Informationen zum Sicherheitsinhalt von iOS 15.1 und iPadOS 15.1

In diesem Dokument wird der Sicherheitsinhalt von iOS 15.1 und iPadOS 15.1 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

iOS 15.1 and iPadOS 15.1

Audio

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.

Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2021-30907: Zweig von Kunlun Lab

ColorSync

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Bei der Verarbeitung von ICC-Profilen kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2021-30917: Alexandru-Vlad Niculae und Mateusz Jurczyk von Google Project Zero

Continuity Camera

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein lokaler Angreifer kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen

Beschreibung: Ein Problem mit einem unkontrollierten Formatstring wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2021-30903: Gongyu Ma von der Hangzhou Dianzi University

CoreAudio

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Durch die Verarbeitung einer in böser Absicht erstellten Datei können möglicherweise Benutzerinformationen offengelegt werden

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2021-30905: Mickey Jin (@patch1t) von Trend Micro

CoreGraphics

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten PDF-Datei kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2021-30919

File Provider

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann die Datenschutzeinstellungen umgehen.

Beschreibung: Ein Berechtigungsproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2021-31007: Csaba Fitzl (@theevilbit) von Offensive Security

FileProvider

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Das Entpacken eines in böser Absicht erstellten Archivs kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Problem bei der Eingabeüberprüfung wurde durch eine verbesserte Arbeitsspeicherverwaltung behoben.

CVE-2021-30881: Simon Huang (@HuangShaomang) und pjf vom IceSword Lab von Qihoo 360

File System

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch verbesserten Sperrschutz behoben.

CVE-2021-30923: Pan ZhenPeng (@Peterpan0927) von Alibaba Security Pandora Lab

Game Center

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Schadprogramm kann unter Umständen auf Informationen über die Kontakte eines:einer Benutzer:in zugreifen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2021-30895: Denis Tokarev (@illusionofcha0s)

GPU Drivers

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2021-30900: Yinyi Wu (@3ndy1) von Ant Security Light-Year Lab

GPU Drivers

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2021-30914: Zuozhi Fan (@pattern_F_) von Ant Security TianQiong Lab

iCloud

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein lokaler Angreifer kann möglicherweise seine Berechtigungen erhöhen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2021-30906: Cees Elzinga

Image Processing

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2021-30894: Pan ZhenPeng (@Peterpan0927) von Alibaba Security Pandora Lab

Kernel

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Neustart eines Geräts verursachen.

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Statusverarbeitung behoben.

CVE-2021-30924: Elaman Iskakov (@darling_x0r) von Effective und Alexey Katkov (@watman27)

Kernel

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2021-30886: @0xalsr

Kernel

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2021-30909: Zweig von Kunlun Lab

Kernel

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2021-30916: Zweig von Kunlun Lab

Model I/O

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Durch die Verarbeitung einer in böser Absicht erstellten Datei können möglicherweise Benutzerinformationen offengelegt werden

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2021-30910: Mickey Jin (@patch1t) von Trend Micro

Model I/O

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten USD-Datei kann Speicherinhalte offenlegen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2021-30911: Rui Yang und Xingwei Lin von Ant Security Light-Year Lab

Siri

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein lokaler Angreifer kann Kontakte vom Sperrbildschirm aus anzeigen.

Beschreibung: Aufgrund eines Problems mit dem Sperrbildschirm konnten Benutzer auf einem gesperrten Gerät auf Kontakte zugreifen. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2021-30875: Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College of Technology

UIKit

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Eine Person mit physischem Zugang zu einem Gerät kann in einem sicheren Texteingabefeld die Eigenschaften eines Benutzerpassworts ermitteln.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2021-30915: Kostas Angelopoulos

Voice Control

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein lokaler Angreifer kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2021-30902: 08Tc3wBB vom ZecOps Mobile EDR Team

WebKit

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur unerwarteten Aushebelung der Inhaltssicherheitsrichtlinie führen

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2021-30887: Narendra Bhati (@imnarendrabhati) von Suma Soft Pvt. Ltd.

WebKit

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Eine in böser Absicht erstellte Website, die CSP-Berichte nutzt, kann unter Umständen imstande sein, Informationen durch Weiterleiten offenzulegen.

Beschreibung: Ein zu ungewollter Informationsoffenlegung führendes Problem wurde behoben.

CVE-2021-30888: Prakash (@1lastBr3ath)

WebKit

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2021-30889: Chijin Zhou von ShuiMuYuLin Ltd und Tsinghua wingtecher lab

WebKit

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Die Verarbeitung von in böswilliger Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2021-30890: Ein anonymer Forscher

Zusätzliche Danksagung

iCloud

Wir möchten uns bei Ryan Pickren (ryanpickren.com) für die Unterstützung bedanken.

Mail

Wir möchten uns bei Fabian Ising und Damian Poddebniak von der Universität Münster für angewandte Wissenschaft für die Unterstützung bedanken.

NetworkExtension

Wir möchten uns bei Alex Bauer von Branch für die Unterstützung bedanken.

Siri

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College of Technology für die Unterstützung bedanken.

WebKit

Wir möchten uns bei Ivan Fratric von Google Project Zero, Pavel Gromadchuk und einem anonymen Forscher für die Unterstützung bedanken.