Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 14.0 και του iPadOS 14.0

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 14.0 και του iPadOS 14.0.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

iOS 14.0 και iPadOS 14.0

Κυκλοφόρησε στις 16 Σεπτεμβρίου 2020

AppleAVD

Διατίθεται για: iPhone 6s και νεότερο μοντέλο, iPad Air 2 και νεότερο μοντέλο, iPad mini 4 και νεότερο μοντέλο και iPod touch (7ης γενιάς)

Αποτέλεσμα: Μια εφαρμογή μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να πραγματοποιήσει εγγραφή σε μνήμη πυρήνα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-9958: Mohamed Ghannam (@_simo36)

Assets

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να καταχραστεί μια αξιόπιστη σχέση για τη λήψη κακόβουλου περιεχομένου

Περιγραφή: Ένα πρόβλημα αξιοπιστίας αντιμετωπίστηκε αφαιρώντας ένα API παλαιάς τεχνολογίας.

CVE-2020-9979: CodeColorist του LightYear Security Lab της AntGroup

Η καταχώριση ενημερώθηκε στις 12 Νοεμβρίου 2020

Audio

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση της περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-9943: JunDong Xie του Ant Group Light-Year Security Lab

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

Audio

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-9944: JunDong Xie του Ant Group Light-Year Security Lab

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

CoreAudio

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-9960: JunDong Xie και Xingwei Lin του Ant Security Light-Year Lab

Η καταχώριση προστέθηκε στις 25 Φεβρουαρίου 2021

CoreAudio

Αποτέλεσμα: Η αναπαραγωγή ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-9954: Francis σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro, JunDong Xie του Ant Group Light-Year Security Lab

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

CoreCapture

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2020-9949: Proteas

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

CoreText

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου κειμένου μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2020-9999: Apple

Η καταχώριση προστέθηκε στις 15 Δεκεμβρίου 2020

Disk Images

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-9965: Proteas

CVE-2020-9966: Proteas

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

FontParser

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση της περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-29629: ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 19 Ιανουαρίου 2022

FontParser

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-9956: Mickey Jin και Junzhi Lu της ομάδας Trend Micro Mobile Security Research Team σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 25 Φεβρουαρίου 2021

FontParser

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένη επαλήθευση μεγέθους.

CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)

Η καταχώριση προστέθηκε στις 25 Φεβρουαρίου 2021

FontParser

Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης μνήμης στην επεξεργασία αρχείων γραμματοσειρών. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-27931: Apple

Η καταχώριση προστέθηκε στις 25 Φεβρουαρίου 2021

FontParser

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης γραμματοσειράς μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-29639: Mickey Jin & Qi Sun της Trend Micro

Η καταχώριση προστέθηκε στις 25 Φεβρουαρίου 2021

HomeKit

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να τροποποιεί μη αναμενόμενα την κατάσταση εφαρμογής

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη μετάδοση ρυθμίσεων.

CVE-2020-9978: Luyi Xing, Dongfang Zhao και Xiaofeng Wang του Indiana University Bloomington, Yan Jia του Xidian University και του University of Chinese Academy of Sciences και Bin Yuan του HuaZhong University of Science and Technology

Η καταχώριση προστέθηκε στις 25 Φεβρουαρίου 2021

Icons

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αναγνωρίσει ποιες άλλες εφαρμογές έχει εγκαταστήσει ο χρήστης

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνημών cache των εικονιδίων.

CVE-2020-9773: Chilik Tamir από την ομάδα του Zimperium zLabs

IDE Device Support

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα σε μια ζευγοποιημένη συσκευή στη διάρκεια μιας συνεδρίας εντοπισμού σφαλμάτων μέσω του δικτύου

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με την κρυπτογράφηση των επικοινωνιών μέσω του δικτύου σε συσκευές που λειτουργούν με iOS 14, iPadOS 14, tvOS 14 και watchOS 7.

CVE-2020-9992: Dany Lisiansky (@DanyL931), Nikias Bassen του Zimperium zLabs

Η καταχώριση ενημερώθηκε στις 17 Σεπτεμβρίου 2020

ImageIO

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου tiff μπορεί να οδηγήσει σε άρνηση υπηρεσίας ή ενδεχομένως να αποκαλύψει περιεχόμενα της μνήμης

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-36521: Xingwei Lin του Ant-Financial Light-Year Security Lab

Η καταχώριση προστέθηκε στις 25 Μαΐου 2022

ImageIO

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-9955: Mickey Jin της Trend Micro, Xingwei Lin του Ant Security Light-Year Lab

Η καταχώριση προστέθηκε στις 15 Δεκεμβρίου 2020

ImageIO

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-9961: Xingwei Lin της Ant Security Light-Year Lab

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

ImageIO

Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου PDF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-9876: Mickey Jin της Trend Micro

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

IOSurfaceAccelerator

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορέσει να διαβάσει τα περιεχόμενα της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-9964: Mohamed Ghannam (@_simo36), Tommy Muir (@Muirey03)

Kernel

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να καταστρέψει τη μνήμη πυρήνα

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένη επαλήθευση εισόδου.

CVE-2020-9967: Alex Plaskett (@alexjplaskett)

Η καταχώριση προστέθηκε στις 25 Φεβρουαρίου 2021

Kernel

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2020-9975: Tielei Wang του Pangu Lab

Η καταχώριση προστέθηκε στις 25 Φεβρουαρίου 2021

Kernel

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου ενδέχεται να μπορεί να εισέλθει σε ενεργές συνδέσεις εντός ενός δικτύου VPN

Περιγραφή: Ένα πρόβλημα δρομολόγησης αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2019-14899: William J. Tolley, Beau Kujath και Jedidiah R. Crandall

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

Keyboard

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες του χρήστη

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2020-9976: Rias A. Sherzad της JAIDE GmbH στο Αμβούργο, Γερμανία

libxml2

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2020-9981: εντοπίστηκε από OSS-Fuzz

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

libxpc

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2020-9971: Zhipeng Huo (@R3dF09) του Tencent Security Xuanwu Lab

Η καταχώριση προστέθηκε στις 15 Δεκεμβρίου 2020

Mail

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να είναι σε θέση να τροποποιήσει απρόσμενα την κατάσταση της εφαρμογής

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2020-9941: Fabian Ising του FH Münster University of Applied Sciences και Damian Poddebniak του FH Münster University of Applied Sciences

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

Messages

Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να ανακαλύψει τα διαγραμμένα μηνύματα ενός χρήστη

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαγραφή.

CVE-2020-9988: William Breuer των Κάτω Χωρών

CVE-2020-9989: von Brunn Media

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

Model I/O

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-13520: Aleksandar Nikolic του Cisco Talos

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

Model I/O

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-6147: Aleksandar Nikolic της Cisco Talos

CVE-2020-9972: Aleksandar Nikolic του Cisco Talos

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

Model I/O

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-9973: Aleksandar Nikolic της Cisco Talos

NetworkExtension

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2020-9996: Zhiwei Yuan της Trend Micro iCore Team, Junzhi Lu και Mickey Jin της Trend Micro

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

Phone

Αποτέλεσμα: Το κλείδωμα οθόνης μπορεί να μην ενεργοποιηθεί μετά την καθορισμένη χρονική περίοδο

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2020-9946: Daniel Larsson της iolight AB

Quick Look

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να καθορίσει την ύπαρξη αρχείων στον υπολογιστή

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνημών cache των εικονιδίων.

CVE-2020-9963: Csaba Fitzl (@theevilbit) της Offensive Security

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

Safari

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να καθορίσει τις ανοιχτές καρτέλες ενός χρήστη στο Safari

Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης στην επαλήθευση δικαιωμάτων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση των δικαιωμάτων διεργασίας.

CVE-2020-9977: Josh Parnham (@joshparnham)

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

Safari

Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση της γραμμής διευθύνσεων

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό περιβάλλοντος χρήστη.

CVE-2020-9993: Masato Sugiyama (@smasato) του University of Tsukuba, Piotr Duszynski

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

Sandbox

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να προβάλλει ευαίσθητες πληροφορίες χρήστη

Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με πρόσθετους περιορισμούς του sandbox.

CVE-2020-9969: Wojciech Reguła του SecuRing (wojciechregula.blog)

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

Sandbox

Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να αποκτήσει πρόσβαση σε περιορισμένα αρχεία

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2020-9968: Adam Chester (@_xpn_) της TrustedSec

Η καταχώριση ενημερώθηκε στις 17 Σεπτεμβρίου 2020

Siri

Αποτέλεσμα: Ένας χρήστης με φυσική πρόσβαση σε μια συσκευή iOS ενδέχεται να μπορεί να δει τα περιεχόμενα γνωστοποιήσεων από την οθόνη κλειδώματος

Περιγραφή: Ένα πρόβλημα σχετικό με την οθόνη κλειδώματος επέτρεπε την πρόσβαση σε μηνύματα σε μια κλειδωμένη συσκευή. Αυτό το θέμα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2020-9959: ένας ανώνυμος ερευνητής, ένας ανώνυμος ερευνητής, ένας ανώνυμος ερευνητής, ένας ανώνυμος ερευνητής, ένας ανώνυμος ερευνητής, ένας ανώνυμος ερευνητής, Andrew Goldberg του The University of Texas στο Ώστιν, McCombs School of Business, Meli̇h Kerem Güneş του Li̇v College, Sinan Gulguler

Η καταχώριση ενημερώθηκε στις 15 Δεκεμβρίου 2020

SQLite

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2020-13434

CVE-2020-13435

CVE-2020-9991

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

SQLite

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να διαρρεύσει μνήμη

Περιγραφή: Ένα πρόβλημα αποκάλυψης πληροφοριών αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2020-9849

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

SQLite

Αποτέλεσμα: Πολλά προβλήματα στο SQLite

Περιγραφή: Πολλά προβλήματα αντιμετωπίστηκαν με ενημέρωση του SQLite στην έκδοση 3.32.3.

CVE-2020-15358

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

SQLite

Αποτέλεσμα: Ένα κακόβουλο ερώτημα SQL μπορεί να οδηγήσει σε αλλοίωση δεδομένων

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2020-13631

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

SQLite

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδεχομένως να έχει τη δυνατότητα να προκαλέσει εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2020-13630

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2020-9947: cc σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2020-9950: cc σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2020-9951: Marcin «Icewall» Noga της Cisco Talos

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-9983: zhunki

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την εισβολή με διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Ένα πρόβλημα επαλήθευσης εισαγωγής αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-9952: Ryan Pickren (ryanpickren.com)

Wi-Fi

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2020-10013: Yu Wang της Didi Research America

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

Επιπλέον αναγνώριση

802.1X

Θα θέλαμε να ευχαριστήσουμε τους Kenana Dalle του Hamad bin Khalifa University και Ryan Riley του Carnegie Mellon University στο Κατάρ για τη βοήθειά τους.

Η καταχώριση προστέθηκε στις 15 Δεκεμβρίου 2020

App Store

Θα θέλαμε να ευχαριστήσουμε τον Giyas Umarov του Holmdel High School για τη βοήθειά του.

Audio

Θα θέλαμε να ευχαριστήσουμε τους JunDong Xie και Xingwei Lin του Ant-Financial Light-Year Security Lab για τη βοήθειά τους.

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

Bluetooth

Θα θέλαμε να ευχαριστήσουμε τους Andy Davis του NCC Group και Dennis Heinze (@ttdennis) του TU Darmstadt, Secure Mobile Networking Lab για τη βοήθειά τους.

CallKit

Θα θέλαμε να ευχαριστήσουμε τον Federico Zanetello για τη βοήθειά του.

CarPlay

Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.

Clang

Θα θέλαμε να ευχαριστήσουμε τον Brandon Azad του Google Project Zero για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

Core Location

Θα θέλαμε να ευχαριστήσουμε τον Yiğit Can YILMAZ (@yilmazcanyigit) για τη βοήθειά του.

Crash Reporter

Θα θέλαμε να ευχαριστήσουμε τον Artur Byszko της AFINE για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 15 Δεκεμβρίου 2020

debugserver

Θα θέλαμε να ευχαριστήσουμε τον Linus Henze (pinauten.de) για τη βοήθειά του.

FaceTime

Θα θέλαμε να ευχαριστήσουμε τον Federico Zanetello για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 25 Φεβρουαρίου 2021

iAP

Θα θέλαμε να ευχαριστήσουμε τον Andy Davis της NCC Group για τη βοήθειά του.

iBoot

Θα θέλαμε να ευχαριστήσουμε τον Brandon Azad του Google Project Zero για τη βοήθειά του.

Kernel

Θα θέλαμε να ευχαριστήσουμε τον Brandon Azad του Google Project Zero και τον Stephen Röttger της Google για τη βοήθειά τους.

Η καταχώριση ενημερώθηκε στις 12 Νοεμβρίου 2020

libarchive

Θα θέλαμε να ευχαριστήσουμε τον Dzmitry Plotnikau και έναν ανώνυμο ερευνητή για τη βοήθειά τους.

libxml2

Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 25 Φεβρουαρίου 2021

lldb

Θα θέλαμε να ευχαριστήσουμε τον Linus Henze (pinauten.de) για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

Location Framework

Θα θέλαμε να ευχαριστήσουμε τον Nicolas Brunner (linkedin.com/in/nicolas-brunner-651bb4128) για τη βοήθειά του.

Η καταχώριση ενημερώθηκε στις 19 Οκτωβρίου 2020

Mail

Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

Mail Drafts

Θα θέλαμε να ευχαριστήσουμε τον Jon Bottarini της HackerOne για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

Maps

Θα θέλαμε να ευχαριστήσουμε τον Matthew Dolan της Amazon Alexa για τη βοήθειά του.

NetworkExtension

Θα θέλαμε να ευχαριστήσουμε τους Thijs Alkemade της Computest και Qubo Song της Symantec, ένα τμήμα της Broadcom για τη βοήθειά τους.

Phone Keypad

Θα θέλαμε να ευχαριστήσουμε τον Hasan Fahrettin Kaya του Akdeniz University Faculty of Tourism, έναν ανώνυμο ερευνητή για τη βοήθειά τους.

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020 και ενημερώθηκε στις 15 Δεκεμβρίου 2020

Safari

Θα θέλαμε να ευχαριστήσουμε τους Andreas Gutmann (@KryptoAndI) του OneSpan's Innovation Centre (onespan.com) και του University College London, Steven J. Murdoch (@SJMurdoch) του OneSpan's Innovation Centre (onespan.com) και του University College London, Jack Cable της Lightning Security, Ryan Pickren (ryanpickren.com) και Yair Amit για τη βοήθειά τους.

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

Safari Reader

Θα θέλαμε να ευχαριστήσουμε τον Zhiyang Zeng (@Wester) της OPPO ZIWU Security Lab για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

Security

Θα θέλαμε να ευχαριστήσουμε τον Christian Starkjohann της Objective Development Software GmbH για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020

Status Bar

Θα θέλαμε να ευχαριστήσουμε τους Abdul M. Majumder, Abdullah Fasihallah του Taif university, Adwait Vikas Bhide, Frederik Schmid, Nikita και έναν ανώνυμο ερευνητή για τη βοήθειά τους.

Telephony

Θα θέλαμε να ευχαριστήσουμε τον Onur Can Bıkmaz, Vodafone Turkey @canbkmaz, τον Yiğit Can YILMAZ (@yilmazcanyigit), έναν ανώνυμο ερευνητή για τη βοήθειά τους.

Η καταχώριση ενημερώθηκε στις 12 Νοεμβρίου 2020

UIKit

Θα θέλαμε να ευχαριστήσουμε τους Borja Marcos της Sarenet, Simon de Vegt και Talal Haj Bakry (@hajbakri) και Tommy Mysk (@tommymysk) της Mysk Inc για τη βοήθειά τους.

Web App

Θα θέλαμε να ευχαριστήσουμε τον Augusto Alvarez της Outcourse Limited για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 25 Φεβρουαρίου 2021

Web App

Θα θέλαμε να ευχαριστήσουμε τον Augusto Alvarez της Outcourse Limited για τη βοήθειά του.

WebKit

Θα θέλαμε να ευχαριστήσουμε τους Pawel Wylecial της REDTEAM.PL, Ryan Pickren (ryanpickren.com), Tsubasa FUJII (@reinforchu), Zhiyang Zeng(@Wester) του OPPO ZIWU Security Lab και Maximilian Blochberger του Security in Distributed Systems Group του University of Hamburg για τη βοήθειά τους.

Η καταχώριση προστέθηκε στις 12 Νοεμβρίου 2020, ενημερώθηκε στις 25 Μαΐου 2022

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: Νοεμβρίου 06, 2023