Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 13.2 και του iPadOS 13.2

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 13.2 και του iPadOS 13.2.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

iOS 13.2 και iPadOS 13.2

Κυκλοφόρησε στις 28 Οκτωβρίου 2019

Λογαριασμοί

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να διαρρεύσει μνήμη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8787: Steffen Klee του Secure Mobile Networking Lab στο Technische Universität Darmstadt

App Store

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να συνδεθεί στον λογαριασμό ενός χρήστη που είχε συνδεθεί προηγουμένως χωρίς έγκυρα διαπιστευτήρια.

Περιγραφή: Ένα πρόβλημα ελέγχου ταυτότητας αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

Συσχετισμένοι τομείς

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς

Αποτέλεσμα: Η ακατάλληλη επεξεργασία URL ενδέχεται να οδηγήσει σε εξαγωγή δεδομένων

Περιγραφή: Υπήρχε ένα πρόβλημα στην ανάλυση διευθύνσεων URL. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8788: Juha Lindstedt του Pakastin, Mirko Tanania, Rauli Rikama της Zero Keyboard Ltd

Ήχος

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8785: Ian Beer του Google Project Zero

CVE-2019-8797: 08Tc3wBB σε συνεργασία με την SSD Secure Disclosure

AVEVideoEncoder

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8795: 08Tc3wBB σε συνεργασία με την SSD Secure Disclosure

Βιβλία

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς

Αποτέλεσμα: Η ανάλυση ενός κακόβουλου αρχείου iBooks ενδέχεται να οδηγήσει σε αποκάλυψη των πληροφοριών του χρήστη

Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό symlinks. Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επαλήθευση symlinks.

CVE-2019-8789: Gertjan Franken από την ομάδα imec-DistriNet του KU Leuven

Επαφές

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης επαφής μπορεί να προκαλέσει πλαστογράφηση του περιβάλλοντος χρήστη

Περιγραφή: Ένα πρόβλημα μη συνεπούς περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2017-7152: Oliver Paukstadt της Thinking Objects GmbH (to.com)

Συμβάντα συστήματος αρχείων

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8798: ABC Research s.r.o. σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Πρόγραμμα οδήγησης γραφικών

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8784: Vasiliy Vasilyev και Ilya Finogeev της Webinar, LLC

Πυρήνας

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2019-8794: 08Tc3wBB σε συνεργασία με την SSD Secure Disclosure

Πυρήνας

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8786: ανώνυμος ερευνητής

Βοηθός διαμόρφωσης

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς

Αποτέλεσμα: Ένας εισβολέας που βρίσκεται σε κοντινή απόσταση μπορεί να έχει τη δυνατότητα να εξαναγκάσει έναν χρήστη να συνδεθεί σε ένα κακόβουλο δίκτυο Wi-Fi κατά τη διάρκεια διαμόρφωσης συσκευής

Περιγραφή: Αντιμετωπίστηκε μια ασυνέπεια στις ρυθμίσεις διαμόρφωσης δικτύου Wi-Fi.

CVE-2019-8804: Christy Philip Mathew της Zimperium, Inc

Εγγραφή οθόνης

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να πραγματοποιεί εγγραφή της οθόνης χωρίς ορατή ένδειξη εγγραφής οθόνης

Περιγραφή: Υπήρξε ένα πρόβλημα συνέπειας κατά τον καθορισμό της εμφάνισης της ένδειξης εγγραφής οθόνης. Το πρόβλημα επιλύθηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2019-8793: Ryan Jenkins του Lake Forrest Prep School

WebKit

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2019-8813: ανώνυμος ερευνητής

WebKit

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8782: Cheolung Lee από την ομάδα LINE+ Security Team

CVE-2019-8783: Cheolung Lee από την ομάδα LINE+ Graylab Security Team

CVE-2019-8808: εντοπίστηκε από το OSS-Fuzz

CVE-2019-8811: Soyeon Park του SSLab στο Georgia Tech

CVE-2019-8812: ανώνυμος ερευνητής

CVE-2019-8814: Cheolung Lee από την ομάδα LINE+ Security Team

CVE-2019-8816: Soyeon Park του SSLab στο Georgia Tech

CVE-2019-8819: Cheolung Lee από την ομάδα LINE+ Security Team

CVE-2019-8820: Samuel Groß του Google Project Zero

CVE-2019-8821: Sergei Glazunov του Google Project Zero

CVE-2019-8822: Sergei Glazunov του Google Project Zero

CVE-2019-8823: Sergei Glazunov του Google Project Zero

Μοντέλο διεργασίας WebKit

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8815: Apple

Επιπλέον αναγνώριση

CFNetwork

Θα θέλαμε να ευχαριστήσουμε τον Lily Chen της Google για τη βοήθειά του.

Πυρήνας

Θα θέλαμε να ευχαριστήσουμε τον Jann Horn του Google Project Zero για τη βοήθειά του.

WebKit

Θα θέλαμε να ευχαριστήσουμε τους Dlive από το Xuanwu Lab της Tencent και Zhiyi Zhang από την ομάδα Codesafe της Legendsec στην Qi'anxin Group για τη βοήθειά τους.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Υπάρχουν κίνδυνοι στη χρήση του Διαδικτύου. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες. Οι επωνυμίες άλλων εταιρειών και προϊόντων ενδέχεται να είναι εμπορικά σήματα των αντίστοιχων κατόχων τους.

Ημερομηνία δημοσίευσης: