Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
iOS 12.1.3
Vydané 22. januára 2019
AppleKeyStore
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Izolovaný proces môže byť schopný obísť obmedzenia izolovaného priestoru
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2019-6235: Brandon Azad
Bluetooth
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Útočník s oprávneniami v sieti môže byť schopný spustiť ľubovoľný kód
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-6200: Anonymný výskumník
Core Media
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Apka so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-6202: Fluoroacetate v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-6221: Fluoroacetate v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CoreAnimation
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Apka so škodlivým kódom môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-6231: Zhuo Liang z tímu Qihoo 360 Nirvan
CoreAnimation
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Škodlivá apka môže byť schopná pracovať mimo svojho izolovaného priestoru
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-6230: Proteas, Shrek_wzw a Zhuo Liang z tímu Qihoo 360 Nirvan
FaceTime
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Vzdialený útočník môže byť schopný inicializovať hovor cez FaceTime a spôsobiť tak spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-6224: natashenka z tímu Google Project Zero
IOKit
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Škodlivá apka môže byť schopná pracovať mimo svojho izolovaného priestoru
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-6214: Ian Beer z tímu Google Project Zero
Jadro
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Apka so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2019-6225: Brandon Azad z tímu Google Project Zero, Qixun Zhao z tímu Qihoo 360 Vulcan
Jadro
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Apka so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-6210: Ned Williamson zo spoločnosti Google
Jadro
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Apka so škodlivým kódom môže spôsobovať neočakávané zmeny v pamäti zdieľanej medzi procesmi
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením kontroly stavu zamknutia.
CVE-2019-6205: Ian Beer z tímu Google Project Zero
Jadro
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-6213: Ian Beer z tímu Google Project Zero
Jadro
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Apka so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2019-6209: Brandon Azad z tímu Google Project Zero
Jadro
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Apka so škodlivým kódom môže spôsobovať neočakávané zmeny v pamäti zdieľanej medzi procesmi
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-6208: Jann Horn z tímu Google Project Zero
Klávesnica
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Funkcia automatického vypĺňania hesla môže vypĺňať heslá aj po ich manuálnom vymazaní
Popis: Dochádzalo k problému, v dôsledku ktorého automatické vyplnenie pokračovalo aj po tom, čo bolo zrušené. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2019-6206: Sergey Pershenkov
libxpc
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Apka so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-6218: Ian Beer z tímu Google Project Zero
Spracovanie prirodzeného jazyka
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Spracovanie správy so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením overovania.
CVE-2019-6219: Authier Thomas
Čítačka Safari
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)
Popis: V Safari dochádzalo k problému súvisiacemu so skriptovaním medzi lokalitami. Tento problém bol vyriešený vylepšením overovania URL adries.
CVE-2019-6228: Ryan Pickren (ryanpickren.com)
SQLite
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Spracovanie dotazu SQL so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.
CVE-2018-20346: Tím Tencent Blade
CVE-2018-20505: Tím Tencent Blade
CVE-2018-20506: Tím Tencent Blade
WebKit
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-6227: Qixun Zhao z tímu Qihoo 360 Vulcan Team
CVE-2019-6233: G. Geshev zo spoločnosti MWR Labs v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-6234: G. Geshev zo spoločnosti MWR Labs v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
WebKit
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2019-6229: Ryan Pickren (ryanpickren.com)
WebKit
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-6215: Lokihardt z tímu Google Project Zero
WebKit
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2019-6212: Mike Zhang z tímu The Pangu, Wen Xu z tímu SSLab na univerzite Georgia Tech
CVE-2019-6216: Fluoroacetate v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-6217: Fluoroacetate v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Proteas, Shrek_wzw a Zhuo Liang z tímu Qihoo 360 Nirvan Team
CVE-2019-6226: Apple
Dátum aktualizovania záznamu: 15. februára 2019
WebKit
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k odhaleniu citlivých používateľských informácií
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8570: James Lee (@Windowsrcer) z tímu S2SWWW.com
Dátum pridania záznamu: 3. apríla 2019, dátum aktualizácie: 11. septembra 2019
WebRTC
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-6211: Georgi Geshev (@munmap), Fabi Beterke (@pwnfl4k3s) a Rob Miller (@trotmaster99) z tímu MWR Labs (@mwrlabs) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Ďalšie poďakovanie
mDNSResponder
Poďakovanie za pomoci si zaslúžia Fatemah Alharbi z Kalifornskej univerzity v Riverside (UCR) a univerzity Taibah (TU), Feng Qian z Minnesotskej univerzity v Twin City, Jie Chang zo spoločnosti LinkSure Network, Nael Abu-Ghazaleh z Kalifornskej univerzity v Riverside (UCR), Yuchen Zhou z Northeastern University a Zhiyun Qian z Kalifornskej univerzity v Riverside (UCR).
Dátum aktualizovania záznamu: 15. februára 2019
Čítačka Safari
Poďakovanie za pomoc si zaslúži Ryan Pickren (ryanpickren.com).
WebKit
Poďakovanie za pomoc si zaslúži James Lee (@Windowsrcer) zo spoločnosti Kryptos Logic.
Dátum aktualizovania záznamu: 15. februára 2019