Om sikkerhedsindholdet i iOS 14.8 og iPadOS 14.8

I dette dokument beskrives sikkerhedsindholdet i iOS 14.8 og iPadOS 14.8.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

iOS 14.8 og iPadOS 14.8

Udgivet 13. september 2021

Apple Neural Engine

Fås til enheder med Apple Neural Engine: iPhone 8 og nyere modeller, iPad Pro (3. generation) og nyere modeller, iPad Air (3. generation) og nyere modeller og iPad mini (5. generation)

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2021-30838: proteas wang

Post tilføjet 19. januar 2022

Bluetooth

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30820: Jianjun Dai fra Qihoo 360 Alpha Lab

Post tilføjet 20. september 2021

CoreAudio

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: Behandling af et skadeligt arkiv kan afsløre brugeroplysninger

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2021-30905: Mickey Jin (@patch1t) fra Trend Micro

Post tilføjet 19. januar 2022

CoreAudio

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: Behandlingen af en skadelig lydfil kan lede til uventet programlukning eller kørsel af vilkårlig kode

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30834: JunDong Xie fra Ant Security Light-Year Lab

Post tilføjet 25. oktober 2021

CoreGraphics

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2021-30928: Mickey Jin (@patch1t) fra Trend Micro

Post tilføjet 19. januar 2022

CoreGraphics

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: Behandling af et skadeligt PDF-dokument kan medføre afvikling af vilkårlig kode. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2021-30860: The Citizen Lab

CoreServices

Fås til enheder med Apple Neural Engine: iPhone 8 og nyere modeller, iPad Pro (3. generation) og nyere modeller, iPad Air (3. generation) og nyere modeller og iPad mini (5. generation)

Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30864: Ron Hass (@ronhass7) fra Perception Point, Ron Waisberg (@epsilan)

Post tilføjet 25. maj 2022

Kernetelefoni

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne. Apple blev opmærksom på, at dette problem kan være blevet aktivt udnyttet på udgivelsestidspunktet.

Beskrivelse: Et deserialiseringsproblem er løst via forbedret godkendelse.

CVE-2021-31010: Citizen Lab og Google Project Zero

Post tilføjet 25. maj 2022

FontParser

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: Behandling af et skadeligt dfont-arkiv kan føre til kørsel af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-30841: Xingwei Lin fra Ant Security Light-Year Lab

CVE-2021-30843: Xingwei Lin fra Ant Security Light-Year Lab

CVE-2021-30842: Xingwei Lin fra Ant Security Light-Year Lab

Post tilføjet 20. september 2021

Foundation

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et problem med forveksling af typer er løst ved hjælp af forbedret hukommelsesbehandling.

CVE-2021-30852: Yinyi Wu (@3ndy1) fra Ant Security Light-Year Lab

Post tilføjet 25. oktober 2021

ImageIO

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-30847: Mike Zhang fra Pangu Lab

Post tilføjet 25. oktober 2021

Kernel

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En konkurrencetilstand er løst ved forbedret låsning.

CVE-2021-30857: Manish Bhatt fra Red Team X @Meta, Zweig fra Kunlun Lab

Post tilføjet 20. september 2021, opdateret 25. maj 2022

Kernel

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med forveksling af typer er løst via forbedret statushåndtering.

CVE-2021-30859: Apple

Post tilføjet 20. september 2021

libexpat

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb

Beskrivelse: Dette problem er løst ved at opdatere expat til version 2.4.1.

CVE-2013-0340: en anonym programmør

Post tilføjet 20. september 2021

Preferences

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: Et program kan muligvis få adgang til begrænsede arkiver

Beskrivelse: Der var et godkendelsesproblem i håndteringen af symbolske links. Problemet er løst ved forbedret godkendelse af symbolske links.

CVE-2021-30855: Zhipeng Huo (@R3dF09) og Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab (xlab.tencent.com)

Post tilføjet 20. september 2021

Telefoni

Fås til: iPhone SE (1. generation), iPad Pro 12,9", iPad Air 2, iPad (5. generation) og iPad mini 4

Effekt: I visse situationer kunne basisbåndet ikke aktivere integritets- og chifferbeskyttelse

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30826: CheolJun Park, Sangwook Bae og BeomSeok Oh fra KAIST SysSec Lab

Post tilføjet 19. januar 2022

WebKit

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et problem med forveksling af typer er løst via forbedret statushåndtering.

CVE-2021-30818: Amar Menezes (@amarekano) fra Zon8Research

Post tilføjet 25. oktober 2021

WebKit

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: En hacker i en privilegeret netværksposition kan muligvis omgå HSTS

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2021-30823: David Gullasch fra Recurity Labs

Post tilføjet 25. oktober 2021

WebKit

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: Behandling af et skadeligt lydarkiv kan medføre afsløring af beskyttet hukommelse

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2021-30836: Peter Nguyen Vu Hoang fra STAR Labs

Post tilføjet 25. oktober 2021

WebKit

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2021-30858: en anonym programmør

WebKit

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: Behandling af webindhold med skadelig kode kan føre til kodekørsel

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2021-30848: Sergei Glazunov fra Google Project Zero

Post tilføjet 20. september 2021

WebKit

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2021-30849: Sergei Glazunov fra Google Project Zero

Post tilføjet 20. september 2021

WebKit

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2021-30846: Sergei Glazunov fra Google Project Zero

Post tilføjet 20. september 2021

Yderligere anerkendelser

CoreML

Vi vil gerne takke hjy79425575, der arbejder med Trend Micro Zero Day Initiative, for hjælpen.

Post tilføjet 20. september 2021

FaceTime

Vi vil gerne takke Mohammed Waqqas Kakangarai for hjælpen.

Post tilføjet 25. maj 2022

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: 06. november 2023