Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.
iOS 13
Julkaistu 19.9.2019
Bluetooth
Saatavuus: iPhone 6s ja uudemmat
Vaikutus: Ilmoitusten esikatselut saattoivat näkyä Bluetooth-lisälaitteissa, vaikka esikatselut oli otettu pois käytöstä.
Kuvaus: Ilmoitusten esikatselujen näyttämisessä oli logiikkaongelma. Ongelma on ratkaistu parantamalla validointia.
CVE-2019-8711: Arjang (MARK ANTHONY GROUP INC.), Cemil Ozkebapci (@cemilozkebapci, Garanti BBVA), Oguzhan Meral (Deloitte Consulting), Ömer Bozdoğan-Ramazan Atıl Anadolu Lisesi (Adana, Turkki)
CoreAudio
Saatavuus: iPhone 6s ja uudemmat
Vaikutus: Haitallisen elokuvan käsittely saattoi johtaa prosessimuistin paljastumiseen.
Kuvaus: Muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2019-8705: Trend Micron Zero Day Initiativen parissa työskentelevä riusksk (VulWar Corp)
Face ID
Saatavuus: iPhone 6s ja uudemmat
Vaikutus: Rekisteröityä käyttäjää muistuttamaan luotu 3D-malli saattoi pystyä tunnistautumaan Face ID:n avulla.
Kuvaus: Ongelma ratkaistiin parantamalla Face ID:n koneoppimismalleja.
CVE-2019-8760: Wish Wu (吴潍浠 @wish_wu, Ant-financial Light-Year Security Lab)
Foundation
Saatavuus: iPhone 6s ja uudemmat
Vaikutus: Etähyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2019-8641: Samuel Groß ja Natalie Silvanovich (Google Project Zero)
Näppäimistöt
Saatavuus: iPhone 6s ja uudemmat
Vaikutus: Paikallinen käyttäjä saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.
Kuvaus: Valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2019-8704: 王 邦 宇 (wAnyBug.Com, SAINTSEC)
Viestit
Saatavuus: iPhone 6s ja uudemmat
Vaikutus: Henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, saattoi käyttää yhteystietoja lukitulta näytöltä.
Kuvaus: Ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.
CVE-2019-8742: videosdebarraquito
Pikakatselu
Saatavuus: iPhone 6s ja uudemmat
Vaikutus: Haitallisen tiedoston käsittely saattoi paljastaa käyttäjätietoja.
Kuvaus: Käyttöoikeuksien ongelma saattoi johtaa suoritusoikeuden myöntämiseen virheellisesti. Ongelma ratkaistiin parantamalla käyttöoikeuksien tarkistamista.
CVE-2019-8731: Saif Hamed Hamdan Al Hinai (Oman National CERT), Yiğit Can YILMAZ (@yilmazcanyigit)
Safari
Saatavuus: iPhone 6s ja uudemmat
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2019-8727: Divyanshu Shukla (@justm0rph3u5, Quotient Technology)
WebKitin sivun lataaminen
Saatavuus: iPhone 6s ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2019-8674
Kiitokset
Bluetooth
Haluamme kiittää seuraavia heidän avustaan: Jan Ruge (TU Darmstadt, Secure Mobile Networking Lab), Jiska Classen (TU Darmstadt, Secure Mobile Networking Lab), Francesco Gringoli (University of Brescia), Dennis Heinze (TU Darmstadt, Secure Mobile Networking Lab).
Ohjauskeskus
Haluamme kiittää Brandon Sellersiä hänen avustaan.
Näppäimistö
Haluamme kiittää nimetöntä tutkijaa hänen avustaan.
Haluamme kiittää Kenneth Hyndyczia hänen avustaan.
Profiilit
Haluamme kiittää James Seeleyä (@Code4iOS, Shriver Job Corps) hänen avustaan.
SafariViewController
Haluamme kiittää Yiğit Can YILMAZia (@yilmazcanyigit) hänen avustaan.