Tietoja iOS 13:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 13:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

iOS 13

Julkaistu 19.9.2019

Bluetooth

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Ilmoitusten esikatselut saattoivat näkyä Bluetooth-lisälaitteissa, vaikka esikatselut oli otettu pois käytöstä.

Kuvaus: Ilmoitusten esikatselujen näyttämisessä oli logiikkaongelma. Ongelma on ratkaistu parantamalla validointia.

CVE-2019-8711: Arjang (MARK ANTHONY GROUP INC.), Cemil Ozkebapci (@cemilozkebapci, Garanti BBVA), Oguzhan Meral (Deloitte Consulting), Ömer Bozdoğan-Ramazan Atıl Anadolu Lisesi (Adana, Turkki)

Puheluhistoria

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Poistetut puhelut pysyivät näkyvissä laitteessa.

Kuvaus: Ongelma on ratkaistu parantamalla tietojen poistamista.

CVE-2019-8732: Mohamad El-Zein Berlin

Kohta lisätty 18.11.2019

CFNetwork

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa sivustojenväliseen komentosarjahyökkäykseen.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2019-8753: Łukasz Pilorz (Standard Chartered GBS, Puola)

Kohta lisätty 29.10.2019

CoreAudio

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Haitallisen elokuvan käsittely saattoi johtaa prosessimuistin paljastumiseen.

Kuvaus: Muistin vioittumisongelma ratkaistiin parantamalla validointia.

CVE-2019-8705: Trend Micron Zero Day Initiativen parissa työskentelevä riusksk (VulWar Corp)

CoreAudio

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Haitallisen äänitiedoston toistaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2019-8592: riusksk (VulWar Corp) yhteistyössä Trend Micron Zero Day Initiativen kanssa

Kohta lisätty 6.11.2019

CoreCrypto

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Suuren annetun tietomäärän käsittely saattoi johtaa palvelunestoon.

Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla tietojen vahvistamista.

CVE-2019-8741: Nicky Mouha (NIST)

Kohta lisätty 29.10.2019

CoreMedia

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2019-8825: ongelman havaitsi GWP-ASan Google Chromessa

Kohta lisätty 29.10.2019

Face ID

Saatavuus: iPhone X ja uudemmat

Vaikutus: Rekisteröityä käyttäjää muistuttamaan luotu 3D-malli saattoi pystyä tunnistautumaan Face ID:n avulla.

Kuvaus: Ongelma ratkaistiin parantamalla Face ID:n koneoppimismalleja.

CVE-2019-8760: Wish Wu (吴潍浠 @wish_wu, Ant-financial Light-Year Security Lab)

Foundation

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Etähyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2019-8641: Samuel Groß ja Natalie Silvanovich (Google Project Zero)

CVE-2019-8746: Natalie Silvanovich ja Samuel Groß (Google Project Zero)

Kohta päivitetty 29.10.2019

IOUSBDeviceFamily

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8718: Joshua Hill ja Sem Voigtländer

Kohta lisätty 29.10.2019

Kernel

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Paikallinen appi saattaa pystyä lukemaan pysyvän tilitunnisteen.

Kuvaus: Varmistusongelma on ratkaistu parantamalla logiikkaa.

CVE-2019-8809: Apple

Kohta lisätty 29.10.2019

Kernel

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

Kohta lisätty 29.10.2019

Kernel

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8712: Mohamed Ghannam (@_simo36)

Kohta lisätty 29.10.2019

Kernel

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: IPv6-pakettien käsittelyssä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.

CVE-2019-8744: Zhuo Liang (Qihoo 360 Vulcan Team)

Kohta lisätty 29.10.2019

Kernel

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8717: Jann Horn (Google Project Zero)

Kohta lisätty 8.10.2019

Näppäimistöt

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Paikallinen käyttäjä saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.

Kuvaus: Valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2019-8704: 王 邦 宇 (wAnyBug.Com, SAINTSEC)

libxml2

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: libxml2:ssa esiintyi useita ongelmia.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2019-8749: ongelman havaitsi OSS-Fuzz

CVE-2019-8756: ongelman havaitsi OSS-Fuzz

Kohta lisätty 8.10.2019

Viestit

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, saattoi käyttää yhteystietoja lukitulta näytöltä.

Kuvaus: Ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.

CVE-2019-8742: videosdebarraquito

Muistiinpanot

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Paikallinen käyttäjä saattoi pystyä tarkastelemaan käyttäjän lukittuja muistiinpanoja.

Kuvaus: Lukittujen muistiinpanojen sisältö tuli joskus näkyviin hakutuloksiin. Tämä ongelma on korjattu parantamalla tietojen puhdistusta.

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg, Virginia Polytechnic Institute and State University)

Kohta lisätty 8.10.2019

PluginKit

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Paikallinen käyttäjä saattoi kyetä tarkistamaan satunnaisten tiedostojen olemassaolon.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2019-8708: nimetön tutkija

Kohta lisätty 29.10.2019

PluginKit

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8715: nimetön tutkija

Kohta lisätty 29.10.2019

Pikakatselu

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Haitallisen tiedoston käsittely saattoi paljastaa käyttäjätietoja.

Kuvaus: Käyttöoikeuksien ongelma saattoi johtaa suoritusoikeuden myöntämiseen virheellisesti. Ongelma ratkaistiin parantamalla käyttöoikeuksien tarkistamista.

CVE-2019-8731: Saif Hamed Hamdan Al Hinai (Oman National CERT), Yiğit Can YILMAZ (@yilmazcanyigit)

Safari

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2019-8727: Divyanshu Shukla (@justm0rph3u5)

Kohta päivitetty 8.10.2019

UIFoundation

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Haitallisen tekstitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.

CVE-2019-8745: Trend Micron Zero Day Initiativen parissa työskentelevä riusksk (VulWar Corp)

Kohta lisätty 8.10.2019

WebKit

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Haitallinen verkkosisältö saattoi rikkoa iframe-eristyskäytännön.

Kuvaus: Ongelma on ratkaistu parantamalla iframe-eristyksen toimeenpanoa.

CVE-2019-8771: Eliya Stein (Confiant)

Kohta lisätty 8.10.2019

WebKit

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2019-8625: Sergei Glazunov (Google Project Zero)

CVE-2019-8719: Sergei Glazunov (Google Project Zero)

CVE-2019-8764: Sergei Glazunov (Google Project Zero)

Kohta lisätty 8.10.2019, päivitetty 29.10.2019

WebKit

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8707: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön tutkija, Trend Micron Zero Day Initiativen parissa työskentelevä cc

CVE-2019-8726: Jihui Lu (Tencent KeenLab)

CVE-2019-8728: Junho Jang (LINE Security Team) ja Hanul Choi (ABLY Corporation)

CVE-2019-8733: Sergei Glazunov (Google Project Zero)

CVE-2019-8734: ongelman havaitsi OSS-Fuzz

CVE-2019-8735: Trend Micron Zero Day Initiativen parissa työskentelevä G. Geshev

Kohta lisätty 8.10.2019, päivitetty 29.10.2019

WebKit

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Käyttäjä ei mahdollisesti pystynyt poistamaan selaushistorian kohteita.

Kuvaus: Tyhjennä historia ja poista sivustojen data -komento ei tyhjentänyt historiaa. Ongelma on ratkaistu parantamalla tietojen poistamista.

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

Kohta lisätty 8.10.2019

WebKitin sivun lataaminen

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2019-8674: Sergei Glazunov (Google Project Zero)

Kohta päivitetty 8.10.2019

Wi-Fi

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Laitetta saatettiin pystyä passiivisesti seuraamaan sen Wi-Fi-yhteyden MAC-osoitteen perusteella.

Kuvaus: Käyttäjän tietosuojaongelma on ratkaistu poistamalla lähetetty MAC-osoite.

CVE-2019-8854: Ta-Lun Yen (UCCU Hacker) ja FuriousMacTeam (United States Naval Academy ja Mitre Cooperation)

Kohta lisätty 4.12.2019

Kiitokset

AppleRTC

Haluamme kiittää Vitaly Cheptsovia hänen avustaan.

Kohta lisätty 29.10.2019

Ääni

Haluamme kiittää Trend Micron Zero Day Initiativen parissa työskentelevää riuskskia (VulWar Corp) hänen avustaan.

Kohta lisätty 29.10.2019

Bluetooth

Haluamme kiittää Jan Rugea (TU Darmstadt, Secure Mobile Networking Lab), Jiska Classenia (TU Darmstadt, Secure Mobile Networking Lab), Francesco Gringolia (University of Brescia) ja Dennis Heinzeä (TU Darmstadt, Secure Mobile Networking Lab) heidän avustaan.

boringssl

Haluamme kiittää Computestin Thijs Alkemadea (@xnyhps) hänen avustaan.

Kohta lisätty 8.10.2019

Ohjauskeskus

Haluamme kiittää Brandon Sellersiä hänen avustaan.

HomeKit

Haluamme kiittää Tian Zhangia hänen avustaan.

Kohta lisätty 29.10.2019

Kernel

Haluamme kiittää Brandon Azadia (Google Project Zero) hänen avustaan.

Kohta lisätty 29.10.2019

Näppäimistö

Haluamme kiittää Sara Haradhvalaa (Harlen Web Consulting) ja nimetöntä tutkijaa heidän avustaan.

Kohta päivitetty 28.7.2020

Mail

Haluamme kiittää Kenneth Hyndyczia hänen avustaan.

mDNSResponder

Haluamme kiittää Gregor Langia (e.solutions GmbH) hänen avustaan.

Kohta lisätty 29.10.2019

Profiilit

Haluamme kiittää Erik Johnsonia (Vernon Hills High School) ja James Seeleyä (@Code4iOS, Shriver Job Corps) heidän avustaan.

Kohta päivitetty 29.10.2019

SafariViewController

Haluamme kiittää Yiğit Can YILMAZia (@yilmazcanyigit) hänen avustaan.

VPN

Haluamme kiittää Royce Gawronia (Second Son Consulting, Inc.) hänen avustaan.

Kohta lisätty 29.10.2019

WebKit

Haluamme kiittää MinJeong Kimiä (Information Security Lab, Chungnam National University), JaeCheol Ryouta (Information Security Lab, Chungnam National University, Etelä-Korea), Yiğit Can YILMAZia (@yilmazcanyigit), Zhihua Yaota (DBAPPSecurity Zion Lab), nimetöntä tutkijaa ja Trend Micron Zero Day Initiativen parissa työskentelevää cc:tä heidän avustaan.

Kohta lisätty 8.10.2019, päivitetty 29.10.2019

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: