Obsah zabezpečenia v systéme iOS 12.3
V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 12.3.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
iOS 12.3
AppleFileConduit
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Apka môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8593: Dany Lisiansky (@DanyL931)
Bluetooth
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: V dôsledku chybnej konfigurácie v protokoloch párovania Bluetooth vo verzii BLE (Bluetooth Low Energy) modulu FIDO Security Keys bolo možné, aby útočník vo fyzickej blízkosti zaznamenával prenosy cez Bluetooth počas párovania
Popis: Tento problém bol vyriešený zakázaním príslušenstva s nezabezpečenými spojeniami cez Bluetooth. Zákazníci, ktorí používajú verziu BLE (Bluetooth Low Energy) modulu Titan Security Key od spoločnosti Google, by si mali preštudovať júnové bulletiny k systému Android a odporúčania spoločnosti Google a vykonať príslušné kroky.
CVE-2019-2102: Matt Beaver a Erik Peterson zo spoločnosti Microsoft Corp.
Kontakty
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Apka so škodlivým kódom môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8598: Omer Gull zo spoločnosti Checkpoint Research
CoreAudio
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Spracovanie súboru filmu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8585: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CoreAudio
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania chýb.
CVE-2019-8592: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CoreText
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Spracovanie škodlivého písma môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-8582: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Obrazy disku
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Apka môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2019-8560: Nikita Pupyshev z Moskovskej štátnej technologickej univerzity N. E. Baumana
Jadro
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Apka môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2019-8633: Zhuo Liang z tímu Qihoo 360 Vulcan Team
Jadro
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-8576: Brandon Azad z tímu Google Project Zero, Junho Jang a Hanul Choi z tímu LINE Security Team
Jadro
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8591: Ned Williamson v spolupráci s tímom Google Project Zero
Zamknutá plocha
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Osoba s fyzickým prístupom k zariadeniu so systémom iOS môže byť schopná zobraziť e-mailovú adresu používanú s iTunes
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2019-8599: Jeremy Peña-Lopez (aka Radio) zo Severofloridskej univerzity
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Spracovanie správy so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8626: natashenka z tímu Google Project Zero
Mail Message Framework
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2019-8613: natashenka z tímu Google Project Zero
Správy
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby systémom
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8573: natashenka z tímu Google Project Zero
Správy
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Spracovanie správy so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8664: natashenka z tímu Google Project Zero
Správy
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Používatelia odstránení z konverzácie iMessage môžu aj naďalej byť schopní upraviť stav
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8631: Jamie Bishop z tímu Dynastic
MobileInstallation
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Lokálny používateľ môže byť schopný upravovať chránené časti súborového systému
Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2019-8568: Dany Lisiansky (@DanyL931)
MobileLockdown
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Škodlivá apka môže byť schopná získať prístup k oprávneniam správcu
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8637: Dany Lisiansky (@DanyL931)
Úložisko apky Fotky
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Izolovaný proces môže byť schopný obísť obmedzenia izolovaného priestoru
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení izolovaného priestoru.
CVE-2019-8617: Anonymný výskumník
SQLite
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8577: Omer Gull zo spoločnosti Checkpoint Research
SQLite
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Spracovanie dotazu SQL so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8600: Omer Gull zo spoločnosti Checkpoint Research
SQLite
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Apka so škodlivým kódom môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8598: Omer Gull zo spoločnosti Checkpoint Research
SQLite
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Apka so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2019-8602: Omer Gull zo spoločnosti Checkpoint Research
Stavový riadok
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Na zamknutej ploche sa aj po odomknutí môže zobrazovať ikona zámku
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania používateľského rozhrania.
CVE-2019-8630: Jon M. Morlan
StreamingZip
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Lokálny používateľ môže byť schopný upravovať chránené časti súborového systému
Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2019-8568: Dany Lisiansky (@DanyL931)
sysdiagnose
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Apka môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Tento problém bol vyriešený vylepšením logiky povolení.
CVE-2019-8574: Dayton Pidhirney (@_watbulb) zo spoločnosti Seekintoo (@seekintoo)
WebKit
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8607: Junho Jang a Hanul Choi z tímu LINE Security Team
WebKit
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2019-6237: G. Geshev v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Liu Long z tímu Qihoo 360 Vulcan Team
CVE-2019-8571: 01 v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8583: sakura z tímu Xuanwu Lab spoločnosti Tencent, jessica (@babyjess1ca_) z tímu Keen Lab spoločnosti Tencent a dwfault v spolupráci s tímom ADLab spoločnosti Venustech
CVE-2019-8584: G. Geshev zo spoločnosti MWR Labs v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8586: Anonymný výskumník
CVE-2019-8587: G. Geshev v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8594: Suyoung Lee a Sooel Son z tímu Web Security & Privacy Lab spoločnosti KAIST a HyungSeok Han a Sang Kil Cha z tímu SoftSec Lab spoločnosti KAIST
CVE-2019-8595: G. Geshev zo spoločnosti MWR Labs v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8596: Wen Xu z tímu SSLab na univerzite Georgia Tech
CVE-2019-8597: 01 v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8601: Fluoroacetate v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8608: G. Geshev v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8609: Wen Xu z tímu SSLab na univerzite Georgia Tech
CVE-2019-8610: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8611: Samuel Groß z tímu Google Project Zero
CVE-2019-8615: G. Geshev zo spoločnosti MWR Labs v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8619: Wen Xu z tímu SSLab na univerzite Georgia Tech a Hanqing Zhao z tímu Chaitin Security Research Lab
CVE-2019-8622: Samuel Groß z tímu Google Project Zero
CVE-2019-8623: Samuel Groß z tímu Google Project Zero
CVE-2019-8628: Wen Xu z tímu SSLab na univerzite Georgia Tech a Hanqing Zhao z tímu Chaitin Security Research Lab
Wi-Fi
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Útočník s oprávneniami v sieti môže upraviť stav ovládača
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8612: Milan Stute z tímu Secure Mobile Networking Lab na Technickej univerzite v Darmstadte
Wi-Fi
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Zariadenie možno pasívne sledovať podľa jeho MAC adresy vo Wi-Fi sieti
Popis: Dochádzalo k problému súvisiacemu s ochranou osobných údajov používateľa, ktorý bol vyriešený odstránením MAC adresy vysielania.
CVE-2019-8620: David Kreitschmann a Milan Stute z tímu Secure Mobile Networking Lab na Technickej univerzite v Darmstadte
Ďalšie poďakovanie
Clang
Poďakovanie za pomoc si zaslúži Brandon Azad z tímu Google Project Zero.
CoreAudio
Poďakovanie za pomoc si zaslúži riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro.
CoreFoundation
Poďakovanie za pomoc si zaslúžia m4bln, Xiangqian Zhang, Huiming Liu z tímu Xuanwu Lab spoločnosti Tencent, Vozzie a Rami.
Jadro
Poďakovanie za pomoc si zaslúžia Denis Kopyrin a Brandon Azad z tímu Google Project Zero.
MediaLibrary
Poďakovanie za pomoc si zaslúžia Angel Ramirez a Min (Spark) Zheng, Xiaolong Bai zo spoločnosti Alibaba Inc.
MobileInstallation
Poďakovanie za pomoc si zaslúži Yiğit Can YILMAZ (@yilmazcanyigit).
Safari
Poďakovanie za pomoc si zaslúži Ben Guild (@benguild).
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.