Informationen zum Sicherheitsinhalt von iOS 13.1 und iPadOS 13.1

In diesem Dokument wird der Sicherheitsinhalt von iOS 13.1 und iPadOS 13.1 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

iOS 13.1 und iPadOS 13.1

Veröffentlicht am 24. September 2019

iOS 13.1 und iPadOS 13.1 umfassen den Sicherheitsinhalt von iOS 13.

AppleFirmwareUpdateKext

Verfügbar für: iPhone 6s und neuer, iPad Air 2 und neuer, iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Sperrung behoben.

CVE-2019-8747: Mohamed Ghannam (@_simo36)

Eintrag am Dienstag, 29. Oktober 2019 hinzugefügt

Audio

Verfügbar für: iPhone 6s und neuer, iPad Air 2 und neuer, iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-8706: Yu Zhou vom Ant-financial Light-Year Security Lab

Eintrag am 29. Oktober 2019 hinzugefügt

Bücher

Verfügbar für: iPhone 6s und neuer, iPad Air 2 und neuer, iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Die Analyse einer in böser Absicht erstellten iBooks-Datei kann zu einem dauerhaften Denial-of-Service führen

Beschreibung: Ein Problem mit der Ressourcenausschöpfung wurde durch eine bessere Eingabeüberprüfung behoben.

CVE-2019-8774: Gertjan Franken imec-DistriNet der KU Leuven

Eintrag am Dienstag, 29. Oktober 2019 hinzugefügt

Kernel

Verfügbar für: iPhone 6s und neuer, iPad Air 2 und neuer, iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Sperrung behoben.

CVE-2019-8740: Mohamed Ghannam (@_simo36)

Eintrag am Dienstag, 29. Oktober 2019 hinzugefügt

Kernel

Verfügbar für: iPhone 6s und neuer, iPad Air 2 und neuer, iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Eine lokale App könnte einen Persistent Identifier für einen Account abrufen.

Beschreibung: Ein Überprüfungsproblem wurde mit einer verbesserten Logik behoben.

CVE-2019-8809: Apple

Eintrag am Dienstag, 29. Oktober 2019 hinzugefügt

Kernel

Verfügbar für: iPhone 6s und neuer, iPad Air 2 und neuer, iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Das Layout des Kernelspeichers kann möglicherweise von einem Schadprogramm ermittelt werden.

Beschreibung: Das Problem wurde durch verbesserte Berechtigungslogik behoben.

CVE-2019-8780: Siguza

Eintrag am 8. Oktober 2019 hinzugefügt

libxslt

Verfügbar für: iPhone 6s und neuer, iPad Air 2 und neuer, iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Mehrere Probleme in libxml

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8750: gefunden von OSS-Fuzz

Eintrag am Dienstag, 29. Oktober 2019 hinzugefügt

mDNSResponder

Verfügbar für: iPhone 6s und neuer, iPad Air 2 und neuer, iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Angreifer in physischer Nähe kann möglicherweise Gerätenamen in der AWDL-Kommunikation passiv beobachten

Beschreibung: Dieses Problem wurde behoben, indem Gerätenamen durch eine zufällige Kennung ersetzt wurden.

CVE-2019-8799: David Kreitschmann und Milan Stute vom Secure Mobile Networking Lab der Technischen Universität Darmstadt

Eintrag am Dienstag, 29. Oktober 2019 hinzugefügt

UIFoundation

Verfügbar für: iPhone 6s und neuer, iPad Air 2 und neuer, iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8831: riusksk von VulWar Corp in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 18. November 2019 hinzugefügt

VoiceOver

Verfügbar für: iPhone 6s und neuer, iPad Air 2 und neuer, iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Eine Person mit physischem Zugang zu einem iOS-Gerät kann vom Sperrbildschirm aus auf Kontakte zugreifen.

Beschreibung: Dieses Problem wurde durch Einschränkung der Optionen behoben, die auf einem gesperrten Gerät zur Verfügung stehen.

CVE-2019-8775: videosdebarraquito

WebKit

Verfügbar für: iPhone 6s und neuer, iPad Air 2 und neuer, iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zur Offenlegung des Browserverlaufs führen

Beschreibung: Beim Darstellen von Webseitenelementen ist ein Problem aufgetreten. Das Problem wurde durch verbesserte Logik behoben.

CVE-2019-8769: Piérre Reimertz (@reimertz)

Eintrag am 8. Oktober 2019 hinzugefügt

WebKit

Verfügbar für: iPhone 6s und neuer, iPad Air 2 und neuer, iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8710: gefunden von OSS-Fuzz

CVE-2019-8743: zhunki vom Codesafe Team von Legendsec bei der Qi'anxin Group

CVE-2019-8751: Dongzhuo Zhao in Zusammenarbeit mit ADLab von Venustech

CVE-2019-8752: Dongzhuo Zhao in Zusammenarbeit mit ADLab von Venustech

CVE-2019-8763: Sergei Glazunov von Google Project Zero

CVE-2019-8765: Samuel Groß von Google Project Zero

CVE-2019-8766: gefunden von OSS-Fuzz

CVE-2019-8773: gefunden von OSS-Fuzz

Eintrag am 8. Oktober 2019 hinzugefügt und am 29. Oktober 2019 aktualisiert

WebKit

Verfügbar für: iPhone 6s und neuer, iPad Air 2 und neuer, iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen.

Beschreibung: Ein Überprüfungsproblem wurde mit einer verbesserten Logik behoben.

CVE-2019-8762: Sergei Glazunov von Google Project Zero

Eintrag am 18. November 2019 hinzugefügt

Zusätzliche Danksagung

boringssl

Wir möchten uns bei Nimrod Aviram von der Tel Aviv University, Robert Merget von der Ruhr-Universität Bochum und Juraj Somorovsky von der Ruhr-Universität Bochum für die Unterstützung bedanken.

Eintrag am Dienstag, 29. Oktober 2019 hinzugefügt

Mein iPhone suchen

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

Identitätsdienst

Wir möchten uns bei Yiğit Can YILMAZ (@yilmazcanyigit) für die Unterstützung bedanken.

Eintrag am Dienstag, 29. Oktober 2019 hinzugefügt

Hinweise

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

Share-Sheet

Wir möchten uns bei Milan Stute vom Secure Mobile Networking Lab an der Technischen Universität Darmstadt für die Unterstützung bedanken.

Eintrag am Dienstag, 29. Oktober 2019 hinzugefügt

Statusleiste

Wir möchten uns bei Isaiah Kahler, Mohammed Adham und einem anonymen Forscher für die Unterstützung bedanken.

Eintrag am Dienstag, 29. Oktober 2019 hinzugefügt

Telefonie

Wir möchten uns bei Yiğit Can YILMAZ (@yilmazcanyigit) für die Unterstützung bedanken.

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: