Проблемы системы безопасности, устраняемые обновлением ОС iOS 11.2.5
В этой статье описываются проблемы системы безопасности, устраняемые обновлением ОС iOS 11.2.5.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.
В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.
iOS 11.2.5
Звук
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Обработка вредоносного аудиофайла может приводить к выполнению произвольного кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2018-4094: Мини Чо (Mingi Cho), Минщик Шин (MinSik Shin), Соён Ким (Seoyoung Kim), Ёнхо Ли (Yeong-Ho Lee) и Тхэкён Квон (Taekyoung Kwon) из отдела информационной безопасности Университета Ёнсе
Core Bluetooth
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Программа может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2018-4087: Рани Идан (Rani Idan, @raniXCH) из команды Zimperium zLabs
CVE-2018-4095: Рани Идан (Rani Idan, @raniXCH) из команды Zimperium zLabs
Графический драйвер
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Программа может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2018-4109: Адам Доненфельд (Adam Donenfeld, @doadam) из команды Zimperium zLabs
Ядро
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема с инициализацией памяти устранена путем улучшенной обработки памяти.
CVE-2018-4090: Янн Хорн (Jann Horn) из подразделения Google Project Zero
Ядро
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема с возникновением условия состязания устранена путем улучшенной блокировки.
CVE-2018-4092: Штефан Эссер (Stefan Esser) из Antid0te UG
Ядро
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Вредоносная программа может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2018-4082: Расс Кокс (Russ Cox) из Google
Ядро
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.
CVE-2018-4093: Янн Хорн (Jann Horn) из подразделения Google Project Zero
Ядро
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Программа может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2018-4189: анонимный исследователь
LinkPresentation
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Обработка вредоносного текстового сообщения может приводить к отказу в обслуживании в программе.
Описание. Проблема с исчерпанием ресурсов устранена путем улучшенной проверки ввода.
CVE-2018-4100: Абрахам Масри (Abraham Masri, @cheesecakeufo)
QuartzCore
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. При обработке веб-содержимого возникала проблема повреждения памяти. Эта проблема устранена путем улучшенной проверки ввода.
CVE-2018-4085: Ret2 Systems Inc. в рамках сотрудничества с компанией Trend Micro по программе Zero Day Initiative
Безопасность
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. К сертификату могут некорректно применяться ограничения имени
Описание. При обработке ограничений имени возникала проблема с оценкой сертификата. Проблема решена путем улучшенной оценки надежности сертификатов.
CVE-2018-4086: Иэн Хэйкен (Ian Haken) из Netflix
WebKit
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.
CVE-2018-4088: Чонхун Шин (Jeonghoon Shin) из Theori
CVE-2018-4089: Иван Фратрик (Ivan Fratric) из подразделения Google Project Zero
CVE-2018-4096: обнаружено с помощью инструмента OSS-Fuzz
WebKit
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.
CVE-2018-4147: обнаружено с помощью инструмента OSS-Fuzz
Загрузка страниц WebKit
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.
CVE-2017-7830: Дзюн Кокатсу (Jun Kokatsu, @shhnjk)
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.