Om sikkerhedsindholdet i iOS 13.5 og iPadOS 13.5
I dette dokument beskrives sikkerhedsindholdet i iOS 13.5 og iPadOS 13.5.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
iOS 13.5 og iPadOS 13.5
Konti
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb
Beskrivelse: Et Denial of Service-problem blev rettet via forbedret inputvalidering.
CVE-2020-9827: Jannik Lorenz fra SEEMOO på TU Darmstadt
AirDrop
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb
Beskrivelse: Et Denial of Service-problem blev rettet via forbedret inputvalidering.
CVE-2020-9826: Dor Hadad fra Palo Alto Networks
AppleMobileFileIntegrity
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Et skadeligt program kan interagere med systemprocesser for at få adgang til private oplysninger og udføre handlinger, der normalt kræver rettigheder
Beskrivelse: Et problem med parsing af rettigheder er løst med forbedret parsing.
CVE-2020-9842: Linus Henze (pinauten.de)
Lyd
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2020-9815: Yu Zhou (@yuzhou6666), der arbejder med Trend Micros Zero Day Initiative
Lyd
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2020-9791: Yu Zhou (@yuzhou6666), der arbejder med Trend Micros Zero Day Initiative
Bluetooth
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: En hacker i en privilegeret netværksposition kan muligvis opfange Bluetooth-trafik
Beskrivelse: Der opstod et problem med brugen af en PRNG med lav entropi. Problemet er løst ved hjælp af forbedret statusadministration.
CVE-2020-6616: Jörn Tillmanns (@matedealer) og Jiska Classen (@naehrdine) fra Secure Mobile Networking Lab
Bluetooth
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2020-9838: Dennis Heinze (@ttdennis) fra TU Darmstadt, Secure Mobile Networking Lab
CoreText
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Behandling af en skadelig sms kan medføre anvendelse af DoS (Denial of Service)
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.
CVE-2020-9829: Aaron Perris (@aaronp613), en anonym programmør, en anonym programmør, Carlos S Tech, Sam Menzies fra Sam's Lounge, Sufiyan Gouri fra Lovely Professional University i Indien og Suleman Hasan Rathor fra Arabic-Classroom.com
FaceTime
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: En brugers video kan ikke sættes på pause under et FaceTime-opkald, hvis brugeren afslutter FaceTime-appen, mens der ringes op
Beskrivelse: Der var et problem med at sætte FaceTime-video på pause. Problemet er løst med forbedret logik.
CVE-2020-9835: Olivier Levesque (@olilevesque)
Arkivsystem
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Et fjernangreb kan muligvis ændre arkivsystemet
Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.
CVE-2020-9820: Thijs Alkemade fra Computest
FontParser
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2020-9816: Peter Nguyen Vu Hoang fra STAR Labs, der arbejder med Trend Micros Zero Day Initiative
ImageIO
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2020-3878: Samuel Groß fra Google Project Zero
ImageIO
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2020-9789: Wenchao Li fra VARAS@IIE
CVE-2020-9790: Xingwei Lin fra Ant-financial Light-Year Security Lab
IPSec
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: En ekstern hacker kan lække hukommelse
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2020-9837: Thijs Alkemade fra Computest
Kernel
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2020-9821: Xinru Chi og Tielei Wang fra Pangu Lab
Kernel
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Et skadeligt program kan muligvis bestemme et andet programs hukommelseslayout
Beskrivelse: Et problem med afsløring af oplysninger er løst ved at fjerne den sårbare kode.
CVE-2020-9797: En anonym programmør
Kernel
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.
CVE-2020-9852: Tao Huang og Tielei Wang fra Pangu Lab
Kernel
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2020-9795: Zhuo Liang fra Qihoo 360 Vulcan Team
Kernel
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Et program kan medføre pludselig programlukning eller skrivning af kernehukommelse
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2020-9808: Xinru Chi og Tielei Wang fra Pangu Lab
Kernel
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: En lokal bruger kan læse kernehukommelsen
Beskrivelse: Et problem med afsløring af oplysninger er løst via forbedret statusadministration.
CVE-2020-9811: Tielei Wang fra Pangu Lab
CVE-2020-9812: derrek (@derrekr6)
Kernel
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et logikproblem, som resulterede i beskadiget hukommelse. Det er løst ved hjælp af forbedret statusadministration.
CVE-2020-9813: Xinru Chi fra Pangu Lab
CVE-2020-9814: Xinru Chi og Tielei Wang fra Pangu Lab
Kernel
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen
Beskrivelse: Et problem med afsløring af oplysninger er løst via forbedret statusadministration.
CVE-2020-9809: Benjamin Randazzo (@____benjamin)
libxpc
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Et skadeligt program kan overskrive vilkårlige arkiver
Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.
CVE-2020-9994: Apple
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Behandling af en skadelig mailbesked kan medføre beskadigelse af heap
Beskrivelse: Et problem med hukommelsesforbrug er løst via forbedret hukommelseshåndtering.
CVE-2020-9819: ZecOps.com
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Behandling af en skadelig mailbesked kan medføre pludselig hukommelsesændring eller programlukning
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2020-9818: ZecOps.com
Beskeder
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Brugere, der er fjernet fra en iMessage-samtale, kan muligvis stadig ændre tilstand
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2020-9823: Suryansh Mansharamani, studerende ved Community Middle School, Plainsboro, New Jersey
Meddelelser
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: En person med fysisk adgang til en iOS-enhed kan muligvis se notifikationsindhold fra en låst skærm
Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.
CVE-2020-9848: Nima
rsync
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: En ekstern hacker kan muligvis overskrive eksisterende arkiver
Beskrivelse: Der var et godkendelsesproblem i håndteringen af symbolske links. Problemet er løst ved forbedret godkendelse af symbolske links.
CVE-2014-9512: gaojianfeng
Sandbox
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Et skadeligt program kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Et adgangsproblem er løst med yderligere sandbox-begrænsninger.
CVE-2020-9825: Sreejith Krishnan R (@skr0x1C0)
Sikkerhed
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Et program kan få adgang til hævede rettigheder
Beskrivelse: Et logikproblem er løst via forbedret godkendelse.
CVE-2020-9854: Ilias Morad (A2nkF)
SQLite
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Et skadeligt program kan forårsage Denial of Service-angreb eller muligvis afsløre hukommelsesindhold
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2020-9794
Systemindstillinger
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Et program kan få adgang til hævede rettigheder
Beskrivelse: En konkurrencetilstand er løst med forbedret statushåndtering.
CVE-2020-9839: @jinmo123, @setuid0x0_ og @insu_yun_en fra @SSLab_Gatech, der arbejder med Trend Micros Zero Day Initiative
USB-lyd
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: En USB-enhed kan muligvis fremkalde et Denial of Service-angreb
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.
CVE-2020-9792: Andy Davis fra NCC Group
WebKit
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder
Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.
CVE-2020-9805: En anonym programmør
WebKit
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.
CVE-2020-9802: Samuel Groß fra Google Project Zero
WebKit
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode
Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.
CVE-2020-9850: @jinmo123, @setuid0x0_ og @insu_yun_en fra @SSLab_Gatech, der arbejder med Trend Micros Zero Day Initiative
WebKit
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Behandling af webindhold med skadelig kode kan føre til scriptingangreb på tværs af websteder
Beskrivelse: Et problem med godkendelse af input er løst via forbedret godkendelse af input.
CVE-2020-9843: Ryan Pickren (ryanpickren.com)
WebKit
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.
CVE-2020-9803: Wen Xu fra SSLab på Georgia Tech
WebKit
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2020-9806: Wen Xu fra SSLab på Georgia Tech
CVE-2020-9807: Wen Xu fra SSLab på Georgia Tech
WebKit
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Et problem med forveksling af typer er løst ved hjælp af forbedret hukommelsesbehandling.
CVE-2020-9800: Brendan Draper (@6r3nd4n), der arbejder med Trend Micros Zero Day Initiative
WebRTC
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Behandling af skadeligt webindhold kan resultere i afsløring af proceshukommelse
Beskrivelse: Et adgangsproblem er løst gennem forbedret hukommelseshåndtering.
CVE-2019-20503: natashenka fra Google Project Zero
Wi-Fi
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: En hacker kan muligvis udløse pludselig programlukning eller læsning af kernehukommelsen
Beskrivelse: Et double free-problem er løst gennem forbedret hukommelseshåndtering.
CVE-2020-9844: Ian Beer fra Google Project Zero
Wi-Fi
Fås til: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch 7. generation
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2020-9830: Tielei Wang fra Pangu Lab
Yderligere anerkendelser
Bluetooth
Vi vil gerne takke Maximilian von Tschirschnitz (@maxinfosec1) fra det tekniske universitet i München og Ludwig Peuckert fra det tekniske universitet i München for hjælpen.
CoreText
Vi vil gerne takke Jiska Classen (@naehrdine) og Dennis Heinze (@ttdennis) fra Secure Mobile Networking Lab for hjælpen.
Enhedsanalyse
Vi vil gerne takke Mohamed Ghannam (@_simo36) for hjælpen.
ImageIO
Vi vil gerne takke Lei Sun for hjælpen.
IOHIDFamily
Vi vil gerne takke Andy Davis fra NCC Group for hjælpen.
IPSec
Vi vil gerne takke Thijs Alkemade fra Computest for hjælpen.
Kernel
Vi vil gerne takke Brandon Azad fra Google Project Zero for hjælpen.
Safari
Vi vil gerne takke Jeffball fra GRIMM og Luke Walker fra Manchester Metropolitan University for hjælpen.
WebKit
Vi vil gerne takke Aidan Dunlap fra UT Austin for hjælpen.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.