Tietoja iOS 13:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 13:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

iOS 13

Julkaistu 19.9.2019

Bluetooth

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Ilmoitusten esikatselut saattoivat näkyä Bluetooth-lisälaitteissa, vaikka esikatselut oli otettu pois käytöstä.

Kuvaus: Ilmoitusten esikatselujen näyttämisessä oli logiikkaongelma. Ongelma on ratkaistu parantamalla validointia.

CVE-2019-8711: Arjang (MARK ANTHONY GROUP INC.), Cemil Ozkebapci (@cemilozkebapci, Garanti BBVA), Oguzhan Meral (Deloitte Consulting), Ömer Bozdoğan-Ramazan Atıl Anadolu Lisesi (Adana, Turkki)

CoreAudio

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Haitallisen elokuvan käsittely saattoi johtaa prosessimuistin paljastumiseen.

Kuvaus: Muistin vioittumisongelma ratkaistiin parantamalla validointia.

CVE-2019-8705: Trend Micron Zero Day Initiativen parissa työskentelevä riusksk (VulWar Corp)

Face ID

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Rekisteröityä käyttäjää muistuttamaan luotu 3D-malli saattoi pystyä tunnistautumaan Face ID:n avulla.

Kuvaus: Ongelma ratkaistiin parantamalla Face ID:n koneoppimismalleja.

CVE-2019-8760: Wish Wu (吴潍浠 @wish_wu, Ant-financial Light-Year Security Lab)

Foundation

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Etähyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2019-8641: Samuel Groß ja Natalie Silvanovich (Google Project Zero)

Näppäimistöt

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Paikallinen käyttäjä saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.

Kuvaus: Valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2019-8704: 王 邦 宇 (wAnyBug.Com, SAINTSEC)

Viestit

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, saattoi käyttää yhteystietoja lukitulta näytöltä.

Kuvaus: Ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.

CVE-2019-8742: videosdebarraquito

Pikakatselu

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Haitallisen tiedoston käsittely saattoi paljastaa käyttäjätietoja.

Kuvaus: Käyttöoikeuksien ongelma saattoi johtaa suoritusoikeuden myöntämiseen virheellisesti. Ongelma ratkaistiin parantamalla käyttöoikeuksien tarkistamista.

CVE-2019-8731: Saif Hamed Hamdan Al Hinai (Oman National CERT), Yiğit Can YILMAZ (@yilmazcanyigit)

Safari

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2019-8727: Divyanshu Shukla (@justm0rph3u5, Quotient Technology)

WebKitin sivun lataaminen

Saatavuus: iPhone 6s ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2019-8674

Kiitokset

Bluetooth

Haluamme kiittää seuraavia heidän avustaan: Jan Ruge (TU Darmstadt, Secure Mobile Networking Lab), Jiska Classen (TU Darmstadt, Secure Mobile Networking Lab), Francesco Gringoli (University of Brescia), Dennis Heinze (TU Darmstadt, Secure Mobile Networking Lab).

Ohjauskeskus

Haluamme kiittää Brandon Sellersiä hänen avustaan.

Näppäimistö

Haluamme kiittää nimetöntä tutkijaa hänen avustaan.

Mail

Haluamme kiittää Kenneth Hyndyczia hänen avustaan.

Profiilit

Haluamme kiittää James Seeleyä (@Code4iOS, Shriver Job Corps) hänen avustaan.

SafariViewController

Haluamme kiittää Yiğit Can YILMAZia (@yilmazcanyigit) hänen avustaan.

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: