אודות תוכן האבטחה של iOS 14.8.1 ושל iPadOS 14.8.1
מסמך זה מתאר את תוכן האבטחה של iOS 14.8.1 ושל iPadOS 14.8.1.
אודות עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.
iOS 14.8.1 ו-iPadOS 14.8.1
Audio
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)
השפעה: יישום זדוני עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.
CVE-2021-30907: צווייג מ-Kunlun Lab
ColorSync
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי
תיאור: בעיית השחתת זיכרון בעיבוד פרופילים של ICC טופלה באמצעות אימות קלט משופר.
CVE-2021-30926: ג'רמי בראון
ColorSync
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי
תיאור: הייתה בעיה של השחתת זיכרון בעיבוד פרופילים של ICC. בעיה זו טופלה באמצעות אימות קלט משופר.
CVE-2021-30917: אלכסנדרו-ולאד ניקולאה ומטאוש ג'ורציק מ‑Google Project Zero
Continuity Camera
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)
השפעה: תוקף מקומי עלול לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיה של מחרוזת פורמט לא מבוקרת טופלה באמצעות אימות קלט משופר.
CVE-2021-30903: גונגיו מא מאוניברסיטת Hangzhou Dianzi
CoreGraphics
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)
השפעה: עיבוד מסמך PDF בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2021-30919
GPU Drivers
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2021-30900: יין-יי וו (@3ndy1) מ‑Ant Security Light‑Year Lab
IOMobileFrameBuffer
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה באופן פעיל.
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2021-30883: חוקר אנונימי
Kernel
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2021-30909: צווייג מ-Kunlun Lab
Kernel
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2021-30916: צווייג מ-Kunlun Lab
Sidecar
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)
השפעה: תוקף מקומי עלול לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2021-30903: חוקר אנונימי
Status Bar
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)
השפעה: ייתכן שמשתמש יוכל להציג תוכן מוגבל ממסך הנעילה
תיאור: בעיה במסך הנעילה טופלה באמצעות ניהול מצבים משופר.
CVE-2021-30918: videosdebarraquito
Voice Control
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)
השפעה: תוקף מקומי עלול לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2021-30902: 08Tc3wBB מ-ZecOps Mobile EDR Team
WebKit
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)
השפעה: אתר זדוני המשתמש בדיווחי 'מדיניות אבטחת תוכן' עלול להיות מסוגל להדליף מידע באמצעות אופן פעולה של ניתוב מחדש
תיאור: בעיית דליפת מידע טופלה.
CVE-2021-30888: פראקאש (@1lastBr3ath)
תודות נוספות
WebKit
ברצוננו להודות לאיוון פרטריץ' מ-Google Project Zero על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.