אודות תוכני האבטחה של iOS 13.3 ושל iPadOS 13.3

מסמך זה מתאר את תוכני האבטחה של iOS 13.3 ושל iPadOS 13.3.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple.

iOS 13.3 ו-iPadOS 13.3

הושק ב-10 בדצמבר 2019

CallKit

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch מדור שביעי

השפעה: ייתכן ששיחות שבוצעו באמצעות Siri הופעלו על ידי תוכנית סלולרית לא נכונה במכשירים שבהם קיימות שתי תוכניות פעילות

תיאור: בעיית API שהייתה קיימת בטיפול בשיחות טלפון יוצאות שבוצעו באמצעות Siri. בעיה זו טופלה באמצעות ניהול מצב משופר.

CVE-2019-8856: פבריס טראנקל מ-TERRANCLE SARL

CFNetwork

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch מדור שביעי

השפעה: תוקף במיקום מורשה ברשת עלול להצליח לעקוף את HSTS למספר מוגבל של דומיינים מסוימים ברמה עליונה שקודם לכן לא הופיעו ברשימת הטעינה מראש של HSTS

תיאור: בעיית תצורה טופלה באמצעות הגבלות נוספות.

CVE-2019-8834: רוב סאייר (‎@sayrer)

הערך נוסף ב-4 באפריל 2020

CFNetwork Proxies

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch מדור שביעי

השפעה: אפליקציה עלולה לקבל הרשאות ברמה גבוהה יותר

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2019-8848: ‏ז'ואו ליאנג מצוות Vulcan ב-Qihoo 360

FaceTime

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch מדור שביעי

השפעה: עיבוד סרטונים בעלי תוכן זדוני דרך FaceTime עלול להוביל להפעלת קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2019-8830: נטלי סילבנוביץ' מ-Google Project Zero

IOSurfaceAccelerator

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch מדור שביעי

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיה של חשיפת מידע טופלה על-ידי הסרת הקוד הפגיע.

CVE-2019-8841: ‏Corellium

ליבה

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch מדור שביעי

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה על-ידי הסרת הקוד הפגיע.

CVE-2019-8833:‏ איאן ביר מ-Google Project Zero

ליבה

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch מדור שביעי

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2019-8828: קים סטורדל מ-Cognite

CVE-2019-8838: ד"ר סילביו צ'זרה מ-InfoSect

libexpat

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch מדור שביעי

השפעה: ניתוח קובץ XML בעל מבנה זדוני עלול להוביל לחשיפת מידע משתמש

תיאור: בעיה זו טופלה באמצעות עדכון ל-expat בגרסה 2.2.8.

CVE-2019-15903: ג'ונאן ג'אנג

libpcap

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch מדור שביעי

השפעה: מספר בעיות ב-libpcap

תיאור: מספר בעיות טופלו באמצעות עדכון לגרסה 1.9.1 של libpcap

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

הערך נוסף ב-4 באפריל 2020

תמונות

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch מדור שביעי

השפעה: נתוני שמע ווידאו של Live Photo עלולים להיחשף לשיתוף דרך קישורי iCloud, גם אם Live Photo מושבת בקרוסלה של גיליון השיתוף

תיאור: הבעיה טופלה באמצעות אימות משופר כאשר קישור של iCloud נוצר.

CVE-2019-8857: טור ברוס

אבטחה

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch מדור שביעי

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2019-8832: אינסו יון מ-SSLab במכון הטכנולוגי של ג'ורג'יה

WebKit

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch מדור שביעי

השפעה: ביקור באתר בעל מבנה זדוני עלול לחשוף אתרים שבהם ביקר המשתמש

תיאור: בעיה של חשיפת מידע הייתה קיימת בטיפול ב-API של גישה לאחסון. בעיה זו טופלה באמצעות לוגיקה משופרת.

CVE-2019-8898: מייקל קלבר מ-Google

הערך נוסף ב-11 בפברואר 2020, עודכן ב-20 בפברואר 2020

WebKit

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch מדור שביעי

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.

CVE-2019-8835: אנונימי בשיתוף פעולה עם יוזמת Zero Day של Trend Micro, מייק ז'אנג מ-Pangu Team

CVE-2019-8844: וויליאם באולינג (@wcbowling)

WebKit

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch מדור שביעי

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית use-after-free טופלה באמצעות ניהול זיכרון משופר.

CVE-2019-8846: מרצ'ין טובלסקי מ-Cisco Talos

תודות נוספות

חשבונות

ברצוננו להודות לאליסון חוסיין מאוניברסיטת קליפורניה בברקלי, לקישאן בגאריה (KishanBagaria.com) ולטום סנלינג מאוניברסיטת לאפבורו על הסיוע.

הערך עודכן ב-4 באפריל 2020

נתוני ליבה

ברצוננו להודות לנטלי סילבנוביץ' מ-Google Project Zero על הסיוע.

הגדרות

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

תאריך פרסום: