Om säkerhetsinnehållet i iOS 12.1.1

Det här dokumentet beskriver säkerhetsinnehållet i iOS 12.1.1.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

iOS 12.1.1

Släpptes 5 december 2018

AirPort

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: Ett skadligt program kan öka behörigheter

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.

CVE-2018-4303: Mohamed Ghannam (@_simo36)

Skivavbilder

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4465: Pangu Team

FaceTime

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: En lokal angripare kan visa kontakter från låsskärmen

Beskrivning: Ett problem med låsskärmen förekom som tillät åtkomst till kontakter på en låst enhet. Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2018-4430: videosdebarraquito

File Provider

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: Ett skadligt program kan få reda på information om andra program på enheten

Beskrivning: Problemet åtgärdades med förbättrade behörigheter.

CVE-2018-4446: Luke Deshotels, Jordan Beichler och William Enck på North Carolina State

University, Costin Carabaș och Răzvan Deaconescu på University POLITEHNICA of Bucharest

Kernel

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: En lokal användare kan läsa kernelminne

Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.

CVE-2018-4431: En oberoende säkerhetsforskare rapporterade den här sårbarheten till Beyond Securitys SecuriTeam Secure Disclosure-program

CVE-2018-4448: Brandon Azad

Posten lades till 24 juni 2019

Kernel

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: En angripare i en privilegierad position kan orsaka ett dos-angrepp

Beskrivning: Ett problem med tjänster som nekades åtgärdades genom borttagning av den sårbara koden.

CVE-2018-4460: Kevin Backhouse på Semmle Security Research Team

Kernel

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: En lokal användare kan läsa kernelminne

Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.

CVE-2018-4431: En oberoende säkerhetsforskare rapporterade den här sårbarheten till Beyond Securitys SecuriTeam Secure Disclosure-program

Uppdaterades 18 december 2018

Kernel

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: Ett skadligt program kan öka behörigheter

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2018-4435: Jann Horn på Google Project Zero, Juwei Lin(@panicaII) och Junzhi Lu på TrendMicro Mobile Security Team i samarbete med Trend Micro's Zero Day Initiative

Uppdaterades 18 december 2018

Kernel

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2018-4447: Juwei Lin(@panicaII) och Zhengyu Dong på TrendMicro Mobile Security Team i samarbete med Trend Micro's Zero Day Initiative

Uppdaterades 18 december 2018

Kernel

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2018-4461: Ian Beer på Google Project Zero

LinkPresentation

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: Bearbetning av ett skadligt e-postmeddelande kan leda till att användargränssnittet förfalskas

Beskrivning: Ett problem med omstyrning förekom i hanteringen av webbadresser. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2018-4429: Victor Le Pochat på imec-DistriNet, KU Leuven

Profiler

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: En otillförlitlig konfigurationsprofil kan felaktigt visas som verifierad

Beskrivning: Ett problem med godkännande av certifikat förekom i konfigurationsprofiler. Det åtgärdades genom ytterligare kontroller.

CVE-2018-4436: James Seeley @Code4iOS, Joseph S. på JJS Securities

Uppdaterades 18 december 2018

Safari

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: Besök på en skadlig webbplats kan leda till att användargränssnittet förfalskas

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.

CVE-2018-4439: xisigr på Tencents Xuanwu Lab (tencent.com)

Safari

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: Besök på en skadlig webbplats kan leda till att adressfältet förfalskas

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2018-4440: Wenxu Wu på Tencent Security Xuanwu Lab (xlab.tencent.com)

Safari

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: En användare kan eventuellt ta bort hela webbläsarhistoriken

Beskrivning: Historiken rensades inte med Rensa historik och webbplatsdata. Problemet har åtgärdats genom förbättrad databorttagning.

CVE-2018-4445: William Breuer

VoiceOver

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: En lokal angripare kan dela objekt från låsskärmen

Beskrivning: Ett problem med låsskärmen förekom som tillät åtkomst till delningsfunktionen på en låst enhet. Problemet åtgärdades genom begränsning av de tillgängliga alternativen på en låst enhet.

CVE-2018-4428: videosdebarraquito

Lades till 22 januari 2019

WebKit

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4441: lokihardt på Google Project Zero

CVE-2018-4442: lokihardt på Google Project Zero

CVE-2018-4443: lokihardt på Google Project Zero

WebKit

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Det fanns ett logikproblem som ledde till minnesfel. Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2018-4438: lokihardt på Google Project Zero, Qixun Zhao på Qihoo 360 Vulcan Team

Uppdaterades 22 januari 2019

WebKit

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: Bearbetning av skadligt webbinnehåll kan avslöja känslig användarinformation

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2018-4444: James Lee (@Windowsrcer) på S2SWWW.com

Lades till 3 april 2019, uppdaterades 17 september 2019

WebKit

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2018-4437: HyungSeok Han, DongHyeon Oh och Sang Kil Cha på KAIST Softsec Lab, Korea

CVE-2018-4464: HyungSeok Han, DongHyeon Oh och Sang Kil Cha på KAIST Softsec Lab, Korea

Ytterligare tack

Profiler

Vi vill tacka Luke Deshotels, Jordan Beichler och William Enck på North Carolina State University och Costin Carabaș och Răzvan Deaconescu på University POLITEHNICA of Bucharest för hjälpen.

SafariViewController

Vi vill tacka Yiğit Can YILMAZ (@yilmazcanyigit) för hjälpen.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: