Проблемы системы безопасности, устраняемые обновлением ОС iOS 11.2.5

В этой статье описываются проблемы системы безопасности, устраняемые обновлением ОС iOS 11.2.5.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

iOS 11.2.5

Дата выпуска 23 января 2018 г.

Звук

Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)

Воздействие. Обработка вредоносного аудиофайла может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2018-4094: Мини Чо (Mingi Cho), Минщик Шин (MinSik Shin), Соён Ким (Seoyoung Kim), Ёнхо Ли (Yeong-Ho Lee) и Тхэкён Квон (Taekyoung Kwon) из отдела информационной безопасности Университета Ёнсе

Запись обновлена 16 ноября 2018 г.

Core Bluetooth

Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2018-4087: Рани Идан (Rani Idan, @raniXCH) из команды Zimperium zLabs

CVE-2018-4095: Рани Идан (Rani Idan, @raniXCH) из команды Zimperium zLabs

Графический драйвер

Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2018-4109: Адам Доненфельд (Adam Donenfeld, @doadam) из команды Zimperium zLabs

Запись добавлена 8 февраля 2018 г.

Ядро

Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с инициализацией памяти устранена путем улучшенной обработки памяти.

CVE-2018-4090: Янн Хорн (Jann Horn) из подразделения Google Project Zero

Запись обновлена 16 ноября 2018 г.

Ядро

Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с возникновением условия состязания устранена путем улучшенной блокировки.

CVE-2018-4092: Штефан Эссер (Stefan Esser) из Antid0te UG

Запись обновлена 16 ноября 2018 г.

Ядро

Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)

Воздействие. Вредоносная программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2018-4082: Расс Кокс (Russ Cox) из Google

Запись обновлена 16 ноября 2018 г.

Ядро

Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.

CVE-2018-4093: Янн Хорн (Jann Horn) из подразделения Google Project Zero

Ядро

Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2018-4189: анонимный исследователь

Запись добавлена 2 мая 2018 г.

LinkPresentation

Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)

Воздействие. Обработка вредоносного текстового сообщения может приводить к отказу в обслуживании в программе.

Описание. Проблема с исчерпанием ресурсов устранена путем улучшенной проверки ввода.

CVE-2018-4100: Абрахам Масри (Abraham Masri, @cheesecakeufo)

Запись обновлена 16 ноября 2018 г.

QuartzCore

Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. При обработке веб-содержимого возникала проблема повреждения памяти. Эта проблема устранена путем улучшенной проверки ввода.

CVE-2018-4085: Ret2 Systems Inc. в рамках сотрудничества с компанией Trend Micro по программе Zero Day Initiative

Запись обновлена 16 ноября 2018 г.

Безопасность

Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)

Воздействие. К сертификату могут некорректно применяться ограничения имени

Описание. При обработке ограничений имени возникала проблема с оценкой сертификата. Проблема решена путем улучшенной оценки надежности сертификатов.

CVE-2018-4086: Иэн Хэйкен (Ian Haken) из Netflix

Запись обновлена 16 ноября 2018 г.

WebKit

Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.

CVE-2018-4088: Чонхун Шин (Jeonghoon Shin) из Theori

CVE-2018-4089: Иван Фратрик (Ivan Fratric) из подразделения Google Project Zero

CVE-2018-4096: обнаружено с помощью инструмента OSS-Fuzz

WebKit

Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.

CVE-2018-4147: обнаружено с помощью инструмента OSS-Fuzz

Запись добавлена 18 октября 2018 г.

Загрузка страниц WebKit

Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.

CVE-2017-7830: Дзюн Кокатсу (Jun Kokatsu, @shhnjk)

Запись добавлена 18 октября 2018 г.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: