Относно актуализациите на защитата на Apple
С цел защита на нашите клиенти Apple не разкрива, не обсъжда и не потвърждава проблеми със защитата преди провеждането на разследване и издаването на необходими корекции или допълнителни издания към софтуера. Най-скорошните издания са описани в страницата Актуализации на защитата на Apple.
Документите за защитата на Apple посочват уязвимостите от CVE-ID, когато това е възможно.
За повече информация относно защитата вж. страницата Защита на продуктите на Apple.
iOS 13.2 и iPadOS 13.2
Издадена на 28 октомври 2019 г.
Акаунти
Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение
Въздействие: Отдалечен хакер може да е в състояние да източи паметта
Описание: Четенето извън границите е разрешено с подобрено удостоверяване на входните данни.
CVE-2019-8787: Щефан Кли от лабораторията за защитени мобилни мрежи на Technische Universität Darmstadt
AirDrop
Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение
Въздействие: Прехвърлянията в AirDrop може да бъдат приети неочаквано, докато сте в режим Everyone (Всички)
Описание: Логичният проблем е разрешен с подобрено удостоверяване.
CVE-2019-8796: Алисън Хюсеин от UC Berkeley
Записът е добавен на 4 април 2020 г.
App Store
Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение
Въздействие: Локален хакер може да бъде в състояние да влезе в акаунта на влязъл преди това потребител, без да има валидни идентификационни данни.
Описание: Проблемът с удостоверяването е разрешен с подобрено управление на състоянието.
CVE-2019-8803: Кийон Ан, 차민규 (CHA Minkyu)
Свързани домейни
Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение
Въздействие: Неправилната обработка на URL адреси може да доведе до ексфилтриране на данни
Описание: Имаше проблем при анализирането на URL адресите. Този проблем е разрешен с подобрено удостоверяване на входните данни.
CVE-2019-8788: Джуха Линдстед от Пакистан, Мирко Танания, Раули Рикама от Zero Keyboard Ltd
Аудио
Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение
Въздействие: Възможно е приложение да може да изпълни произволен код със системни привилегии
Описание: Проблем с повреди в паметта е разрешен с подобрено управление на паметта.
CVE-2019-8785: Иан Биър от Google Project Zero
CVE-2019-8797: 08Tc3wBB работи с SSD Secure Disclosure
AVEVideoEncoder
Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение
Въздействие: Възможно е приложение да може да изпълни произволен код със системни привилегии
Описание: Проблем с повреди в паметта е разрешен с подобрено управление на паметта.
CVE-2019-8795: 08Tc3wBB работи с SSD Secure Disclosure
Books
Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение
Въздействие: Анализиране на злонамерено създаден файл iBooks може да доведе до разкриване на потребителска информация
Описание: Имаше проблем с удостоверяването при обработката на символни връзки. Този проблем е разрешен с подобрено удостоверяване на символни връзки.
CVE-2019-8789: Хертян Франкен от imec-DistriNet, KU Leuven
Contacts
Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение
Въздействие: Обработката на злонамерен контакт може да доведе до фишинг на ПИ
Описание: Проблем с непоследователния потребителски интерфейс е разрешен с подобрено управление на състоянието.
CVE-2017-7152: Оливър Паукщат от Thinking Objects GmbH (to.com)
Събития на файловата система
Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение
Въздействие: Възможно е приложение да може да изпълни произволен код със системни привилегии
Описание: Проблем с повреди в паметта е разрешен с подобрено управление на паметта.
CVE-2019-8798: ABC Research s.r.o. работи с Trend Micro's Zero Day Initiative
Графичен драйвер
Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение
Въздействие: Възможно е приложение да може да изпълни произволен код със системни привилегии
Описание: Проблем с повреди в паметта е разрешен с подобрено управление на паметта.
CVE-2019-8784: Василий Василиев и Илия Финогеев от Webinar, LLC
Kernel
Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение
Въздействие: Възможно е приложение да може да чете ограничена памет
Описание: Проблемът с удостоверяването е разрешен с подобрено почистване на входните данни.
CVE-2019-8794: 08Tc3wBB работи с SSD Secure Disclosure
Kernel
Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение
Въздействие: Възможно е приложение да може да изпълни произволен код с привилегии за Kernel
Описание: Проблем с повреди в паметта е разрешен с подобрено управление на паметта.
CVE-2019-8786: Уен Шу от Georgia Tech, Microsoft Offensive Security Research Intern
Записът е актуализиран на 18 ноември 2019 г.
Kernel
Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение
Въздействие: Възможно е приложение да може да изпълни произволен код с привилегии за Kernel
Описание: Уязвимостта на повреди в паметта е разрешена с подобрено заключване.
CVE-2019-8829: Ян Хорн от Google Project Zero
Записът е добавен на 8 ноември 2019 г.
Помощник за настройка
Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение
Въздействие: Хакер във физическа близост може да бъде в състояние да принуди потребителя да използва злонамерена Wi-Fi мрежа по време на настройка на устройството
Описание: Разрешено е несъответствие в настройките на конфигурацията на Wi-Fi мрежата.
CVE-2019-8804: Кристи Филип Матю от Zimperium, Inc
Записване на екрана
Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение
Въздействие: Локалният потребител може да има възможност да записва екрана без видим индикатор за запис на екрана
Описание: Съществуваше проблем с последователността при решаването кога да се покаже индикаторът за запис на екрана. Проблемът е разрешен с подобрено управление на състоянието.
CVE-2019-8793: Раян Дженкинс от Lake Forrest Prep School
WebKit
Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение
Въздействие: Обработката на злонамерено изработено уебсъдържание може да доведе до универсален скрипт в кръстосани сайтове
Описание: Логичният проблем е разрешен с подобрено управление на състоянието.
CVE-2019-8813: анонимен изследовател
WebKit
Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение
Въздействие: Обработката на злонамерено изработено уебсъдържание може да доведе до изпълнение на произволен код
Описание: Множество проблеми с повреди в паметта са разрешени с подобрено управление на паметта.
CVE-2019-8782: Чеолунг Лий от LINE+ Security Team
CVE-2019-8783: Чеолунг Лий от LINE+ Graylab Security Team
CVE-2019-8808: открито от OSS-Fuzz
CVE-2019-8811: Сойон Парк от SSLab в Georgia Tech
CVE-2019-8812: Джун донг Шие от Ant-financial Light-Year Security Lab
CVE-2019-8814: Чеолунг Лий от LINE+ Security Team
CVE-2019-8816: Сойон Парк от SSLab в Georgia Tech
CVE-2019-8819: Чеолунг Лий от LINE+ Security Team
CVE-2019-8820: Самуел Грос от Google Project Zero
CVE-2019-8821: Сергей Глазунов от Google Project Zero
CVE-2019-8822: Сергей Глазунов от Google Project Zero
CVE-2019-8823: Сергей Глазунов от Google Project Zero
Записът е актуализиран на 18 ноември 2019 г.
WebKit
Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение
Въздействие: Посещението на злонамерено изработен уебсайт може да разкрие сайтовете, които потребителят е посетил
Описание: Заглавката на HTTP препратката може да се използва за източване на хронологията на сърфиране. Проблемът е решен чрез понижаване на всички препратки от трети страни към техния произход.
CVE-2019-8827: Артур Янц, Ксиштоф Котович, Лукас Вайхелбаум и Роберто Клапиш от Google Security Team
Въведено на 6 февруари 2020 г.
Модел на процеса WebKit
Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение
Въздействие: Обработката на злонамерено изработено уебсъдържание може да доведе до изпълнение на произволен код
Описание: Множество проблеми с повреди в паметта са разрешени с подобрено управление на паметта.
CVE-2019-8815: Apple
Wi-Fi
Налична за: iPhone 6s и по-нов модел, iPad Air 2 и по-нов модел, iPad mini 4 и по-нов модел и iPod touch 7-о поколение
Въздействие: Хакер в обхвата на Wi-Fi може да има възможност да види малко количество мрежов трафик
Описание: Имаше логичен проблем при обработката на преходите на състоянието. Това е решено с подобрено управление на състоянието.
CVE-2019-15126: Милош Чермак от ESET
Записът е добавен на 3 февруари 2020 г.
Допълнително признание
CFNetwork
Искаме да изразим признателността си към Лили Чен от Google за съдействието й.
Kernel
Искаме да изразим признателността си към Даниел Роетлисбергер от Swisscom CSIRT, Ян Хорн от Google Project Zero за тяхното съдействие.
Актуализирано на 8 ноември 2019 г.
WebKit
Искаме да изразим признателността си към Dlive от Tencent's Xuanwu Lab и Джий Джан от Codesafe Team of Legendsec в Qi'anxin Group за тяхното съдействие.