Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 14.8 και του iPadOS 14.8

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας για τα iOS 14.8 και iPadOS 14.8.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

iOS 14.8 και iPadOS 14.8

Κυκλοφόρησε στις 13 Σεπτεμβρίου 2021

Apple Neural Engine

Διαθέσιμο για συσκευές με Apple Neural Engine: iPhone 8 και νεότερα μοντέλα, iPad Pro (3ης γενιάς) και νεότερα μοντέλα, iPad Air (3ης γενιάς) και νεότερα μοντέλα και iPad mini (5ης γενιάς)

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30838: proteas wang

Η καταχώριση προστέθηκε στις 19 Ιανουαρίου 2022

Bluetooth

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 2 και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch (7ης γενιάς)

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδεχομένως να έχει τη δυνατότητα να προκαλέσει εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30820: Jianjun Dai του Alpha Lab της Qihoo 360

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2021

CoreAudio

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να αποκαλύψει πληροφορίες χρήστη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-30905: Mickey Jin (@patch1t) της Trend Micro

Η καταχώριση προστέθηκε στις 19 Ιανουαρίου 2022

CoreAudio

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30834: JunDong Xie του Ant Security Light-Year Lab

Η καταχώριση προστέθηκε στις 25 Οκτωβρίου 2021

CoreGraphics

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-30928: Mickey Jin (@patch1t) της Trend Micro

Η καταχώριση προστέθηκε στις 19 Ιανουαρίου 2022

CoreGraphics

Αποτέλεσμα: Η επεξεργασία κακόβουλων αρχείων PDF μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Η Apple έχει λάβει υπόψη της μια αναφορά ότι αυτό το πρόβλημα ενδέχεται να προκαλεί ενεργή εκμετάλλευση ευπάθειας.

Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2021-30860: The Citizen Lab

CoreServices

Διαθέσιμο για: Διαθέσιμο για συσκευές με Apple Neural Engine: iPhone 8 και νεότερα μοντέλα, iPad Pro (3ης γενιάς) και νεότερα μοντέλα, iPad Air (3ης γενιάς) και νεότερα μοντέλα και iPad mini (5ης γενιάς)

Αποτέλεσμα: Μια διεργασία sandbox μπορεί να αποκτήσει τη δυνατότητα να παρακάμψει τους περιορισμούς του sandbox

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30864: Ron Hass (@ronhass7) της Perception Point, Ron Waisberg (@epsilan)

Η καταχώριση προστέθηκε στις 25 Μαΐου 2022

Core Telephony

Αποτέλεσμα: Μια διεργασία sandbox μπορεί να αποκτήσει τη δυνατότητα να παρακάμψει τους περιορισμούς του sandbox. Η Apple ήταν ενήμερη για την ύπαρξη μιας αναφοράς ότι αυτό το πρόβλημα ενδέχεται να προκάλεσε ενεργή εκμετάλλευση ευπάθειας κατά τη στιγμή της κυκλοφορίας.

Περιγραφή: Ένα πρόβλημα αποσειριακοποίησης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης.

CVE-2021-31010: Citizen Lab και Google Project Zero

Η καταχώριση προστέθηκε στις 25 Μαΐου 2022

FontParser

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου dfont μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30841: Xingwei Lin του Ant Security Light-Year Lab

CVE-2021-30843: Xingwei Lin του Ant Security Light-Year Lab

CVE-2021-30842: Xingwei Lin του Ant Security Light-Year Lab

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2021

Foundation

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30852: Yinyi Wu (@3ndy1) του Ant Security Light-Year Lab

Η καταχώριση προστέθηκε στις 25 Οκτωβρίου 2021

ImageIO

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30847: Mike Zhang του Pangu Lab

Η καταχώριση προστέθηκε στις 25 Οκτωβρίου 2021

Kernel

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2021-30857: Manish Bhatt της Red Team X @Meta, Zweig του Kunlun Lab

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2021, ενημερώθηκε στις 25 Μαΐου 2022

Kernel

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό κατάστασης.

CVE-2021-30859: Apple

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2021

libexpat

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με την ενημέρωση του expat στην έκδοση 2.4.1.

CVE-2013-0340: ένας ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2021

Preferences

Αποτέλεσμα: Μια εφαρμογή μπορεί να αποκτήσει πρόσβαση σε περιορισμένα αρχεία

Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό symlinks. Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επαλήθευση symlinks.

CVE-2021-30855: Zhipeng Huo (@R3dF09) και Yuebin Sun (@yuebinsun2020) του Tencent Security Xuanwu Lab (xlab.tencent.com)

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2021

Telephony

Διαθέσιμο για: iPhone SE (1ης γενιάς), iPad Pro 12,9 ιντσών, iPad Air 2, iPad (5ης γενιάς) και iPad mini 4

Αποτέλεσμα: Σε ορισμένες περιστάσεις, η ζώνη βάσης αποτυγχάνει να ενεργοποιήσει την προστασία ακεραιότητας και κρυπτογράφησης

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30826: CheolJun Park, Sangwook Bae και BeomSeok Oh του KAIST SysSec Lab

Η καταχώριση προστέθηκε στις 19 Ιανουαρίου 2022

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό κατάστασης.

CVE-2021-30818: Amar Menezes (@amarekano) της Zon8Research

Η καταχώριση προστέθηκε στις 25 Οκτωβρίου 2021

WebKit

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου ενδέχεται να μπορεί να παρακάμψει το πρωτόκολλο HSTS

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2021-30823: David Gullasch της Recurity Labs

Η καταχώριση προστέθηκε στις 25 Οκτωβρίου 2021

WebKit

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να αποκαλύψει περιορισμένη μνήμη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-30836: Peter Nguyen Vu Hoang του STAR Labs

Η καταχώριση προστέθηκε στις 25 Οκτωβρίου 2021

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Η Apple έχει λάβει υπόψη της μια αναφορά ότι αυτό το πρόβλημα ενδέχεται να προκαλεί ενεργή εκμετάλλευση ευπάθειας.

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2021-30858: ένας ανώνυμος ερευνητής

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30848: Sergei Glazunov του Google Project Zero

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2021

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Τα πολλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30849: Sergei Glazunov του Google Project Zero

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2021

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30846: Sergei Glazunov του Google Project Zero

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2021

Επιπλέον αναγνώριση

CoreML

Θα θέλαμε να ευχαριστήσουμε τον χρήστη hjy79425575 που συνεργάστηκε με το πρόγραμμα Zero Day Initiative της Trend Micro, για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2021

FaceTime

Θα θέλαμε να ευχαριστήσουμε τον Mohammed Waqqas Kakangarai για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 25 Μαΐου 2022

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: Νοεμβρίου 06, 2023