Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 13.2 και του iPadOS 13.2

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 13.2 και του iPadOS 13.2.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

iOS 13.2 και iPadOS 13.2

Κυκλοφόρησε στις 28 Οκτωβρίου 2019

Λογαριασμοί

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να διαρρεύσει μνήμη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8787: Steffen Klee του Secure Mobile Networking Lab στο Technische Universität Darmstadt

AirDrop

Αποτέλεσμα: Οι μεταφορές του AirDrop ενδέχεται να γίνουν απροσδόκητα αποδεκτές στη λειτουργία «Όλοι»

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2019-8796: Allison Husain του UC Berkeley

Η καταχώριση προστέθηκε στις 4 Απριλίου 2020

App Store

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να συνδεθεί στον λογαριασμό ενός χρήστη που είχε συνδεθεί προηγουμένως χωρίς έγκυρα διαπιστευτήρια.

Περιγραφή: Ένα πρόβλημα ελέγχου ταυτότητας αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

Συσχετισμένοι τομείς

Αποτέλεσμα: Η λανθασμένη επεξεργασία URL ενδέχεται να οδηγήσει σε εξαγωγή δεδομένων

Περιγραφή: Υπήρχε ένα πρόβλημα στην ανάλυση διευθύνσεων URL. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8788: Juha Lindstedt του Pakastin, Mirko Tanania και Rauli Rikama της Zero Keyboard Ltd

Ήχος

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8785: Ian Beer του Google Project Zero

CVE-2019-8797: 08Tc3wBB σε συνεργασία με την SSD Secure Disclosure

AVEVideoEncoder

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8795: 08Tc3wBB σε συνεργασία με την SSD Secure Disclosure

Βιβλία

Αποτέλεσμα: Η ανάλυση ενός κακόβουλου αρχείου iBooks ενδέχεται να οδηγήσει σε αποκάλυψη των πληροφοριών του χρήστη

Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό symlinks. Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επαλήθευση symlinks.

CVE-2019-8789: Gertjan Franken από την ομάδα imec-DistriNet του KU Leuven

Επαφές

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης επαφής μπορεί να προκαλέσει πλαστογράφηση του περιβάλλοντος χρήστη

Περιγραφή: Ένα πρόβλημα μη συνεπούς περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2017-7152: Oliver Paukstadt της Thinking Objects GmbH (to.com)

Συμβάντα συστήματος αρχείων

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8798: ABC Research s.r.o. σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Πρόγραμμα οδήγησης γραφικών

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8784: Vasiliy Vasilyev και Ilya Finogeev της Webinar, LLC

Πυρήνας

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2019-8794: 08Tc3wBB σε συνεργασία με την SSD Secure Disclosure

Πυρήνας

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8786: Wen Xu του Georgia Tech, Microsoft Offensive Security Research Intern

Η καταχώριση ενημερώθηκε στις 18 Νοεμβρίου 2019

Πυρήνας

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Μια ευπάθεια αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2019-8829: Jann Horn του Google Project Zero

Η καταχώριση προστέθηκε στις 8 Νοεμβρίου 2019

Βοηθός διαμόρφωσης

Αποτέλεσμα: Ένας εισβολέας που βρίσκεται σε κοντινή απόσταση ενδέχεται να έχει τη δυνατότητα να εξαναγκάσει έναν χρήστη να συνδεθεί σε ένα κακόβουλο δίκτυο Wi-Fi κατά τη διάρκεια διαμόρφωσης συσκευής

Περιγραφή: Αντιμετωπίστηκε μια ασυνέπεια στις ρυθμίσεις διαμόρφωσης δικτύου Wi-Fi.

CVE-2019-8804: Christy Philip Mathew της Zimperium, Inc

Εγγραφή οθόνης

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να πραγματοποιεί εγγραφή της οθόνης χωρίς ορατή ένδειξη εγγραφής οθόνης

Περιγραφή: Υπήρξε ένα πρόβλημα συνέπειας κατά τον καθορισμό της εμφάνισης της ένδειξης εγγραφής οθόνης. Το πρόβλημα επιλύθηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2019-8793: Ryan Jenkins του Lake Forrest Prep School

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2019-8813: ανώνυμος ερευνητής

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8782: Cheolung Lee από την ομάδα LINE+ Security Team

CVE-2019-8783: Cheolung Lee από την ομάδα LINE+ Graylab Security Team

CVE-2019-8808: εντοπίστηκε από το OSS-Fuzz

CVE-2019-8811: Soyeon Park του SSLab στο Georgia Tech

CVE-2019-8812: JunDong Xie του Ant-financial Light-Year Security Lab

CVE-2019-8814: Cheolung Lee από την ομάδα LINE+ Security Team

CVE-2019-8816: Soyeon Park του SSLab στο Georgia Tech

CVE-2019-8819: Cheolung Lee από την ομάδα LINE+ Security Team

CVE-2019-8820: Samuel Groß του Google Project Zero

CVE-2019-8821: Sergei Glazunov του Google Project Zero

CVE-2019-8822: Sergei Glazunov του Google Project Zero

CVE-2019-8823: Sergei Glazunov του Google Project Zero

Η καταχώριση ενημερώθηκε στις 18 Νοεμβρίου 2019

WebKit

Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο μπορεί να αποκαλύψει τις τοποθεσίες που έχει επισκεφτεί ένας χρήστης

Περιγραφή: Η κεφαλίδα HTTP Referer μπορεί να χρησιμοποιηθεί για την αποκάλυψη του ιστορικού περιήγησης. Το πρόβλημα επιλύθηκε μέσω υποβάθμισης όλων των Referer τρίτων στην πηγή προέλευσής τους.

CVE-2019-8827: Artur Janc, Krzysztof Kotowicz, Lukas Weichselbaum και Roberto Clapis της ομάδας Google Security Team

Η καταχώριση προστέθηκε στις 6 Φεβρουαρίου 2020

Μοντέλο διεργασίας WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8815: Apple

Wi-Fi

Αποτέλεσμα: Ένας εισβολέας στην εμβέλεια του Wi-Fi ενδέχεται να μπορεί να δει μικρή ποσότητα της κίνησης δικτύου

Περιγραφή: Υπήρχε ένα σφάλμα λογικής στον χειρισμό των μεταβάσεων κατάστασης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2019-15126: Milos Cermak στην ESET

Η καταχώριση προστέθηκε στις 3 Φεβρουαρίου 2020

Επιπλέον αναγνώριση

CFNetwork

Θα θέλαμε να ευχαριστήσουμε τον Lily Chen της Google για τη βοήθειά του.

Πυρήνας

Θα θέλαμε να ευχαριστήσουμε τους Daniel Roethlisberger της Swisscom CSIRT και Jann Horn του Google Project Zero για τη βοήθειά τους.

Η καταχώριση ενημερώθηκε στις 8 Νοεμβρίου 2019

WebKit

Θα θέλαμε να ευχαριστήσουμε τους Dlive από το Xuanwu Lab της Tencent και Zhiyi Zhang από την ομάδα Codesafe της Legendsec στην Qi'anxin Group για τη βοήθειά τους.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: 06 Νοεμβρίου 2023