Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.
iOS 13
Julkaistu 19.9.2019
Bluetooth
Saatavuus: iPhone 6s ja uudemmat
Vaikutus: Ilmoitusten esikatselut saattoivat näkyä Bluetooth-lisälaitteissa, vaikka esikatselut oli otettu pois käytöstä.
Kuvaus: Ilmoitusten esikatselujen näyttämisessä oli logiikkaongelma. Ongelma on ratkaistu parantamalla validointia.
CVE-2019-8711: Arjang (MARK ANTHONY GROUP INC.), Cemil Ozkebapci (@cemilozkebapci, Garanti BBVA), Oguzhan Meral (Deloitte Consulting), Ömer Bozdoğan-Ramazan Atıl Anadolu Lisesi (Adana, Turkki)
CoreAudio
Saatavuus: iPhone 6s ja uudemmat
Vaikutus: Haitallisen elokuvan käsittely saattoi johtaa prosessimuistin paljastumiseen.
Kuvaus: Muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2019-8705: Trend Micron Zero Day Initiativen parissa työskentelevä riusksk (VulWar Corp)
Face ID
Saatavuus: iPhone X ja uudemmat
Vaikutus: Rekisteröityä käyttäjää muistuttamaan luotu 3D-malli saattoi pystyä tunnistautumaan Face ID:n avulla.
Kuvaus: Ongelma ratkaistiin parantamalla Face ID:n koneoppimismalleja.
CVE-2019-8760: Wish Wu (吴潍浠 @wish_wu, Ant-financial Light-Year Security Lab)
Foundation
Saatavuus: iPhone 6s ja uudemmat
Vaikutus: Etähyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2019-8641: Samuel Groß ja Natalie Silvanovich (Google Project Zero)
Kernel
Saatavuus: iPhone 6s ja uudemmat
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2019-8717: Jann Horn (Google Project Zero)
Kohta lisätty 8.10.2019
Näppäimistöt
Saatavuus: iPhone 6s ja uudemmat
Vaikutus: Paikallinen käyttäjä saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.
Kuvaus: Valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2019-8704: 王 邦 宇 (wAnyBug.Com, SAINTSEC)
libxml2
Saatavuus: iPhone 6s ja uudemmat
Impact: libxml2:ssa on useita ongelmia
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2019-8749: OSS-Fuzzin löytämä
CVE-2019-8756: OSS-Fuzzin löytämä
Kohta lisätty 8.10.2019
Viestit
Saatavuus: iPhone 6s ja uudemmat
Vaikutus: Henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, saattoi käyttää yhteystietoja lukitulta näytöltä.
Kuvaus: Ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.
CVE-2019-8742: videosdebarraquito
Muistiinpanot
Saatavuus: iPhone 6s ja uudemmat
Vaikutus: Paikallinen käyttäjä saattoi pystyä tarkastelemaan käyttäjän lukittuja muistiinpanoja.
Kuvaus: Lukittujen muistiinpanojen sisältö tuli joskus näkyviin hakutuloksiin. Tämä ongelma on korjattu parantamalla tietojen puhdistusta.
CVE-2019-8730: Jamie Blumberg (@jamie_blumberg), Virginia Polytechnic Institute and State University
Kohta lisätty 8.10.2019
Pikakatselu
Saatavuus: iPhone 6s ja uudemmat
Vaikutus: Haitallisen tiedoston käsittely saattoi paljastaa käyttäjätietoja.
Kuvaus: Käyttöoikeuksien ongelma saattoi johtaa suoritusoikeuden myöntämiseen virheellisesti. Ongelma ratkaistiin parantamalla käyttöoikeuksien tarkistamista.
CVE-2019-8731: Saif Hamed Hamdan Al Hinai (Oman National CERT), Yiğit Can YILMAZ (@yilmazcanyigit)
Safari
Saatavuus: iPhone 6s ja uudemmat
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2019-8727: Divyanshu Shukla (@justm0rph3u5)
Kohta päivitetty 8.10.2019
UIFoundation
Saatavuus: iPhone 6s ja uudemmat
Vaikutus: Haitallisen tekstitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.
CVE-2019-8745: Trend Micron Zero Day Initiativen parissa työskentelevä riusksk (VulWar Corp)
Kohta lisätty 8.10.2019
WebKit
Saatavuus: iPhone 6s ja uudemmat
Vaikutus: haitallinen verkkosisältö saattaa rikkoa iframe-eristystä.
Kuvaus: Ongelma on ratkaistu parantamalla iframe-eristystä.
CVE-2019-8771: Eliya Stein (Confiant)
Kohta lisätty 8.10.2019
WebKit
Saatavuus: iPhone 6s ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2019-8625: Sergei Glazunov (Google Project Zero)
CVE-2019-8719: Sergei Glazunov (Google Project Zero)
Kohta lisätty 8.10.2019
WebKit
Saatavuus: iPhone 6s ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.
CVE-2019-8707: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön tutkija, Trend Micron Zero Day Initiativen parissa työskentelevä cc
CVE-2019-8720: Wen Xu (Georgia Techin SSLab)
CVE-2019-8726: Jihui Lu (Tencent KeenLab)
CVE-2019-8733: Sergei Glazunov (Google Project Zero)
CVE-2019-8735: Trend Micron Zero Day Initiativen parissa työskentelevä G. Geshev
Kohta lisätty 8.10.2019
WebKit
Saatavuus: iPhone 6s ja uudemmat
Vaikutus: Käyttäjä ei mahdollisesti pystynyt poistamaan selaushistorian kohteita.
Kuvaus: Tyhjennä historia ja poista sivustojen data -komento ei tyhjentänyt historiaa. Ongelma on ratkaistu parantamalla tietojen poistamista.
CVE-2019-8768: Hugo S. Diaz (coldpointblue)
Kohta lisätty 8.10.2019
WebKitin sivun lataaminen
Saatavuus: iPhone 6s ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2019-8674: Sergei Glazunov (Google Project Zero)
Kohta päivitetty 8.10.2019
Kiitokset
Bluetooth
Haluamme kiittää seuraavia heidän avustaan: Jan Ruge (TU Darmstadt, Secure Mobile Networking Lab), Jiska Classen (TU Darmstadt, Secure Mobile Networking Lab), Francesco Gringoli (University of Brescia), Dennis Heinze (TU Darmstadt, Secure Mobile Networking Lab).
boringssl
Haluamme kiittää Computestin Thijs Alkemadea (@xnyhps) hänen avustaan.
Kohta lisätty 8.10.2019
Ohjauskeskus
Haluamme kiittää Brandon Sellersiä hänen avustaan.
Näppäimistö
Haluamme kiittää nimetöntä tutkijaa hänen avustaan.
Haluamme kiittää Kenneth Hyndyczia hänen avustaan.
Profiilit
Haluamme kiittää James Seeleyä (@Code4iOS, Shriver Job Corps) hänen avustaan.
SafariViewController
Haluamme kiittää Yiğit Can YILMAZia (@yilmazcanyigit) hänen avustaan.
WebKit
Haluamme kiittää avusta seuraavia: Yiğit Can YILMAZ (@yilmazcanyigit), Zhihua Yao (DBAPPSecurity Zion Lab) ja nimetön tutkija.
Kohta lisätty 8.10.2019