Om sikkerhedsindholdet i iOS 13.1 og iPadOS 13.1

I dette dokument beskrives sikkerhedsindholdet i iOS 13.1 og iPadOS 13.1.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

iOS 13.1 og iPadOS 13.1

Udgivet 24. september 2019

iOS 13.1 og iPadOS 13.1 omfatter sikkerhedsindholdet i iOS 13.

AppleFirmwareUpdateKext

Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En sårbarhed i forbindelse med hukommelsesfejl er blevet rettet gennem forbedret låsning.

CVE-2019-8747: Mohamed Ghannam (@_simo36)

Post tilføjet 29. oktober 2019

Lyd

Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation

Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2019-8706: Yu Zhou fra Ant-financial Light-Year Security Lab

Post tilføjet 29. oktober 2019

Lyd

Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation

Effekt: Behandling af et skadeligt lydarkiv kan medføre afsløring af beskyttet hukommelse

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2019-8850: Anonym, der arbejder med Trend Micros Zero Day Initiative

Post tilføjet 18. december 2019

Bøger

Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation

Effekt: Parsing af et skadeligt iBooks-arkiv kan medføre et vedvarende DoS-problem

Beskrivelse: Et problem med opbrugte ressourcer er løst via forbedret inputvalidering.

CVE-2019-8774: Gertjan Franken fra imec-DistriNet, KU Leuven

Post tilføjet 29. oktober 2019

Kernel

Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En sårbarhed i forbindelse med hukommelsesfejl er blevet rettet gennem forbedret låsning.

CVE-2019-8740: Mohamed Ghannam (@_simo36)

Post tilføjet 29. oktober 2019

Kernel

Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation

Effekt: En lokal app kan muligvis læse et vedvarende konto-id

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret logik.

CVE-2019-8809: Apple

Post tilføjet 29. oktober 2019

Kernel

Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation

Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

Beskrivelse: Problemet er løst med forbedret tilladelseslogik.

CVE-2019-8780: Siguza

Post tilføjet 8. oktober 2019

libxslt

Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation

Effekt: Flere problemer i libxslt

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2019-8750: Fundet af OSS-Fuzz

Post tilføjet 29. oktober 2019

mDNSResponder

Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation

Effekt: En hacker, der er tæt på rent fysisk, vil muligvis være i stand til passivt at observere enhedsnavne i forbindelse med AWDL-kommunikation

Beskrivelse: Problemet blev løst ved at erstatte enhedsnavne med en tilfældig identifikator.

CVE-2019-8799: David Kreitschmann og Milan Stute fra Secure Mobile Networking Lab på Technische Universität Darmstadt

Post tilføjet 29. oktober 2019

Genveje

Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation

Effekt: En hacker i en privilegeret netværksposition kan være i stand til at opfange SSH-trafik fra handlingen "Kør script over SSH"

Beskrivelse: Problemet blev løst ved at bekræfte værtsnøgler, når der oprettes forbindelse til en tidligere kendt SSH-server.

CVE-2019-8901: En anonym programmør

Post tilføjet 11. februar 2020

UIFoundation

Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8831: riusksk fra VulWar Corp, der arbejder med Trend Micros Zero Day Initiative

Post tilføjet 18. november 2019

VoiceOver

Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation

Effekt: En person med fysisk adgang til en iOS-enhed kan muligvis få adgang til kontakter fra låst skærm

Beskrivelse: Problemet er løst ved at begrænse mulighederne på en låst enhed.

CVE-2019-8775: videosdebarraquito

WebKit

Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation

Effekt: Et besøg på et skadeligt websted kan afsløre browserhistorikken

Beskrivelse: Der opstod et problem med tegning af webstedselementer. Problemet er løst med forbedret logik.

CVE-2019-8769: Piérre Reimertz (@reimertz)

Post tilføjet 8. oktober 2019

WebKit

Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8710: Fundet af OSS-Fuzz

CVE-2019-8743: zhunki fra Codesafe Team hos Legendsec under Qi'anxin Group

CVE-2019-8751: Dongzhuo Zhao, der arbejder med ADLab fra Venustech

CVE-2019-8752: Dongzhuo Zhao, der arbejder med ADLab fra Venustech

CVE-2019-8763: Sergei Glazunov fra Google Project Zero

CVE-2019-8765: Samuel Groß fra Google Project Zero

CVE-2019-8766: Fundet af OSS-Fuzz

CVE-2019-8773: Fundet af OSS-Fuzz

Post tilføjet 8. oktober 2019, opdateret 29. oktober 2019

WebKit

Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation

Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret logik.

CVE-2019-8762: Sergei Glazunov fra Google Project Zero

Post tilføjet 18. november 2019

WebKit

Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2020-9932: Dongzhuo Zhao, der arbejder med ADLab fra Venustech

Post tilføjet 28. juli 2020

Yderligere anerkendelser

boringssl

Vi vil gerne takke Nimrod Aviram fra Tel Aviv University, Robert Merget fra Ruhr University Bochum og Juraj Somorovsky fra Ruhr University Bochum for hjælpen.

Post tilføjet 29. oktober 2019

Find min iPhone

Vi vil gerne takke en anonym programmør for hjælpen.

Identitetsbekræftelse

Vi vil gerne takke Yiğit Can YILMAZ (@yilmazcanyigit) for hjælpen.

Post tilføjet 29. oktober 2019

Kernel

Vi vil gerne takke Vlad Tsyrklevich for hjælpen.

Post tilføjet 28. juli 2020

Bemærkninger

Vi vil gerne takke en anonym programmør for hjælpen.

Fotos

Vi vil gerne takke Peter Scott fra Sydney, Australien for hjælpen.

Post tilføjet 18. december 2019

Deleark

Vi vil gerne takke Milan Stute fra Secure Mobile Networking Lab på Technische Universität Darmstadt for hjælpen.

Post tilføjet 29. oktober 2019

Statuslinje

Vi vil gerne takke Isaiah Kahler, Mohammed Adham og en anonym programmør for hjælpen.

Post tilføjet 29. oktober 2019

Telefoni

Vi vil gerne takke Yiğit Can YILMAZ (@yilmazcanyigit) for hjælpen.

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: