Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 13
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 13.
Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
iOS 13
Bluetooth
Διατίθεται για: iPhone 6s και νεότερα μοντέλα
Αποτέλεσμα: Οι προεπισκοπήσεις γνωστοποιήσεων ενδέχεται να εμφανίζονται στα αξεσουάρ Bluetooth ακόμα και όταν είναι απενεργοποιημένες οι προεπισκοπήσεις
Περιγραφή: Υπήρχε ένα σφάλμα λογικής με την εμφάνιση των προεπισκοπήσεων γνωστοποιήσεων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2019-8711: Arjang της MARK ANTHONY GROUP INC., Cemil Ozkebapci (@cemilozkebapci) της Garanti BBVA, Oguzhan Meral της Deloitte Consulting, Ömer Bozdoğan του Ramazan Atıl Anadolu Lisesi Adana/TÜRKİYE
Ιστορικό κλήσεων
Διατίθεται για: iPhone 6s και νεότερα μοντέλα
Αποτέλεσμα: Οι κλήσεις που είχαν διαγραφεί παρέμεναν ορατές στη συσκευή
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαγραφή δεδομένων.
CVE-2019-8732: Mohamad El-Zein, Βερολίνο
CFNetwork
Διατίθεται για: iPhone 6s και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την εισβολή με διατοποθεσιακή εκτέλεση σεναρίων
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2019-8753: Łukasz Pilorz της Standard Chartered GBS Poland
CoreAudio
Διατίθεται για: iPhone 6s και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης ταινίας μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2019-8705: riusksk της VulWar Corp σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CoreAudio
Διατίθεται για: iPhone 6s και νεότερα μοντέλα
Αποτέλεσμα: Η αναπαραγωγή ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2019-8592: riusksk της VulWar Corp σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CoreCrypto
Διατίθεται για: iPhone 6s και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία μιας εισαγωγής μεγάλου μεγέθους μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2019-8741: Nicky Mouha της NIST
CoreMedia
Διατίθεται για: iPhone 6s και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2019-8825: Εντοπίστηκε από GWP-ASan στο Google Chrome
Face ID
Διατίθεται για: iPhone X και νεότερα μοντέλα
Αποτέλεσμα: Ένα μοντέλο 3D που έχει κατασκευαστεί ώστε να μοιάζει με τον εγγεγραμμένο χρήστη ενδέχεται να εκτελεί έλεγχο ταυτότητας μέσω Face ID
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτίωσης των μοντέλων μηχανικής εκμάθησης Face ID.
CVE-2019-8760: Wish Wu (吴潍浠 @wish_wu) του Ant-financial Light-Year Security Lab
Υποδομή
Διατίθεται για: iPhone 6s και νεότερα μοντέλα
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2019-8641: Samuel Groß και natashenka του Google Project Zero
CVE-2019-8746: natashenka και Samuel Groß του Google Project Zero
IOUSBDeviceFamily
Διατίθεται για: iPhone 6s και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8718: Joshua Hill και Sem Voigtländer
Πυρήνας
Διατίθεται για: iPhone 6s και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένα δικαιώματα.
CVE-2019-8703: ανώνυμος ερευνητής
Πυρήνας
Διατίθεται για: iPhone 6s και νεότερα μοντέλα
Αποτέλεσμα: Μια τοπική εφαρμογή μπορεί να έχει δυνατότητα ανάγνωσης ενός μόνιμου αναγνωριστικού λογαριασμού
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε με βελτιωμένη λογική.
CVE-2019-8809: Apple
Πυρήνας
Διατίθεται για: iPhone 6s και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
Πυρήνας
Διατίθεται για: iPhone 6s και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8712: Mohamed Ghannam (@_simo36)
Πυρήνας
Διατίθεται για: iPhone 6s και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα
Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης μνήμης κατά τον χειρισμό των πακέτων IPv6. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2019-8744: Zhuo Liang της ομάδας Qihoo 360 Vulcan
Πυρήνας
Διατίθεται για: iPhone 6s και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8717: Jann Horn του Google Project Zero
Πληκτρολόγια
Διατίθεται για: iPhone 6s και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες χρήστη
Περιγραφή: Ένα πρόβλημα ελέγχου ταυτότητας αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2019-8704: 王 邦 宇 (wAnyBug.Com) του SAINTSEC
libxml2
Διατίθεται για: iPhone 6s και νεότερα μοντέλα
Αποτέλεσμα: Πολλαπλά προβλήματα στο libxml2
Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένη επαλήθευση εισόδου.
CVE-2019-8749: εντοπίστηκε από OSS-Fuzz
CVE-2019-8756: εντοπίστηκε από OSS-Fuzz
Μηνύματα
Διατίθεται για: iPhone 6s και νεότερα μοντέλα
Αποτέλεσμα: Ένας χρήστης με φυσική πρόσβαση σε μια συσκευή iOS ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε επαφές από την οθόνη κλειδώματος
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με τον περιορισμό των επιλογών που διατίθενται σε κλειδωμένη συσκευή.
CVE-2019-8742: videosdebarraquito
Σημειώσεις
Διατίθεται για: iPhone 6s και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προβάλει τις κλειδωμένες σημειώσεις ενός χρήστη
Περιγραφή: Το περιεχόμενο των κλειδωμένων σημειώσεων ορισμένες φορές εμφανίζεται στα αποτελέσματα αναζήτησης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη εκκαθάριση δεδομένων.
CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) του Virginia Polytechnic Institute and State University
PluginKit
Διατίθεται για: iPhone 6s και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να ελέγξει αν υπάρχουν αυθαίρετα αρχεία
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.
CVE-2019-8708: ανώνυμος ερευνητής
PluginKit
Διατίθεται για: iPhone 6s και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8715: ανώνυμος ερευνητής
Άμεση προβολή
Διατίθεται για: iPhone 6s και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να αποκαλύψει πληροφορίες χρήστη
Περιγραφή: Υπήρχε ένα πρόβλημα δικαιωμάτων κατά το οποίο το δικαίωμα εκτέλεσης εκχωρήθηκε εσφαλμένα. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση δικαιωμάτων.
CVE-2019-8731: Saif Hamed Hamdan Al Hinai του Oman National CERT, Yiğit Can YILMAZ (@yilmazcanyigit)
Safari
Διατίθεται για: iPhone 6s και νεότερα μοντέλα
Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση της γραμμής διευθύνσεων
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2019-8727: Divyanshu Shukla (@justm0rph3u5)
UIFoundation
Διατίθεται για: iPhone 6s και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου κειμένου μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με τη βελτίωση του ελέγχου ορίων.
CVE-2019-8745: riusksk της VulWar Corp σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
WebKit
Διατίθεται για: iPhone 6s και νεότερα μοντέλα
Αποτέλεσμα: Το κακόβουλο περιεχόμενο ιστού ενδέχεται να παραβιάζει την πολιτική sandbox iframe
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επιβολή sandbox iframe.
CVE-2019-8771: Eliya Stein της Confiant
WebKit
Διατίθεται για: iPhone 6s και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2019-8625: Sergei Glazunov του Google Project Zero
CVE-2019-8719: Sergei Glazunov του Google Project Zero
CVE-2019-8764: Sergei Glazunov του Google Project Zero
WebKit
Διατίθεται για: iPhone 6s και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8707: ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro, cc σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2019-8726: Jihui Lu του Tencent KeenLab
CVE-2019-8728: Junho Jang της LINE Security Team και Hanul Choi της ABLY Corporation
CVE-2019-8733: Sergei Glazunov του Google Project Zero
CVE-2019-8734: εντοπίστηκε από OSS-Fuzz
CVE-2019-8735: G. Geshev σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
WebKit
Διατίθεται για: iPhone 6s και νεότερα μοντέλα
Αποτέλεσμα: Ένας χρήστης μπορεί να μην έχει τη δυνατότητα να διαγράψει στοιχεία από το ιστορικό αναζήτησης
Περιγραφή: Η επιλογή «Εκκαθάριση ιστορικού και δεδομένων» δεν διέγραφε πλήρως το ιστορικό. Το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαγραφής δεδομένων.
CVE-2019-8768: Hugo S. Diaz (coldpointblue)
Φόρτωση σελίδων WebKit
Διατίθεται για: iPhone 6s και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2019-8674: Sergei Glazunov του Google Project Zero
Wi-Fi
Διατίθεται για: iPhone 6s και νεότερα μοντέλα
Αποτέλεσμα: Μπορεί να γίνει παθητική παρακολούθηση μιας συσκευής από τη διεύθυνση MAC του Wi-Fi της
Περιγραφή: Ένα πρόβλημα απορρήτου χρήστη αντιμετωπίστηκε με αφαίρεση της διεύθυνσης MAC μετάδοσης.
CVE-2019-8854: Ta-Lun Yen της UCCU Hacker, FuriousMacTeam της United States Naval Academy και Mitre Corporation
Επιπλέον αναγνώριση
AppleRTC
Θα θέλαμε να ευχαριστήσουμε τον Vitaly Cheptsov για τη βοήθειά του.
Ήχος
Θα θέλαμε να ευχαριστήσουμε τον χρήστη riusksk της VulWar Corp, που συνεργάστηκε με το πρόγραμμα Zero Day Initiative της Trend Micro, για τη βοήθειά του.
Bluetooth
Θα θέλαμε να ευχαριστήσουμε τους Jan Ruge του TU Darmstadt, Secure Mobile Networking Lab, Jiska Classen του TU Darmstadt, Secure Mobile Networking Lab, Francesco Gringoli του University of Brescia, Dennis Heinze του TU Darmstadt, Secure Mobile Networking Lab για τη βοήθειά τους.
boringssl
Θα θέλαμε να ευχαριστήσουμε τον Thijs Alkemade (@xnyhps) της Computest για τη βοήθειά του.
Κέντρο ελέγχου
Θα θέλαμε να ευχαριστήσουμε τον Brandon Sellers για τη βοήθειά του.
HomeKit
Θα θέλαμε να ευχαριστήσουμε τον Tian Zhang για τη βοήθειά του.
Πυρήνας
Θα θέλαμε να ευχαριστήσουμε τον Brandon Azad του Google Project Zero για τη βοήθειά του.
Πληκτρολόγιο
Θα θέλαμε να ευχαριστήσουμε τη Sara Haradhvala της Harlen Web Consulting και έναν ανώνυμο ερευνητή για τη βοήθειά τους.
Θα θέλαμε να ευχαριστήσουμε τον Kenneth Hyndycz για τη βοήθειά του.
mDNSResponder
Θα θέλαμε να ευχαριστήσουμε τον Gregor Lang της e.solutions GmbH για τη βοήθειά του.
Προφίλ
Θα θέλαμε να ευχαριστήσουμε τους Erik Johnson του Vernon Hills High School, James Seeley (@Code4iOS) της Shriver Job Corps, James Seeley (@Code4iOS) της Shriver Job Corps για τη βοήθειά τους.
SafariViewController
Θα θέλαμε να ευχαριστήσουμε τον Yiğit Can YILMAZ (@yilmazcanyigit) για τη βοήθειά του.
VPN
Θα θέλαμε να ευχαριστήσουμε τον Royce Gawron της Second Son Consulting, Inc. για τη βοήθειά του.
WebKit
Θα θέλαμε να ευχαριστήσουμε τους MinJeong Kim του Information Security Lab του Chungnam National University, JaeCheol Ryou του Information Security Lab του Chungnam National University στη Νότια Κορέα, Yiğit Can YILMAZ (@yilmazcanyigit), Zhihua Yao του DBAPPSecurity Zion Lab, έναν ανώνυμο ερευνητή, cc σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro για τη βοήθειά τους.
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.