Tietoja iOS 13:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 13:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

iOS 13

Julkaistu 19.9.2019

Bluetooth

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Ilmoitusten esikatselut saattoivat näkyä Bluetooth-lisälaitteissa, vaikka esikatselut oli otettu pois käytöstä.

Kuvaus: Ilmoitusten esikatselujen näyttämisessä oli logiikkaongelma. Ongelma on ratkaistu parantamalla validointia.

CVE-2019-8711: Arjang (MARK ANTHONY GROUP INC.), Cemil Ozkebapci (@cemilozkebapci, Garanti BBVA), Oguzhan Meral (Deloitte Consulting), Ömer Bozdoğan-Ramazan Atıl Anadolu Lisesi (Adana, Turkki)

CoreAudio

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Haitallisen elokuvan käsittely saattoi johtaa prosessimuistin paljastumiseen.

Kuvaus: Muistin vioittumisongelma ratkaistiin parantamalla validointia.

CVE-2019-8705: Trend Micron Zero Day Initiativen parissa työskentelevä riusksk (VulWar Corp)

Face ID

Saatavuus: iPhone X ja uudemmat

Vaikutus: Rekisteröityä käyttäjää muistuttamaan luotu 3D-malli saattoi pystyä tunnistautumaan Face ID:n avulla.

Kuvaus: Ongelma ratkaistiin parantamalla Face ID:n koneoppimismalleja.

CVE-2019-8760: Wish Wu (吴潍浠 @wish_wu, Ant-financial Light-Year Security Lab)

Foundation

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Etähyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2019-8641: Samuel Groß ja Natalie Silvanovich (Google Project Zero)

Kernel

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8717: Jann Horn (Google Project Zero)

Kohta lisätty 8.10.2019

Näppäimistöt

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Paikallinen käyttäjä saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.

Kuvaus: Valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2019-8704: 王 邦 宇 (wAnyBug.Com, SAINTSEC)

libxml2

Saatavuus: iPhone 6s ja uudemmat

Impact: libxml2:ssa on useita ongelmia

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2019-8749: OSS-Fuzzin löytämä

CVE-2019-8756: OSS-Fuzzin löytämä

Kohta lisätty 8.10.2019

Viestit

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, saattoi käyttää yhteystietoja lukitulta näytöltä.

Kuvaus: Ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.

CVE-2019-8742: videosdebarraquito

Muistiinpanot

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Paikallinen käyttäjä saattoi pystyä tarkastelemaan käyttäjän lukittuja muistiinpanoja.

Kuvaus: Lukittujen muistiinpanojen sisältö tuli joskus näkyviin hakutuloksiin. Tämä ongelma on korjattu parantamalla tietojen puhdistusta.

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg), Virginia Polytechnic Institute and State University

Kohta lisätty 8.10.2019

Pikakatselu

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Haitallisen tiedoston käsittely saattoi paljastaa käyttäjätietoja.

Kuvaus: Käyttöoikeuksien ongelma saattoi johtaa suoritusoikeuden myöntämiseen virheellisesti. Ongelma ratkaistiin parantamalla käyttöoikeuksien tarkistamista.

CVE-2019-8731: Saif Hamed Hamdan Al Hinai (Oman National CERT), Yiğit Can YILMAZ (@yilmazcanyigit)

Safari

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2019-8727: Divyanshu Shukla (@justm0rph3u5)

Kohta päivitetty 8.10.2019

UIFoundation

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Haitallisen tekstitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.

CVE-2019-8745: Trend Micron Zero Day Initiativen parissa työskentelevä riusksk (VulWar Corp)

Kohta lisätty 8.10.2019

WebKit

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: haitallinen verkkosisältö saattaa rikkoa iframe-eristystä.

Kuvaus: Ongelma on ratkaistu parantamalla iframe-eristystä.

CVE-2019-8771: Eliya Stein (Confiant)

Kohta lisätty 8.10.2019

WebKit

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2019-8625: Sergei Glazunov (Google Project Zero)

CVE-2019-8719: Sergei Glazunov (Google Project Zero)

Kohta lisätty 8.10.2019

WebKit

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8707: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön tutkija, Trend Micron Zero Day Initiativen parissa työskentelevä cc

CVE-2019-8720: Wen Xu (Georgia Techin SSLab)

CVE-2019-8726: Jihui Lu (Tencent KeenLab)

CVE-2019-8733: Sergei Glazunov (Google Project Zero)

CVE-2019-8735: Trend Micron Zero Day Initiativen parissa työskentelevä G. Geshev

Kohta lisätty 8.10.2019

WebKit

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Käyttäjä ei mahdollisesti pystynyt poistamaan selaushistorian kohteita.

Kuvaus: Tyhjennä historia ja poista sivustojen data -komento ei tyhjentänyt historiaa. Ongelma on ratkaistu parantamalla tietojen poistamista.

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

Kohta lisätty 8.10.2019

WebKitin sivun lataaminen

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2019-8674: Sergei Glazunov (Google Project Zero)

Kohta päivitetty 8.10.2019

Kiitokset

Bluetooth

Haluamme kiittää seuraavia heidän avustaan: Jan Ruge (TU Darmstadt, Secure Mobile Networking Lab), Jiska Classen (TU Darmstadt, Secure Mobile Networking Lab), Francesco Gringoli (University of Brescia), Dennis Heinze (TU Darmstadt, Secure Mobile Networking Lab).

boringssl

Haluamme kiittää Computestin Thijs Alkemadea (@xnyhps) hänen avustaan.

Kohta lisätty 8.10.2019

Ohjauskeskus

Haluamme kiittää Brandon Sellersiä hänen avustaan.

Näppäimistö

Haluamme kiittää nimetöntä tutkijaa hänen avustaan.

Mail

Haluamme kiittää Kenneth Hyndyczia hänen avustaan.

Profiilit

Haluamme kiittää James Seeleyä (@Code4iOS, Shriver Job Corps) hänen avustaan.

SafariViewController

Haluamme kiittää Yiğit Can YILMAZia (@yilmazcanyigit) hänen avustaan.

WebKit

Haluamme kiittää avusta seuraavia: Yiğit Can YILMAZ (@yilmazcanyigit), Zhihua Yao (DBAPPSecurity Zion Lab) ja nimetön tutkija.

Kohta lisätty 8.10.2019

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: