Über den Sicherheitsinhalt von iOS 12.1.1
Dieses Dokument beschreibt den Sicherheitsinhalt von iOS 12.1.1.
Über Apple-Sicherheitsupdates
Zum Schutz unserer Kunden offenbart, diskutiert oder bestätigt Apple keine Sicherheitsprobleme, bis eine Untersuchung durchgeführt wurde und Patches oder Versionen verfügbar sind. Aktuelle Versionen sind auf der Apple-Seite für Sicherheitsupdates aufgeführt.
Weitere Informationen zur Sicherheit finden Sie auf der Seite Apple-Produktsicherheit . Sie können die Kommunikation mit Apple mit dem Apple Product Security PGP Key verschlüsseln.
Apple-Sicherheitsdokumente verweisen wenn möglich auf Schwachstellen per CVE-ID .
iOS 12.1.1
Veröffentlicht am 5. Dezember 2018
Flughafen
Verfügbar für: iPhone 5s und höher, iPad Air und höher und iPod touch der 6. Generation
Auswirkung: Eine bösartige Anwendung kann möglicherweise Berechtigungen erhöhen
Beschreibung: Ein Typverwirrungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4303: Mohamed Ghannam (@_simo36)
Disk-Images
Verfügbar für: iPhone 5s und höher, iPad Air und höher und iPod touch der 6. Generation
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Privilegien ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4465: Pangu-Team
FaceTime
Verfügbar für: iPhone 5s und höher, iPad Air und höher und iPod touch der 6. Generation
Auswirkung: Ein lokaler Angreifer kann möglicherweise Kontakte vom Sperrbildschirm aus anzeigen
Beschreibung: Ein Sperrbildschirmproblem ermöglichte den Zugriff auf Kontakte auf einem gesperrten Gerät. Dieses Problem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2018-4430: Videos debarraquito
Dateianbieter
Verfügbar für: iPhone 5s und höher, iPad Air und höher und iPod touch der 6. Generation
Auswirkung: Eine bösartige Anwendung kann möglicherweise Informationen über das Vorhandensein anderer Anwendungen auf dem Gerät erhalten
Beschreibung: Dieses Problem wurde durch verbesserte Berechtigungen behoben.
CVE-2018-4446: Luke Deshotels, Jordan Beichler und William Enck aus dem Bundesstaat North Carolina
Universität; Costin Carabaș und Răzvan Deaconescu von der Universität POLITEHNICA in Bukarest
Kernel
Verfügbar für: iPhone 5s und höher, iPad Air und höher und iPod touch der 6. Generation
Auswirkung: Ein lokaler Benutzer kann Kernel-Speicher lesen
Beschreibung: Ein Problem bei der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4431: Ein unabhängiger Sicherheitsforscher hat diese Schwachstelle an das SecuriTeam Secure Disclosure-Programm von Beyond Security gemeldet
CVE-2018-4448: Brandon Azad
Eintrag hinzugefügt am 24. Juni 2019
Kernel
Verfügbar für: iPhone 5s und höher, iPad Air und höher und iPod touch der 6. Generation
Auswirkung: Ein Angreifer in einer privilegierten Position kann möglicherweise einen Denial-of-Service-Angriff durchführen
Beschreibung: Ein Denial-of-Service-Problem wurde behoben, indem der anfällige Code entfernt wurde.
CVE-2018-4460: Kevin Backhouse vom Semmle Security Research Team
Kernel
Verfügbar für: iPhone 5s und höher, iPad Air und höher und iPod touch der 6. Generation
Auswirkung: Ein lokaler Benutzer kann Kernel-Speicher lesen
Beschreibung: Ein Problem bei der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4431: Ein unabhängiger Sicherheitsforscher hat diese Schwachstelle an das SecuriTeam Secure Disclosure-Programm von Beyond Security gemeldet
Eintrag aktualisiert am 18. Dezember 2018
Kernel
Verfügbar für: iPhone 5s und höher, iPad Air und höher und iPod touch der 6. Generation
Auswirkung: Eine bösartige Anwendung kann möglicherweise Berechtigungen erhöhen
Beschreibung: Ein Logikproblem wurde mit verbesserten Einschränkungen behoben.
CVE-2018-4435: Jann Horn von Google Project Zero, Juwei Lin(@panicaII) und Junzhi Lu vom TrendMicro Mobile Security Team in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
Eintrag aktualisiert am 18. Dezember 2018
Kernel
Verfügbar für: iPhone 5s und höher, iPad Air und höher und iPod touch der 6. Generation
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Privilegien ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2018-4447: Juwei Lin(@panicaII) und Zhengyu Dong vom TrendMicro Mobile Security Team arbeiten mit der Zero Day Initiative von Trend Micro zusammen
Eintrag aktualisiert am 18. Dezember 2018
Kernel
Verfügbar für: iPhone 5s und höher, iPad Air und höher und iPod touch der 6. Generation
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Privilegien ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2018-4461: Ian Beer von Google Project Zero
LinkPräsentation
Verfügbar für: iPhone 5s und höher, iPad Air und höher und iPod touch der 6. Generation
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten E-Mail kann zu Spoofing der Benutzeroberfläche führen
Beschreibung: Bei der Verarbeitung von URLs bestand ein Spoofing-Problem. Dieses Problem wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2018-4429: Victor Le Pochat von imec-DistriNet, KU Leuven
Profile
Verfügbar für: iPhone 5s und höher, iPad Air und höher und iPod touch der 6. Generation
Auswirkung: Ein nicht vertrauenswürdiges Konfigurationsprofil wird möglicherweise fälschlicherweise als verifiziert angezeigt
Beschreibung: In Konfigurationsprofilen bestand ein Problem mit der Zertifikatvalidierung. Dies wurde mit zusätzlichen Überprüfungen behoben.
CVE-2018-4436: James Seeley @Code4iOS, Joseph S. von JJS Securities
Eintrag aktualisiert am 18. Dezember 2018
Safari
Verfügbar für: iPhone 5s und höher, iPad Air und höher und iPod touch der 6. Generation
Auswirkung: Der Besuch einer schädlichen Website kann zu Spoofing der Benutzeroberfläche führen
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Validierung behoben.
CVE-2018-4439: xisigr von Tencents Xuanwu Lab (tencent.com)
Safari
Verfügbar für: iPhone 5s und höher, iPad Air und höher und iPod touch der 6. Generation
Auswirkung: Der Besuch einer schädlichen Website kann zu Adressleisten-Spoofing führen
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2018-4440: Wenxu Wu vom Tencent Security Xuanwu Lab (xlab.tencent.com)
Safari
Verfügbar für: iPhone 5s und höher, iPad Air und höher und iPod touch der 6. Generation
Auswirkung: Ein Benutzer kann den Browserverlauf möglicherweise nicht vollständig löschen
Beschreibung: „Verlauf und Website-Daten löschen" hat den Verlauf nicht gelöscht. Das Problem wurde durch eine verbesserte Datenlöschung behoben.
CVE-2018-4445: William Breuer
Voice-over
Verfügbar für: iPhone 5s und höher, iPad Air und höher und iPod touch der 6. Generation
Auswirkung: Ein lokaler Angreifer kann möglicherweise Elemente vom Sperrbildschirm freigeben
Beschreibung: Ein Sperrbildschirmproblem ermöglichte den Zugriff auf die Freigabefunktion auf einem gesperrten Gerät. Dieses Problem wurde behoben, indem die auf einem gesperrten Gerät angebotenen Optionen eingeschränkt wurden.
CVE-2018-4428: Videos debarraquito
Eintrag hinzugefügt am 22. Januar 2019
WebKit
Verfügbar für: iPhone 5s und höher, iPad Air und höher und iPod touch der 6. Generation
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4441: Lokihardt von Google Project Zero
CVE-2018-4442: Lokihardt von Google Project Zero
CVE-2018-4443: Lokihardt von Google Project Zero
WebKit
Verfügbar für: iPhone 5s und höher, iPad Air und höher und iPod touch der 6. Generation
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Es bestand ein Logikproblem, das zu einer Speicherbeschädigung führte. Dies wurde mit einer verbesserten Zustandsverwaltung behoben.
CVE-2018-4438: lokihardt von Google Project Zero, Qixun Zhao vom Qihoo 360 Vulcan Team
Eintrag aktualisiert am 22. Januar 2019
WebKit
Verfügbar für: iPhone 5s und höher, iPad Air und höher und iPod touch der 6. Generation
Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können sensible Benutzerinformationen offengelegt werden
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2018-4444: James Lee (@Windowsrcer) von S2SWWW.com
Eintrag hinzugefügt am 3. April 2019, aktualisiert am 17. September 2019
WebKit
Verfügbar für: iPhone 5s und höher, iPad Air und höher und iPod touch der 6. Generation
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Mehrere Speicherbeschädigungsprobleme wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4437: HyungSeok Han, DongHyeon Oh und Sang Kil Cha vom KAIST Softsec Lab, Korea
CVE-2018-4464: HyungSeok Han, DongHyeon Oh und Sang Kil Cha vom KAIST Softsec Lab, Korea
Zusätzliche Anerkennung
Profile
Wir möchten Luke Deshotels, Jordan Beichler und William Enck von der North Carolina State University sowie Costin Carabaș und Răzvan Deaconescu von der Universität POLITEHNICA in Bukarest für ihre Unterstützung danken.
SafariViewController
Wir danken Yiğit Can YILMAZ (@yilmazcanyigit) für ihre Unterstützung.
Informationen über Produkte, die nicht von Apple hergestellt wurden, oder unabhängige Websites, die nicht von Apple kontrolliert oder getestet wurden, werden ohne Empfehlung oder Billigung bereitgestellt. Apple übernimmt keine Verantwortung in Bezug auf die Auswahl, Leistung oder Verwendung von Websites oder Produkten von Drittanbietern. Apple macht keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit von Websites Dritter. Wenden Sie sich an den Anbieter , um weitere Informationen zu erhalten.
No comments:
Post a Comment