Informace o bezpečnostním obsahu iOS 13.1 a iPadOS 13.1

Tento dokument popisuje bezpečnostní obsah iOS 13.1. a iPadOS 13.1.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

iOS 13.1 a iPadOS 13.1

Vydáno 24. září 2019

iOS 13.1 a iPadOS 13.1 obsahují bezpečnostní obsah iOS 13.

AppleFirmwareUpdateKext

K dispozici pro: iPhone 6s a novější, iPad Air 2 a novější, iPad mini 4 a novější a iPod touch 7. generace

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Bezpečnostní slabina spočívající v poškození paměti byla vyřešena vylepšením zamykání.

CVE-2019-8747: Mohamed Ghannam (@_simo36)

Záznam přidán 29. října 2019

Zvuk

K dispozici pro: iPhone 6s a novější, iPad Air 2 a novější, iPad mini 4 a novější a iPod touch 7. generace

Dopad: Zpracování škodlivého zvukového souboru může vést ke spuštění libovolného kódu.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.

CVE-2019-8706: Yu Zhou z týmu Ant-Financial Light-Year Security Lab

Záznam přidán 29. října 2019

Zvuk

K dispozici pro: iPhone 6s a novější, iPad Air 2 a novější, iPad mini 4 a novější a iPod touch 7. generace

Dopad: Zpracování škodlivého zvukového souboru může odhalit obsah vyhrazené paměti.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2019-8850: Anonymní výzkumník z Trend Micro Zero Day Initiative

Záznam přidán 18. prosince 2019

Knihy

K dispozici pro: iPhone 6s a novější, iPad Air 2 a novější, iPad mini 4 a novější a iPod touch 7. generace

Dopad: Parsování škodlivého souboru iBooks může vést k dlouhodobému odmítnutí služeb.

Popis: Problém s vyčerpáním zdrojů byl vyřešen vylepšením ověřování vstupů.

CVE-2019-8774: Gertjan Franken, imec-DistriNet, KU Leuven

Záznam přidán 29. října 2019

Jádro

K dispozici pro: iPhone 6s a novější, iPad Air 2 a novější, iPad mini 4 a novější a iPod touch 7. generace

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Bezpečnostní slabina spočívající v poškození paměti byla vyřešena vylepšením zamykání.

CVE-2019-8740: Mohamed Ghannam (@_simo36)

Záznam přidán 29. října 2019

Jádro

K dispozici pro: iPhone 6s a novější, iPad Air 2 a novější, iPad mini 4 a novější a iPod touch 7. generace

Dopad: Místní aplikaci se může podařit přečíst trvalý identifikátor účtu.

Popis: Problém s ověřováním byl vyřešen vylepšením logiky.

CVE-2019-8809: Apple

Záznam přidán 29. října 2019

Jádro

K dispozici pro: iPhone 6s a novější, iPad Air 2 a novější, iPad mini 4 a novější a iPod touch 7. generace

Dopad: Škodlivé aplikaci se může podařit rozpoznat rozvržení jádra.

Popis: Problém byl vyřešen vylepšením logiky oprávnění.

CVE-2019-8780: Siguza

Záznam přidán 8. října 2019

libxslt

K dispozici pro: iPhone 6s a novější, iPad Air 2 a novější, iPad mini 4 a novější a iPod touch 7. generace

Dopad: Několik problémů v libxslt

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením ověřování vstupů.

CVE-2019-8750: nalezeno programem OSS-Fuzz

Záznam přidán 29. října 2019

mDNSResponder

K dispozici pro: iPhone 6s a novější, iPad Air 2 a novější, iPad mini 4 a novější a iPod touch 7. generace

Dopad: Útočníkovi ve fyzické blízkosti se může podařit pasivně zjišťovat názvy zařízení v rámci komunikace AWDL.

Popis: Problém byl vyřešen vyměněním názvů zařízení za náhodný identifikátor.

CVE-2019-8799: David Kreitschmann a Milan Stute ze Secure Mobile Networking Lab na Technické univerzitě v Darmstadtu

Záznam přidán 29. října 2019

UIFoundation

K dispozici pro: iPhone 6s a novější, iPad Air 2 a novější, iPad mini 4 a novější a iPod touch 7. generace

Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2019-8831: riusksk ze společnosti VulWar Corp ve spolupráci se Zero Day Initiative společnosti Trend Micro

Záznam přidán 18. listopadu 2019

VoiceOver

K dispozici pro: iPhone 6s a novější, iPad Air 2 a novější, iPad mini 4 a novější a iPod touch 7. generace

Dopad: Osobě s fyzickým přístupem k iOS zařízení se může podařit dostat se ze zamčené obrazovky ke kontaktům.

Popis: Problém byl vyřešen omezením možností nabízených na zamčeném zařízení.

CVE-2019-8775: videosdebarraquito

WebKit

K dispozici pro: iPhone 6s a novější, iPad Air 2 a novější, iPad mini 4 a novější a iPod touch 7. generace

Dopad: Návštěva škodlivého webu může odhalit historii prohlížení.

Popis: Existoval problém ve vykreslování prvků webových stránek. Problém byl vyřešen vylepšením logiky.

CVE-2019-8769: Piérre Reimertz (@reimertz)

Záznam přidán 8. října 2019

WebKit

K dispozici pro: iPhone 6s a novější, iPad Air 2 a novější, iPad mini 4 a novější a iPod touch 7. generace

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.

CVE-2019-8710: nalezeno programem OSS-Fuzz

CVE-2019-8743: zhunki z týmu Codesafe ve společnosti Legendsec ze skupiny Qi'anxin Group

CVE-2019-8751: Dongzhuo Zhao ve spolupráci s týmem ADLab společnosti Venustech

CVE-2019-8752: Dongzhuo Zhao ve spolupráci s týmem ADLab společnosti Venustech

CVE-2019-8763: Sergei Glazunov z týmu Google Project Zero

CVE-2019-8765: Samuel Groß z týmu Google Project Zero

CVE-2019-8766: nalezeno programem OSS-Fuzz

CVE-2019-8773: nalezeno programem OSS-Fuzz

Záznam přidán 8. října 2019, aktualizován 29. října 2019

WebKit

K dispozici pro: iPhone 6s a novější, iPad Air 2 a novější, iPad mini 4 a novější a iPod touch 7. generace

Dopad: Zpracování škodlivého webového obsahu může vést k univerzálnímu skriptování napříč weby.

Popis: Problém s ověřováním byl vyřešen vylepšením logiky.

CVE-2019-8762: Sergei Glazunov z týmu Google Project Zero

Záznam přidán 18. listopadu 2019

Další poděkování

boringssl

Poděkování za pomoc zaslouží Nimrod Aviram z Telavivské univerzity, Robert Merget z Porúrské univerzity v Bochumu, Juraj Somorovsky z Porúrské univerzity v Bochumu.

Záznam přidán 29. října 2019

Najít iPhone

Poděkování za pomoc zaslouží anonymní výzkumník.

Identity Service

Poděkování za pomoc zaslouží Yiğit Can YILMAZ (@yilmazcanyigit).

Záznam přidán 29. října 2019

Poznámky

Poděkování za pomoc zaslouží anonymní výzkumník.

Fotky

Poděkování za pomoc patří Peteru Scottovi z australského Sydney.

Záznam přidán 18. prosince 2019

Karta sdílení

Poděkování za pomoc zaslouží Milan Stute a tým Secure Mobile Networking Lab na Technické univerzitě v Darmstadtu.

Záznam přidán 29. října 2019

Stavový řádek

Poděkování za pomoc zaslouží Isaiah Kahler, Mohammed Adham a anonymní výzkumník.

Záznam přidán 29. října 2019

Telefonování

Poděkování za pomoc zaslouží Yiğit Can YILMAZ (@yilmazcanyigit).

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.

Datum zveřejnění: