Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 14.2 και του iPadOS 14.2

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 14.2 και του iPadOS 14.2.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

iOS 14.2 και iPadOS 14.2

Κυκλοφόρησε στις 5 Νοεμβρίου 2020

Audio

Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-27910: JunDong Xie και XingWei Lin του Ant Security Light-Year Lab

Audio

Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-27916: JunDong Xie της Ant Security Light-Year Lab

CallKit

Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα

Αποτέλεσμα: Ένας χρήστης μπορεί να απαντήσει σε δύο κλήσεις ταυτόχρονα χωρίς ένδειξη ότι απάντησε σε δεύτερη κλήση

Περιγραφή: Υπήρχε ένα πρόβλημα στον χειρισμό των εισερχόμενων κλήσεων. Το θέμα αντιμετωπίστηκε με πρόσθετους ελέγχους κατάστασης.

CVE-2020-27925: Nick Tangri

CoreAudio

Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-10017: Francis που συνεργάζεται με το πρόγραμμα Zero Day Initiative της Trend Micro, JunDong Xie της Ant Security Light-Year Lab

CoreAudio

Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch 7ης γενιάς, iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-27908: ανώνυμος που συνεργάζεται με το πρόγραμμα Zero Day Initiative της Trend Micro, JunDong Xie και XingWei Lin του Ant Security Light-Year Lab

CVE-2020-27909: ανώνυμος που συνεργάζεται με το πρόγραμμα Zero Day Initiative της Trend Micro, JunDong Xie και Xingwei Lin του Ant Security Light-Year Lab

Η καταχώριση ενημερώθηκε στις 16 Μαρτίου 2021

CoreGraphics

Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλων αρχείων PDF μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-9897: S.Y. της ZecOps Mobile XDR, ένας ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 25 Οκτωβρίου 2021

CoreText

Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch 7ης γενιάς, iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2020-27922: Mickey Jin της Trend Micro

Η καταχώριση προστέθηκε στις 16 Μαρτίου 2021

Crash Reporter

Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προβιβάσει τα προνόμιά του

Περιγραφή: Υπήρχε πρόβλημα στη λογική επικύρωσης διαδρομών για τους συμβολικούς συνδέσμους. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη εξυγίανση διαδρομών.

CVE-2020-10003: Tim Michaud (@TimGMichaud) της Leviathan

FontParser

Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία μια κακόβουλης γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Η Apple έχει λάβει υπόψη της τις αναφορές ότι αυτό το πρόβλημα έχει γίνει αντικείμενο εκμετάλλευσης εκεί έξω.

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-27930: Google Project Zero

FontParser

Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-27927: Xingwei Lin της Ant Security Light-Year Lab

Foundation

Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να εκτελέσει ανάγνωση αυθαίρετων αρχείων

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2020-10002: James Hutchins

ImageIO

Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch 7ης γενιάς, iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-27924: Lei Sun

Η καταχώριση προστέθηκε στις 16 Μαρτίου 2021

ImageIO

Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch 7ης γενιάς, iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-27912: Xingwei Lin της Ant Security Light-Year Lab

CVE-2020-27923: Lei Sun

Η καταχώριση ενημερώθηκε στις 16 Μαρτίου 2021

IOAcceleratorFamily

Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2020-27905: Mohamed Ghannam (@_simo36)

Kernel

Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκαλύψει τη μνήμη πυρήνα. Η Apple έχει λάβει υπόψη της τις αναφορές ότι αυτό το πρόβλημα έχει γίνει αντικείμενο εκμετάλλευσης εκεί έξω.

Περιγραφή: Ένα πρόβλημα εκκίνησης μνήμης αντιμετωπίστηκε.

CVE-2020-27950: Google Project Zero

Kernel

Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2020-9974: Tommy Muir (@Muirey03)

Kernel

Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2020-10016: Alex Helie

Kernel

Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα. Η Apple έχει λάβει υπόψη της τις αναφορές ότι αυτό το πρόβλημα έχει γίνει αντικείμενο εκμετάλλευσης εκεί έξω.

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό κατάστασης.

CVE-2020-27932: Google Project Zero

Keyboard

Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα

Αποτέλεσμα: Ένας χρήστης με φυσική πρόσβαση σε μια συσκευή iOS ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε αποθηκευμένους κωδικούς πρόσβασης χωρίς έλεγχο ταυτότητας

Περιγραφή: Ένα πρόβλημα ελέγχου ταυτότητας αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2020-27902: Connor Ford (@connorford2)

libxml2

Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch 7ης γενιάς, iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2020-27917: εντοπίστηκε από OSS-Fuzz

CVE-2020-27920: εντοπίστηκε από το OSS-Fuzz

Η καταχώριση ενημερώθηκε στις 16 Μαρτίου 2021

libxml2

Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2020-27911: εντοπίστηκε από OSS-Fuzz

libxml2

Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2020-27926: εντοπίστηκε από το OSS-Fuzz

Logging

Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προβιβάσει τα προνόμιά του

Περιγραφή: Ένα πρόβλημα χειρισμού διαδρομής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2020-10010: Tommy Muir (@Muirey03)

Model I/O

Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα

Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2020-10004: Aleksandar Nikolic του Cisco Talos

Model I/O

Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-13524: Aleksandar Nikolic του Cisco Talos

Model I/O

Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-10011: Aleksandar Nikolic της Cisco Talos

Symptom Framework

Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προβιβάσει τα προνόμιά του

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2020-27899: 08Tc3wBB σε συνεργασία με τη ZecOps

Η καταχώριση προστέθηκε στις 15 Δεκεμβρίου 2020

WebKit

Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch 7ης γενιάς, iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2020-27918: Liu Long του Ant Security Light-Year Lab

Η καταχώριση ενημερώθηκε στις 16 Μαρτίου 2021

XNU

Διατίθεται για: iPhone 6s και νεότερα μοντέλα, iPod touch (7ης γενιάς), iPad Air 2 και νεότερα μοντέλα και iPad mini 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια διεργασία sandbox μπορεί να αποκτήσει τη δυνατότητα να παρακάμψει τους περιορισμούς του sandbox

Περιγραφή: Πολλά προβλήματα αντιμετωπίστηκαν με βελτιωμένη λογική.

CVE-2020-27935: Lior Halphon (@LIJI32)

Η καταχώριση προστέθηκε στις 15 Δεκεμβρίου 2020

Επιπλέον αναγνώριση

NetworkExtension

Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 15 Δεκεμβρίου 2020

Safari

Θα θέλαμε να ευχαριστήσουμε τον Gabriel Corona για τη βοήθειά του.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: