Относно съдържанието за защита на iOS 13.2 и iPadOS 13.2

Този документ описва съдържанието за защита на iOS 13.2 и iPadOS 13.2.

Относно актуализациите на защитата на Apple

С цел защита на нашите клиенти Apple не разкрива, не обсъжда и не потвърждава проблеми със защитата преди провеждането на разследване и издаването на необходими корекции или допълнителни издания към софтуера. Най-скорошните издания са описани в страницата Актуализации на защитата на Apple.

Документите за защитата на Apple посочват уязвимостите от CVE-ID, когато това е възможно.

За повече информация относно защитата вж. страницата Защита на продуктите на Apple.

iOS 13.2 и iPadOS 13.2

Акаунти

Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение

Въздействие: Отдалечен хакер може да е в състояние да източи паметта

Описание: Четенето извън границите е разрешено с подобрено удостоверяване на входните данни.

CVE-2019-8787: Щефан Кли от лабораторията за защитени мобилни мрежи на Technische Universität Darmstadt

AirDrop

Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение

Въздействие: Прехвърлянията в AirDrop може да бъдат приети неочаквано, докато сте в режим Everyone (Всички)

Описание: Логичният проблем е разрешен с подобрено удостоверяване.

CVE-2019-8796: Алисън Хюсеин от UC Berkeley

App Store

Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение

Въздействие: Локален хакер може да бъде в състояние да влезе в акаунта на влязъл преди това потребител, без да има валидни идентификационни данни.

Описание: Проблемът с удостоверяването е разрешен с подобрено управление на състоянието.

CVE-2019-8803: Кийон Ан, 차민규 (CHA Minkyu)

Свързани домейни

Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение

Въздействие: Неправилната обработка на URL адреси може да доведе до ексфилтриране на данни

Описание: Имаше проблем при анализирането на URL адресите. Този проблем е разрешен с подобрено удостоверяване на входните данни.

CVE-2019-8788: Джуха Линдстед от Пакистан, Мирко Танания, Раули Рикама от Zero Keyboard Ltd

Аудио

Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение

Въздействие: Възможно е приложение да може да изпълни произволен код със системни привилегии

Описание: Проблем с повреди в паметта е разрешен с подобрено управление на паметта.

CVE-2019-8785: Иан Биър от Google Project Zero

CVE-2019-8797: 08Tc3wBB работи с SSD Secure Disclosure

AVEVideoEncoder

Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение

Въздействие: Възможно е приложение да може да изпълни произволен код със системни привилегии

Описание: Проблем с повреди в паметта е разрешен с подобрено управление на паметта.

CVE-2019-8795: 08Tc3wBB работи с SSD Secure Disclosure

Books

Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение

Въздействие: Анализиране на злонамерено създаден файл iBooks може да доведе до разкриване на потребителска информация

Описание: Имаше проблем с удостоверяването при обработката на символни връзки. Този проблем е разрешен с подобрено удостоверяване на символни връзки.

CVE-2019-8789: Хертян Франкен от imec-DistriNet, KU Leuven

Contacts

Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение

Въздействие: Обработката на злонамерен контакт може да доведе до фишинг на ПИ

Описание: Проблем с непоследователния потребителски интерфейс е разрешен с подобрено управление на състоянието.

CVE-2017-7152: Оливър Паукщат от Thinking Objects GmbH (to.com)

Събития на файловата система

Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение

Въздействие: Възможно е приложение да може да изпълни произволен код със системни привилегии

Описание: Проблем с повреди в паметта е разрешен с подобрено управление на паметта.

CVE-2019-8798: ABC Research s.r.o. работи с Trend Micro's Zero Day Initiative

Графичен драйвер

Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение

Въздействие: Възможно е приложение да може да изпълни произволен код със системни привилегии

Описание: Проблем с повреди в паметта е разрешен с подобрено управление на паметта.

CVE-2019-8784: Василий Василиев и Илия Финогеев от Webinar, LLC

Kernel

Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение

Въздействие: Възможно е приложение да може да чете ограничена памет

Описание: Проблемът с удостоверяването е разрешен с подобрено почистване на входните данни.

CVE-2019-8794: 08Tc3wBB работи с SSD Secure Disclosure

Kernel

Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение

Въздействие: Възможно е приложение да може да изпълни произволен код с привилегии за Kernel

Описание: Проблем с повреди в паметта е разрешен с подобрено управление на паметта.

CVE-2019-8786: Уен Шу от Georgia Tech, Microsoft Offensive Security Research Intern

Kernel

Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение

Въздействие: Възможно е приложение да може да изпълни произволен код с привилегии за Kernel

Описание: Уязвимостта на повреди в паметта е разрешена с подобрено заключване.

CVE-2019-8829: Ян Хорн от Google Project Zero

Помощник за настройка

Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение

Въздействие: Хакер във физическа близост може да бъде в състояние да принуди потребителя да използва злонамерена Wi-Fi мрежа по време на настройка на устройството

Описание: Разрешено е несъответствие в настройките на конфигурацията на Wi-Fi мрежата.

CVE-2019-8804: Кристи Филип Матю от Zimperium, Inc

Записване на екрана

Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение

Въздействие: Локалният потребител може да има възможност да записва екрана без видим индикатор за запис на екрана

Описание: Съществуваше проблем с последователността при решаването кога да се покаже индикаторът за запис на екрана. Проблемът е разрешен с подобрено управление на състоянието.

CVE-2019-8793: Раян Дженкинс от Lake Forrest Prep School

WebKit

Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение

Въздействие: Обработката на злонамерено изработено уебсъдържание може да доведе до универсален скрипт в кръстосани сайтове

Описание: Логичният проблем е разрешен с подобрено управление на състоянието.

CVE-2019-8813: анонимен изследовател

WebKit

Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение

Въздействие: Обработката на злонамерено изработено уебсъдържание може да доведе до изпълнение на произволен код

Описание: Множество проблеми с повреди в паметта са разрешени с подобрено управление на паметта.

CVE-2019-8782: Чеолунг Лий от LINE+ Security Team

CVE-2019-8783: Чеолунг Лий от LINE+ Graylab Security Team

CVE-2019-8808: открито от OSS-Fuzz

CVE-2019-8811: Сойон Парк от SSLab в Georgia Tech

CVE-2019-8812: Джун донг Шие от Ant-financial Light-Year Security Lab

CVE-2019-8814: Чеолунг Лий от LINE+ Security Team

CVE-2019-8816: Сойон Парк от SSLab в Georgia Tech

CVE-2019-8819: Чеолунг Лий от LINE+ Security Team

CVE-2019-8820: Самуел Грос от Google Project Zero

CVE-2019-8821: Сергей Глазунов от Google Project Zero

CVE-2019-8822: Сергей Глазунов от Google Project Zero

CVE-2019-8823: Сергей Глазунов от Google Project Zero

WebKit

Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение

Въздействие: Посещението на злонамерено изработен уебсайт може да разкрие сайтовете, които потребителят е посетил

Описание: Заглавката на HTTP препратката може да се използва за източване на хронологията на сърфиране. Проблемът е решен чрез понижаване на всички препратки от трети страни към техния произход.

CVE-2019-8827: Артур Янц, Ксиштоф Котович, Лукас Вайхелбаум и Роберто Клапиш от Google Security Team

Модел на процеса WebKit

Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение

Въздействие: Обработката на злонамерено изработено уебсъдържание може да доведе до изпълнение на произволен код

Описание: Множество проблеми с повреди в паметта са разрешени с подобрено управление на паметта.

CVE-2019-8815: Apple

Wi-Fi

Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение

Въздействие: Хакер в обхвата на Wi-Fi може да има възможност да види малко количество мрежов трафик

Описание: Имаше логичен проблем при обработката на преходите на състоянието. Това е решено с подобрено управление на състоянието.

CVE-2019-15126: Милош Чермак от ESET

Допълнително признание

CFNetwork

Искаме да изразим признателността си към Лили Чен от Google за съдействието й.

Kernel

Искаме да изразим признателността си към Даниел Роетлисбергер от Swisscom CSIRT, Ян Хорн от Google Project Zero за тяхното съдействие.

WebKit

Искаме да изразим признателността си към Dlive от Tencent's Xuanwu Lab и Джий Джан от Codesafe Team of Legendsec в Qi'anxin Group за тяхното съдействие.