Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 13.6 και του iPadOS 13.6

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 13.6 και του iPadOS 13.6.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

iOS 13.6 και iPadOS 13.6

Κυκλοφόρησε στις 15 Ιουλίου 2020

Audio

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch (7ης γενιάς)

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-9888: JunDong Xie και Xingwei Lin του Ant-Financial Light-Year Security Lab

CVE-2020-9890: JunDong Xie και Xingwei Lin του Ant-Financial Light-Year Security Lab

CVE-2020-9891: JunDong Xie και Xingwei Lin του Ant-Financial Light-Year Security Lab

Η καταχώριση ενημερώθηκε στις 5 Αυγούστου 2020

Audio

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-9884: Yu Zhou (@yuzhou6666) της 小鸡帮 σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2020-9889: Ανώνυμος σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro, JunDong Xie και Xingwei Lin του Ant-Financial Light-Year Security Lab

Η καταχώριση ενημερώθηκε στις 5 Αυγούστου 2020

AVEVideoEncoder

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2020-9907: 08Tc3wBB σε συνεργασία με τη ZecOps

Η καταχώριση προστέθηκε στις 24 Ιουλίου 2020 και ενημερώθηκε στις 31 Αυγούστου 2020

Bluetooth

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να προκαλέσει έναν απρόσμενο τερματισμό εφαρμογής

Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-9931: Dennis Heinze (@ttdennis) του TU Darmstadt, Secure Mobile Networking Lab

CoreFoundation

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να προβάλλει ευαίσθητες πληροφορίες χρήστη

Περιγραφή: Υπήρχε ένα πρόβλημα στον χειρισμό των μεταβλητών του περιβάλλοντος. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2020-9934: Matt Shockley (linkedin.com/in/shocktop)

Η καταχώριση ενημερώθηκε στις 5 Αυγούστου 2020

CoreGraphics

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-9883: ένας ανώνυμος ερευνητής, Mickey Jin της Trend Micro

Η καταχώριση προστέθηκε στις Παρασκευή, 24 Ιουλίου 2020 και ενημερώθηκε στις Τρίτη, 15 Δεκεμβρίου 2020

Crash Reporter

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2020-9865: Zhuo Liang της ομάδας Qihoo 360 Vulcan σε συνεργασία με το 360 BugCloud

Crash Reporter

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προβιβάσει τα προνόμιά του

Περιγραφή: Υπήρχε πρόβλημα στη λογική επικύρωσης διαδρομών για τους συμβολικούς συνδέσμους. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη εξυγίανση διαδρομών.

CVE-2020-9900: Cees Elzinga, Zhongcheng Li (CK01) της ομάδας Zero-dayits της Legendsec του ομίλου Qi'anxin Group

Η καταχώριση προστέθηκε στις 5 Αυγούστου 2020 και ενημερώθηκε στις Παρασκευή, 17 Δεκεμβρίου 2021

FontParser

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-9980: Xingwei Lin του Ant-financial Light-Year Security Lab

Η καταχώριση προστέθηκε στις 21 Σεπτεμβρίου 2020 και ενημερώθηκε στις 19 Οκτωβρίου 2020

GeoServices

Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να αποκτήσει δυνατότητα πρόσβασης σε ευαίσθητα δεδομένα τοποθεσίας

Περιγραφή: Ένα πρόβλημα εξουσιοδότησης αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2020-9933: Min (Spark) Zheng και Xiaolong Bai της Alibaba Inc.

iAP

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να εκτελέσει μια επίθεση άρνησης υπηρεσίας χρησιμοποιώντας μη κατάλληλα διαμορφωμένα πακέτα Bluetooth

Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης εισαγωγής στο Bluetooth. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-9914: Andy Davis του NCC Group

Η καταχώριση ενημερώθηκε στις 24 Ιουλίου 2020

ImageIO

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-27933: Xingwei Lin του Ant-financial Light-Year Security Lab

Η καταχώριση προστέθηκε στις 16 Μαρτίου 2021

ImageIO

Αποτέλεσμα: Υπήρχαν πολλαπλά προβλήματα υπερχείλισης buffer στο openEXR

Περιγραφή: Πολλά προβλήματα στο openEXR αντιμετωπίστηκαν με βελτιωμένους ελέγχους.

CVE-2020-11758: Xingwei Lin του Ant-financial Light-Year Security Lab

CVE-2020-11759: Xingwei Lin του Ant-financial Light-Year Security Lab

CVE-2020-11760: Xingwei Lin του Ant-financial Light-Year Security Lab

CVE-2020-11761: Xingwei Lin του Ant-financial Light-Year Security Lab

CVE-2020-11762: Xingwei Lin του Ant-financial Light-Year Security Lab

CVE-2020-11763: Xingwei Lin του Ant-financial Light-Year Security Lab

CVE-2020-11764: Xingwei Lin του Ant-financial Light-Year Security Lab

CVE-2020-11765: Xingwei Lin του Ant-financial Light-Year Security Lab

Η καταχώριση προστέθηκε στις 8 Σεπτεμβρίου 2020

ImageIO

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-9871: Xingwei Lin του Ant-financial Light-Year Security Lab

CVE-2020-9872: Xingwei Lin του Ant-financial Light-Year Security Lab

CVE-2020-9874: Xingwei Lin του Ant-financial Light-Year Security Lab

CVE-2020-9879: Xingwei Lin του Ant-financial Light-Year Security Lab

CVE-2020-9936: Mickey Jin της Trend Micro

CVE-2020-9937: Xingwei Lin του Ant-financial Light-Year Security Lab

Η καταχώριση ενημερώθηκε στις 5 Αυγούστου 2020

ImageIO

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-9919: Mickey Jin της Trend Micro

Η καταχώριση προστέθηκε στις 24 Ιουλίου 2020

ImageIO

Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου PDF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-9876: Mickey Jin της Trend Micro

Η καταχώριση προστέθηκε στις 24 Ιουλίου 2020

ImageIO

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-9873: Xingwei Lin του Ant-financial Light-Year Security Lab

CVE-2020-9938: Xingwei Lin του Ant-financial Light-Year Security Lab

CVE-2020-9984: ένας ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 24 Ιουλίου 2020 και ενημερώθηκε στις 21 Σεπτεμβρίου 2020

ImageIO

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-9877: Xingwei Lin του Ant-financial Light-Year Security Lab

Η καταχώριση προστέθηκε στις 5 Αυγούστου 2020

ImageIO

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2020-9875: Mickey Jin της Trend Micro

Η καταχώριση προστέθηκε στις 5 Αυγούστου 2020

Kernel

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-9923: Proteas

Kernel

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου ενδέχεται να μπορεί να εισέλθει σε ενεργές συνδέσεις εντός ενός δικτύου VPN

Περιγραφή: Ένα πρόβλημα δρομολόγησης αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2019-14899: William J. Tolley, Beau Kujath και Jedidiah R. Crandall

Kernel

Αποτέλεσμα: Ένας εισβολέας που έχει ήδη πραγματοποιήσει επιτυχώς εκτέλεση κώδικα πυρήνα ενδέχεται να μπορεί να παρακάμψει τα μέτρα αντιμετώπισης της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-9909: Brandon Azad του Google Project Zero

Kernel

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2020-9904: Tielei Wang της Pangu Lab

Η καταχώριση προστέθηκε στις 24 Ιουλίου 2020

Kernel

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-9863: Xinru Chi του Pangu Lab

Η καταχώριση ενημερώθηκε στις 5 Αυγούστου 2020

Kernel

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένη διαχείριση κατάστασης.

CVE-2020-9892: Andy Nguyen της Google

Η καταχώριση προστέθηκε στις 24 Ιουλίου 2020

Kernel

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-9902: Xinru Chi και Tielei Wang του Pangu Lab

Η καταχώριση προστέθηκε στις 5 Αυγούστου 2020

Kernel

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με τη βελτίωση του ελέγχου ορίων.

CVE-2020-9905: Raz Mashat (@RazMashat) της ZecOps

Η καταχώριση προστέθηκε στις 5 Αυγούστου 2020

libxml2

Αποτέλεσμα: Η επεξεργασία κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2020-9926: Εντοπίστηκε από το OSS-Fuzz

Η καταχώριση προστέθηκε στις 16 Μαρτίου 2021

Mail

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2019-19906

Η καταχώριση προστέθηκε στις 24 Ιουλίου 2020 και ενημερώθηκε στις 8 Σεπτεμβρίου 2020

Mail

Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να αντικαταστήσει αυθαίρετα αρχεία αλληλογραφίας

Περιγραφή: Ένα πρόβλημα χειρισμού διαδρομής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2020-9920: YongYue Wang AKA BigChan της ομάδας Hillstone Networks AF

Η καταχώριση προστέθηκε στις 24 Ιουλίου 2020

Messages

Αποτέλεσμα: Ένας χρήστης που αφαιρείται από μια ομάδα iMessage θα μπορούσε να συμμετέχει ξανά

Περιγραφή: Υπήρχε ένα πρόβλημα στον χειρισμό των Tapback στο iMessage. Το πρόβλημα επιλύθηκε με πρόσθετη επαλήθευση.

CVE-2020-9885: ένας ανώνυμος ερευνητής, ο Suryansh Mansharamani του WWP High School North (medium.com/@suryanshmansha)

Model I/O

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-9878: Aleksandar Nikolic της Cisco Talos, Holger Fuhrmannek της Deutsche Telekom Security

CVE-2020-9881: Holger Fuhrmannek της Deutsche Telekom Security

CVE-2020-9882: Holger Fuhrmannek της Deutsche Telekom Security

CVE-2020-9940: Holger Fuhrmannek της Deutsche Telekom Security

CVE-2020-9985: Holger Fuhrmannek της Deutsche Telekom Security

Η καταχώριση ενημερώθηκε στις 21 Σεπτεμβρίου 2020

Model I/O

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με τη βελτίωση του ελέγχου ορίων.

CVE-2020-9880: Holger Fuhrmannek της Deutsche Telekom Security

Η καταχώριση προστέθηκε στις 21 Σεπτεμβρίου 2020

Safari Login AutoFill

Αποτέλεσμα: Ένας κακόβουλος εισβολέας ενδέχεται να μπορεί να κάνει το Safari να προτείνει ένα συνθηματικό για τον λάθος τομέα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2020-9903: Nikhil Mittal (@c0d3G33k) του Payatu Labs (payatu.com)

Safari Reader

Αποτέλεσμα: Ένα πρόβλημα στη λειτουργία Safari Reader μπορεί να επιτρέψει σε έναν απομακρυσμένο εισβολέα να παρακάμψει την Πολιτική ίδιας προέλευσης

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2020-9911: Nikhil Mittal (@c0d3G33k) του Payatu Labs (payatu.com)

Security

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να μιμηθεί έναν αξιόπιστο ιστότοπο χρησιμοποιώντας υλικό κοινόχρηστου κλειδιού για ένα πιστοποιητικό που προστέθηκε από διαχειριστή

Περιγραφή: Ένα πρόβλημα επαλήθευσης πιστοποιητικών υπήρχε όταν ο διαχειριστής επεξεργασίας πρόσθεσε πιστοποιητικά. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση πιστοποιητικών.

CVE-2020-9868: Brian Wolff της Asana

Η καταχώριση προστέθηκε στις 24 Ιουλίου 2020

sysdiagnose

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προβιβάσει τα προνόμιά του

CVE-2020-9901: Tim Michaud (@TimGMichaud) της Leviathan, Zhongcheng Li (CK01) της ομάδας Zero-dayits της Legendsec του ομίλου Qi'anxin Group

Η καταχώριση προστέθηκε στις 5 Αυγούστου 2020 και ενημερώθηκε στις 31 Αυγούστου 2020

WebDAV

Αποτέλεσμα: Μια διεργασία sandbox μπορεί να αποκτήσει τη δυνατότητα να παρακάμψει τους περιορισμούς του sandbox

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένα δικαιώματα.

CVE-2020-9898: Sreejith Krishnan R (@skr0x1C0)

Η καταχώριση προστέθηκε στις 8 Σεπτεμβρίου 2020

WebKit

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-9894: 0011 σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να αποτρέψει την επιβολή της Πολιτικής ασφάλειας περιεχομένου

Περιγραφή: Υπήρχε ένα πρόβλημα πρόσβασης στην Πολιτική ασφάλειας περιεχομένου. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους περιορισμούς πρόσβασης.

CVE-2020-9915: Ayoub AIT ELMOKHTAR της Noon

Η καταχώριση ενημερώθηκε στις 24 Ιουλίου 2020

WebKit

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2020-9893: 0011 σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2020-9895: Wen Xu του SSLab στο Georgia Tech

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2020-9925: ένας ανώνυμος ερευνητής

WebKit

Αποτέλεσμα: Ένας κακόβουλος εισβολέας με αυθαίρετη δυνατότητα ανάγνωσης και εγγραφής μπορεί να έχει τη δυνατότητα να παρακάμψει τον έλεγχο ταυτότητας δείκτη

Περιγραφή: Πολλά προβλήματα αντιμετωπίστηκαν με βελτιωμένη λογική.

CVE-2020-9910: Samuel Groß του Google Project Zero

WebKit Page Loading

Αποτέλεσμα: Ένας κακόβουλος εισβολέας μπορεί να έχει τη δυνατότητα να αποκρύψει τον προορισμό μιας διεύθυνσης URL

Περιγραφή: Ένα πρόβλημα κωδικοποίησης Unicode για διευθύνσεις URL αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2020-9916: Rakesh Mane (@RakeshMane10)

WebKit Web Inspector

Αποτέλεσμα: Η αντιγραφή μιας διεύθυνσης URL από το Web Inspector μπορεί να οδηγήσει σε εισαγωγή εντολών

Περιγραφή: Υπήρχε ένα πρόβλημα εισαγωγής εντολών στο Web Inspector. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη έξοδο.

CVE-2020-9862: Ophir Lojkine (@lovasoa)

WebRTC

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου ενδέχεται να μπορεί να προκαλέσει αλλοίωση σωρού μέσω μιας ροής SCTP

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2020-6514: natashenka του Google Project Zero

Η καταχώριση προστέθηκε στις 21 Σεπτεμβρίου 2020

Wi-Fi

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να καταστρέψει τη μνήμη πυρήνα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-9918: Jianjun Dai του 360 Alpha Lab σε συνεργασία με το 360 BugCloud (bugcloud.360.cn)

Wi-Fi

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-9906: Ian Beer του Google Project Zero

Η καταχώριση προστέθηκε στις 24 Ιουλίου 2020

Wi-Fi

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2020-9917: Pradeep Deokate of Harman, Stefan Böhrer της Daimler AG, proofnet.de

Η καταχώριση ενημερώθηκε στις 24 Ιουλίου 2020

Επιπλέον αναγνώριση

Bluetooth

Θα θέλαμε να ευχαριστήσουμε τον Andy Davis της NCC Group για τη βοήθειά του.

CoreFoundation

Θα θέλαμε να ευχαριστήσουμε τον Bobby Pelletier για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 8 Σεπτεμβρίου 2020

ImageIO

Θα θέλαμε να ευχαριστήσουμε τον Xingwei Lin του Ant-Financial Light-Year Security Lab για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 21 Σεπτεμβρίου 2020

Kernel

Θα θέλαμε να ευχαριστήσουμε τον Brandon Azad του Google Project Zero για τη βοήθειά του.

USB Audio

Θα θέλαμε να ευχαριστήσουμε τον Andy Davis της NCC Group για τη βοήθειά του.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: Νοεμβρίου 03, 2023