu przez wprowadzenie dodatkowego sprawdzania poprawności.

CVE-2019-8565: CodeColorist z Ant-Financial LightYear Labs

Asystent opinii

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: złośliwie spreparowana aplikacja może nadpisać dowolne pliki.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2019-8521: CodeColorist z Ant-Financial LightYear Labs

Protokół file

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować ujawnienie informacji o użytkowniku.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2019-8906: Francisco Alonso

Wpis uaktualniono 15 kwietnia 2019 r.

GeoServices

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: kliknięcie złośliwego łącza w wiadomości SMS może spowodować wykonanie dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.

CVE-2019-8553: anonimowy badacz

iAP

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2019-8542: anonimowy badacz

IOHIDFamily

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2019-8545: Adam Donenfeld (@doadam) z the Zimperium zLabs Team

IOKit

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: użytkownik lokalny może być w stanie odczytać dane z pamięci jądra.

Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8504: anonimowy badacz

IOKit SCSI

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-8529: Juwei Lin (@panicaII) z Trend Micro Research w ramach programu Zero Day Initiative firmy Trend Micro

Wpis uaktualniono 15 kwietnia 2019 r.

Jądro

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: osoba atakująca zdalnie może być w stanie zmienić dane o ruchu internetowym

Opis: w procedurze obsługi pakietów IPv6 występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur zarządzania pamięcią.

CVE-2019-5608: Apple

Wpis dodano 6 sierpnia 2019 r.

Jądro

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: osoba atakująca zdalnie może ujawnić zawartość pamięci.

Opis: występował błąd odczytu spoza zakresu, który mógł doprowadzić do ujawnienia rozkładu pamięci jądra. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-8547: derrek (@derrekr6)

Wpis dodano 30 maja 2019 r.

Jądro

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2019-8525: Zhuo Liang i shrek_wzw z Qihoo 360 Nirvan Team

Wpis dodano 30 maja 2019 r.

Jądro

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: osoba atakująca zdalnie może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie zawartości pamięci jądra.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury sprawdzania poprawności rozmiaru.

CVE-2019-8527: Ned Williamson z Google i derrek (@derrekr6)

Jądro

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) z Qihoo 360 Vulcan Team

Wpis dodano 3 kwietnia 2019 r.

Jądro

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2019-8514: Samuel Groß z Google Project Zero

Jądro

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie określić rozkład pamięci jądra.

Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8540: Weibo Wang (@ma1fan) z Qihoo 360 Nirvan Team

Jądro

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: użytkownik lokalny może być w stanie odczytać dane z pamięci jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-7293: Ned Williamson z Google

Jądro

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie określić rozkład pamięci jądra.

Opis: występował błąd odczytu spoza zakresu, który mógł doprowadzić do ujawnienia rozkładu pamięci jądra. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-6207: Weibo Wang z Qihoo 360 Nirvan Team (@ma1fan)

CVE-2019-8510: Stefan Esser z Antid0te UG

Mail

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości pocztowej może doprowadzić do spreparowania podpisu S/MIME.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2019-7284: Damian Poddebniak z Münster University of Applied Sciences

MediaLibrary

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: złośliwa aplikacja może uzyskać dostęp do plików objętych ograniczeniami.

Opis: naprawiono błąd uprawnień przez usunięcie kodu związanego z luką w zabezpieczeniach i wprowadzenie dodatkowych procedur sprawdzania.

CVE-2019-8532: Angel Ramirez, Min (Spark) Zheng i Xiaolong Bai z Alibaba Inc.

Wpis dodano 30 maja 2019 r.

Wiadomości

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: użytkownik lokalny może wyświetlić poufne informacje użytkownika.

Opis: usunięto błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy.

CVE-2019-8546: ChiYuan Chang

Zarządzanie energią

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: w kodzie wygenerowanym przez program MIG występowały liczne błędy walidacji danych wejściowych. Te błędy naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-8549: Mohamed Ghannam (@_simo36) z SSD Secure Disclosure (ssd-disclosure.com)

Prywatność

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: złośliwa aplikacja może być w stanie śledzić użytkowników między instalacjami.

Opis: podczas kalibracji sensora ruchu występował problem związany z prywatnością. Ten błąd naprawiono przez ulepszenie przetwarzania danych sensora ruchu.

CVE-2019-8541: Stan (Jiexin) Zhang i Alastair R. Beresford z University of Cambridge i Ian Sheret z Polymath Insight Limited

ReplayKit

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: złośliwie spreparowana aplikacja może uzyskać dostęp do mikrofonu bez wyświetlania powiadomienia dla użytkownika.

Opis: w procedurze obsługi danych z mikrofonu występował błąd interfejsu API. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności adresów.

CVE-2019-8566: anonimowy badacz

Safari

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: witryna internetowa mogła uzyskać dostęp do informacji z czujników bez zgody użytkownika.

Opis: w procedurze obsługi danych ruchu i orientacji występował błąd uprawnień. Ten błąd naprawiono przez poprawienie ograniczeń.

CVE-2019-8554: anonimowy badacz

Czytnik Reader w przeglądarce Safari

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: włączenie funkcji czytnika Reader w przeglądarce Safari na złośliwie napisanej stronie internetowej może doprowadzić do powszechnych ataków XSS (cross-site scripting).

Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.

CVE-2019-6204: Ryan Pickren (ryanpickren.com)

CVE-2019-8505: Ryan Pickren (ryanpickren.com)

Piaskownica

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2019-8618: Brandon Azad

Wpis dodano 30 maja 2019 r.

Zabezpieczenia

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: niezaufany certyfikat serwera Radius może być zaufany.

Opis: w protokole Trust Anchor Management występował błąd sprawdzania poprawności. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności adresów.

CVE-2019-8531: anonimowy badacz, zespół QA z SecureW2

Wpis dodano 15 maja 2019 r.

Siri

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie inicjować żądanie funkcji Dyktowanie bez autoryzacji użytkownika.

Opis: w procedurze obsługi żądań dyktowania występował błąd interfejsu API. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności adresów.

CVE-2019-8502: Luke Deshotels z uczelni North Carolina State University, Jordan Beichler z uczelni North Carolina State University, William Enck z uczelni North Carolina State University, Costin Carabaș z uczelni University POLITEHNICA of Bucharest i Răzvan Deaconescu z uczelni University POLITEHNICA of Bucharest

TrueTypeScaler

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2019-8517: riusksk z VulWar Corp współpracujący Trend Micro Zero Day Initiative

WebKit

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak UXSS (universal cross site scripting).

Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.

CVE-2019-8551: Ryan Pickren (ryanpickren.com)

WebKit

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2019-8535: Zhiyang Zeng (@Wester) z zespołu Tencent Blade Team

WebKit

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-6201: dwfault w ramach programu ADLab firmy Venustech

CVE-2019-8518: Samuel Groß z Google Project Zero

CVE-2019-8523: Apple

CVE-2019-8524: G. Geshev w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2019-8558: Samuel Groß z Google Project Zero

CVE-2019-8559: Apple

CVE-2019-8563: Apple

CVE-2019-8638: wykryte przez OSS-Fuzz

CVE-2019-8639: wykryte przez OSS-Fuzz

Wpis uaktualniono 30 maja 2019 r.

WebKit

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.

CVE-2019-8562: Wen Xu z SSLab z Georgia Tech oraz Hanqing Zhao z Chaitin Security Research Lab

WebKit

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: witryna internetowa może uzyskać dostęp do mikrofonu bez wyświetlania wskaźnika użycia mikrofonu.

Opis: naprawiono błąd spójności przez poprawienie zarządzania stanem.

CVE-2019-6222: Denis Markov z Resonance Software

WebKit

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może ujawnić poufne informacje użytkownika.

Opis: w interfejsie API pobierania (fetch) występował błąd obsługi różnych źródeł. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-8515: James Lee (@Windowsrcer)

WebKit

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8536: Apple

CVE-2019-8544: anonimowy badacz

WebKit

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2019-7285: dwfault w ramach programu ADLab firmy Venustech

CVE-2019-8556: Apple

WebKit

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2019-8506: Samuel Groß z Google Project Zero

WebKit

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: złośliwie spreparowana witryna internetowa może być w stanie wykonywać skrypty w kontekście innej witryny.

Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.

CVE-2019-8503: Linus Särud z Detectify

WebKit

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może doprowadzić do ujawnienia pamięci procesowej.

Opis: usunięto błąd sprawdzania poprawności przez poprawienie logiki sprawdzania.

CVE-2019-7292: Zhunki i Zhiyi Zhang z 360 ESG Codesafe Team

Wi-Fi

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: urządzenie może być śledzone pasywnie przy użyciu adresu MAC interfejsu Wi-Fi.

Opis: rozwiązano problem z prywatnością użytkowników przez usunięcie rozgłaszania adresu MAC.

CVE-2019-8567: David Kreitschmann i Milan Stute z Secure Mobile Networking Lab uczelni Technische Universität Darmstadt

Usługi XPC

Dostępne dla: telefonu iPhone 5s lub nowszego, iPada Air lub nowszego oraz iPoda touch 6. generacji

Zagrożenie: złośliwie spreparowana aplikacja może nadpisać dowolne pliki.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2019-8530: CodeColorist z Ant-Financial LightYear Labs

Dodatkowe podziękowania

Konta

Dziękujemy za udzieloną pomoc: Milan Stute z Secure Mobile Networking Lab z Technische Universität Darmstadt.

Wpis dodano 30 maja 2019 r.

Książki

Dziękujemy za udzieloną pomoc: Yiğit Can YILMAZ (@yilmazcanyigit).

Kalendarz

Problem zgłosili anonimowy badacz, Peter Hempsall z 104days.com i Sascha Mogler z mogler.com.

Jądro

Dziękujemy za udzieloną pomoc: Raz Mashat (@RazMashat) z Ilan Ramon High School, Brandon Azad z Google Project Zero.

Wpis uaktualniono 30 maja 2019 r.

Szybki przegląd

Dziękujemy za udzieloną pomoc: Yiğit Can YILMAZ (@yilmazcanyigit).

Safari

Dziękujemy za udzieloną pomoc: Nikhil Mittal (@c0d3G33k) z Payatu Labs (payatu.com), Ryan Pickren (ryanpickren.com).

Wpis uaktualniono 30 maja 2019 r.

Czas przed ekranem

Problem zgłosił Brandon Moore (@Brandonsecurity).

WebKit

Dziękujemy za udzieloną pomoc: Andrey Kovalev z Yandex Security Team.

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: