Tietoja iOS 14.7:n ja iPadOS 14.7:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan iOS 14.7:n ja iPadOS 14.7:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
iOS 14.7 ja iPadOS 14.7
ActionKit
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Oikotie saattoi pystyä ohittamaan internet-yhteyden lupavaatimukset
Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla annettujen tietojen tarkistusta.
CVE-2021-30763: Zachary Keffaber (@QuickUpdate5)
Analytics
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Paikallinen hyökkääjä saattoi pystyä käyttämään analytiikkatietoja
Kuvaus: Ongelma on ratkaistu uudella valtuutuksella.
CVE-2021-30871: Denis Tokarev (@illusionofcha0s)
Audio
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Paikallinen hyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30781: tr3e
AVEVideoEncoder
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2021-30748: George Nosenko
CoreAudio
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2021-30775: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen äänitiedoston toistaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2021-30776: JunDong Xie (Ant Security Light-Year Lab)
CoreGraphics
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen
Kuvaus: Kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2021-30786: ryuzaki
CoreText
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-30789: Mickey Jin (@patch1t, Trend Micro), Sunglin (Knownsec 404 team)
Crash Reporter
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan pääkäyttöoikeudet
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2021-30774: Yizhuo Wang (Group of Software Security In Progress (G.O.S.S.I.P), Shanghai Jiao Tong University)
CVMS
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan pääkäyttöoikeudet
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2021-30780: Tim Michaud (@TimGMichaud, Zoom Video Communications)
dyld
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2021-30768: Linus Henze (pinauten.de)
Find My
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallinen ohjelma saattoi pystyä käyttämään Missä on...? -apin tietoja
Kuvaus: Käyttöoikeusongelma on ratkaistu parantamalla validointia.
CVE-2021-30804: Csaba Fitzl (@theevilbit, Offensive Security)
FontParser
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-30760: Sunglin (Knownsec 404 team)
FontParser
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen tiff-tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30788: Trend Micron Zero Day Initiativen parissa työskentelevä tr3e
FontParser
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Pinon ylivuotoon liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2021-30759: Trend Micron Zero Day Initiativen parissa työskentelevä hjy79425575
Identity Service
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haittaohjelma saattoi pystyä ohittamaan koodin allekirjoitustarkistukset
Kuvaus: Koodien allekirjoitusten validointiongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30773: Linus Henze (pinauten.de)
Image Processing
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2021-30802: Matthew Denton (Google Chrome Security)
ImageIO
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30779: Jzhu, Ye Zhang (@co0py_Cat, Baidu Security)
ImageIO
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.
CVE-2021-30785: CFF (Topsec Alpha Team), Mickey Jin (@patch1t, Trend Micro)
Kernel
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Hyökkääjä, jolla oli mielivaltaiset luku- ja kirjoitusoikeudet, saattoi ohittaa osoitintodennuksen
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-30769: Linus Henze (pinauten.de)
Kernel
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Ytimen koodia suorittanut hyökkääjä saattoi pystyä ohittamaan ydinmuistin korjaavat toimet
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2021-30770: Linus Henze (pinauten.de)
libxml2
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-3518
Measure
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: libwebp:ssä esiintyi useita ongelmia
Kuvaus: Useita ongelmia ratkaistiin päivittämällä versioon 1.2.0.
CVE-2018-25010
CVE-2018-25011
CVE-2018-25014
CVE-2020-36328
CVE-2020-36329
CVE-2020-36330
CVE-2020-36331
Model I/O
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen kuvan käsittely saattoi johtaa palvelunestoon
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2021-30796: Mickey Jin (@patch1t, Trend Micro)
Model I/O
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-30792: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön henkilö
Model I/O
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen tiedoston käsittely saattoi paljastaa käyttäjätietoja
Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.
CVE-2021-30791: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön henkilö
TCC
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haittaohjelma saattoi pystyä ohittamaan tiettyjä tietosuoja-asetuksia
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-30798: Mickey Jin (@patch1t, Trend Micro)
WebKit
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla tilan käsittelyä.
CVE-2021-30758: Christoph Guttandin (Media Codings)
WebKit
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2021-30795: Sergei Glazunov (Google Project Zero)
WebKit
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa koodin suorittamiseen
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30797: Ivan Fratric (Google Project Zero)
WebKit
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.
CVE-2021-30799: Sergei Glazunov (Google Project Zero)
Wi-Fi
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitalliseen Wi-Fi-verkkoon liittyminen saattoi aiheuttaa palveluneston tai mielivaltaisen koodin suorittamisen
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30800: vm_call, Nozhdar Abdulkhaleq Shukri
Kiitokset
Assets
Haluamme kiittää Cees Elzingaa hänen avustaan.
CoreText
Haluamme kiittää Mickey Jinia (@patch1t, Trend Micro) hänen avustaan.
Safari
Haluamme kiittää nimetöntä tutkijaa hänen avustaan.
Sandbox
Haluamme kiittää Csaba Fitzliä (@theevilbit, Offensive Security) hänen avustaan.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.