Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
Документы Apple о безопасности идентифицируют уязвимости с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple.
iOS 12.3
Дата выпуска: 13 мая 2019 г.
AppleFileConduit
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Приложение может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки обращений к памяти.
CVE-2019-8593: Дани Лисянский (Dany Lisiansky, @DanyL931)
Bluetooth
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. В результате ошибки в конфигурации протоколов сопряжения Bluetooth в энергосберегающей версии Bluetooth Low Energy (BLE) ключей безопасности FIDO взломщик, находящийся в непосредственной близости, может перехватить трафик Bluetooth во время сопряжения.
Описание. Проблема устранена путем отключения устройств с ненадежным соединением Bluetooth. Пользователям энергосберегающей версии Bluetooth Low Energy (BLE) ключа безопасности Titan Security Key от Google рекомендуется ознакомиться с июньским бюллетенем Android и консультациями Google и принять соответствующие меры.
CVE-2019-2102: Мэтт Бивер (Matt Beaver) и Эрик Петерсон (Erik Peterson) из корпорации Microsoft Corp.
Запись добавлена 17 сентября 2019 г.
Контакты
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Вредоносное приложение может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема проверки ввода устранена путем улучшенной проверки ввода.
CVE-2019-8598: Омер Галл (Omer Gull) из Checkpoint Research
CoreAudio
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Обработка вредоносного файла фильма может приводить к выполнению произвольного кода.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2019-8585: пользователь riusksk из VulWar Corp, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CoreAudio
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Обработка вредоносного аудиофайла может приводить к выполнению произвольного кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки ошибок.
CVE-2019-8592: пользователь riusksk из VulWar Corp, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
Запись добавлена 1 августа 2019 г.
CoreText
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Обработка вредоносного шрифта может приводить к раскрытию памяти процессов.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2019-8582: пользователь riusksk из VulWar Corp, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
Запись добавлена 25 июля 2019 г.
Образы дисков
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема с проверкой устранена путем улучшения обработки ввода.
CVE-2019-8560: Никита Пупышев (Nikita Pupyshev) из Московского государственного технического университета им. Н. Э. Баумана
Запись обновлена 30 мая 2019 г.
Ядро
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема с проверкой устранена путем улучшения обработки ввода.
CVE-2019-8633: Чжуо Лиан (Zhuo Liang) из группы Nirvan в Qihoo 360
Запись добавлена 17 сентября 2019 г.
Ядро
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Локальный пользователь может вызывать неожиданное завершение работы системы или считывать память ядра.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2019-8576: Брэндон Азад (Brandon Azad) из подразделения Google Project Zero, Чунхо Чжанг (Junho Jang) и Ханул Чой (Hanul Choi) из LINE Security Team
Запись обновлена 30 мая 2019 г.
Ядро
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Приложение может вызывать неожиданное завершение работы системы или записывать данные в память ядра.
Описание. Проблема смешения типов устранена путем улучшенной обработки памяти.
CVE-2019-8591: Нед Уильямсон (Ned Williamson), сотрудничающий с подразделением Google Project Zero
Экран блокировки
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Пользователь с физическим доступом к устройству iOS может видеть адрес электронной почты, используемый для iTunes.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2019-8599: Джереми Пенья-Лопес (Jeremy Peña-Lopez, Radio) из Университета Северной Флориды
Почта
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Обработка вредоносного сообщения может приводить к отказу в обслуживании.
Описание. Проблема проверки ввода устранена путем улучшенной проверки ввода.
CVE-2019-8626: Натали Сильванович (Natalie Silvanovich) из подразделения Google Project Zero
Платформа сообщений приложения «Почта»
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Удаленный злоумышленник может вызвать выполнение произвольного кода.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2019-8613: Натали Сильванович (Natalie Silvanovich) из подразделения Google Project Zero
Сообщения
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Удаленный злоумышленник может вызвать отказ в обслуживании системы.
Описание. Проблема проверки ввода устранена путем улучшенной проверки ввода.
CVE-2019-8573: Натали Сильванович (Natalie Silvanovich) из подразделения Google Project Zero
Запись добавлена 3 июля 2019 г.
Сообщения
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Обработка вредоносного сообщения может приводить к отказу в обслуживании.
Описание. Проблема проверки ввода устранена путем улучшенной проверки ввода.
CVE-2019-8664: Натали Сильванович (Natalie Silvanovich) из подразделения Google Project Zero
Запись добавлена 3 июля 2019 г.
Сообщения
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Участники, удаленные из разговора iMessage, могут изменять его состояние.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2019-8631: Джейми Бишоп (Jamie Bishop) из компании Dynastic
Запись добавлена 1 августа 2019 г.
MobileInstallation
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Локальный пользователь может изменять защищенные участки файловой системы.
Описание. При обработке символьных ссылок возникала проблема проверки. Проблема устранена путем улучшенной проверки символьных ссылок.
CVE-2019-8568: Дани Лисянский (Dany Lisiansky, @DanyL931)
MobileLockdown
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Вредоносное приложение может повышать уровень привилегий до корневого пользователя.
Описание. Проблема проверки ввода устранена путем улучшенной проверки ввода.
CVE-2019-8637: Дани Лисянский (Dany Lisiansky, @DanyL931)
Хранилище приложения «Фото»
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Некий процесс в изолированной среде может обойти ограничения изолированной среды.
Описание. Проблема доступа устранена путем ввода дополнительных ограничений изолированной среды.
CVE-2019-8617: анонимный исследователь
SQLite
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Приложение может получить повышенные привилегии.
Описание. Проблема проверки ввода устранена путем улучшенной обработки памяти.
CVE-2019-8577: Омер Галл (Omer Gull) из Checkpoint Research
SQLite
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Вредоносный SQL-запрос может приводить к выполнению произвольного кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2019-8600: Омер Галл (Omer Gull) из Checkpoint Research
SQLite
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Вредоносное приложение может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема проверки ввода устранена путем улучшенной проверки ввода.
CVE-2019-8598: Омер Галл (Omer Gull) из Checkpoint Research
SQLite
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Вредоносное приложение может повышать уровень привилегий.
Описание. Проблема с повреждением данных в памяти устранена путем удаления уязвимого кода.
CVE-2019-8602: Омер Галл (Omer Gull) из Checkpoint Research
Строка состояния
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. После разблокировки экрана блокировки на нем может отображаться значок блокировки.
Описание. Проблема устранена посредством улучшенной обработки пользовательского интерфейса.
CVE-2019-8630: Джон М. Морлан (Jon M. Morlan)
StreamingZip
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Локальный пользователь может изменять защищенные участки файловой системы.
Описание. При обработке символьных ссылок возникала проблема проверки. Проблема устранена путем улучшенной проверки символьных ссылок.
CVE-2019-8568: Дани Лисянский (Dany Lisiansky, @DanyL931)
sysdiagnose
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Приложение может выполнять произвольный код с системными правами.
Описание. Проблема устранена посредством улучшения логики разрешений.
CVE-2019-8574: Дэйтон Пидхерни (Dayton Pidhirney, @_watbulb) из Seekintoo (@seekintoo)
Запись обновлена 3 февраля 2020 г.
WebKit
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Обработка вредоносного веб-содержимого может приводить к раскрытию памяти процессов.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2019-8607: Чунхо Джанг (Junho Jang) и Ханул Чой (Hanul Choi) из LINE Security Team
WebKit
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки обращений к памяти.
CVE-2019-6237: Дж. Джешев (G. Geshev), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative, и Лю Лун (Liu Long) из группы Vulcan в Qihoo 360
CVE-2019-8571: пользователь 01, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2019-8583: пользователь sakura из отдела Xuanwu Lab компании Tencent, пользователь jessica (@babyjess1ca_) из отдела Keen Lab компании Tencent и пользователь dwfault из подразделения ADLab компании Venustech
CVE-2019-8584: Дж. Джешев (G. Geshev) из MWR Labs, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2019-8586: анонимный исследователь
CVE-2019-8587: Дж. Джешев (G. Geshev), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2019-8594: Сён Ли (Suyoung Lee) и Суэль Сон (Sooel Son) из лаборатории института KAIST, занимающейся вопросами безопасности и конфиденциальности в Интернете, а также Хёнсок Хан (HyungSeok Han) и Сан Кил Ча (Sang Kil Cha) из лаборатории SoftSec института KAIST
CVE-2019-8595: Дж. Джешев (G. Geshev) из MWR Labs, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2019-8596: Вэнь Сюй (Wen Xu) из подразделения SSLab Технологического института Джорджии
CVE-2019-8597: пользователь 01, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2019-8601: пользователь Fluoroacetate, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2019-8608: Дж. Джешев (G. Geshev), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2019-8609: Вэнь Сюй (Wen Xu) из подразделения SSLab Технологического института Джорджии
CVE-2019-8610: пользователь Anonymous, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2019-8611: Самуэль Гросс (Samuel Groß) из подразделения Google Project Zero
CVE-2019-8615: Дж. Джешев (G. Geshev) из MWR Labs, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2019-8619: Вэнь Сюй (Wen Xu) из подразделения SSLab Технологического института Джорджии и Ханьцин Чжао (Hanqing Zhao) из группы Chaitin Security Research Lab
CVE-2019-8622: Самуэль Гросс (Samuel Groß) из подразделения Google Project Zero
CVE-2019-8623: Самуэль Гросс (Samuel Groß) из подразделения Google Project Zero
CVE-2019-8628: Вэнь Сюй (Wen Xu) из подразделения SSLab Технологического института Джорджии и Ханьцин Чжао (Hanqing Zhao) из группы Chaitin Security Research Lab
Wi-Fi
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Злоумышленник с преимущественным положением в сети может изменять состояние драйвера.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2019-8612: Милан Штуте (Milan Stute) из лаборатории Secure Mobile Networking Lab при Дармштадтском техническом университете
Запись добавлена 30 мая 2019 г.
Wi-Fi
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Устройство может быть пассивно отслежено по MAC-адресу Wi-Fi-адаптера.
Описание. Проблема с конфиденциальностью пользователя устранена посредством удаления транслированного MAC-адреса.
CVE-2019-8620: Давид Крейчман (David Kreitschmann) и Милан Штуте (Milan Stute) из лаборатории Secure Mobile Networking Lab при Дармштадтском техническом университете
Дополнительные благодарности
Clang
Благодарим за помощь Брэндона Азада (Brandon Azad) из подразделения Google Project Zero.
CoreAudio
Благодарим за помощь пользователя riusksk из компании VulWar Corp, сотрудничающего с компанией Trend Micro в рамках программы Zero Day Initiative.
Запись добавлена 25 июля 2019 г.
CoreFoundation
Выражаем благодарность за помощь пользователю m4bln, Сянцяню Чжану (Xiangqian Zhang), Хойминю Лю (Huiming Liu) из лаборатории Xuanwu компании Tencent, а также пользователям Vozzie и Rami.
Запись обновлена 30 мая 2019 г.
Ядро
Выражаем благодарность за помощь Денису Копырину (Denis Kopyrin), Брэндону Азаду (Brandon Azad) из подразделения Google Project Zero.
Запись обновлена 30 мая 2019 г.
MediaLibrary
Выражаем благодарность за помощь Анхелю Рамиресу (Angel Ramirez) и Мину (Спарк) Чжену (Min (Spark) Zheng), Сяолуну Баю (Xiaolong Bai) из Alibaba Inc.
MobileInstallation
Выражаем благодарность за помощь Йигиту Кану Йилмазу (Yiğit Can YILMAZ, @yilmazcanyigit).
Safari
Выражаем благодарность за помощь Бену Гилду (Ben Guild, @benguild).