Om säkerhetsinnehållet i iOS 11.2.5

Det här dokumentet beskriver säkerhetsinnehållet i iOS 11.2.5.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

iOS 11.2.5

Släpptes 23 januari 2018

Ljud

Tillgängligt för: iPhone 5s och senare, iPad Air och senare samt iPod touch 6:e generationen

Effekt: Bearbetning av en ljudfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2018-4094: Mingi Cho, MinSik Shin, Seoyoung Kim, Yeongho Lee och Taekyoung Kwon på Information Security Lab, Yonsei University

Core Bluetooth

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4087: Rani Idan (@raniXCH) på Zimperium zLabs Team

CVE-2018-4095: Rani Idan (@raniXCH) på Zimperium zLabs Team

Grafikdrivrutin

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4109: Adam Donenfeld (@doadam) från Zimperium zLabs Team

Lades till 8 februari 2018

Kernel

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett problem med minnesinitieringen åtgärdades genom förbättrad minneshantering.

CVE-2018-4090: Jann Horn på Google Project Zero

Kernel

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad minneshantering.

CVE-2018-4092: Stefan Esser på Antid0te UG

Informationen uppdaterades 8 februari 2018

Kernel

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: Ett skadligt program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2018-4082: Russ Cox på Google

Kernel

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.

CVE-2018-4093: Jann Horn på Google Project Zero

Kernel

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4189: en anonym forskare

Lades till 2 maj 2018

LinkPresentation

Tillgängligt för: iPhone 5s och senare, iPad Air och senare samt iPod touch 6:e generationen

Effekt: Bearbetning av ett skadligt textmeddelande kan leda till att åtkomsten till tjänsten begränsas

Beskrivning: Ett problem med resursutmattning åtgärdades genom förbättrad indatavalidering.

CVE-2018-4100: Abraham Masri (@cheesecakeufo)

QuartzCore

Tillgängligt för: iPhone 5s och senare, iPad Air och senare samt iPod touch 6:e generationen

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel fanns i bearbetningen av webbinnehåll. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2018-4085: Ret2 Systems Inc. tillsammans med Trend Micros Zero Day Initiative

Säkerhet

Tillgängligt för: iPhone 5s och senare, iPad Air och senare samt iPod touch 6:e generationen

Effekt: Ett certifikat kan ha felaktigt satta begränsningar för namn

Beskrivning: Ett problem med utvärderingen av certifikat fanns vid hantering av namnbegränsningar. Problemet åtgärdades genom förbättrad förtroendeutvärdering av certifikat.

CVE-2018-4086: Ian Haken på Netflix

WebKit

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2018-4088: Jeonghoon Shin på Theori

CVE-2018-4089: Ivan Fratric på Google Project Zero

CVE-2018-4096: upptäcktes av OSS-Fuzz

WebKit

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2018-4147: upptäcktes av OSS-Fuzz

Lades till 18 oktober 2018

WebKits laddning av sidor

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2017-7830: Jun Kokatsu (@shhnjk)

Lades till 18 oktober 2018

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: