Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 14.2 και του iPadOS 14.2
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 14.2 και του iPadOS 14.2.
Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
iOS 14.2 και iPadOS 14.2
Audio
Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-27910: JunDong Xie και XingWei Lin του Ant Security Light-Year Lab
Audio
Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-27916: JunDong Xie της Ant Security Light-Year Lab
CallKit
Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα
Αποτέλεσμα: Ένας χρήστης μπορεί να απαντήσει σε δύο κλήσεις ταυτόχρονα χωρίς ένδειξη ότι απάντησε σε δεύτερη κλήση
Περιγραφή: Υπήρχε ένα πρόβλημα στον χειρισμό των εισερχόμενων κλήσεων. Το θέμα αντιμετωπίστηκε με πρόσθετους ελέγχους κατάστασης.
CVE-2020-27925: Nick Tangri
CoreAudio
Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-10017: Francis που συνεργάζεται με το πρόγραμμα Zero Day Initiative της Trend Micro, JunDong Xie της Ant Security Light-Year Lab
CoreAudio
Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch 7ης γενιάς, iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-27908: ανώνυμος που συνεργάζεται με το πρόγραμμα Zero Day Initiative της Trend Micro, JunDong Xie και XingWei Lin του Ant Security Light-Year Lab
CVE-2020-27909: ανώνυμος που συνεργάζεται με το πρόγραμμα Zero Day Initiative της Trend Micro, JunDong Xie και Xingwei Lin του Ant Security Light-Year Lab
CoreGraphics
Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλων αρχείων PDF μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-9897: S.Y. της ZecOps Mobile XDR, ένας ανώνυμος ερευνητής
CoreText
Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch 7ης γενιάς, iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2020-27922: Mickey Jin της Trend Micro
Crash Reporter
Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προβιβάσει τα προνόμιά του
Περιγραφή: Υπήρχε πρόβλημα στη λογική επικύρωσης διαδρομών για τους συμβολικούς συνδέσμους. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη εξυγίανση διαδρομών.
CVE-2020-10003: Tim Michaud (@TimGMichaud) της Leviathan
FontParser
Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία μια κακόβουλης γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Η Apple έχει λάβει υπόψη της τις αναφορές ότι αυτό το πρόβλημα έχει γίνει αντικείμενο εκμετάλλευσης εκεί έξω.
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-27930: Google Project Zero
FontParser
Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2020-27927: Xingwei Lin της Ant Security Light-Year Lab
Foundation
Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να εκτελέσει ανάγνωση αυθαίρετων αρχείων
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2020-10002: James Hutchins
ImageIO
Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch 7ης γενιάς, iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-27924: Lei Sun
ImageIO
Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch 7ης γενιάς, iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-27912: Xingwei Lin της Ant Security Light-Year Lab
CVE-2020-27923: Lei Sun
IOAcceleratorFamily
Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2020-27905: Mohamed Ghannam (@_simo36)
Kernel
Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκαλύψει τη μνήμη πυρήνα. Η Apple έχει λάβει υπόψη της τις αναφορές ότι αυτό το πρόβλημα έχει γίνει αντικείμενο εκμετάλλευσης εκεί έξω.
Περιγραφή: Ένα πρόβλημα εκκίνησης μνήμης αντιμετωπίστηκε.
CVE-2020-27950: Google Project Zero
Kernel
Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2020-9974: Tommy Muir (@Muirey03)
Kernel
Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2020-10016: Alex Helie
Kernel
Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα. Η Apple έχει λάβει υπόψη της τις αναφορές ότι αυτό το πρόβλημα έχει γίνει αντικείμενο εκμετάλλευσης εκεί έξω.
Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό κατάστασης.
CVE-2020-27932: Google Project Zero
Keyboard
Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα
Αποτέλεσμα: Ένας χρήστης με φυσική πρόσβαση σε μια συσκευή iOS ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε αποθηκευμένους κωδικούς πρόσβασης χωρίς έλεγχο ταυτότητας
Περιγραφή: Ένα πρόβλημα ελέγχου ταυτότητας αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2020-27902: Connor Ford (@connorford2)
libxml2
Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch 7ης γενιάς, iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2020-27917: εντοπίστηκε από OSS-Fuzz
CVE-2020-27920: εντοπίστηκε από το OSS-Fuzz
libxml2
Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.
CVE-2020-27911: εντοπίστηκε από OSS-Fuzz
libxml2
Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2020-27926: εντοπίστηκε από το OSS-Fuzz
Logging
Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προβιβάσει τα προνόμιά του
Περιγραφή: Ένα πρόβλημα χειρισμού διαδρομής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2020-10010: Tommy Muir (@Muirey03)
Model I/O
Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα
Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2020-10004: Aleksandar Nikolic του Cisco Talos
Model I/O
Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-13524: Aleksandar Nikolic του Cisco Talos
Model I/O
Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2020-10011: Aleksandar Nikolic της Cisco Talos
Symptom Framework
Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προβιβάσει τα προνόμιά του
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2020-27899: 08Tc3wBB σε συνεργασία με τη ZecOps
WebKit
Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch 7ης γενιάς, iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2020-27918: Liu Long του Ant Security Light-Year Lab
XNU
Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια διεργασία sandbox μπορεί να αποκτήσει τη δυνατότητα να παρακάμψει τους περιορισμούς του sandbox
Περιγραφή: Πολλά προβλήματα αντιμετωπίστηκαν με βελτιωμένη λογική.
CVE-2020-27935: Lior Halphon (@LIJI32)
Επιπλέον αναγνώριση
NetworkExtension
Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.
Safari
Θα θέλαμε να ευχαριστήσουμε τον Gabriel Corona για τη βοήθειά του.
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.