Tietoja iOS 14.2:n ja iPadOS 14.2:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan iOS 14.2:n ja iPadOS 14.2:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
iOS 14.2 ja iPadOS 14.2
Audio
Saatavuus: iPhone 6s ja uudemmat, iPod touch (7. sukupolvi), iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat
Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-27910: JunDong Xie ja XingWei Lin (Ant Security Light-Year Lab)
Audio
Saatavuus: iPhone 6s ja uudemmat, iPod touch (7. sukupolvi), iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat
Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-27916: JunDong Xie (Ant Security Light-Year Lab)
CallKit
Saatavuus: iPhone 6s ja uudemmat, iPod touch (7. sukupolvi), iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat
Vaikutus: Käyttäjä saattoi voida vastata kahteen puheluun samanaikaisesti niin, että hän ei saanut minkäänlaista ilmoitusta toiseen puheluun vastaamisesta
Kuvaus: Saapuvien puhelujen käsittelyssä oli ongelma. Ongelma on ratkaistu ylimääräisillä tilantarkistuksilla.
CVE-2020-27925: Nick Tangri
CoreAudio
Saatavuus: iPhone 6s ja uudemmat, iPod touch (7. sukupolvi), iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat
Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-10017: Francis yhteistyössä Trend Micron Zero Day Initiativen kanssa, JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Saatavuus: iPhone 6s ja uudemmat, iPod touch (7. sukupolvi), iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat
Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-27908: Nimetön yhteistyössä Trend Micron Zero Day Initiativen kanssa, JunDong Xie ja Xingwei Lin (Ant Security Light-Year Lab)
CVE-2020-27909: Nimetön yhteistyössä Trend Micron Zero Day Initiativen kanssa, JunDong Xie ja Xingwei Lin (Ant Security Light-Year Lab)
CoreGraphics
Saatavuus: iPhone 6s ja uudemmat, iPod touch (7. sukupolvi), iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat
Vaikutus: Haitallisen PDF-tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-9897: S.Y. (ZecOps Mobile XDR), nimetön tutkija
CoreText
Saatavuus: iPhone 6s ja uudemmat, iPod touch (7. sukupolvi), iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2020-27922: Mickey Jin (Trend Micro)
Crash Reporter
Saatavuus: iPhone 6s ja uudemmat, iPod touch (7. sukupolvi), iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat
Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan
Kuvaus: Symbolisten linkkien polun validointilogiikassa oli ongelma. Ongelma on ratkaistu parantamalla polkujen puhdistamista.
CVE-2020-10003: Leviathanin Tim Michaud (@TimGMichaud)
FontParser
Saatavuus: iPhone 6s ja uudemmat, iPod touch (7. sukupolvi), iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat
Vaikutus: Haitallisen fontin käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen. Apple on tietoinen raporteista, joissa on todettu tämän ongelman olevan hyödynnettävissä vahingollisesti.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-27930: Google Project Zero
FontParser
Saatavuus: iPhone 6s ja uudemmat, iPod touch (7. sukupolvi), iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2020-27927: Xingwei Lin (Ant Security Light-Year Lab)
Foundation
Saatavuus: iPhone 6s ja uudemmat, iPod touch (7. sukupolvi), iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat
Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan mielivaltaisia tiedostoja
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2020-10002: James Hutchins
ImageIO
Saatavuus: iPhone 6s ja uudemmat, iPod touch (7. sukupolvi), iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-27924: Lei Sun
ImageIO
Saatavuus: iPhone 6s ja uudemmat, iPod touch (7. sukupolvi), iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-27912: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2020-27923: Lei Sun
IOAcceleratorFamily
Saatavuus: iPhone 6s ja uudemmat, iPod touch (7. sukupolvi), iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2020-27905: Mohamed Ghannam (@_simo36)
Kernel
Saatavuus: iPhone 6s ja uudemmat, iPod touch (7. sukupolvi), iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat
Vaikutus: Haittaohjelma saattoi pystyä paljastamaan kernel-muistin sisältöä. Apple on tietoinen raporteista, joissa on todettu tämän ongelman olevan hyödynnettävissä vahingollisesti.
Kuvaus: Muistin alustusongelma on korjattu.
CVE-2020-27950: Google Project Zero
Kernel
Saatavuus: iPhone 6s ja uudemmat, iPod touch (7. sukupolvi), iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat
Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2020-9974: Tommy Muir (@Muirey03)
Kernel
Saatavuus: iPhone 6s ja uudemmat, iPod touch (7. sukupolvi), iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2020-10016: Alex Helie
Kernel
Saatavuus: iPhone 6s ja uudemmat, iPod touch (7. sukupolvi), iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla. Apple on tietoinen raporteista, joissa on todettu tämän ongelman olevan hyödynnettävissä vahingollisesti.
Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla tilan käsittelyä.
CVE-2020-27932: Google Project Zero
Keyboard
Saatavuus: iPhone 6s ja uudemmat, iPod touch (7. sukupolvi), iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat
Vaikutus: Henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, saattoi päästä käsiksi tallennettuihin salasanoihin ilman todentautumista
Kuvaus: Valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2020-27902: Connor Ford (@connorford2)
libxml2
Saatavuus: iPhone 6s ja uudemmat, iPod touch (7. sukupolvi), iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa koodin suorittamiseen
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2020-27917: ongelman havaitsi OSS-Fuzz
CVE-2020-27920: ongelman havaitsi OSS-Fuzz
libxml2
Saatavuus: iPhone 6s ja uudemmat, iPod touch (7. sukupolvi), iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat
Vaikutus: Etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen
Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-27911: ongelman havaitsi OSS-Fuzz
libxml2
Saatavuus: iPhone 6s ja uudemmat, iPod touch (7. sukupolvi), iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2020-27926: ongelman havaitsi OSS-Fuzz
Logging
Saatavuus: iPhone 6s ja uudemmat, iPod touch (7. sukupolvi), iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat
Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2020-10010: Tommy Muir (@Muirey03)
Model I/O
Saatavuus: iPhone 6s ja uudemmat, iPod touch (7. sukupolvi), iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat
Vaikutus: Haitallisen tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2020-10004: Aleksandar Nikolic (Cisco Talos)
Model I/O
Saatavuus: iPhone 6s ja uudemmat, iPod touch (7. sukupolvi), iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat
Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen
Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2020-13524: Aleksandar Nikolic (Cisco Talos)
Model I/O
Saatavuus: iPhone 6s ja uudemmat, iPod touch (7. sukupolvi), iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat
Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen
Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.
CVE-2020-10011: Aleksandar Nikolic (Cisco Talos)
Symptom Framework
Saatavuus: iPhone 6s ja uudemmat, iPod touch (7. sukupolvi), iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat
Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2020-27899: 08Tc3wBB yhteistyössä ZecOps:n kanssa
WebKit
Saatavuus: iPhone 6s ja uudemmat, iPod touch (7. sukupolvi), iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2020-27918: Liu Long (Ant Security Light-Year Lab)
XNU
Saatavuus: iPhone 6s ja uudemmat, iPod touch (7. sukupolvi), iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat
Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset
Kuvaus: Useita ongelmia on korjattu parantamalla logiikkaa.
CVE-2020-27935: Lior Halphon (@LIJI32)
Kiitokset
NetworkExtension
Haluamme kiittää nimetöntä tutkijaa hänen avustaan.
Safari
Haluamme kiittää Gabriel Coronaa hänen avustaan.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.