Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 13

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 13.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

iOS 13

Κυκλοφόρησε στις 19 Σεπτεμβρίου 2019

Bluetooth

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα

Αποτέλεσμα: Οι προεπισκοπήσεις γνωστοποιήσεων ενδέχεται να εμφανίζονται στα αξεσουάρ Bluetooth ακόμα και όταν είναι απενεργοποιημένες οι προεπισκοπήσεις

Περιγραφή: Υπήρχε ένα σφάλμα λογικής με την εμφάνιση των προεπισκοπήσεων γνωστοποιήσεων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2019-8711: Arjang του MARK ANTHONY GROUP INC., Cemil Ozkebapci (@cemilozkebapci) του Garanti BBVA, Oguzhan Meral του Deloitte Consulting, Ömer Bozdoğan-Ramazan Atıl Anadolu Lisesi Adana/TÜRKİYE

CoreAudio

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης ταινίας μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2019-8705: riusksk της VulWar Corp σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Face ID

Διαθέσιμο για: iPhone X και νεότερα μοντέλα

Αποτέλεσμα: Ένα μοντέλο 3D που έχει κατασκευαστεί ώστε να μοιάζει με τον εγγεγραμμένο χρήστη ενδέχεται να εκτελεί έλεγχο ταυτότητας μέσω Face ID

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτίωσης των μοντέλων μηχανικής εκμάθησης Face ID.

CVE-2019-8760: Wish Wu (吴潍浠 @wish_wu) του Ant-financial Light-Year Security Lab

Υποδομή

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8641: Samuel Groß και Natalie Silvanovich του Google Project Zero

Πυρήνας

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8717: Jann Horn του Google Project Zero

Η καταχώριση προστέθηκε στις 8 Οκτωβρίου 2019

Πληκτρολόγια

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες χρήστη

Περιγραφή: Ένα πρόβλημα ελέγχου ταυτότητας αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2019-8704: 王 邦 宇 (wAnyBug.Com) του SAINTSEC

libxml2

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα

Αποτέλεσμα: Πολλαπλά προβλήματα στο libxml2

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένη επαλήθευση εισόδου.

CVE-2019-8749: εντοπίστηκε από το OSS-Fuzz

CVE-2019-8756: εντοπίστηκε από OSS-Fuzz

Η καταχώριση προστέθηκε στις 8 Οκτωβρίου 2019

Μηνύματα

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα

Αποτέλεσμα: Ένας χρήστης με φυσική πρόσβαση σε μια συσκευή iOS ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε επαφές από την οθόνη κλειδώματος

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με τον περιορισμό των επιλογών που διατίθενται σε κλειδωμένη συσκευή.

CVE-2019-8742: videosdebarraquito

Σημειώσεις

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα

Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προβάλει τις κλειδωμένες σημειώσεις ενός χρήστη

Περιγραφή: Το περιεχόμενο των κλειδωμένων σημειώσεων ορισμένες φορές εμφανίζεται στα αποτελέσματα αναζήτησης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη εκκαθάριση δεδομένων.

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) του Virginia Polytechnic Institute and State University

Η καταχώριση προστέθηκε στις 8 Οκτωβρίου 2019

Άμεση προβολή

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να αποκαλύψει πληροφορίες χρήστη

Περιγραφή: Υπήρχε ένα πρόβλημα δικαιωμάτων στο οποίο το δικαίωμα εκτέλεσης εκχωρήθηκε εσφαλμένα. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση δικαιωμάτων.

CVE-2019-8731: Saif Hamed Hamdan Al Hinai του Oman National CERT, Yiğit Can YILMAZ (@yilmazcanyigit)

Safari

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα

Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση της γραμμής διευθύνσεων

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2019-8727: Divyanshu Shukla (@justm0rph3u5)

Η καταχώριση ενημερώθηκε στις 8 Οκτωβρίου 2019

UIFoundation

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου κειμένου μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με τη βελτίωση του ελέγχου ορίων.

CVE-2019-8745: riusksk της VulWar Corp σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 8 Οκτωβρίου 2019

WebKit

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα

Αποτέλεσμα: Το κακόβουλο περιεχόμενο ιστού ενδέχεται να παραβιάζει την πολιτική sandbox iframe

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επιβολή sandbox iframe.

CVE-2019-8771: Eliya Stein της Confiant

Η καταχώριση προστέθηκε στις 8 Οκτωβρίου 2019

WebKit

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2019-8625: Sergei Glazunov του Google Project Zero

CVE-2019-8719: Sergei Glazunov του Google Project Zero

Η καταχώριση προστέθηκε στις 8 Οκτωβρίου 2019

WebKit

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8707: ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro, cc σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8720: Wen Xu του SSLab στο Georgia Tech

CVE-2019-8726: Jihui Lu του Tencent KeenLab

CVE-2019-8733: Sergei Glazunov του Google Project Zero

CVE-2019-8735: G. Geshev σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 8 Οκτωβρίου 2019

WebKit

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα

Αποτέλεσμα: Ένας χρήστης μπορεί να μην έχει τη δυνατότητα να διαγράψει στοιχεία από το ιστορικό αναζήτησης

Περιγραφή: Η επιλογή «Εκκαθάριση ιστορικού και δεδομένων» δεν διέγραφε πλήρως το ιστορικό. Το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαγραφής δεδομένων.

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

Η καταχώριση προστέθηκε στις 8 Οκτωβρίου 2019

Φόρτωση σελίδων WebKit

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2019-8674: Sergei Glazunov του Google Project Zero

Η καταχώριση ενημερώθηκε στις 8 Οκτωβρίου 2019

Επιπλέον αναγνώριση

Bluetooth

Θα θέλαμε να ευχαριστήσουμε τους Jan Ruge του TU Darmstadt, Secure Mobile Networking Lab, Jiska Classen του TU Darmstadt, Secure Mobile Networking Lab, Francesco Gringoli του University of Brescia, Dennis Heinze του TU Darmstadt, Secure Mobile Networking Lab για τη βοήθειά τους.

boringssl

Θα θέλαμε να ευχαριστήσουμε τον Thijs Alkemade (@xnyhps) της Computest για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 8 Οκτωβρίου 2019

Κέντρο ελέγχου

Θα θέλαμε να ευχαριστήσουμε τον Brandon Sellers για τη βοήθειά του.

Πληκτρολόγιο

Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.

Mail

Θα θέλαμε να ευχαριστήσουμε τον Kenneth Hyndycz για τη βοήθειά του.

Προφίλ

Θα θέλαμε να ευχαριστήσουμε τον James Seeley (@Code4iOS) του Shriver Job Corps για τη βοήθειά του.

SafariViewController

Θα θέλαμε να ευχαριστήσουμε τον Yiğit Can YILMAZ (@yilmazcanyigit) για τη βοήθειά του.

WebKit

Θα θέλαμε να ευχαριστήσουμε τον Yiğit Can YILMAZ (@yilmazcanyigit), τον Zhihua Yao της DBAPPSecurity Zion Lab και έναν ανώνυμο ερευνητή για τη βοήθειά τους.

Η καταχώριση προστέθηκε στις 8 Οκτωβρίου 2019

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Υπάρχουν κίνδυνοι στη χρήση του Διαδικτύου. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες. Οι επωνυμίες άλλων εταιρειών και προϊόντων ενδέχεται να είναι εμπορικά σήματα των αντίστοιχων κατόχων τους.

Ημερομηνία δημοσίευσης: