Om säkerhetsinnehållet i iOS 12.1.1
Det här dokumentet beskriver säkerhetsinnehållet i iOS 12.1.1.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
iOS 12.1.1
AirPort
Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen
Effekt: Ett skadligt program kan öka behörigheter
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.
CVE-2018-4303: Mohamed Ghannam (@_simo36)
Skivavbilder
Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2018-4465: Pangu Team
FaceTime
Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen
Effekt: En lokal angripare kan visa kontakter från låsskärmen
Beskrivning: Ett problem med låsskärmen förekom som tillät åtkomst till kontakter på en låst enhet. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-2018-4430: videosdebarraquito
File Provider
Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen
Effekt: Ett skadligt program kan få reda på information om andra program på enheten
Beskrivning: Problemet åtgärdades med förbättrade behörigheter.
CVE-2018-4446: Luke Deshotels, Jordan Beichler och William Enck på North Carolina State
University, Costin Carabaș och Răzvan Deaconescu på University POLITEHNICA of Bucharest
Kernel
Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen
Effekt: En lokal användare kan läsa kernelminne
Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.
CVE-2018-4431: En oberoende säkerhetsforskare rapporterade den här sårbarheten till Beyond Securitys SecuriTeam Secure Disclosure-program
CVE-2018-4448: Brandon Azad
Kernel
Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen
Effekt: En angripare i en privilegierad position kan orsaka ett dos-angrepp
Beskrivning: Ett problem med tjänster som nekades åtgärdades genom borttagning av den sårbara koden.
CVE-2018-4460: Kevin Backhouse på Semmle Security Research Team
Kernel
Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen
Effekt: En lokal användare kan läsa kernelminne
Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.
CVE-2018-4431: En oberoende säkerhetsforskare rapporterade den här sårbarheten till Beyond Securitys SecuriTeam Secure Disclosure-program
Kernel
Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen
Effekt: Ett skadligt program kan öka behörigheter
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.
CVE-2018-4435: Jann Horn på Google Project Zero, Juwei Lin(@panicaII) och Junzhi Lu på TrendMicro Mobile Security Team i samarbete med Trend Micro's Zero Day Initiative
Kernel
Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2018-4447: Juwei Lin(@panicaII) och Zhengyu Dong på TrendMicro Mobile Security Team i samarbete med Trend Micro's Zero Day Initiative
Kernel
Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2018-4461: Ian Beer på Google Project Zero
LinkPresentation
Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen
Effekt: Bearbetning av ett skadligt e-postmeddelande kan leda till att användargränssnittet förfalskas
Beskrivning: Ett problem med omstyrning förekom i hanteringen av webbadresser. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-2018-4429: Victor Le Pochat på imec-DistriNet, KU Leuven
Profiler
Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen
Effekt: En otillförlitlig konfigurationsprofil kan felaktigt visas som verifierad
Beskrivning: Ett problem med godkännande av certifikat förekom i konfigurationsprofiler. Det åtgärdades genom ytterligare kontroller.
CVE-2018-4436: James Seeley @Code4iOS, Joseph S. på JJS Securities
Safari
Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen
Effekt: Besök på en skadlig webbplats kan leda till att användargränssnittet förfalskas
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.
CVE-2018-4439: xisigr på Tencents Xuanwu Lab (tencent.com)
Safari
Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen
Effekt: Besök på en skadlig webbplats kan leda till att adressfältet förfalskas
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2018-4440: Wenxu Wu på Tencent Security Xuanwu Lab (xlab.tencent.com)
Safari
Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen
Effekt: En användare kan eventuellt ta bort hela webbläsarhistoriken
Beskrivning: Historiken rensades inte med Rensa historik och webbplatsdata. Problemet har åtgärdats genom förbättrad databorttagning.
CVE-2018-4445: William Breuer
VoiceOver
Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen
Effekt: En lokal angripare kan dela objekt från låsskärmen
Beskrivning: Ett problem med låsskärmen förekom som tillät åtkomst till delningsfunktionen på en låst enhet. Problemet åtgärdades genom begränsning av de tillgängliga alternativen på en låst enhet.
CVE-2018-4428: videosdebarraquito
WebKit
Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2018-4441: lokihardt på Google Project Zero
CVE-2018-4442: lokihardt på Google Project Zero
CVE-2018-4443: lokihardt på Google Project Zero
WebKit
Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Det fanns ett logikproblem som ledde till minnesfel. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-2018-4438: lokihardt på Google Project Zero, Qixun Zhao på Qihoo 360 Vulcan Team
WebKit
Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen
Effekt: Bearbetning av skadligt webbinnehåll kan avslöja känslig användarinformation
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2018-4444: James Lee (@Windowsrcer) på S2SWWW.com
WebKit
Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2018-4437: HyungSeok Han, DongHyeon Oh och Sang Kil Cha på KAIST Softsec Lab, Korea
CVE-2018-4464: HyungSeok Han, DongHyeon Oh och Sang Kil Cha på KAIST Softsec Lab, Korea
Ytterligare tack
Profiler
Vi vill tacka Luke Deshotels, Jordan Beichler och William Enck på North Carolina State University och Costin Carabaș och Răzvan Deaconescu på University POLITEHNICA of Bucharest för hjälpen.
SafariViewController
Vi vill tacka Yiğit Can YILMAZ (@yilmazcanyigit) för hjälpen.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.