Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 13.3 και του iPadOS 13.3

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 13.3 και του iPadOS 13.3.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

iOS 13.3 και iPadOS 13.3

Κυκλοφόρησε στις 10 Δεκεμβρίου 2019

CallKit

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς

Αποτέλεσμα: Οι κλήσεις μέσω του Siri ενδέχεται να πραγματοποιηθούν χρησιμοποιώντας το λανθασμένο πρόγραμμα κινητού δικτύου στις συσκευές που διαθέτουν δύο ενεργά προγράμματα

Περιγραφή: Υπήρχε ένα πρόβλημα API στον χειρισμό των εξερχόμενων τηλεφωνικών κλήσεων που πραγματοποιούνται μέσω Siri. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού κατάστασης.

CVE-2019-8856: Fabrice TERRANCLE της TERRANCLE SARL

CFNetwork

Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου ενδέχεται να μπορεί να παρακάμψει το πρωτόκολλο HSTS για περιορισμένο αριθμό συγκεκριμένων τομέων ανώτερου επιπέδου που προηγουμένως δεν ήταν στην προφορτωμένη λίστα HSTS

Περιγραφή: Ένα πρόβλημα διαμόρφωσης αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2019-8834: Rob Sayre (@sayrer)

Η καταχώριση προστέθηκε στις 4 Απριλίου 2020

Διακομιστές μεσολάβησης CFNetwork

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2019-8848: Zhuo Liang της ομάδας Qihoo 360 Vulcan

FaceTime

Αποτέλεσμα: Η επεξεργασία κακόβουλου βίντεο μέσω του FaceTime μπορεί να προκαλέσει την αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8830: natashenka του Google Project Zero

IOSurfaceAccelerator

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αποκάλυψης πληροφοριών αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2019-8841: Corellium

Πυρήνας

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2019-8833: Ian Beer του Google Project Zero

Πυρήνας

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8828: Cim Stordal της Cognite

CVE-2019-8838: Dr Silvio Cesare της InfoSect

libexpat

Αποτέλεσμα: Η ανάλυση ενός κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε αποκάλυψη των πληροφοριών του χρήστη

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με την ενημέρωση του expat στην έκδοση 2.2.8.

CVE-2019-15903: Joonun Jang

libpcap

Αποτέλεσμα: Πολλαπλά προβλήματα στο libpcap

Περιγραφή: Τα πολλά προβλήματα αντιμετωπίστηκαν με ενημέρωση στο libpcap έκδοση 1.9.1

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

Η καταχώριση προστέθηκε στις 4 Απριλίου 2020

Φωτογραφίες

Αποτέλεσμα: Δεδομένα ήχου και βίντεο Live Photo ενδέχεται να κοινοποιηθούν μέσω συνδέσμων του iCloud ακόμα και αν το Live Photo είναι απενεργοποιημένο στο καρουζέλ του φύλλου κοινής χρήσης

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση όταν δημιουργείται ένας σύνδεσμος του iCloud.

CVE-2019-8857: Tor Bruce

Ασφάλεια

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8832: Insu Yun του SSLab στο Georgia Tech

WebKit

Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο μπορεί να αποκαλύψει τοποθεσίες που έχει επισκεφτεί ένας χρήστης

Περιγραφή: Υπήρχε πρόβλημα αποκάλυψης πληροφοριών στον χειρισμό του API πρόσβασης στον χώρο αποθήκευσης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη λογική.

CVE-2019-8898: Michael Kleber της Google

Η καταχώριση προστέθηκε στις 11 Φεβρουαρίου 2020 και ενημερώθηκε στις 20 Φεβρουαρίου 2020

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8835: Ανώνυμος ερευνητής σε συνεργασία με το Zero Day Initiative της Trend Micro, Mike Zhang της ομάδας Pangu

CVE-2019-8844: William Bowling (@wcbowling)

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2019-8846: Marcin Towalski της Cisco Talos

Επιπλέον αναγνώριση

Λογαριασμοί

Θα θέλαμε να ευχαριστήσουμε τους Allison Husain του UC Berkeley, Kishan Bagaria (KishanBagaria.com), Tom Snelling του Loughborough University για τη βοήθειά τους.

Η καταχώριση ενημερώθηκε στις 4 Απριλίου 2020

Δεδομένα πυρήνα

Θα θέλαμε να ευχαριστήσουμε τη natashenka του Google Project Zero για τη βοήθειά της.

Ρυθμίσεις

Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: 03 Νοεμβρίου 2023