אודות עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple.
iOS 13.2 ו-iPadOS 13.2
הושק ב-28 באוקטובר 2019
חשבונות
זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch דור 7
השפעה: ייתכן שתוקף מרוחק יצליח להדליף זיכרון
תיאור: קריאה מחוץ לתחום טופלה באמצעות שיפור באימות קלט.
CVE-2019-8787: סטפן קלי מ-Secure Mobile Networking Lab ב-Technische Universität Darmstadt
App Store
זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch דור 7
השפעה: ייתכן שתוקף מקומי יוכל להתחבר לחשבון של משתמש שהיה מחובר בעבר ללא אישורי כניסה חוקיים.
תיאור: בעיית אימות טופלה באמצעות ניהול מצבים משופר.
CVE-2019-8803: קיון אן, 차민규 (צ'ה מין-קיו)
דומיינים משויכים
זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch דור 7
השפעה: עיבוד לא תקין של URL עלול להוביל לדליפת נתונים
תיאור: בעיה הייתה קיימת בטיפול בניתוח כתובות URL. בעיה זו תוקנה באמצעות שיפור באימות קלט.
CVE-2019-8788: יוהה לינדשטדט מ-Pakastin, מירקו טנניה, ראולי ריקאמה מ-Zero Keyboard Ltd
שמע
זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch דור 7
השפעה: ייתכן שאפליקציה תוכל להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2019-8785: Ian Beer מ-Google Project Zero
CVE-2019-8797: 08Tc3wBB בעבודה עם SSD Secure Disclosure
AVEVideoEncoder
זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch דור 7
השפעה: ייתכן שאפליקציה תוכל להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2019-8795: 08Tc3wBB בעבודה עם SSD Secure Disclosure
Books
זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch דור 7
השפעה: ניתוח קובץ iBooks בעל מבנה זדוני עלול להוביל להסגרת מידע משתמש
תיאור: בעיית אימות הייתה קיימת בטיפול בקישורים סימבוליים. בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.
CVE-2019-8789: גרטיאן פרנקן מ-imec-DistriNet, KU Leuven
אנשי קשר
זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch דור 7
השפעה: עיבוד איש קשר זדוני עלול להוביל לזיוף זהות בממשק משתמש
תיאור: תקלה של ממשק משתמש לא עקבית תוקנה באמצעות ניהול מצב משופר
CVE-2017-7152: אוליבר פאוקשדטד מ-Thinking Objects GmbH (to.com)
אירועי מערכת בקובץ
זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch דור 7
השפעה: ייתכן שאפליקציה תוכל להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2019-8798: ABC Research s.r.o. בעבודה עם Zero Day Initiative של Trend Micro
Graphics Driver
זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch דור 7
השפעה: ייתכן שאפליקציה תוכל להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2019-8784: וסילי וסילייב ואיליה פינוגייב מ-Webinar, LLC
ליבה
זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch דור 7
השפעה: ייתכן שאפליקציה תצליח לקרוא זיכרון מוגבל
תיאור: בעיית אימות טופלה באמצעות סניטציה משופרת של קלט.
CVE-2019-8794: 08Tc3wBB בעבודה עם SSD Secure Disclosure
ליבה
זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch דור 7
השפעה: ייתכן שאפליקציה תוכל להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2019-8786: חוקר אנונימי
ליבה
זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch דור 7
השפעה: ייתכן שאפליקציה תוכל להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: נקודת תורפה של השחתת הזיכרון נפתרה באמצעות נעילה משופרת.
CVE-2019-8829: יאן הורן מ-Google Project Zero
הערך נוסף ב-8 בנובמבר 2019
מדריך ההגדרות
זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch דור 7
השפעה: ייתכן שתוקף בקרבה פיזית יוכל לכפות על משתמש רשת Wi-Fi זדונית במהלך הגדרת מכשיר
תיאור: חוסר עקביות בהגדרות תצורה של רשת Wi-Fi טופל.
CVE-2019-8804: כריסטי פיליפ מת'יו מ-Zimperium, Inc
הקלטת מסך
זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch דור 7
השפעה: ייתכן שמשתמש מקומי יוכל להקליט את המסך ללא חיווי גלוי של הקלטת מסך
תיאור: הייתה בעיית עקביות בהחלטה מתי להציג את החיווי של הקלטת המסך. הבעיה נפתרה באמצעות ניהול מצבים משופר.
CVE-2019-8793: ריאן ג'נקינס מ-Lake Forrest Prep School
WebKit
זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch דור 7
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול לגרום ל-Scripting אוניברסלי בין אתרים
תיאור: בעיה לוגית טופלה באמצעות ניהול מצב משופר.
CVE-2019-8813: חוקר אנונימי
WebKit
זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch דור 7
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיות מרובות של השחתת זיכרון טופלו בעזרת טיפול טוב יותר בזיכרון.
CVE-2019-8782: צ'ו-לונג לי מ-LINE+ Security Team
CVE-2019-8783: צ'ו-לונג לי מ-LINE+ Graylab Security Team
CVE-2019-8808: התגלה על-ידי OSS-Fuzz
CVE-2019-8811: סו-יון פארק מ-SSLab ב-Georgia Tech
CVE-2019-8812: חוקר אנונימי
CVE-2019-8814: צ'ו-לונג לי מ-LINE+ Security Team
CVE-2019-8816: סו-יון פארק מ-SSLab ב-Georgia Tech
CVE-2019-8819: צ'ו-לונג לי מ-LINE+ Security Team
CVE-2019-8820: סמואל גרוס מ-Google Project Zero
CVE-2019-8821: סרגיי גלזונוב מ-Google Project Zero
CVE-2019-8822: סרגיי גלזונוב מ-Google Project Zero
CVE-2019-8823: סרגיי גלזונוב מ-Google Project Zero
מודל תהליך WebKit
זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch דור 7
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיות מרובות של השחתת זיכרון טופלו בעזרת טיפול טוב יותר בזיכרון.
CVE-2019-8815: Apple
תודות נוספות
CFNetwork
אנחנו מבקשים להודות ללילי צ'ן מ-Google על הסיוע.
ליבה
אנחנו מבקשים להודות לדניאל רות'ליסברגר מ-Swisscom CSIRT וליאן הורן מ-Google Project Zero על הסיוע.
הערך עודכן ב-8 בנובמבר 2019
WebKit
אנחנו מבקשים להודות לדלייב מ-Tencent's Xuanwu Lab ולג'י-יי ג'אנג מ-Codesafe Team of Legendsec ב-Qi'anxin Group על הסיוע.