אפל משחררת עדכון ענק של iOS 11.3 לאייפון ולאייפד

שעון

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: אדם עם גישה פיזית למכשיר iOS עשוי לראות את כתובת הדוא"ל המשמשת ל- iTunes

תיאור: קיימת סוגיית גילוי מידע בטיפול באזעקות ועובדי זמן. סוגיה זו טופלה באמצעות מגבלות גישה משופרות.

CVE-2018-4123: זאנה הפצר M M (@zaheenhafzer)

CoreFoundation

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: ייתכן שיישום יוכל לקבל הרשאות גבוהות

תיאור: טופס תנאי מירוץ עם תוקף נוסף.

CVE-2018-4155: סמואל גרוס (@ 5aelo)

CVE-2018-4158: סמואל גרוס (@ 5aelo)

CoreText

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: עיבוד מחרוזת בעלת מבנה זדוני עלול להוביל לשלילת שירות

תיאור: סוגיית הכחשת השירות טופלה באמצעות שיפור הטיפול בזיכרון.

CVE-2018-4142: רובין לירוי מגוגל שוויץ GmbH

אירועי מערכת קבצים

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: ייתכן שיישום יוכל לקבל הרשאות גבוהות

תיאור: טופס תנאי מירוץ עם תוקף נוסף.

CVE-2018-4167: סמואל גרוס (@ 5aelo)

יישומון קבצים

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: יישומון קבצים עשוי להציג תוכן בהתקן נעול

תיאור: יישומון הקבצים הציג נתונים במטמון כשהוא במצב נעול. סוגיה זו טופלה בשיפור ניהול המדינה.

CVE-2018-4168: ברנדון מור

מצא את האייפון שלי

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: אדם עם גישה פיזית למכשיר עשוי להיות מסוגל להשבית את Find My iPhone מבלי להזין סיסמת iCloud

תיאור: קיים בעיה בניהול מדינות בעת שחזור מגיבוי. סוגיה זו טופלה באמצעות בדיקת מצב משופרת במהלך השחזור.

CVE-2018-4172: Viljami Vastamäki

iCloud Drive

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: ייתכן שיישום יוכל לקבל הרשאות גבוהות

תיאור: טופס תנאי מירוץ עם תוקף נוסף.

CVE-2018-4151: סמואל גרוס (@ 5aelo)

גרעין

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: ייתכן שיישום זדוני יכול לבצע קוד שרירותי עם הרשאות גרעין

תיאור: מספר בעיות השחיתות בזיכרון טופלו באמצעות שיפור הטיפול בזיכרון.

CVE-2018-4150: חוקר אנונימי

גרעין

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: ייתכן שיישום יכול לקרוא זיכרון מוגבל

תיאור: טופלה בעיית אימות תוך שיפור בסניטור הקלט.

CVE-2018-4104: המרכז הלאומי לביטחון סייבר בבריטניה (NCSC)

גרעין

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: ייתכן שיישום יוכל לבצע קוד שרירותי עם הרשאות גרעין

תיאור: סוגיית השחיתות בזיכרון טופלה בשיפור הטיפול בזיכרון.

CVE-2018-4143: derrek (@ derrekr6)

דואר

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: תוקף במיקום רשת המיועד עשוי להיות מסוגל ליירט את תוכן הדואר האלקטרוני המוצפן S / MIME.

תיאור: בעיה של ממשק משתמש לא עקבי טופלה באמצעות ניהול מצב משופר.

CVE-2018-4174: חוקר אנונימי, חוקר אנונימי

מושב NSURLS

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: ייתכן שיישום יוכל לקבל הרשאות גבוהות

תיאור: טופס תנאי מירוץ עם תוקף נוסף.

CVE-2018-4166: סמואל גרוס (@ 5aelo)

PluginKit

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: ייתכן שיישום יוכל לקבל הרשאות גבוהות

תיאור: טופס תנאי מירוץ עם תוקף נוסף.

CVE-2018-4156: סמואל גרוס (@ 5aelo)

מבט מהיר

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: ייתכן שיישום יוכל לקבל הרשאות גבוהות

תיאור: טופס תנאי מירוץ עם תוקף נוסף.

CVE-2018-4157: סמואל גרוס (@ 5aelo)

ספארי

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: ביקור באתר זדוני על ידי לחיצה על קישור עשוי להוביל לזיוף ממשק המשתמש

תיאור: בעיה של ממשק משתמש לא עקבי טופלה באמצעות ניהול מצב משופר.

CVE-2018-4134: xisigr ממעבדת Xuanwu של Tencent (tencent.com), Zhiyang Zeng (@Wester) ממחלקת פלטפורמות האבטחה Tencent

מילוי אוטומטי של כניסה לספארי

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: אתר זדוני עשוי להצליח לסנן נתונים שמילאו אוטומטית בספארי ללא אינטראקציה מפורשת של משתמשים.

תיאור: מילוי אוטומטי של ספארי לא דרש אינטראקציה מפורשת של משתמשים לפני התרחשותו. הנושא טופל באמצעות שיפור היוריסטיקות מילוי אוטומטי.

CVE-2018-4137

בקר SafariView

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: ביקור באתר זדוני עלול להוביל לזיוף של ממשק המשתמש

תיאור: בעיה בניהול מצב טופלה על ידי השבתת קלט טקסט עד לטעינת דף היעד.

CVE-2018-4149: Abhinash Jain (@abhinashjain)

אבטחה

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: ייתכן שיישום זדוני יכול להעלות הרשאות

תיאור: ניתן לטפל בהצפת מאגר עם אימות גודל משופר.

CVE-2018-4144: אברהם מסרי (@cheesecakeufo)

אחסון

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: ייתכן שיישום יוכל לקבל הרשאות גבוהות

תיאור: טופס תנאי מירוץ עם תוקף נוסף.

CVE-2018-4154: סמואל גרוס (@ 5aelo)

העדפות מערכת

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: פרופיל תצורה עלול להישאר בתוקף לאחר ההסרה באופן שגוי

תיאור: הייתה בעיה ב- CFPreferences. סוגיה זו טופלה באמצעות ניקוי משופר של העדפות.

CVE-2018-4115: יוהן תלאקדה, ולדימיר זובקוב, ומאט ולסאך מוונדרה

טלפוניה

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: תוקף מרוחק יכול לגרום להתקן להפעלה מחדש במפתיע

תיאור: קיימת בעיית ביטול הסרת מצביע null בעת הטיפול בהודעות SMS מסוג Class 0. סוגיה זו טופלה באמצעות אימות הודעה משופר.

CVE-2018-4140: @mjonsson, Arjan van der Oest מ- Voiceworks BV

אפליקציית אינטרנט

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: קובצי Cookie עשויים להימשך במפתיע ביישום האינטרנט

תיאור: סוגיית ניהול העוגיות טופלה באמצעות שיפור בניהול המדינה.

CVE-2018-4110: בן קומפטון וג'ייסון קולי מתאגיד Cerner

WebKit

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: עיבוד תוכן אינטרנטי שעשוי בזדון עלול להוביל לביצוע קוד שרירותי

תיאור: מספר בעיות השחיתות בזיכרון טופלו באמצעות שיפור הטיפול בזיכרון.

CVE-2018-4101: יואן דנג ממעבדת הביטחון לשנה קלה של נמלים

CVE-2018-4114: נמצא על ידי OSS-Fuzz

CVE-2018-4118: יוני קוקסו (@shhnjk)

CVE-2018-4119: חוקר אנונימי העובד עם יוזמת ה- Zero Day של Trend Micro

CVE-2018-4120: הנמינג ג'אנג (@ 4shitak4) מצוות Qihoo 360 Vulcan

CVE-2018-4121: נטלי סילבנוביץ 'מ- Google Project Zero

CVE-2018-4122: WanderingGlitch של יוזמת ה- Zero Day של Trend Micro

CVE-2018-4125: WanderingGlitch של יוזמת ה- Zero Day של Trend Micro

CVE-2018-4127: חוקר אנונימי העובד עם יוזמת ה- Zero Day של Trend Micro

CVE-2018-4128: זאק מרקלי

CVE-2018-4129: דומה שמעבדת האבטחה של באידו עובדת עם יוזמת ה- Zero Day של Trend Micro

CVE-2018-4130: עומיר עובד עם יוזמת ה- Zero Day של Trend Micro

CVE-2018-4161: WanderingGlitch של יוזמת ה- Zero Day של Trend Micro

CVE-2018-4162: WanderingGlitch של יוזמת ה- Zero Day של Trend Micro

CVE-2018-4163: WanderingGlitch של יוזמת ה- Zero Day של Trend Micro

CVE-2018-4165: הנמינג ג'אנג (@ 4shitak4) מצוות Qihoo 360 Vulcan

WebKit

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: אינטראקציה לא צפויה עם סוגי אינדקס הגורמים לכישלון ASSERT

תיאור: קיימת בעיית אינדקס של מערך בטיפול בפונקציה בליבת javascript. סוגיה זו טופלה באמצעות בדיקות משופרות

CVE-2018-4113: נמצא על ידי OSS-Fuzz

WebKit

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: עיבוד תוכן אינטרנטי שעשוי בזדון עלול להוביל לשלילת שירות

תיאור: סוגיית השחיתות בזיכרון טופלה באמצעות אימות קלט משופר

CVE-2018-4146: נמצא על ידי OSS-Fuzz

WebKit

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: אתר זדוני עלול לסנן נתונים ממוצא שונה

תיאור: קיימת בעיה מוצלבת עם ממשק ה- API של השליפה. לטפל בכך באמצעות אימות קלט משופר.

CVE-2018-4117: חוקר אנונימי, חוקר אנונימי

WindowServer

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: יישום לא מוגדר עשוי להיות מסוגל לרשום הקשות מקש שהוזנו ליישומים אחרים גם כאשר מצב קלט מאובטח מופעל.

תיאור: על ידי סריקת מצבי מקשים, יישום לא מוגדר יכול לרשום הקשות על מקשים שנכנסו ליישומים אחרים גם כאשר הופעל מצב קלט מאובטח. סוגיה זו טופלה על ידי שיפור בניהול המדינה.

CVE-2018-4131: אנדראס הענברג מחברת folivora.AI GmbH

מקור