Teave iOS 13.2 ja iPadOS 13.2 turbesisu kohta
Selles dokumendis kirjeldatakse operatsioonisüsteemide iOS 13.2 ja iPadOS 13.2 turbesisu.
Teave Apple’i turbevärskenduste kohta
Selleks et kaitsta oma kliente, ei avalda, aruta ega kinnita Apple turbeprobleeme enne, kui uurimine on toimunud ja paigad või väljaanded saadaval. Viimased väljaanded on loetletud Apple’i turbevärskenduste lehel.
Võimaluse korral viidatakse Apple’i turvadokumentides aadressil CVE-ID toodud turvaaukudele.
Lisateavet turvalisuse kohta leiate lehelt Apple’i toodete turvalisus.
iOS 13.2 ja iPadOS 13.2
Kontod
Saadaval: iPhone 6s ja uuema versiooni, iPad Air 2 ja uuema versiooni, iPad mini 4 ja uuema versiooni ning iPod touchi 7. põlvkonna jaoks
Mõju: kaugründaja võib lekitada mälu
Kirjeldus: piire ületavate andmete probleem lahendati sisendi valideerimise parandamisega.
CVE-2019-8787: Steffen Klee, Secure Mobile Networking Lab (Technische Universität Darmstadt)
AirDrop
Saadaval: iPhone 6s ja uuema versiooni, iPad Air 2 ja uuema versiooni, iPad mini 4 ja uuema versiooni ning iPod touchi 7. põlvkonna jaoks
Mõju: režiimis Everyone (Igaüks) võidakse AirDropi ülekandeid ootamatult aktsepteerida
Kirjeldus: loogikaprobleem lahendati valideerimise parandamisega.
CVE-2019-8796: Allison Husain, UC Berkeley
App Store
Saadaval: iPhone 6s ja uuema versiooni, iPad Air 2 ja uuema versiooni, iPad mini 4 ja uuema versiooni ning iPod touchi 7. põlvkonna jaoks
Mõju: kohalik ründaja võib olla võimeline varem sisse loginud kasutaja kontole kehtivate mandaatideta sisse logima.
Kirjeldus: autentimisprobleem lahendati olekuhalduse parandamisega.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
Seotud domeenid
Saadaval: iPhone 6s ja uuema versiooni, iPad Air 2 ja uuema versiooni, iPad mini 4 ja uuema versiooni ning iPod touchi 7. põlvkonna jaoks
Mõju: URL-i ebaõige töötlemine võib põhjustada andmete ekstraheerimist
Kirjeldus: esines probleem URL-ide parsimisega. Probleem lahendati sisestuse valideerimise parandamisega.
CVE-2019-8788: Juha Lindstedt (Pakastin), Mirko Tanania, Rauli Rikama (Zero Keyboard Ltd)
Heli
Saadaval: iPhone 6s ja uuema versiooni, iPad Air 2 ja uuema versiooni, iPad mini 4 ja uuema versiooni ning iPod touchi 7. põlvkonna jaoks
Mõju: rakendus võib olla võimeline suvalist koodi süsteemi õigustega käitama
Kirjeldus: mälu rikkumisega seotud probleem lahendati mälukäsitluse parandamisega.
CVE-2019-8785: Ian Beer, Google Project Zero
CVE-2019-8797: 08Tc3wBB töötamine SSD turvaavaldusega
AVEVideoEncoder
Saadaval: iPhone 6s ja uuema versiooni, iPad Air 2 ja uuema versiooni, iPad mini 4 ja uuema versiooni ning iPod touchi 7. põlvkonna jaoks
Mõju: rakendus võib olla võimeline suvalist koodi süsteemi õigustega käitama
Kirjeldus: mälu rikkumisega seotud probleem lahendati mälukäsitluse parandamisega.
CVE-2019-8795: 08Tc3wBB töötamine SSD turvaavaldusega
Raamatud
Saadaval: iPhone 6s ja uuema versiooni, iPad Air 2 ja uuema versiooni, iPad mini 4 ja uuema versiooni ning iPod touchi 7. põlvkonna jaoks
Mõju: pahatahtlikult loodud iBooksi faili parsimine võib viia kasutajateabe avalikustamiseni
Kirjeldus: sümbolilinkide käsitlemisel esines valideerimisprobleem. Probleem lahendati sümbolilinkide valideerimise parandamisega.
CVE-2019-8789: Gertjan Franken, imec-DistriNet, KU Leuven
Kontaktid
Saadaval: iPhone 6s ja uuema versiooni, iPad Air 2 ja uuema versiooni, iPad mini 4 ja uuema versiooni ning iPod touchi 7. põlvkonna jaoks
Mõju: pahatahtliku kontakti töötlemine võib põhjustada kasutajaliidese võltsimist
Kirjeldus: kasutajaliidese ebaühtluse probleem lahendati olekuhalduse parandamisega.
CVE-2017-7152: Oliver Paukstadt, Thinking Objects GmbH (to.com)
Failisüsteemi sündmused
Saadaval: iPhone 6s ja uuema versiooni, iPad Air 2 ja uuema versiooni, iPad mini 4 ja uuema versiooni ning iPod touchi 7. põlvkonna jaoks
Mõju: rakendus võib olla võimeline suvalist koodi süsteemi õigustega käitama
Kirjeldus: mälu rikkumisega seotud probleem lahendati mälukäsitluse parandamisega.
CVE-2019-8798: ABC Research s.r.o. töö Trend Micro algatusega Zero Day
Graafikadraiver
Saadaval: iPhone 6s ja uuema versiooni, iPad Air 2 ja uuema versiooni, iPad mini 4 ja uuema versiooni ning iPod touchi 7. põlvkonna jaoks
Mõju: rakendus võib olla võimeline suvalist koodi süsteemi õigustega käitama
Kirjeldus: mälu rikkumisega seotud probleem lahendati mälukäsitluse parandamisega.
CVE-2019-8784: Vasiliy Vasilyev ja Ilya Finogeev, Webinar, LLC
Tuum
Saadaval: iPhone 6s ja uuema versiooni, iPad Air 2 ja uuema versiooni, iPad mini 4 ja uuema versiooni ning iPod touchi 7. põlvkonna jaoks
Mõju: rakendus võib olla võimeline lugema piiratud mälu
Kirjeldus: valideerimisprobleem lahendati sisestuskontrolliga parandamisega.
CVE-2019-8794: 08Tc3wBB töötamine SSD turvaavaldusega
Tuum
Saadaval: iPhone 6s ja uuema versiooni, iPad Air 2 ja uuema versiooni, iPad mini 4 ja uuema versiooni ning iPod touchi 7. põlvkonna jaoks
Mõju: rakendus võib olla võimeline suvalist koodi tuuma õigustega käitama
Kirjeldus: mälu rikkumisega seotud probleem lahendati mälukäsitluse parandamisega.
CVE-2019-8786: Wen Xu, Georgia Tech, Microsoft Offensive Security Research Intern
Tuum
Saadaval: iPhone 6s ja uuema versiooni, iPad Air 2 ja uuema versiooni, iPad mini 4 ja uuema versiooni ning iPod touchi 7. põlvkonna jaoks
Mõju: rakendus võib olla võimeline suvalist koodi tuuma õigustega käitama
Kirjeldus: mälu rikkumisega seotud haavatavus lahendati lukustuse parandamisega.
CVE-2019-8829: Jann Horn, Google Project Zero
Seadistusabi
Saadaval: iPhone 6s ja uuema versiooni, iPad Air 2 ja uuema versiooni, iPad mini 4 ja uuema versiooni ning iPod touchi 7. põlvkonna jaoks
Mõju: füüsilises läheduses asuv ründaja võib seadme seadistamise ajal olla võimeline suunama kasutajat pahatahtlikku Wi-Fi-võrku
Kirjeldus: lahendati Wi-Fi võrgu konfiguratsioonisätete ebaühtlus.
CVE-2019-8804: Christy Philip Mathew, Zimperium, Inc
Ekraani salvestamine
Saadaval: iPhone 6s ja uuema versiooni, iPad Air 2 ja uuema versiooni, iPad mini 4 ja uuema versiooni ning iPod touchi 7. põlvkonna jaoks
Mõju: kohalik kasutaja võib olla võimeline salvestama ekraani ilma nähtava ekraanisalvestuse indikaatorita
Kirjeldus: ebaühtluse probleem ekraanisalvestuse indikaatori kuvamise üle otsustamisel. Probleem lahendati olekuhalduse parandamisega.
CVE-2019-8793: Ryan Jenkins, Lake Forrest Prep School
WebKit
Saadaval: iPhone 6s ja uuema versiooni, iPad Air 2 ja uuema versiooni, iPad mini 4 ja uuema versiooni ning iPod touchi 7. põlvkonna jaoks
Mõju: pahatahtlikult loodud veebisisu töötlemine võib viia universaalse saidiülese skriptimiseni
Kirjeldus: loogikaprobleem lahendati olekuhalduse parandamisega.
CVE-2019-8813: anonüümne uurija
WebKit
Saadaval: iPhone 6s ja uuema versiooni, iPad Air 2 ja uuema versiooni, iPad mini 4 ja uuema versiooni ning iPod touchi 7. põlvkonna jaoks
Mõju: pahatahtlikult loodud veebisisu töötlemine võib viia juhusliku koodi käitamiseni
Kirjeldus: mitmesugused mälu rikkumisega seotud probleemid lahendati mälukäsitluse parandamisega.
CVE-2019-8782: Cheolung Lee, LINE+ Security Team
CVE-2019-8783: Cheolung Lee, LINE+ Graylab Security Team
CVE-2019-8808: leidnud OSS-Fuzz
CVE-2019-8811: Soyeon Park, SSLab at Georgia Tech
CVE-2019-8812: JunDong Xie, Ant-financial Light-Year Security Lab
CVE-2019-8814: Cheolung Lee, LINE+ Security Team
CVE-2019-8816: Soyeon Park, SSLab at Georgia Tech
CVE-2019-8819: Cheolung Lee, LINE+ Security Team
CVE-2019-8820: Samuel Groß, Google Project Zero
CVE-2019-8821: Sergei Glazunov, Google Project Zero
CVE-2019-8822: Sergei Glazunov, Google Project Zero
CVE-2019-8823: Sergei Glazunov, Google Project Zero
WebKit
Saadaval: iPhone 6s ja uuema versiooni, iPad Air 2 ja uuema versiooni, iPad mini 4 ja uuema versiooni ning iPod touchi 7. põlvkonna jaoks
Mõju: pahatahtlikult loodud veebisaidi külastamine võib paljastada kasutaja külastatud saidid
Kirjeldus: sirvimisajaloo lekitamiseks võidakse kasutada HTTP-viitaja päist. Probleem lahendati kõigi kolmanda osapoole viidete taandamisega nende algversioonile.
CVE-2019-8827: Artur Janc, Krzysztof Kotowicz, Lukas Weichselbaum ja Roberto Clapis, Google Security Team
WebKiti protsessimudel
Saadaval: iPhone 6s ja uuema versiooni, iPad Air 2 ja uuema versiooni, iPad mini 4 ja uuema versiooni ning iPod touchi 7. põlvkonna jaoks
Mõju: pahatahtlikult loodud veebisisu töötlemine võib viia juhusliku koodi käitamiseni
Kirjeldus: mitmesugused mälu rikkumisega seotud probleemid lahendati mälukäsitluse parandamisega.
CVE-2019-8815: Apple
Wi-Fi
Saadaval: iPhone 6s ja uuema versiooni, iPad Air 2 ja uuema versiooni, iPad mini 4 ja uuema versiooni ning iPod touchi 7. põlvkonna jaoks
Mõju: Wi-Fi levialas tegutsev ründaja võib olla võimeline vaatama väikest osa võrguliiklusest
Kirjeldus: oleku üleminekute käsitlemisel esines loogikaprobleem. See lahendati parandatud olekuhaldusega.
CVE-2019-15126: Milos Cermak, ESET
Täiendavad tänusõnad
CFNetwork
Täname abi eest Lily Cheni Google’ist.
Tuum
Täname abi eest: Daniel Roethlisberger (Swisscom CSIRT), Jann Horn (Google Project Zero).
WebKit
Täname abi eest: Dlive of Tencent’s Xuanwu Lab ja Zhiyi Zhang Legendseci Codesafe’i meeskond (Qi’anxin Group).
Teavet toodete kohta, mida Apple pole tootnud, või sõltumatuid veebisaite, mida Apple ei kontrolli või pole testinud, pakutakse ilma soovituse või heakskiiduta. Apple ei võta kolmanda osapoole veebisaitide või toodete valiku, toimivuse või kasutamise eest mingit vastutust. Apple ei anna kolmanda osapoole veebisaidi täpsuse või usaldusväärsuse kohta mingeid tagatisi. Lisateabe saamiseks võtke ühendust pakkujaga.