Tietoja iOS 14.5:n ja iPadOS 14.5:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan iOS 14.5:n ja iPadOS 14.5:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
iOS 14.5 ja iPadOS 14.5
Accessibility
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, saattoi käyttää muistiinpanoja lukitulta näytöltä.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-1835: videosdebarraquito
App Store
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä muuttamaan verkkoliikennettä.
Kuvaus: Sertifikaatin varmistusongelma on ratkaistu.
CVE-2021-1837: Aapo Oksman (Nixu Cybersecurity)
Apple Neural Engine
Saatavilla: iPhone 8 ja uudemmat, iPad Pro (3. sukupolvi) ja uudemmat sekä iPad Air (3. sukupolvi) ja uudemmat
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-1867: Zuozhi Fan (@pattern_F_) ja Wish Wu (吴潍浠) (Ant Group Tianqiong Security Lab)
AppleMobileFileIntegrity
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haittaohjelma saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: Koodien allekirjoitusten validointiongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-1849: Siguza
Assets
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Paikallinen käyttäjä saattoi kyetä luomaan tai muokkaamaan etuoikeutettuja tiedostoja.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2021-1836: nimetön tutkija
Audio
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: Muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2021-1808: JunDong Xie (Ant Security Light-Year Lab)
Audio
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2021-30742: Trend Micron Zero Day Initiativen parissa työskentelevä Mickey Jin (Trend Micro)
CFNetwork
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi paljastaa arkaluonteisia käyttäjätietoja.
Kuvaus: Muistin alustusongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2021-1857: nimetön tutkija
Compression
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-30752: Ye Zhang (@co0py_Cat, Baidu Security)
CoreAudio
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2021-30664: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2021-30664: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen äänitiedoston käsittely saattoi aiheuttaa rajatun muistin paljastumisen.
Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-1846: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haittaohjelma saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: Muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2021-1809: JunDong Xie (Ant Security Light-Year Lab)
CoreFoundation
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haittaohjelma saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.
Kuvaus: Varmistusongelma on ratkaistu parantamalla logiikkaa.
CVE-2021-30659: Thijs Alkemade (Computest)
Core Motion
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2021-1812: Siddharth Aeri (@b1n4r1b01)
CoreText
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-1811: Xingwei Lin (Ant Security Light-Year Lab)
FaceTime
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Hälyttävän CallKit-puhelun mykistäminen ei välttämättä johtanut mykistyksen käyttöönottoon.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-1872: Siraj Zaneer (Facebook)
FontParser
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-1881: nimetön tutkija, Xingwei Lin (Ant Security Light-Year Lab), Mickey Jin (Trend Micro) ja Hou JingYi (@hjy79425575, Qihoo 360)
Foundation
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Appi saattoi pystyä hankkimaan laajennetut käyttöoikeudet.
Kuvaus: Muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)
Foundation
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan pääkäyttöoikeudet.
Kuvaus: Varmistusongelma on ratkaistu parantamalla logiikkaa.
CVE-2021-1813: Cees Elzinga
Näytönohjainajurit
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: Käyttöoikeusongelma on korjattu parantamalla muistin hallintaa.
CVE-2021-30656: Justin Sherman (University of Maryland, Baltimore County)
Heimdal
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisten palvelinviestien käsitteleminen saattoi johtaa keon vioittumiseen.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston
Kuvaus: Kilpailutilanne on ratkaistu parantamalla lukitusta.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
ImageIO
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-30743: CFF (Topsec Alpha Team), Ye Zhang (@co0py_Cat, Baidu Security) ja Trend Micron Zero Day Initiativen parissa työskentelevä Jeonghoon Shin (@singi21a, THEORI)
ImageIO
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.
CVE-2021-1885: CFF (Topsec Alpha Team)
ImageIO
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30653: Ye Zhang (Baidu Security)
CVE-2021-1843: Ye Zhang (Baidu Security)
ImageIO
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2021-1858: Mickey Jin (Trend Micro)
ImageIO
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30764: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön henkilö
CVE-2021-30662: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön henkilö, Trend Micron Zero Day Initiativen parissa työskentelevä Jzhu
iTunes Store
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: JavaScriptiä käyttänyt hyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2021-1864: CodeColorist (Ant-Financial LightYear Labs)
Kernel
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan kernel-muistia.
Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-1877: Zuozhi Fan (@pattern_F_, Ant Group Tianqiong Security Lab)
CVE-2021-1852: Zuozhi Fan (@pattern_F_, Ant Group Tianqiong Security Lab)
CVE-2021-1830: Tielei Wang (Pangu Lab)
Kernel
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-1874: Zuozhi Fan (@pattern_F_, Ant Group Tianqiong Security Lab)
CVE-2021-1851: @0xalsr
Kernel
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haittaohjelma saattoi pystyä paljastamaan kernel-muistin sisältöä
Kuvaus: Muistin alustusongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2021-1860: @0xalsr
Kernel
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.
CVE-2021-1816: Tielei Wang (Pangu Lab)
Kernel
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Kopioiduilla tiedostoilla ei välttämättä ollut odotettuja tiedostojen käyttöoikeuksia.
Kuvaus: Ongelma on ratkaistu parantamalla käyttöoikeuslogiikkaa.
CVE-2021-1832: nimetön tutkija
Kernel
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haittaohjelma saattoi pystyä paljastamaan kernel-muistin sisältöä
Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.
CVE-2021-30660: Alex Plaskett
libxpc
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan pääkäyttöoikeudet.
Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.
CVE-2021-30652: James Hutchins
libxslt
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen tiedoston käsitteleminen saattoi johtaa keon vioittumiseen.
Kuvaus: Double free -ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2021-1875: ongelman havaitsi OSS-Fuzz
MobileAccessoryUpdater
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Appi saattoi pystyä hankkimaan laajennetut käyttöoikeudet.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-1833: Cees Elzinga
MobileInstallation
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Paikallinen käyttäjä saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2021-1822: Bruno Virlet (The Grizzly Labs)
Password Manager
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Käyttäjän salasana saattaa näkyä näytöllä.
Kuvaus: Ruutukaappauksissa oleva salasanojen salausongelma on korjattu parantamalla logiikkaa.
CVE-2021-1865: Shibin B. Shaji (UST)
Preferences
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Paikallinen käyttäjä saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.
CVE-2021-1815: Zhipeng Huo (@R3dF09) ja Yuebin Sun (@yuebinsun2020) (Tencent Security Xuanwu Lab, xlab.tencent.com)
CVE-2021-1739: Zhipeng Huo (@R3dF09) ja Yuebin Sun (@yuebinsun2020) (Tencent Security Xuanwu Lab, xlab.tencent.com)
CVE-2021-1740: Zhipeng Huo (@R3dF09) ja Yuebin Sun (@yuebinsun2020) (Tencent Security Xuanwu Lab, xlab.tencent.com)
Quick Response
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, saattoi pystyä soittamaan puheluita mihin tahansa puhelinnumeroon.
Kuvaus: NFC-tunnisteella käynnistetyn toiminnon todennuksessa esiintyi ongelma. Ongelma on ratkaistu parantamalla toiminnon todennusta.
CVE-2021-1863: REFHAN OZGORUR
Safari
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Paikallinen käyttäjä saattoi pystyä kirjoittamaan mielivaltaisia tiedostoja.
Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2021-1807: David Schütz (@xdavidhu)
Pikakomennot
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Appi saattoi sallia pikakomentoja rajoitettujen tiedostojen käyttämiseen.
Kuvaus: Ongelma on ratkaistu parantamalla käyttöoikeuslogiikkaa.
CVE-2021-1831: Bouke van der Bijl
Siri
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Siri-haun tietojen käyttöoikeuksiin liittynyt ongelma on ratkaistu parantamalla logiikkaa.
Kuvaus: Henkilö, jolla on fyysinen pääsy laitteeseen, saattaa pystyä käyttämään yhteystietoja.
CVE-2021-1862: Anshraj Srivastava (@AnshrajSrivas14, UKEF)
Tailspin
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-1868: Tim Michaud (Zoom Communications)
TCC
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haittaohjelma saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.
Kuvaus: Varmistusongelma on ratkaistu parantamalla logiikkaa.
CVE-2021-30659: Thijs Alkemade (Computest)
Telephony
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Vanha mobiiliverkko saattoi vastata tulevaan puheluun automaattisesti, kun käynnissä oleva puhelu päättyi tai keskeytyi.
Kuvaus: Puhelun päättymisongelma on ratkaistu parantamalla logiikkaa.
CVE-2021-1854: Steven Thorne (Cspire)
UIKit
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Käyttäjän salasana saattaa näkyä näytöllä.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-30921: Maximilian Blochberger (Security in Distributed Systems Group – University of Hamburg)
Wallet
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Paikallinen käyttäjä saattoi kyetä tarkastelemaan arkaluonteisia tietoja apinvaihtajassa.
Kuvaus: Ongelma on ratkaistu parantamalla käyttöliittymän käsittelyä.
CVE-2021-1848: Bradley D’Amato (ActionIQ)
WebKit
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa sivustojenväliseen komentosarjahyökkäykseen.
Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla annettujen tietojen tarkistusta.
CVE-2021-1825: Alex Camboe (Cyber Solutions, Aon)
WebKit
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2021-1817: zhunki
WebKit
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen
Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2021-1826: nimetön tutkija
WebKit
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa prosessimuistin paljastumiseen.
Kuvaus: Muistin alustusongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2021-1820: André Bargull
WebKit Storage
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu aktiivisesti hyödyntää.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2021-30661: yangkang (@dnpushme, 360 ATA)
WebRTC
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2020-7463: Megan2013678
Wi-Fi
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Puskurin ylivuoto saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-1770: Jiska Classen (@naehrdine, Secure Mobile Networking Lab, TU Darmstadt)
Kiitokset
Accounts Framework
Haluamme kiittää Ellougani Mohamedia (Dr.Phones Recycle Inc.) hänen avustaan.
AirDrop
Haluamme kiittää käyttäjää @maxzks hänen avustaan.
Assets
Haluamme kiittää Cees Elzingaa hänen avustaan.
CoreAudio
Haluamme kiittää nimetöntä tutkijaa hänen avustaan.
CoreCrypto
Haluamme kiittää Orange Groupin Andy Russonia hänen avustaan.
File Bookmark
Haluamme kiittää nimetöntä tutkijaa hänen avustaan.
Tiedostot
Haluamme kiittää Omar Espinoa (omespino.com) hänen avustaan.
Foundation
Haluamme kiittää CodeColoristia (Ant-Financial LightYear Labs) hänen avustaan.
Kernel
Haluamme kiittää Antonio Frighettoa (Politecnico di Milano), GRIMMiä, Keyu Mania, Zhiyun Qiania, Zhongjie Wangia, Xiaofeng Zhengiä, Youjun Huangia, Haixin Duania, Mikko Kenttälää (@Turmio_, SensorFu), Proteasia, Tielei Wangia (Pangu Lab) ja Zuozhi Fania (@pattern_F_, Ant Group Tianqiong Security Lab) heidän avustaan.
Haluamme kiittää Lauritz Holtmannia (@_lauritz_), Muhammed Koranya (facebook.com/MohamedMoustafa4) ja Yiğit Can YILMAZia (@yilmazcanyigit) heidän avustaan.
NetworkExtension
Haluamme kiittää Fabian Hartmannia hänen avustaan.
Safari Private Browsing
Haluamme kiittää Dor Kahanaa ja Griddaluru Veera Pranay Naidua heidän avustaan.
Security
Haluamme kiittää Xingwei Liniä (Ant Security Light-Year Lab) ja johnia (@nyan_satan) heidän avustaan.
sysdiagnose
Haluamme kiittää Tim Michaudia (@TimGMichaud, Leviathan) hänen avustaan.
WebKit
Haluamme kiittää Emilio Cobos Álvarezia (Mozilla) hänen avustaan.
WebSheet
Haluamme kiittää Patrick Cloveria hänen avustaan.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.