Apple har udgivet et nyt sæt sikkerhedsrettelser, adresse sårbarheder i Safari, iOS, watchOS, og tvOS. Det skal bemærkes, at nogle af de sårbarheder blev oplyses før sikkerhedsopdateringer, som åbnede et smuthul for trussel aktører.
Hvilke spørgsmål blev Fixed i iOS 12?
Med udgivelsen af iOS 12, Apple fokuseret på at forbedre stabilitet og pålidelighed. Men, den nyeste version indeholder også en række nye sikkerhedsfunktioner-orienterede funktioner såsom intelligente sporing forbedringer, surpressed annoncemålretning, og det indfører også automatisk antydning af stærke adgangskoder.
Udover disse forbedringer, selskabet har rettet adskillige sikkerhedshuller:
CVE-2018-4322 - det er en Konti sårbarhed, der kunne gøre det muligt for de lokale apps til at læse en vedvarende kontoidentifikator;
CVE-2018-5383 - det er et input valideringsfejl, som eksisterede i gennemførelsen af protokollen kommunikation, som kan gøre det muligt privilegerede angribere at opfange Bluetooth trafik;
CVE-2018-4330 - dette spørgsmål er beskrevet som hukommelseskorruption. I tilfælde af at udnytte, angribere kunne udføre vilkårlig kode;
CVE-2018-4356 - denne sårbarhed er blevet rapporteret anonymt. Det beskrives som en tilladelse problem i Apples mobile styresystem, der tillod useriøse ansøgninger for at lære oplysninger om brugerens aktuelle kamera visning forud for at blive tildelt kamera adgang;
CVE-2018-4338 - denne sårbarhed er et problem med godkendelse og det tilladt angribere at bruge ondsindede apps til at læse begrænset hukommelse;
CVE-2018-4363 - dette er en af de alvorlige sikkerhedsproblemer i iOS-kernen løst i iOS 12. Fejlen blev rapporteret af Google Project Zero, og det er beskrevet som et inputvalideringsproblem som kan gøre det muligt apps til at læse begrænset hukommelse.
En anden alvorlig sårbarhed i Apples Beskeder kommunikationsplatform var også fast. Fejlen er en konsekvens problem ligger i håndteringen af app snapshots, som kunne give lokale angribere at opdage brugerens slettede meddelelser.
Fejl og mangler i Safari Også Patched
En række spørgsmål i Safari-browseren blev også rettet i sin seneste udgave, Safari 12: CVE-2018-4307, CVE-2018-4329, og CVE-2018-4195. CVE-2018-4307could tillade ondsindede websteder til exfiltrate AutoFyld data i Safari. CVE-2018-4329 beskrives som et spørgsmål, der kunne forhindre at Slet browserdata emner. CVE-2018-4195 vedrører et spørgsmål, der kunne føre til brugergrænsefladen spoofing udløses ved at klikke på et link på et ondsindet websted.
Andre spørgsmål omfatte en validering sårbarhed i IOMobileFrameBuffer, en adgangskode spoofing bug spores som CVE-2018-4305 i iTunes Store, og en fejl, der kunne udnyttes til at gendanne slettede indhold fra Notes.
Endelig, en kryptering problem spores som CVE-2016-1777 udløst af svaghed i RC4 kryptografiske algoritme blev også lappet. For at løse fejlen, selskabet fjernede protokollen helt.