Informationen zum Sicherheitsinhalt von iOS 11.3

In diesem Dokument wird der Sicherheitsinhalt von iOS 11.3 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit. Deine Kommunikation mit Apple kannst du mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

iOS 11.3

Apple TV App

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann Aufforderungen zur Passworteingabe in der Apple TV App fälschen.

Beschreibung: Ein Problem mit der Eingabeüberprüfung wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4177: Jerry Decime

Uhr

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Person mit physischem Zugriff auf ein iOS-Gerät kann die für iTunes verwendete E-Mail-Adresse einsehen.

Beschreibung: Bei der Verarbeitung von Weckern und Timern kann es zur Offenlegung von Informationen kommen. Dieses Problem wurde durch verbesserte Zugriffsbeschränkungen behoben.

CVE-2018-4123: Zaheen Hafzar M M (@zaheenhafzer)

CoreFoundation

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Anwendung kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Eine Race-Bedingung wurde mit einer zusätzlichen Überprüfung behoben.

CVE-2018-4155: Samuel Groß (@5aelo)

CVE-2018-4158: Samuel Groß (@5aelo)

CoreText

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Zeichenfolge kann zu einem Denial-of-Service führen.

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4142: Robin Leroy von der Google Switzerland GmbH

LinkPresentation

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu URL-Spoofing führen

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2018-4390: Rayyan Bijoora (@Bijoora) von The City School, PAF Chapter

CVE-2018-4391: Rayyan Bijoora (@Bijoora) von The City School, PAF Chapter

Dateisystemereignisse

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Anwendung kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Eine Race-Bedingung wurde mit einer zusätzlichen Überprüfung behoben.

CVE-2018-4167: Samuel Groß (@5aelo)

Dateien-Widget

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Das Dateien-Widget kann Inhalte auf einem gesperrten Gerät anzeigen.

Beschreibung: Das Dateien-Widget zeigte Daten im Cache an, als es sich im gesperrten Status befand. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2018-4168: Brandon Moore

Mein iPhone suchen

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Person mit physischem Zugang zum Gerät kann "Mein iPhone suchen" deaktivieren, ohne dafür ein iCloud-Passwort eingeben zu müssen

Beschreibung: Ein Problem mit der Statusverwaltung bestand, wenn eine Wiederherstellung aus einem Backup erfolgte. Dieses Problem wurde durch eine verbesserte Statusüberprüfung während der Wiederherstellung behoben.

CVE-2018-4172: Viljami Vastamäki

iCloud Drive

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Anwendung kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Eine Race-Bedingung wurde mit einer zusätzlichen Überprüfung behoben.

CVE-2018-4151: Samuel Groß (@5aelo)

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4150: Ein anonymer Forscher

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2018-4104: Britisches National Cyber Security Centre (NCSC)

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4143: derrek (@derrekr6)

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Das Layout des Kernelspeichers kann möglicherweise von einem Schadprogramm ermittelt werden.

Beschreibung: Beim Wechsel des Programmstatus kam es zur Offenlegung von Informationen. Dieses Problem wurde durch eine verbesserte Statusverarbeitung behoben.

CVE-2018-4185: Brandon Azad

libxml2

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Programmabbruch von Safari führen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-15412: Nick Wellnhofer

LinkPresentation

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu URL-Spoofing führen

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2018-4390: Rayyan Bijoora (@Bijoora) von The City School, PAF Chapter

CVE-2018-4391: Rayyan Bijoora (@Bijoora) von The City School, PAF Chapter

LinkPresentation

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Textnachricht kann zu UI-Spoofing führen.

Beschreibung: Es bestand eine Spoofing-Schwachstelle bei der Verarbeitung von URLs. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng (@Wester) vom Tencent Security Platform Department

Mail

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann die Inhalte von E-Mails, die mit S/MIME verschlüsselt sind, abfangen.

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2018-4174: John McCombs von Integrated Mapping Ltd, McClain Looney von LoonSoft Inc.

NSURLSession

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Anwendung kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Eine Race-Bedingung wurde mit einer zusätzlichen Überprüfung behoben.

CVE-2018-4166: Samuel Groß (@5aelo)

PluginKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Anwendung kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Eine Race-Bedingung wurde mit einer zusätzlichen Überprüfung behoben.

CVE-2018-4156: Samuel Groß (@5aelo)

Übersicht

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Anwendung kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Eine Race-Bedingung wurde mit einer zusätzlichen Überprüfung behoben.

CVE-2018-4157: Samuel Groß (@5aelo)

Safari

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Der Besuch einer in böser Absicht erstellten Website durch Klicken auf einen Link kann zu UI-Spoofing führen

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2018-4134: xisigr vom Xuanwu Lab von Tencent (tencent.com), Zhiyang Zeng (@Wester) vom Tencent Security Platform Department

Automatisches Ausfüllen beim Login in Safari

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine in böser Absicht erstellte Website kann automatisch ausgefüllte Daten in Safari ohne explizite Benutzerinteraktion exfiltrieren.

Beschreibung: Die Funktion zum automatischen Ausfüllen in Safari erforderte vor dem Ausfüllen keine explizite Benutzerinteraktion. Das Problem wurde durch verbesserte Heuristik für das automatische Ausfüllen behoben.

CVE-2018-4137

SafariViewController

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine in böser Absicht erstellte Website kann Elemente der Benutzeroberfläche fälschen (UI-Spoofing).

Beschreibung: Ein Statusverwaltungsproblem wurde behoben, indem die Texteingabe so lange deaktiviert wird, bis die Zielseite geladen ist.

CVE-2018-4149: Abhinash Jain (@abhinashjain)

Sicherheit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.

Beschreibung: Ein Problem mit einem Stapelpufferüberlauf wurde durch eine verbesserte Größenüberprüfung behoben.

CVE-2018-4144: Abraham Masri (@cheesecakeufo)

Statusleiste

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Schadprogramm kann möglicherweise ohne Wissen des Benutzers auf das Mikrofon zugreifen.

Beschreibung: Bei der Entscheidung, wann die Anzeige über die Mikrofonverwendung erscheinen soll, bestand eine Unstimmigkeit. Das Problem wurde durch eine verbesserte Funktionsüberprüfung behoben.

CVE-2018-4173: Joshua Pokotilow von pingmd

Speicher

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Anwendung kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Eine Race-Bedingung wurde mit einer zusätzlichen Überprüfung behoben.

CVE-2018-4154: Samuel Groß (@5aelo)

Systemeinstellungen

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Konfigurationsprofil kann nach dem Entfernen fälschlicherweise erhalten bleiben.

Beschreibung: In CFPreferences bestand ein Problem. Dieses Problem wurde durch eine verbesserte Bereinigung der Einstellungen behoben.

CVE-2018-4115: Johann Thalakada, Vladimir Zubkov und Matt Vlasach von Wandera

Telefonie

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Neustart eines Geräts verursachen.

Beschreibung: Bei der Verarbeitung von SMS-Nachrichten der Klasse 0 bestand ein Problem mit einem Nullzeiger-Rückverweis. Dieses Problem wurde durch eine verbesserte Nachrichtenüberprüfung behoben.

CVE-2018-4140: @mjonsson, Arjan van der Oest von Voiceworks BV

Telefonie

Verfügbar für: iPhone 5s und neuer, Wi-Fi + Cellular-Modelle des iPad Air und neuer

Auswirkung: Ein entfernter Angreifer kann willkürlichen Code ausführen

Beschreibung: Mehrere Pufferüberläufe wurden durch eine verbesserte Eingabeüberprüfung verhindert.

CVE-2018-4148: Nico Golde von Comsecuris UG

Web-App

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Cookies können unerwartet in der Web-App bleiben

Beschreibung: Ein Cookie-Verwaltungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2018-4110: Ben Compton und Jason Colley von Cerner Corporation

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4101: Yuan Deng vom Ant-financial Light-Year Security Lab

CVE-2018-4114: Gefunden von OSS-Fuzz

CVE-2018-4118: Jun Kokatsu (@shhnjk)

CVE-2018-4119: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2018-4120: Hanming Zhang (@4shitak4) vom Qihoo 360 Vulcan Team

CVE-2018-4121: Natalie Silvanovich von Google Project Zero

CVE-2018-4122: WanderingGlitch von der Zero Day Initiative von Trend Micro

CVE-2018-4125: WanderingGlitch von der Zero Day Initiative von Trend Micro

CVE-2018-4127: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2018-4128: Zach Markley

CVE-2018-4129: likemeng vom Baidu Security Lab in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2018-4130: Omair in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2018-4161: WanderingGlitch von der Zero Day Initiative von Trend Micro

CVE-2018-4162: WanderingGlitch von der Zero Day Initiative von Trend Micro

CVE-2018-4163: WanderingGlitch von der Zero Day Initiative von Trend Micro

CVE-2018-4165: Hanming Zhang (@4shitak4) vom Qihoo 360 Vulcan Team

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Unerwartete Interaktion mit Indizierungsarten, was einen ASSERT-Fehler verursacht

Beschreibung: Bei der Behandlung einer Funktion im JavaScript-Kern bestand ein Problem mit der Indizierung von Arrays. Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2018-4113: Gefunden von OSS-Fuzz

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem Denial-of-Service führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben

CVE-2018-4146: Gefunden von OSS-Fuzz

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine in böser Absicht erstellte Website kann Daten von verschiedenen Quellen exfiltrieren.

Beschreibung: Es bestand ein Cross-Origin-Problem mit der Abruf-API. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4117: Ein anonymer Forscher, ein anonymer Forscher

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Unerwartete Interaktion verursacht einen ASSERT-Fehler.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2018-4207: Gefunden von OSS-Fuzz

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Unerwartete Interaktion verursacht einen ASSERT-Fehler.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2018-4208: Gefunden von OSS-Fuzz

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Unerwartete Interaktion verursacht einen ASSERT-Fehler.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2018-4209: Gefunden von OSS-Fuzz

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Unerwartete Interaktion mit Indizierungstypen verursachte einen Fehler

Beschreibung: Bei der Behandlung einer Funktion im JavaScript-Kern bestand ein Problem mit der Indizierung von Arrays. Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2018-4210: Gefunden von OSS-Fuzz

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Unerwartete Interaktion verursacht einen ASSERT-Fehler.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2018-4212: Gefunden von OSS-Fuzz

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Unerwartete Interaktion verursacht einen ASSERT-Fehler.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2018-4213: Gefunden von OSS-Fuzz

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4145: Gefunden von OSS-Fuzz

WindowServer

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine unberechtigte Anwendung kann womöglich Tastatureingaben protokollieren, die in anderen Anwendungen eingegeben wurden, obwohl der sichere Eingabemodus aktiviert ist.

Beschreibung: Durch das Scannen des Tastenstatus konnte eine unberechtigte Anwendung Tastatureingaben protokollieren, die in anderen Anwendungen eingegeben wurden, obwohl der sichere Eingabemodus aktiviert war. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2018-4131: Andreas Hegenberg von der folivora.AI GmbH

Zusätzliche Danksagung

Mail

Wir danken Sabri Haddouche (@pwnsdx) von der Wire Swiss GmbH für die Unterstützung.

Sicherheit

Wir danken Abraham Masri (@cheesecakeufo) für seine Unterstützung.

WebKit

Wir danken Johnny Nipper vom Tinder Security Team für seine Unterstützung.