Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 14.5 και του iPadOS 14.5

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 14.5 και του iPadOS 14.5.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

iOS 14.5 και iPadOS 14.5

Κυκλοφόρησε στις 26 Απριλίου 2021

Accessibility

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 2 και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch (7ης γενιάς)

Αποτέλεσμα: Ένας χρήστης με φυσική πρόσβαση σε μια συσκευή iOS ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε σημειώσεις από την οθόνη κλειδώματος

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-1835: videosdebarraquito

App Store

Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου ενδέχεται να μπορεί να τροποποιήσει την κίνηση δικτύου

Περιγραφή: Αντιμετωπίστηκε ένα πρόβλημα επικύρωσης πιστοποιητικού.

CVE-2021-1837: Aapo Oksman της Nixu Cybersecurity

Apple Neural Engine

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (3ης γενιάς) και νεότερα μοντέλα και iPad Air (3ης γενιάς) και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-1867: Zuozhi Fan (@pattern_F_) και Wish Wu (吴潍浠) του Ant Group Tianqiong Security Lab

AppleMobileFileIntegrity

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις απορρήτου

Περιγραφή: Ένα πρόβλημα με την επικύρωση υπογραφής κώδικα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-1849: Siguza

Assets

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να δημιουργήσει ή να τροποποιήσει αρχεία με προνόμια

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2021-1836: ανώνυμος ερευνητής

Audio

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2021-1808: JunDong Xie του Ant Security Light-Year Lab

Audio

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-30742: Mickey Jin της Trend Micro σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 21 Ιουλίου 2021

CFNetwork

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να αποκαλύψει ευαίσθητες πληροφορίες χρήστη

Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-1857: ανώνυμος ερευνητής

Compression

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-30752: Ye Zhang (@co0py_Cat) της Baidu Security

Η καταχώριση προστέθηκε στις 28 Μαΐου 2021

CoreAudio

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-30664: JunDong Xie του Ant Security Light-Year Lab

Η καταχώριση προστέθηκε στις 28 Μαΐου 2021

CoreAudio

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-30664: JunDong Xie του Ant Security Light-Year Lab

Η καταχώριση προστέθηκε στις 6 Μαΐου 2021

CoreAudio

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να αποκαλύψει περιορισμένη μνήμη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-1846: JunDong Xie του Ant Security Light-Year Lab

CoreAudio

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση της περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2021-1809: JunDong Xie του Ant Security Light-Year Lab

CoreFoundation

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες του χρήστη

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε με βελτιωμένη λογική.

CVE-2021-30659: Thijs Alkemade της Computest

Core Motion

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2021-1812: Siddharth Aeri (@b1n4r1b01)

Η καταχώριση προστέθηκε στις 28 Μαΐου 2021

CoreText

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης γραμματοσειράς μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-1811: Xingwei Lin του Ant Security Light-Year Lab

FaceTime

Αποτέλεσμα: Η σίγαση μιας κλήσης CallKit ενώ χτυπά ενδέχεται να μην έχει ως αποτέλεσμα την ενεργοποίηση της σίγασης

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-1872: Siraj Zaneer του Facebook

FontParser

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-1881: ανώνυμος ερευνητής, Xingwei Lin του Ant Security Light-Year Lab, Mickey Jin της Trend Micro και Hou JingYi (@hjy79425575) της Qihoo 360

Foundation

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)

Foundation

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε με βελτιωμένη λογική.

CVE-2021-1813: Cees Elzinga

GPU Drivers

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με βελτιωμένη διαχείριση της μνήμης.

CVE-2021-30656: Justin Sherman του University of Maryland, Baltimore County

Heimdal

Αποτέλεσμα: Η επεξεργασία κακόβουλων μηνυμάτων διακομιστή μπορεί να προκαλέσει αλλοίωση σωρού

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)

Heimdal

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)

ImageIO

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-30743: CFF της Topsec Alpha Team, Ye Zhang (@co0py_Cat) της Baidu Security και Jeonghoon Shin (@singi21a) της THEORI σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 28 Μαΐου 2021

ImageIO

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-1885: CFF της Topsec Alpha Team

ImageIO

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30653: Ye Zhang της Baidu Security

CVE-2021-1843: Ye Zhang της Baidu Security

ImageIO

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-1858: Mickey Jin της Trend Micro

ImageIO

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-30764: Ανώνυμος σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro

CVE-2021-30662: Ανώνυμος σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro, Jzhu σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 21 Ιουλίου 2021

iTunes Store

Αποτέλεσμα: Ένας εισβολέας με εκτέλεση JavaScript ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2021-1864: CodeColorist του Ant-Financial LightYear Labs

Kernel

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορέσει να διαβάσει τα περιεχόμενα της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-1877: Zuozhi Fan (@pattern_F_) του Ant Group Tianqiong Security Lab

CVE-2021-1852: Zuozhi Fan (@pattern_F_) του Ant Group Tianqiong Security Lab

CVE-2021-1830: Tielei Wang του Pangu Lab

Kernel

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-1874: Zuozhi Fan (@pattern_F_) του Ant Group Tianqiong Security Lab

CVE-2021-1851: @0xalsr

Kernel

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκαλύψει τη μνήμη πυρήνα

Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-1860: @0xalsr

Kernel

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με τη βελτίωση του ελέγχου ορίων.

CVE-2021-1816: Tielei Wang του Pangu Lab

Kernel

Αποτέλεσμα: Τα αντιγραμμένα αρχεία ενδέχεται να μην έχουν τα αναμενόμενα δικαιώματα αρχείων

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένη λογική δικαιωμάτων.

CVE-2021-1832: ανώνυμος ερευνητής

Kernel

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκαλύψει τη μνήμη πυρήνα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-30660: Alex Plaskett

libxpc

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.

CVE-2021-30652: James Hutchins

libxslt

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να προκαλέσει αλλοίωση σωρού

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «double free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2021-1875: Εντοπίστηκε από το OSS-Fuzz

MobileAccessoryUpdater

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-1833: Cees Elzinga

Η καταχώριση προστέθηκε στις 28 Μαΐου 2021

MobileInstallation

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να τροποποιεί προστατευμένα τμήματα του συστήματος αρχείων

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2021-1822: Bruno Virlet της The Grizzly Labs

Password Manager

Αποτέλεσμα: Το συνθηματικό ενός χρήστη ενδέχεται να είναι ορατό στην οθόνη

Περιγραφή: Ένα πρόβλημα απόκρυψης συνθηματικών σε στιγμιότυπα οθόνης αντιμετωπίστηκε με βελτιωμένη λογική.

CVE-2021-1865: Shibin B Shaji της UST

Preferences

Περιγραφή: Ένα πρόβλημα με τον χειρισμό διαδρομών καταλόγων αντιμετωπίστηκε με βελτίωση της επικύρωσης διαδρομών.

CVE-2021-1815: Zhipeng Huo (@R3dF09) και Yuebin Sun (@yuebinsun2020) του Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1739: Zhipeng Huo (@R3dF09) και Yuebin Sun (@yuebinsun2020) του Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1740: Zhipeng Huo (@R3dF09) και Yuebin Sun (@yuebinsun2020) του Tencent Security Xuanwu Lab (xlab.tencent.com)

Quick Response

Αποτέλεσμα: Ένα άτομο με φυσική πρόσβαση σε μια συσκευή iOS ενδέχεται να μπορεί να πραγματοποιήσει τηλεφωνικές κλήσεις σε οποιονδήποτε αριθμό τηλεφώνου

Περιγραφή: Υπήρχε πρόβλημα με τον έλεγχο ταυτότητας της ενέργειας που ενεργοποιείται από μια ετικέτα NFC. Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο έλεγχο ταυτότητας ενεργειών.

CVE-2021-1863: REFHAN OZGORUR

Η καταχώριση προστέθηκε στις 28 Μαΐου 2021

Safari

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να εγγράφει αυθαίρετα αρχεία

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2021-1807: David Schütz (@xdavidhu)

Shortcuts

Αποτέλεσμα: Μια εφαρμογή μπορεί να επιτρέπει συντομεύσεις για πρόσβαση σε περιορισμένα αρχεία

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένη λογική δικαιωμάτων.

CVE-2021-1831: Bouke van der Bijl

Siri

Αποτέλεσμα: Ένα πρόβλημα με την πρόσβαση της αναζήτησης Siri σε πληροφορίες αντιμετωπίστηκε με βελτιωμένη λογική

Περιγραφή: Ένα άτομο με φυσική πρόσβαση ενδέχεται να μπορεί να αποκτήσει πρόσβαση τις επαφές.

CVE-2021-1862: Anshraj Srivastava (@AnshrajSrivas14) της UKEF

Η καταχώριση προστέθηκε στις 6 Μαΐου 2021 και ενημερώθηκε στις 21 Ιουλίου 2021

Tailspin

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προβιβάσει τα προνόμιά του

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-1868: Tim Michaud της Zoom Communications

TCC

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες του χρήστη

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε με βελτιωμένη λογική.

CVE-2021-30659: Thijs Alkemade της Computest

Η καταχώριση προστέθηκε στις 28 Μαΐου 2021

Telephony

Αποτέλεσμα: Ένα κινητό δίκτυο παλαιάς τεχνολογίας μπορεί να απαντά αυτόματα μια εισερχόμενη κλήση όταν μια κλήση σε εξέλιξη τερματιστεί ή κλείσει.

Περιγραφή: Ένα πρόβλημα τερματισμού κλήσεων αντιμετωπίστηκε με βελτιωμένη λογική.

CVE-2021-1854: Steven Thorne της Cspire

UIKit

Αποτέλεσμα: Το συνθηματικό ενός χρήστη ενδέχεται να είναι ορατό στην οθόνη

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-30921: Maximilian Blochberger από το Security in Distributed Systems Group του University of Hamburg

Η καταχώριση προστέθηκε στις 19 Ιανουαρίου 2022

Wallet

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να προβάλει ευαίσθητες πληροφορίες στην εναλλαγή εφαρμογών

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό περιβάλλοντος χρήστη.

CVE-2021-1848: Bradley D’Amato της ActionIQ

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την εισβολή με διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Ένα πρόβλημα επαλήθευσης εισαγωγής αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-1825: Alex Camboe της Aon’s Cyber Solutions

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-1817: zhunki

Η καταχώριση ενημερώθηκε στις 6 Μαΐου 2021

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2021-1826: ανώνυμος ερευνητής

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλα δομημένου περιεχομένου ιστού ενδεχομένως να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-1820: André Bargull

Η καταχώριση ενημερώθηκε στις 6 Μαΐου 2021

WebKit Storage

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Η Apple έχει λάβει υπόψη της μια αναφορά ότι αυτό το πρόβλημα ενδέχεται να προκαλεί ενεργή εκμετάλλευση ευπάθειας.

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2021-30661: yangkang (@dnpushme) της 360 ATA

WebRTC

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να καταστρέψει τη μνήμη πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2020-7463: Megan2013678

Wi-Fi

Αποτέλεσμα: Ένα πρόβλημα υπερχείλισης buffer μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-1770: Jiska Classen (@naehrdine) του Secure Mobile Networking Lab, TU Darmstadt

Η καταχώριση προστέθηκε στις 28 Μαΐου 2021

Επιπλέον αναγνώριση

Accounts Framework

Θα θέλαμε να ευχαριστήσουμε τον Ellougani Mohamed της Dr.Phones Recycle Inc. για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 6 Μαΐου 2021

AirDrop

Θα θέλαμε να ευχαριστήσουμε τον @maxzks για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 6 Μαΐου 2021

Assets

Θα θέλαμε να ευχαριστήσουμε τον Cees Elzinga για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 6 Μαΐου 2021

CoreAudio

Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 6 Μαΐου 2021

CoreCrypto

Θα θέλαμε να ευχαριστήσουμε τον Andy Russon της Orange Group για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 6 Μαΐου 2021

File Bookmark

Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 6 Μαΐου 2021

Files

Θα θέλαμε να ευχαριστήσουμε τον Omar Espino (omespino.com) για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 25 Μαΐου 2022

Foundation

Θα θέλαμε να ευχαριστήσουμε τον CodeColorist του Ant-Financial LightYear Labs για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 6 Μαΐου 2021

Kernel

Θα θέλαμε να ευχαριστήσουμε τους Antonio Frighetto του Politecnico di Milano, GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä (@Turmio_) της SensorFu, Proteas, Tielei Wang του Pangu Lab και Zuozhi Fan (@pattern_F_) του Ant Group Tianqiong Security Lab για τη βοήθειά τους.

Η καταχώριση προστέθηκε στις 6 Μαΐου 2021

Mail

Θα θέλαμε να ευχαριστήσουμε τους Lauritz Holtmann (@_lauritz_), Muhammed Korany (facebook.com/MohamedMoustafa4) και Yiğit Can YILMAZ (@yilmazcanyigit) για τη βοήθειά τους.

Η καταχώριση προστέθηκε στις 6 Μαΐου 2021

NetworkExtension

Θα θέλαμε να ευχαριστήσουμε τον Fabian Hartmann για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 6 Μαΐου 2021

Safari Private Browsing

Θα θέλαμε να ευχαριστήσουμε τους Dor Kahana και Griddaluru Veera Pranay Naidu για τη βοήθειά τους.

Η καταχώριση προστέθηκε στις 6 Μαΐου 2021

Security

Θα θέλαμε να ευχαριστήσουμε τους Xingwei Lin του Ant Security Light-Year Lab και john (@nyan_satan) για τη βοήθειά τους.

Η καταχώριση προστέθηκε στις 6 Μαΐου 2021

sysdiagnose

Θα θέλαμε να ευχαριστήσουμε τον Tim Michaud (@TimGMichaud) της Leviathan για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 6 Μαΐου 2021

WebKit

Θα θέλαμε να ευχαριστήσουμε τον Emilio Cobos Álvarez της Mozilla για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 6 Μαΐου 2021

WebSheet

Θα θέλαμε να ευχαριστήσουμε τον Patrick Clover για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 6 Μαΐου 2021

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: 01 Ιουνίου 2022