Om sikkerhedsindholdet i iOS 13.1 og iPadOS 13.1

I dette dokument beskrives sikkerhedsindholdet i iOS 13.1 og iPadOS 13.1

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

iOS 13.1 og iPadOS 13.1

Udgivet 24. september 2019

iOS 13.1 og iPadOS 13.1 omfatter sikkerhedsindholdet i iOS 13.

AppleFirmwareUpdateKext

Fås til: iPhone 6s og nyere versioner, iPad Air 2 og nyere versioner, iPad mini 4 og nyere versioner og iPod touch 7. generation

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En sårbarhed i forbindelse med hukommelsesfejl er blevet rettet gennem forbedret låsning.

CVE-2019-8747: Mohamed Ghannam (@_simo36)

Post tilføjet 29. oktober 2019

Lyd

Fås til: iPhone 6s og nyere versioner, iPad Air 2 og nyere versioner, iPad mini 4 og nyere versioner og iPod touch 7. generation

Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2019-8706: Yu Zhou fra Ant-financial Light-Year Security Lab

Post tilføjet 29. oktober 2019

Bøger

Fås til: iPhone 6s og nyere versioner, iPad Air 2 og nyere versioner, iPad mini 4 og nyere versioner og iPod touch 7. generation

Effekt: Parsing af et skadeligt iBooks-arkiv kan medføre et vedvarende DoS-problem

Beskrivelse: Et problem med opbrugte ressourcer er løst via forbedret inputvalidering.

CVE-2019-8774: Gertjan Franken fra imec-DistriNet, KU Leuven

Post tilføjet 29. oktober 2019

Kernel

Fås til: iPhone 6s og nyere versioner, iPad Air 2 og nyere versioner, iPad mini 4 og nyere versioner og iPod touch 7. generation

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En sårbarhed i forbindelse med hukommelsesfejl er blevet rettet gennem forbedret låsning.

CVE-2019-8740: Mohamed Ghannam (@_simo36)

Post tilføjet 29. oktober 2019

Kernel

Fås til: iPhone 6s og nyere versioner, iPad Air 2 og nyere versioner, iPad mini 4 og nyere versioner og iPod touch 7. generation

Effekt: En lokal app kan muligvis læse et vedvarende konto-id

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret logik.

CVE-2019-8809: Apple

Post tilføjet 29. oktober 2019

Kernel

Fås til: iPhone 6s og nyere versioner, iPad Air 2 og nyere versioner, iPad mini 4 og nyere versioner og iPod touch 7. generation

Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

Beskrivelse: Problemet er løst med forbedret tilladelseslogik.

CVE-2019-8780: Siguza

Post tilføjet 8. oktober 2019

libxslt

Fås til: iPhone 6s og nyere versioner, iPad Air 2 og nyere versioner, iPad mini 4 og nyere versioner og iPod touch 7. generation

Effekt: Flere problemer i libxslt

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2019-8750: Fundet af OSS-Fuzz

Post tilføjet 29. oktober 2019

mDNSResponder

Fås til: iPhone 6s og nyere versioner, iPad Air 2 og nyere versioner, iPad mini 4 og nyere versioner og iPod touch 7. generation

Effekt: En hacker, der fysisk befinder sig i nærheden, kan være i stand til passivt at observere enhedsnavne i forbindelse med AWDL-kommunikation

Beskrivelse: Problemet blev løst ved at erstatte enhedsnavne med en tilfældig identifikator.

CVE-2019-8799: David Kreitschmann og Milan Stute fra Secure Mobile Networking Lab på Technische Universität Darmstadt

Post tilføjet 29. oktober 2019

UIFoundation

Fås til: iPhone 6s og nyere versioner, iPad Air 2 og nyere versioner, iPad mini 4 og nyere versioner og iPod touch 7. generation

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8831: riusksk fra VulWar Corp, der arbejder med Trend Micros Zero Day Initiative

Post tilføjet 18. november 2019

VoiceOver

Fås til: iPhone 6s og nyere versioner, iPad Air 2 og nyere versioner, iPad mini 4 og nyere versioner og iPod touch 7. generation

Effekt: En person med fysisk adgang til en iOS-enhed kan muligvis få adgang til kontakter fra låst skærm.

Beskrivelse: Problemet er løst ved at begrænse mulighederne på en låst enhed.

CVE-2019-8775: videosdebarraquito

WebKit

Fås til: iPhone 6s og nyere versioner, iPad Air 2 og nyere versioner, iPad mini 4 og nyere versioner og iPod touch 7. generation

Effekt: Et besøg på et skadeligt websted kan afsløre browserhistorikken

Beskrivelse: Der opstod et problem med tegning af webstedselementer. Problemet er løst med forbedret logik.

CVE-2019-8769: Piérre Reimertz (@reimertz)

Post tilføjet 8. oktober 2019

WebKit

Fås til: iPhone 6s og nyere versioner, iPad Air 2 og nyere versioner, iPad mini 4 og nyere versioner og iPod touch 7. generation

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8710: Fundet af OSS-Fuzz

CVE-2019-8743: zhunki fra Codesafe Team of Legendsec hos Qi'anxin Group

CVE-2019-8751: Dongzhuo Zhao, der arbejder med ADLab fra Venustech

CVE-2019-8752: Dongzhuo Zhao, der arbejder med ADLab fra Venustech

CVE-2019-8763: Sergei Glazunov fra Google Project Zero

CVE-2019-8765: Samuel Groß fra Google Project Zero

CVE-2019-8766: Fundet af OSS-Fuzz

CVE-2019-8773: Fundet af OSS-Fuzz

Post tilføjet 8. oktober 2019, opdateret 29. oktober 2019

WebKit

Fås til: iPhone 6s og nyere versioner, iPad Air 2 og nyere versioner, iPad mini 4 og nyere versioner og iPod touch 7. generation

Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret logik.

CVE-2019-8762: Sergei Glazunov fra Google Project Zero

Post tilføjet 18. november 2019

Yderligere anerkendelser

boringssl

Vi vil gerne takke Nimrod Aviram fra Tel Aviv University, Robert Merget fra Ruhr University Bochum og Juraj Somorovsky fra Ruhr University Bochum for deres assistance.

Post tilføjet 29. oktober 2019

Find min iPhone

Vi vil gerne takke en anonym programmør for hjælpen.

Identitetsbekræftelse

Vi vil gerne takke Yiğit Can YILMAZ (@yilmazcanyigit) for hjælpen.

Post tilføjet 29. oktober 2019

Bemærkninger

Vi vil gerne takke en anonym programmør for hjælpen.

Deleark

Vi vil gerne takke Milan Stute fra Secure Mobile Networking Lab på Technische Universität Darmstadt for hjælpen.

Post tilføjet 29. oktober 2019

Statuslinje

Vi vil gerne takke Isaiah Kahler, Mohammed Adham og en anonym programmør for hjælpen.

Post tilføjet 29. oktober 2019

Telefoni

Vi vil gerne takke Yiğit Can YILMAZ (@yilmazcanyigit) for hjælpen.

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: