Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 14.3 και του iPadOS 14.3

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 14.3 και του iPadOS 14.3.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

iOS 14.3 και iPadOS 14.3

Κυκλοφόρησε στις 14 Δεκεμβρίου 2020

App Store

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch (7ης γενιάς)

Αποτέλεσμα: Μια προτροπή εγκατάστασης εταιρικής εφαρμογής μπορεί να εμφανίζει λανθασμένο τομέα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2020-29613: Ryan Pickren (ryanpickren.com)

Ήχος

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch (7ης γενιάς)

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να αποκαλύψει περιορισμένη μνήμη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-29610: ανώνυμος σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 16 Μαρτίου 2021

CoreAudio

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch (7ης γενιάς)

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-27948: JunDong Xie του Ant Security Light-Year Lab

FontParser

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch (7ης γενιάς)

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να διαρρεύσει μνήμη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-29608: Xingwei Lin της Ant Security Light-Year Lab

Η καταχώριση προστέθηκε στις 16 Μαρτίου 2021

FontParser

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch (7ης γενιάς)

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης γραμματοσειράς μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα αποκάλυψης πληροφοριών αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2020-27946: Mateusz Jurczyk του Google Project Zero

FontParser

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch (7ης γενιάς)

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης μνήμης στην επεξεργασία αρχείων γραμματοσειρών. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-27943: Mateusz Jurczyk του Google Project Zero

CVE-2020-27944: Mateusz Jurczyk του Google Project Zero

CVE-2020-29624: Mateusz Jurczyk του Google Project Zero

Η καταχώριση ενημερώθηκε στις 22 Δεκεμβρίου 2020

ImageIO

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch (7ης γενιάς)

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-29615: Xingwei Lin της Ant Security Light-Year Lab

Η καταχώριση προστέθηκε στις 16 Μαρτίου 2021

ImageIO

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch (7ης γενιάς)

Αποτέλεσμα: Η επεξεργασία μιας εικόνας με κακόβουλη δομή μπορεί να προκαλέσει αλλοίωση σωρού

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-29617: Xingwei Lin του Ant Security Light-Year Lab

CVE-2020-29619: Xingwei Lin του Ant Security Light-Year Lab

Η καταχώριση ενημερώθηκε στις 16 Μαρτίου 2021

ImageIO

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch (7ης γενιάς)

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-29618: Xingwei Lin της Ant Security Light-Year Lab

Η καταχώριση ενημερώθηκε στις 16 Μαρτίου 2021

ImageIO

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch (7ης γενιάς)

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-29611: Alexandru-Vlad Niculae σε συνεργασία με το Google Project Zero

Η καταχώριση ενημερώθηκε στις 17 Δεκεμβρίου 2020

Μοντέλο I/O

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch (7ης γενιάς)

Αποτέλεσμα: Η επεξεργασία ενός αρχείου με κακόβουλη δομή μπορεί να προκαλέσει αλλοίωση σωρού

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2020-29614: ZhiWei Sun(@5n1p3r0010) από το Topsec Alpha Lab

Η καταχώριση προστέθηκε στις 16 Μαρτίου 2021

Μοντέλο I/O

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch (7ης γενιάς)

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου USD μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-9972: Aleksandar Nikolic της Cisco Talos

Η καταχώριση προστέθηκε στις 16 Μαρτίου 2021

Ασφάλεια

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch (7ης γενιάς)

Αποτέλεσμα: Η μη εξουσιοδοτημένη εκτέλεση κώδικα ενδέχεται να προκαλέσει παραβίαση πολιτικής ελέγχου ταυτότητας

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2020-27951: Apple

Χώρος αποθήκευσης WebKit

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch (7ης γενιάς)

Αποτέλεσμα: Ένας χρήστης μπορεί να μην έχει τη δυνατότητα να διαγράψει πλήρως το ιστορικό αναζήτησης

Περιγραφή: Η επιλογή «Απαλοιφή ιστορικού και δεδομένων» δεν διέγραφε το ιστορικό. Το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαγραφής δεδομένων.

CVE-2020-29623: Simon Hunt της OvalTwo LTD

Η καταχώριση προστέθηκε στις 16 Μαρτίου 2021

WebRTC

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch (7ης γενιάς)

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2020-15969: ένας ανώνυμος ερευνητής

 

Επιπλέον αναγνώριση

CoreAudio

Θα θέλαμε να ευχαριστήσουμε τους JunDong Xie και Xingwei Lin του Ant Security Light-Year Lab για τη βοήθειά τους.

Η καταχώριση προστέθηκε στις 16 Μαρτίου 2021

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: