Obsah zabezpečenia v systéme iOS 12.3

V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 12.3.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

iOS 12.3

Dátum vydania: 13. mája 2019

AppleFileConduit

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8593: Dany Lisiansky (@DanyL931)

Bluetooth

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: V dôsledku chybnej konfigurácie v protokoloch párovania Bluetooth vo verzii BLE (Bluetooth Low Energy) modulu FIDO Security Keys bolo možné, aby útočník vo fyzickej blízkosti zaznamenával prenosy cez Bluetooth počas párovania.

Popis: Tento problém bol vyriešený zakázaním príslušenstva s nezabezpečenými spojeniami Bluetooth. Zákazníci, ktorí používajú verziu BLE (Bluetooth Low Energy) modulu Titan Security Key od spoločnosti Google, by si mali preštudovať júnové bulletiny k systému Android a odporúčania spoločnosti Google a vykonať príslušné kroky.

CVE-2019-2102: Matt Beaver a Erik Peterson zo spoločnosti Microsoft Corp.

Dátum pridania záznamu: 17. septembra 2019

Kontakty

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Škodlivá aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8598: Omer Gull zo spoločnosti Checkpoint Research

CoreAudio

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Spracovanie súboru filmu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8585: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CoreAudio

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania chýb.

CVE-2019-8592: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum pridania záznamu: 1. augusta 2019

CoreText

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dosah: Spracovanie škodlivého písma môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8582: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum pridania záznamu: 25. júla 2019

Obrazy disku

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2019-8560: Nikita Pupyšev z Moskovskej štátnej technologickej univerzity N. E. Baumana

Dátum aktualizovania záznamu: 30. mája 2019

Jadro

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2019-8633: Zhuo Liang z tímu Qihoo 360 Vulcan Team

Dátum pridania záznamu: 17. septembra 2019

Jadro

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dosah: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8576: Brandon Azad z tímu Google Project Zero, Junho Jang a Hanul Choi z tímu LINE Security Team

Dátum aktualizovania záznamu: 30. mája 2019

Jadro

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Aplikácia môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8591: Ned Williamson v spolupráci s tímom Google Project Zero

Zamknutá plocha

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Osoba s fyzickým prístupom k zariadeniu so systémom iOS môže byť schopná zobraziť e-mailovú adresu používanú s iTunes

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2019-8599: Jeremy Peña-Lopez (aka Radio) zo Severofloridskej univerzity

Mail

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Spracovanie správy so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8626: Natalie Silvanovich z tímu Google Project Zero

Mail Message Framework

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s použitím po uvoľnení, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8613: Natalie Silvanovich z tímu Google Project Zero

Správy

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby systémom

Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8573: Natalie Silvanovich z tímu Google Project Zero

Dátum pridania záznamu: 3. júla 2019

Správy

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Spracovanie správy so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8664: Natalie Silvanovich z tímu Google Project Zero

Dátum pridania záznamu: 3. júla 2019

Správy

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Používatelia odstránení z konverzácie iMessage môžu aj naďalej byť schopní upraviť stav

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8631: Jamie Bishop z tímu Dynastic

Dátum pridania záznamu: 1. augusta 2019

MobileInstallation

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Lokálny používateľ môže byť schopný upravovať chránené časti súborového systému

Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.

CVE-2019-8568: Dany Lisiansky (@DanyL931)

MobileLockdown

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Škodlivá aplikácia môže byť schopná získať prístup k oprávneniam správcu

Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8637: Dany Lisiansky (@DanyL931)

Úložisko aplikácie Fotky

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Izolovaný proces môže byť schopný obísť obmedzenia izolovaného priestoru

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení izolovaného priestoru.

CVE-2019-8617: Anonymný výskumník

SQLite

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dosah: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8577: Omer Gull zo spoločnosti Checkpoint Research

SQLite

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Spracovanie dotazu SQL so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8600: Omer Gull zo spoločnosti Checkpoint Research

SQLite

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Škodlivá aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8598: Omer Gull zo spoločnosti Checkpoint Research

SQLite

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dosah: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2019-8602: Omer Gull zo spoločnosti Checkpoint Research

Stavový riadok

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Na zamknutej ploche sa aj po odomknutí môže zobrazovať ikona zámku

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania používateľského rozhrania.

CVE-2019-8630: Jon M. Morlan

StreamingZip

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Lokálny používateľ môže byť schopný upravovať chránené časti súborového systému

Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.

CVE-2019-8568: Dany Lisiansky (@DanyL931)

sysdiagnose

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8574: Dayton Pidhirney (@_watbulb) zo spoločnosti Seekintoo (@seekintoo)

WebKit

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8607: Junho Jang a Hanul Choi z tímu LINE Security Team

WebKit

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2019-6237: G. Geshev v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Liu Long z tímu Qihoo 360 Vulcan Team

CVE-2019-8571: 01 v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2019-8583: sakura z tímu Xuanwu Lab spoločnosti Tencent, jessica (@babyjess1ca_) z tímu Keen Lab spoločnosti Tencent a dwfault v spolupráci s tímom ADLab spoločnosti Venustech

CVE-2019-8584: G. Geshev zo spoločnosti MWR Labs v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2019-8586: Anonymný výskumník

CVE-2019-8587: G. Geshev v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2019-8594: Suyoung Lee a Sooel Son z tímu Web Security & Privacy Lab spoločnosti KAIST a HyungSeok Han a Sang Kil Cha z tímu SoftSec Lab spoločnosti KAIST

CVE-2019-8595: G. Geshev zo spoločnosti MWR Labs v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2019-8596: Wen Xu z tímu SSLab na univerzite Georgia Tech

CVE-2019-8597: 01 v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2019-8601: Fluoroacetate v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2019-8608: G. Geshev v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2019-8609: Wen Xu z tímu SSLab na univerzite Georgia Tech

CVE-2019-8610: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2019-8611: Samuel Groß z tímu Google Project Zero

CVE-2019-8615: G. Geshev zo spoločnosti MWR Labs v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2019-8619: Wen Xu z tímu SSLab na univerzite Georgia Tech a Hanqing Zhao z tímu Chaitin Security Research Lab

CVE-2019-8622: Samuel Groß z tímu Google Project Zero

CVE-2019-8623: Samuel Groß z tímu Google Project Zero

CVE-2019-8628: Wen Xu z tímu SSLab na univerzite Georgia Tech a Hanqing Zhao z tímu Chaitin Security Research Lab

Wi-Fi

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Útočník s oprávneniami v sieti môže upraviť stav ovládača

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8612: Milan Stute z tímu Secure Mobile Networking Lab na Technickej univerzite v Darmstadte

Dátum pridania záznamu: 30. mája 2019

Wi-Fi

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Zariadenie možno pasívne sledovať podľa jeho MAC adresy vo Wi-Fi sieti

Popis: Dochádzalo k problému súvisiacemu s ochranou osobných údajov používateľa, ktorý bol vyriešený odstránením MAC adresy vysielania.

CVE-2019-8620: David Kreitschmann a Milan Stute z tímu Secure Mobile Networking Lab na Technickej univerzite v Darmstadte

Ďalšie poďakovanie

Clang

Poďakovanie za pomoc si zaslúži Brandon Azad z tímu Google Project Zero.

CoreAudio

Poďakovanie za pomoc si zaslúži riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro.

Dátum pridania záznamu: 25. júla 2019

CoreFoundation

Poďakovanie za pomoc si zaslúžia m4bln, Xiangqian Zhang, Huiming Liu z tímu Xuanwu Lab spoločnosti Tencent, Vozzie a Rami.

Dátum aktualizovania záznamu: 30. mája 2019

Jadro

Poďakovanie za pomoc si zaslúžia Denis Kopyrin a Brandon Azad z tímu Google Project Zero.

Dátum aktualizovania záznamu: 30. mája 2019

MediaLibrary

Poďakovanie za pomoc si zaslúžia Angel Ramirez a Min (Spark) Zheng, Xiaolong Bai zo spoločnosti Alibaba Inc.

MobileInstallation

Poďakovanie sa pomoc si zaslúži Yiğit Can YILMAZ (@yilmazcanyigit).

Safari

Poďakovanie za pomoc si zaslúži Ben Guild (@benguild).

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: