Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.
Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
iOS 11.3
Vydané 29. marca 2018
Aplikácia Apple TV
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Útočník s oprávneniami v sieti môže byť schopný sfalšovať výzvy na zadanie hesla v aplikácii Apple TV
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2018-4177: Jerry Decime
Dátum pridania záznamu: 13. apríla 2018
Hodiny
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Osoba s fyzickým prístupom k zariadeniu so systémom iOS môže byť schopná zobraziť e-mailovú adresu používanú s iTunes
Popis: Pri spracovávaní budíkov a časovačov dochádzalo k problému s únikom informácií. Tento problém bol vyriešený vylepšením obmedzení prístupu.
CVE-2018-4123: Zaheen Hafzar M M (@zaheenhafzer)
Dátum aktualizovania záznamu: 16. novembra 2018
CoreFoundation
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2018-4155: Samuel Groß (@5aelo)
CVE-2018-4158: Samuel Groß (@5aelo)
CoreText
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Spracovanie reťazca so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4142: Robin Leroy zo spoločnosti Google Switzerland GmbH
Dátum aktualizovania záznamu: 16. novembra 2018
LinkPresentation
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou
Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2018-4390: Rayyan Bijoora (@Bijoora) z The City School, PAF Chapter
CVE-2018-4391: Rayyan Bijoora (@Bijoora) z The City School, PAF Chapter
Dátum pridania záznamu: 30. októbra 2018, dátum aktualizovania: 16. novembra 2018
Udalosti súborového systému
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2018-4167: Samuel Groß (@5aelo)
Widget aplikácie Súbory
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Widget aplikácie Súbory môže zobrazovať obsah na zamknutom zariadení
Popis: Widget aplikácie Súbory zobrazoval dáta z vyrovnávacej pamäte aj v zamknutom stave. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2018-4168: Brandon Moore
Nájsť môj iPhone
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Osoba s fyzickým prístupom k zariadeniu môže vypnúť funkciu Nájsť môj iPhone bez zadania hesla účtu iCloud
Popis: Pri obnovovaní zo zálohy dochádzalo k problému so správou stavu. Tento problém bol vyriešený vylepšením kontroly stavu počas obnovovania.
CVE-2018-4172: Viljami Vastamäki
iCloud Drive
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2018-4151: Samuel Groß (@5aelo)
Jadro
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2018-4150: Anonymný výskumník
Jadro
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2018-4104: Národné centrum Spojeného kráľovstva pre kybernetickú bezpečnosť (NCSC)
Jadro
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4143: derrek (@derrekr6)
Jadro
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra
Popis: Pri zmene stavu programov dochádzalo k problému s únikom informácií. Tento problém bol vyriešený vylepšením spracovania stavu.
CVE-2018-4185: Brandon Azad
Dátum pridania záznamu: 19. júla 2018
libxml2
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari
Popis: Dochádzalo k problému súvisiacemu s použitím po uvoľnení, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-15412: Nick Wellnhofer
Dátum pridania záznamu: 18. októbra 2018
LinkPresentation
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou
Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2018-4390: Rayyan Bijoora (@Bijoora) z The City School, PAF Chapter
CVE-2018-4391: Rayyan Bijoora (@Bijoora) z The City School, PAF Chapter
Dátum pridania záznamu: 30. októbra 2018
LinkPresentation
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Spracovanie textovej správy so škodlivým kódom môže viesť k sfalšovaniu používateľského rozhrania
Popis: Pri spracovávaní adries URL dochádzalo k problému s falšovaním. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng (@Wester) z oddelenia Tencent Security Platform Department
Dátum pridania záznamu: 17. septembra 2019
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Útočník s oprávneniami v sieti môže byť schopný zaznamenávať obsah e-mailov so šifrovaním S/MIME
Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2018-4174: John McCombs zo spoločnosti Integrated Mapping Ltd, McClain Looney zo spoločnosti LoonSoft Inc.
Dátum aktualizovania záznamu: 13. apríla 2018
NSURLSession
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2018-4166: Samuel Groß (@5aelo)
PluginKit
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2018-4156: Samuel Groß (@5aelo)
Rýchly náhľad
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2018-4157: Samuel Groß (@5aelo)
Safari
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Návšteva webovej stránky so škodlivým kódom kliknutím na odkaz môže viesť k sfalšovaniu používateľského rozhrania
Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2018-4134: xisigr z tímu Xuanwu Lab spoločnosti Tencent (tencent.com), Zhiyang Zeng (@Wester) z tímu Tencent Security Platform Department
Automatické vypĺňanie prihlasovacích údajov v Safari
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Webová stránka so škodlivým kódom môže byť schopná získať automaticky vyplnené údaje v Safari aj bez priamej interakcie s používateľom.
Popis: V Safari sa údaje automaticky vypĺňali bez toho, aby došlo k priamej interakcii s používateľom. Tento problém bol vyriešený vylepšením heuristiky automatického vypĺňania.
CVE-2018-4137
Dátum aktualizovania záznamu: 16. novembra 2018
SafariViewController
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k predstieraniu iného zdroja v používateľskom rozhraní (tzv. spoofing)
Popis: Dochádzalo k problému so správou stavu, ktorý bol vyriešený zakázaním textového vstupu až do načítania cieľovej stránky.
CVE-2018-4149: Abhinash Jain (@abhinashjain)
Zabezpečenie
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania veľkosti.
CVE-2018-4144: Abraham Masri (@cheesecakeufo)
Stavový riadok
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Škodlivá aplikácia môže byť schopná získať prístup k mikrofónu bez zobrazenia príslušného indikátora používateľovi
Popis: Pri určovaní, kedy sa má zobraziť indikátor používania mikrofónu, dochádzalo k problému s konzistentnosťou. Tento problém bol vyriešený vylepšením overovania funkcie.
CVE-2018-4173: Joshua Pokotilow zo spoločnosti pingmd
Dátum pridania záznamu: 9. apríla 2018
Úložisko
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2018-4154: Samuel Groß (@5aelo)
Systémové nastavenia
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Konfiguračný profil môže nesprávne zostať v platnosti aj po odstránení
Popis: Dochádzalo k problému v súčasti CFPreferences. Tento problém bol vyriešený vylepšením čistenia nastavení.
CVE-2018-4115: Johann Thalakada, Vladimir Zubkov a Matt Vlasach zo spoločnosti Wandera
Dátum aktualizovania záznamu: 16. novembra 2018
Telefónne funkcie
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Vzdialený útočník môže spôsobiť neočakávané reštartovanie zariadenia
Popis: Pri spracovávaní SMS správ triedy 0 dochádzalo k dereferencii smerníka s hodnotou NULL. Tento problém bol vyriešený vylepšením overovania správ.
CVE-2018-4140: @mjonsson, Arjan van der Oest zo spoločnosti Voiceworks BV
Dátum aktualizovania záznamu: 16. novembra 2018
Telefónne funkcie
K dispozícii pre: iPhone 5s a novší a modely Wi-Fi + Cellular iPadu Air a novšieho
Dopad: Vzdialený útočník môže byť schopný spustiť ľubovoľný kód
Popis: Dochádzalo k viacerým problémom s pretečením medzipamäte, ktoré boli vyriešené vylepšením overovania vstupu.
CVE-2018-4148: Nico Golde zo spoločnosti Comsecuris UG
Dátum pridania záznamu: 30. marca 2018
Webová aplikácia
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Vo webovej aplikácii môžu neočakávane pretrvávať súbory cookie
Popis: Dochádzalo k problému so správou súborov cookie, ktorý bol vyriešený vylepšením správy stavu.
CVE-2018-4110: Ben Compton a Jason Colley zo spoločnosti Cerner Corporation
Dátum aktualizovania záznamu: 16. novembra 2018
WebKit
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2018-4101: Yuan Deng z tímu Ant-financial Light-Year Security Lab
CVE-2018-4114: Nájdené programom OSS-Fuzz
CVE-2018-4118: Jun Kokatsu (@shhnjk)
CVE-2018-4119: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2018-4120: Hanming Zhang (@4shitak4) z tímu Qihoo 360 Vulcan
CVE-2018-4121: Natalie Silvanovich z tímu Google Project Zero
CVE-2018-4122: WanderingGlitch z projektu Zero Day Initiative spoločnosti Trend Micro
CVE-2018-4125: WanderingGlitch z projektu Zero Day Initiative spoločnosti Trend Micro
CVE-2018-4127: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2018-4128: Zach Markley
CVE-2018-4129: likemeng z tímu Baidu Security Lab v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2018-4130: Omair v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2018-4161: WanderingGlitch z projektu Zero Day Initiative spoločnosti Trend Micro
CVE-2018-4162: WanderingGlitch z projektu Zero Day Initiative spoločnosti Trend Micro
CVE-2018-4163: WanderingGlitch z projektu Zero Day Initiative spoločnosti Trend Micro
CVE-2018-4165: Hanming Zhang (@4shitak4) z tímu Qihoo 360 Vulcan
WebKit
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Neočakávaná interakcia s typmi indexovania spôsobovala zlyhanie ASSERT
Popis: Pri spracovávaní funkcií v jadre JavaScriptu dochádzalo k problému s indexovaním polí. Tento problém bol vyriešený vylepšením kontrol.
CVE-2018-4113: Nájdené programom OSS-Fuzz
WebKit
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu
CVE-2018-4146: Nájdené programom OSS-Fuzz
WebKit
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Webová stránka so škodlivým kódom môže spôsobiť neoprávnené získanie dát s rôznym pôvodom
Popis: V rozhraní API na načítanie dát dochádzalo k problému so zámenou pôvodu. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2018-4117: Dvaja anonymní výskumníci
WebKit
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Neočakávaná interakcia spôsobovala zlyhanie ASSERT
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2018-4207: Nájdené programom OSS-Fuzz
Dátum pridania záznamu: 2. mája 2018
WebKit
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Neočakávaná interakcia spôsobovala zlyhanie ASSERT
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2018-4208: Nájdené programom OSS-Fuzz
Dátum pridania záznamu: 2. mája 2018
WebKit
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Neočakávaná interakcia spôsobovala zlyhanie ASSERT
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2018-4209: Nájdené programom OSS-Fuzz
Dátum pridania záznamu: 2. mája 2018
WebKit
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Neočakávaná interakcia s typmi indexovania spôsobovala zlyhanie
Popis: Pri spracovávaní funkcií v jadre JavaScriptu dochádzalo k problému s indexovaním polí. Tento problém bol vyriešený vylepšením kontrol.
CVE-2018-4210: Nájdené programom OSS-Fuzz
Dátum pridania záznamu: 2. mája 2018
WebKit
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Neočakávaná interakcia spôsobovala zlyhanie ASSERT
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2018-4212: Nájdené programom OSS-Fuzz
Dátum pridania záznamu: 2. mája 2018
WebKit
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Neočakávaná interakcia spôsobovala zlyhanie ASSERT
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2018-4213: Nájdené programom OSS-Fuzz
Dátum pridania záznamu: 2. mája 2018
WebKit
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2018-4145: Nájdené programom OSS-Fuzz
Dátum pridania záznamu: 18. októbra 2018
WindowServer
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Neoprávnená aplikácia môže byť schopná zaznamenávať stlačené klávesy v iných aplikáciách, aj keď je zapnutý režim zabezpečeného vstupu
Popis: Neoprávnená aplikácia mohla skenovaním stavu klávesov zaznamenávať stlačené klávesy v iných aplikáciách, aj keď bol zapnutý režim zabezpečeného vstupu. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2018-4131: Andreas Hegenberg zo spoločnosti folivora.AI GmbH
Ďalšie poďakovanie
Poďakovanie za pomoc si zaslúži Sabri Haddouche (@pwnsdx) zo spoločnosti Wire Swiss GmbH.
Dátum pridania záznamu: 21. júna 2018
Zabezpečenie
Poďakovanie za pomoc si zaslúži Abraham Masri (@cheesecakeufo).
Dátum pridania záznamu: 13. apríla 2018
WebKit
Poďakovanie za pomoc si zaslúži Johnny Nipper z tímu Tinder Security Team.