Informationen zum Sicherheitsinhalt von iOS 13.1 und iPadOS 13.1

In diesem Dokument wird der Sicherheitsinhalt von iOS 13.1 und iPadOS 13.1 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

iOS 13.1 und iPadOS 13.1

iOS 13.1 und iPadOS 13.1 umfassen den Sicherheitsinhalt von iOS 13.

AppleFirmwareUpdateKext

Verfügbar für: iPhone 6s und neuer, iPad Air 2 und neuer, iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Sperrung behoben.

CVE-2019-8747: Mohamed Ghannam (@_simo36)

Audio

Verfügbar für: iPhone 6s und neuer, iPad Air 2 und neuer, iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-8706: Yu Zhou vom Ant-financial Light-Year Security Lab

Audio

Verfügbar für: iPhone 6s und neuer, iPad Air 2 und neuer, iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann begrenzten Speicher aufweisen

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8850: Anonymous in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Bücher

Verfügbar für: iPhone 6s und neuer, iPad Air 2 und neuer, iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Die Analyse einer in böser Absicht erstellten iBooks-Datei kann zu einem dauerhaften Denial-of-Service führen

Beschreibung: Ein Problem mit der Ressourcenausschöpfung wurde durch eine bessere Eingabeüberprüfung behoben.

CVE-2019-8774: Gertjan Franken imec-DistriNet der KU Leuven

Kernel

Verfügbar für: iPhone 6s und neuer, iPad Air 2 und neuer, iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Sperrung behoben.

CVE-2019-8740: Mohamed Ghannam (@_simo36)

Kernel

Verfügbar für: iPhone 6s und neuer, iPad Air 2 und neuer, iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Eine lokale App könnte einen Persistent Identifier für einen Account abrufen.

Beschreibung: Ein Überprüfungsproblem wurde mit einer verbesserten Logik behoben.

CVE-2019-8809: Apple

Kernel

Verfügbar für: iPhone 6s und neuer, iPad Air 2 und neuer, iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Das Layout des Kernelspeichers kann möglicherweise von einem Schadprogramm ermittelt werden.

Beschreibung: Das Problem wurde durch verbesserte Berechtigungslogik behoben.

CVE-2019-8780: Siguza

libxslt

Verfügbar für: iPhone 6s und neuer, iPad Air 2 und neuer, iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Mehrere Probleme in libxml

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8750: gefunden von OSS-Fuzz

mDNSResponder

Verfügbar für: iPhone 6s und neuer, iPad Air 2 und neuer, iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Angreifer in physischer Nähe kann möglicherweise Gerätenamen in der AWDL-Kommunikation passiv beobachten

Beschreibung: Dieses Problem wurde behoben, indem Gerätenamen durch eine zufällige Kennung ersetzt wurden.

CVE-2019-8799: David Kreitschmann und Milan Stute vom Secure Mobile Networking Lab der Technischen Universität Darmstadt

Kurzbefehle

Verfügbar für: iPhone 6s und neuer, iPad Air 2 und neuer, iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann SSH-Verkehr von der Aktion "Skript über SSH ausführen" abfangen

Beschreibung: Dieses Problem wurde durch eine Überprüfung von Hostschlüsseln bei der Verbindung mit einem zuvor bekannten SSH-Server behoben.

CVE-2019-8901: Ein anonymer Forscher

UIFoundation

Verfügbar für: iPhone 6s und neuer, iPad Air 2 und neuer, iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8831: riusksk von VulWar Corp in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

VoiceOver

Verfügbar für: iPhone 6s und neuer, iPad Air 2 und neuer, iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Eine Person mit physischem Zugang zu einem iOS-Gerät kann vom Sperrbildschirm aus auf Kontakte zugreifen.

Beschreibung: Dieses Problem wurde durch Einschränkung der Optionen behoben, die auf einem gesperrten Gerät zur Verfügung stehen.

CVE-2019-8775: videosdebarraquito

WebKit

Verfügbar für: iPhone 6s und neuer, iPad Air 2 und neuer, iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zur Offenlegung des Browserverlaufs führen

Beschreibung: Beim Darstellen von Webseitenelementen ist ein Problem aufgetreten. Das Problem wurde durch verbesserte Logik behoben.

CVE-2019-8769: Piérre Reimertz (@reimertz)

WebKit

Verfügbar für: iPhone 6s und neuer, iPad Air 2 und neuer, iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8710: gefunden von OSS-Fuzz

CVE-2019-8743: zhunki vom Codesafe Team von Legendsec bei der Qi'anxin Group

CVE-2019-8751: Dongzhuo Zhao in Zusammenarbeit mit ADLab von Venustech

CVE-2019-8752: Dongzhuo Zhao in Zusammenarbeit mit ADLab von Venustech

CVE-2019-8763: Sergei Glazunov von Google Project Zero

CVE-2019-8765: Samuel Groß von Google Project Zero

CVE-2019-8766: gefunden von OSS-Fuzz

CVE-2019-8773: gefunden von OSS-Fuzz

WebKit

Verfügbar für: iPhone 6s und neuer, iPad Air 2 und neuer, iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen.

Beschreibung: Ein Überprüfungsproblem wurde mit einer verbesserten Logik behoben.

CVE-2019-8762: Sergei Glazunov von Google Project Zero

WebKit

Verfügbar für: iPhone 6s und neuer, iPad Air 2 und neuer, iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2020-9932: Dongzhuo Zhao in Zusammenarbeit mit ADLab von Venustech

Zusätzliche Danksagung

boringssl

Wir möchten uns bei Nimrod Aviram von der Tel Aviv University, Robert Merget von der Ruhr-Universität Bochum und Juraj Somorovsky von der Ruhr-Universität Bochum für die Unterstützung bedanken.

Mein iPhone suchen

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

Identitätsdienst

Wir möchten uns bei Yiğit Can YILMAZ (@yilmazcanyigit) für die Unterstützung bedanken.

Kernel

Wir möchten Vlad Tsyrklevich für die Unterstützung danken.

Hinweise

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

Fotos

Wir möchten uns bei Peter Scott aus Sydney, Australien für die Unterstützung bedanken.

Share-Sheet

Wir möchten uns bei Milan Stute vom Secure Mobile Networking Lab an der Technischen Universität Darmstadt für die Unterstützung bedanken.

Statusleiste

Wir möchten uns bei Isaiah Kahler, Mohammed Adham und einem anonymen Forscher für die Unterstützung bedanken.

Telefonie

Wir möchten uns bei Yiğit Can YILMAZ (@yilmazcanyigit) für die Unterstützung bedanken.