Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.
Ak je to možné, dokumenty spoločnosti Apple týkajúce sa zabezpečenia odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple.
iOS 12.3
Dátum vydania: 13. mája 2019
AppleFileConduit
Dostupné pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8593: Dany Lisiansky (@DanyL931)
Kontakty
Dostupné pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Škodlivá aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8598: Omer Gull zo spoločnosti Checkpoint Research
CoreAudio
Dostupné pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Spracovanie súboru filmu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8585: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Obrazy disku
Dostupné pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Škodlivá aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-8560: Nikita Pupyshev z Moskovskej štátnej technologickej univerzity N. E. Baumana
Jadro
Dostupné pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s použitím po uvoľnení, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8605: Ned Williamson v spolupráci s tímom Google Project Zero
Jadro
Dostupné pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-8576: Brandon Azad z tímu Google Project Zero, Junho Jang a Hanul Choi z tímu LINE Security
Jadro
Dostupné pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Aplikácia môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8591: Ned Williamson v spolupráci s tímom Google Project Zero
Zamknutá plocha
Dostupné pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Osoba s fyzickým prístupom k zariadeniu so systémom iOS môže byť schopná zobraziť e-mailovú adresu používanú s iTunes
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2019-8599: Jeremy Peña-Lopez (aka Radio) zo Severofloridskej univerzity
Dostupné pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Spracovanie správy so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8626: Natalie Silvanovich z tímu Google Project Zero
Mail Message Framework
Dostupné pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím po uvoľnení, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8613: Natalie Silvanovich z tímu Google Project Zero
MobileInstallation
Dostupné pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Lokálny používateľ môže byť schopný upravovať chránené časti súborového systému
Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2019-8568: Dany Lisiansky (@DanyL931)
MobileLockdown
Dostupné pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Škodlivá aplikácia môže byť schopná získať oprávnenia používateľa root
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8637: Dany Lisiansky (@DanyL931)
Úložisko aplikácie Fotky
Dostupné pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Izolovaný proces môže byť schopný obísť obmedzenia izolovaného priestoru
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení izolovaného priestoru.
CVE-2019-8617: Anonymný výskumník
SQLite
Dostupné pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8577: Omer Gull zo spoločnosti Checkpoint Research
SQLite
Dostupné pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Spracovanie dotazu SQL so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8600: Omer Gull zo spoločnosti Checkpoint Research
SQLite
Dostupné pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Škodlivá aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8598: Omer Gull zo spoločnosti Checkpoint Research
SQLite
Dostupné pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2019-8602: Omer Gull zo spoločnosti Checkpoint Research
Stavový riadok
Dostupné pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Na zamknutej ploche sa aj po odomknutí môže zobrazovať ikona zámku
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania používateľského rozhrania.
CVE-2019-8630: Jon M. Morlan
StreamingZip
Dostupné pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Lokálny používateľ môže byť schopný upravovať chránené časti súborového systému
Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2019-8568: Dany Lisiansky (@DanyL931)
sysdiagnose
Dostupné pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8574: Dayton Pidhirney (@_watbulb) zo spoločnosti Seekintoo (@seekintoo)
WebKit
Dostupné pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8607: Junho Jang a Hanul Choi z tímu LINE Security
WebKit
Dostupné pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2019-6237: G. Geshev v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Liu Long z tímu Qihoo 360 Vulcan
CVE-2019-8571: 01 v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8583: sakura z tímu Xuanwu Lab spoločnosti Tencent, jessica (@babyjess1ca_) z tímu Keen Lab spoločnosti Tencent a dwfault v spolupráci s tímom ADLab spoločnosti Venustech
CVE-2019-8584: G. Geshev zo spoločnosti MWR Labs v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8586: Anonymný výskumník
CVE-2019-8587: G. Geshev v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8594: Suyoung Lee a Sooel Son zo spoločnosti KAIST Web Security & Privacy Lab a HyungSeok Han a Sang Kil Cha zo spoločnosti KAIST SoftSec Lab
CVE-2019-8595: G. Geshev zo spoločnosti MWR Labs v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8596: Wen Xu z tímu SSLab, Georgia Tech
CVE-2019-8597: 01 v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8601: Fluoroacetate v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8608: G. Geshev v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8609: Wen Xu z tímu SSLab, Georgia Tech
CVE-2019-8610: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8611: Samuel Groß z tímu Google Project Zero
CVE-2019-8615: G. Geshev zo spoločnosti MWR Labs v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8619: Wen Xu z tímu SSLab na univerzite Georgia Tech a Hanqing Zhao z tímu Chaitin Security Research Lab
CVE-2019-8622: Samuel Groß z tímu Google Project Zero
CVE-2019-8623: Samuel Groß z tímu Google Project Zero
CVE-2019-8628: Wen Xu z tímu SSLab na univerzite Georgia Tech a Hanqing Zhao z tímu Chaitin Security Research Lab
Wi-Fi
Dostupné pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Zariadenie možno pasívne sledovať podľa jeho MAC adresy vo Wi-Fi sieti
Popis: Dochádzalo k problému súvisiacemu s ochranou osobných údajov používateľa, ktorý bol vyriešený odstránením MAC adresy vysielania.
CVE-2019-8620: David Kreitschmann a Milan Stute z tímu Secure Mobile Networking Lab na Technickej univerzite v Darmstadte
Ďalšie poďakovanie
Clang
Poďakovanie za pomoc si zaslúži Brandon Azad z tímu Google Project Zero.
CoreFoundation
Poďakovanie za pomoc si zaslúžia Vozzie a Rami, ako aj m4bln, Xiangqian Zhang a Huiming Liu z tímu Xuanwu Lab spoločnosti Tencent.
Jadro
Poďakovanie za pomoc si zaslúžia Brandon Azad z tímu Google Project Zero a anonymný výskumník.
MediaLibrary
Poďakovanie za pomoc si zaslúžia Angel Ramirez a Min (Spark) Zheng, Xiaolong Bai zo spoločnosti Alibaba Inc.
MobileInstallation
Poďakovanie za pomoc si zaslúži Yiğit Can YILMAZ (@yilmazcanyigit).
Safari
Poďakovanie za pomoc si zaslúži Ben Guild (@benguild).