Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 13.3.1 και του iPadOS 13.3.1

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 13.3.1 και του iPadOS 13.3.1.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

iOS 13.3.1 και iPadOS 13.3.1

Κυκλοφόρησε στις 28 Ιανουαρίου 2020

Audio

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch (7ης γενιάς)

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-3857: Zhuo Liang της ομάδας Qihoo 360 Vulcan

FaceTime

Αποτέλεσμα: Ένας απομακρυσμένος χρήστης του FaceTime ενδέχεται να μπορεί να προβάλει μέσω της λειτουργίας προβολής αυτοπορτρέτου της κάμερας του τοπικού χρήστη τη λανθασμένη κάμερα

Περιγραφή: Υπήρχε ένα πρόβλημα με τον χειρισμό της λειτουργίας προβολής αυτοπορτρέτου του τοπικού χρήστη. Το πρόβλημα διορθώθηκε με βελτιωμένη λογική.

CVE-2020-3869: Elisa Lee

files

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αντικαταστήσει αυθαίρετα αρχεία

Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με βελτιωμένους περιορισμούς πρόσβασης.

CVE-2020-3855: Csaba Fitzl (@theevilbit)

Η καταχώριση προστέθηκε στις 19 Ιανουαρίου 2022

ImageIO

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-3826: Samuel Groß του Google Project Zero

CVE-2020-3870

CVE-2020-3878: Samuel Groß του Google Project Zero

CVE-2020-3880: Samuel Groß του Google Project Zero

Η καταχώριση ενημερώθηκε στις 4 Απριλίου 2020

IOAcceleratorFamily

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-3837: Brandon Azad του Google Project Zero

IOUSBDeviceFamily

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8836: Xiaolong Bai και Min (Spark) Zheng της Alibaba Inc. και Luyi Xing του Indiana University Bloomington

Η καταχώριση προστέθηκε στις 22 Ιουνίου 2020

IPSec

Αποτέλεσμα: Η φόρτωση ενός κακόβουλου αρχείου διαμόρφωσης racoon ενδέχεται να έχει ως αποτέλεσμα την εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχε ένα πρόβλημα λογικής με τον χειρισμό των αρχείων διαμόρφωσης racoon. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

CVE-2020-3840: @littlelailo

Kernel

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2020-3875: Brandon Azad του Google Project Zero

Kernel

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-3872: Haakon Garseg Mørk της Cognite και Cim Stordal της Cognite

Kernel

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με βελτιωμένη διαχείριση της μνήμης.

CVE-2020-3836: Brandon Azad του Google Project Zero

Kernel

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-3842: Ned Williamson σε συνεργασία με το Google Project Zero

CVE-2020-3858: Xiaolong Bai και Min (Spark) Zheng της Alibaba Inc. και Luyi Xing του Indiana University Bloomington

Kernel

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2020-3831: Chilik Tamir του Zimperium zLabs, Corellium, Proteas της ομάδας Qihoo 360 Nirvan

Η καταχώριση ενημερώθηκε στις 19 Μαρτίου 2020

Kernel

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-3853: Brandon Azad του Google Project Zero

Kernel

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-3860: Proteas από την ομάδα Nirvan της Qihoo 360

libxml2

Αποτέλεσμα: Η επεξεργασία κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένη επαλήθευση μεγέθους.

CVE-2020-3846: Ranier Vilela

Η καταχώριση προστέθηκε στις 29 Ιανουαρίου 2020

libxpc

Αποτέλεσμα: Η επεξεργασία μιας συμβολοσειράς με κακόβουλη δομή μπορεί να προκαλέσει αλλοίωση σωρού

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-3856: Ian Beer του Google Project Zero

libxpc

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-3829: Ian Beer του Google Project Zero

Mail

Αποτέλεσμα: Η απενεργοποίηση της επιλογής «Φόρτωση απομακρυσμένου περιεχομένου σε μηνύματα» ενδέχεται να μην εφαρμοστεί σε όλες τις προεπισκοπήσεις μηνυμάτων

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη μετάδοση ρυθμίσεων.

CVE-2020-3873: Alexander Heinrich (@Sn0wfreeze) του Technische Universität Darmstadt, Hudson Pridham του Bridgeable, Stuart Chapman

Η καταχώριση ενημερώθηκε στις 19 Μαρτίου 2020

Messages

Αποτέλεσμα: Ένας χρήστης με φυσική πρόσβαση σε μια συσκευή iOS ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε επαφές από την οθόνη κλειδώματος

Περιγραφή: Ένα πρόβλημα μη συνεπούς περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2020-3859: Andrew Gonzalez, Simone PC

Η καταχώριση ενημερώθηκε στις 29 Ιανουαρίου 2020

Messages

Αποτέλεσμα: Χρήστες που έχουν αφαιρεθεί από μια συζήτηση iMessage ενδέχεται να εξακολουθούν να έχουν τη δυνατότητα αλλαγής κατάστασης

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2020-3844: Ayden Panhuyzen (@aydenpanhuyzen) και Jamie Bishop (@jamiebishop123) του Dynastic, Lance Rodgers του Oxon Hill High School

Η καταχώριση ενημερώθηκε στις 29 Ιανουαρίου 2020

Phone

Περιγραφή: Ένα πρόβλημα σχετικό με την οθόνη κλειδώματος επέτρεπε την πρόσβαση σε επαφές σε μια κλειδωμένη συσκευή. Αυτό το θέμα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2020-3828: ένας ανώνυμος ερευνητής

Safari Login AutoFill

Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να στείλει ακούσια ένα μη κρυπτογραφημένο συνθηματικό μέσω του δικτύου

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό περιβάλλοντος χρήστη.

CVE-2020-3841: Sebastian Bicchi (@secresDoge) από τη Sec-Research

Screenshots

Αποτέλεσμα: Τα στιγμιότυπα οθόνης της εφαρμογής Μηνύματα ενδέχεται να αποκαλύπτουν πρόσθετο περιεχόμενο μηνύματος

Περιγραφή: Υπήρχε ένα πρόβλημα στην ονοματοδοσία των στιγμιότυπων οθόνης. Το πρόβλημα διορθώθηκε με βελτιωμένη ονοματοδοσία.

CVE-2020-3874: Nicolas Luckie του Durham College

WebKit

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-3862: Srikanth Gatta της Google Chrome

Η καταχώριση προστέθηκε στις 29 Ιανουαρίου 2020

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2020-3825: Przemysław Sporysz της Euvic

CVE-2020-3868: Marcin Towalski της Cisco Talos

Η καταχώριση προστέθηκε στις 29 Ιανουαρίου 2020

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2020-3867: ένας ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 29 Ιανουαρίου 2020

WebKit Page Loading

Αποτέλεσμα: Ένα περιβάλλον αντικειμένου DOM ενδέχεται να μην είχε μια μοναδική προέλευση ασφάλειας

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2020-3864: Ryan Pickren (ryanpickren.com)

Η καταχώριση προστέθηκε στις 6 Φεβρουαρίου 2020

WebKit Page Loading

Αποτέλεσμα: Ένα περιβάλλον αντικειμένου DOM ανώτατου επιπέδου ενδέχεται να έχει εσφαλμένα θεωρηθεί ως ασφαλές

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2020-3865: Ryan Pickren (ryanpickren.com)

Η καταχώριση προστέθηκε στις 29 Ιανουαρίου 2020 και ενημερώθηκε στις 6 Φεβρουαρίου 2020

Wi-Fi

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να καταστρέψει τη μνήμη πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-3843: Ian Beer του Google Project Zero

Η καταχώριση προστέθηκε στις 6 Φεβρουαρίου 2020

wifivelocityd

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένη λογική δικαιωμάτων.

CVE-2020-3838: Dayton Pidhirney (@_watbulb)

Επιπλέον αναγνώριση

IOSurface

Θα θέλαμε να ευχαριστήσουμε τον Liang Chen (@chenliang0817) για τη βοήθειά του.

Photos Storage

Θα θέλαμε να ευχαριστήσουμε την Allison Husain του UC Berkeley για τη βοήθειά της.

Η καταχώριση ενημερώθηκε στις 19 Μαρτίου 2020

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: Νοεμβρίου 03, 2023