Sobre o conteúdo de segurança do iOS 12.1.1

Este documento descreve o conteúdo de segurança do iOS 12.1.1.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Para obter mais informações sobre segurança, consulte a página sobre Segurança do Produto Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

iOS 12.1.1

Lançado em 5 de dezembro de 2018

AirPort

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração

Impacto: um aplicativo malicioso pode elevar privilégios

Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias no processamento da memória.

CVE-2018-4303: Mohamed Ghannam (@_simo36)

Imagens de disco

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2018-4465: Pangu Team

FaceTime

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração

Impacto: um invasor local poderia visualizar contatos pela tela bloqueada

Descrição: um problema na tela bloqueada permitia o acesso a contatos em um dispositivo bloqueado. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2018-4430: videosdebarraquito

File Provider

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração

Impacto: um aplicativo malicioso pode descobrir informações sobre a presença de outros aplicativos no dispositivo

Descrição: esse problema foi resolvido por meio de melhorias nos direitos.

CVE-2018-4446: Luke Deshotels, Jordan Beichler e William Enck da North Carolina State

University; Costin Carabaș e Răzvan Deaconescu da University POLITEHNICA of Bucharest

Kernel

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração

Impacto: um usuário local pode ler a memória do kernel

Descrição: um problema na inicialização da memória foi resolvido por meio de melhorias no processamento da memória.

CVE-2018-4431: um pesquisador de segurança independente informou esta vulnerabilidade ao programa SecuriTeam Secure Disclosure da Beyond Security

CVE-2018-4448: Brandon Azad

Entrada adicionada em 24 de junho de 2019

Kernel

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração

Impacto: um invasor em uma posição privilegiada pode fazer um ataque de negação de serviço

Descrição: um problema de recusa de serviço foi resolvido por meio da remoção do código vulnerável.

CVE-2018-4460: Kevin Backhouse da Semmle Security Research Team

Kernel

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração

Impacto: um usuário local pode ler a memória do kernel

Descrição: um problema na inicialização da memória foi resolvido por meio de melhorias no processamento da memória.

CVE-2018-4431: um pesquisador de segurança independente informou esta vulnerabilidade ao programa SecuriTeam Secure Disclosure da Beyond Security

Entrada atualizada em 18 de dezembro de 2018

Kernel

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração

Impacto: um aplicativo malicioso pode elevar privilégios

Descrição: um problema de lógica foi resolvido por meio de melhorias nas restrições.

CVE-2018-4435: Jann Horn do Google Project Zero, Juwei Lin (@panicaII) e Junzhi Lu da TrendMicro Mobile Security Team em parceria com a Zero Day Initiative da Trend Micro

Entrada atualizada em 18 de dezembro de 2018

Kernel

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2018-4447: Juwei Lin (@panicaII) e Zhengyu Dong da TrendMicro Mobile Security Team em parceria com a Zero Day Initiative da Trend Micro

Entrada atualizada em 18 de dezembro de 2018

Kernel

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2018-4461: Ian Beer do Google Project Zero

LinkPresentation

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração

Impacto: processar um e-mail criado com códigos maliciosos poderia levar à falsificação da interface de usuário

Descrição: havia um problema de falsificação no processamento de URLs. Esse problema foi resolvido por meio de melhorias na validação de entradas.

CVE-2018-4429: Victor Le Pochat do grupo imec-DistriNet na KU Leuven

Perfis

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração

Impacto: um perfil de configuração não confiável poderia ser exibido incorretamente como verificado

Descrição: havia um problema de validação de certificação em perfis de configuração. Esse problema foi resolvido por meio de verificações adicionais.

CVE-2018-4436: James Seeley (@Code4iOS) e Joseph S. da JJS Securities

Entrada atualizada em 18 de dezembro de 2018

Safari

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração

Impacto: acessar um site malicioso pode levar à falsificação da interface de usuário

Descrição: um problema de lógica foi resolvido por meio de melhorias na validação.

CVE-2018-4439: xisigr do Xuanwu Lab da Tencent (tencent.com)

Safari

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração

Impacto: acessar um site malicioso pode levar à falsificação da barra de endereços

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estado.

CVE-2018-4440: Wenxu Wu do Xuanwu Lab da Tencent Security (xlab.tencent.com)

Safari

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração

Impacto: um usuário poderia não conseguir apagar totalmente o histórico de navegação

Descrição: a opção "Limpar Histórico e Dados dos Sites" não apagava o histórico. Esse problema foi resolvido por meio da melhoria na exclusão de dados.

CVE-2018-4445: William Breuer

VoiceOver

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração

Impacto: um invasor local pode compartilhar itens pela tela bloqueada

Descrição: um problema na tela bloqueada permitia o acesso à função de compartilhamento em um dispositivo bloqueado. Esse problema foi resolvido por meio da restrição das opções oferecidas em um dispositivo bloqueado.

CVE-2018-4428: videosdebarraquito

Entrada adicionada em 22 de janeiro de 2019

WebKit

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2018-4441: lokihardt do Google Project Zero

CVE-2018-4442: lokihardt do Google Project Zero

CVE-2018-4443: lokihardt do Google Project Zero

WebKit

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: havia um problema de lógica que corrompia a memória. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2018-4438: lokihardt do Google Project Zero e Qixun Zhao do Qihoo 360 Vulcan Team

Entrada atualizada em 22 de janeiro de 2019

WebKit

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração

Impacto: processar conteúdo da web criado com códigos maliciosos pode divulgar informações confidenciais do usuário

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estado.

CVE-2018-4444: James Lee (@Windowsrcer) do S2SWWW.com

Entrada adicionada em 3 de abril de 2019 e atualizada em 17 de setembro de 2019

WebKit

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.

CVE-2018-4437: HyungSeok Han, DongHyeon Oh e Sang Kil Cha do KAIST Softsec Lab, Coreia

CVE-2018-4464: HyungSeok Han, DongHyeon Oh e Sang Kil Cha do KAIST Softsec Lab, Coreia

Outros reconhecimentos

Perfis

Gostaríamos de agradecer a Luke Deshotels, Jordan Beichler e William Enck da North Carolina State University e Costin Carabaș e Răzvan Deaconescu da University POLITEHNICA of Bucharest pela ajuda.

SafariViewController

Gostaríamos de agradecer a Yiğit Can YILMAZ (@yilmazcanyigit) pela ajuda.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: