אודות תוכן האבטחה של iOS 14.0 ושל iPadOS 14.0

מסמך זה מתאר את תוכן האבטחה של iOS 14.0 ו-iPadOS 14.0.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.

iOS 14.0 ו-iPadOS 14.0

הופץ ב-16 בספטמבר 2020

AppleAVD

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: ייתכן שאפליקציה תוכל לגרום לסיום בלתי צפוי של המערכת או לכתוב זיכרון ליבה

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-9958: מוחמד גנם (‎@_simo36)

Assets

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: תוקף עלול להצליח לעשות שימוש לא ראוי ביחסי אמון כדי להוריד תוכן זדוני

תיאור: בעיית אמון טופלה על ידי הסרת API מדור קודם.

CVE-2020-9979‏: CodeColorist מ-LightYear Security Lab של AntGroup

הערך עודכן ב-12 בנובמבר 2020

Audio

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: יישום זדוני עלול להצליח לקרוא זיכרון מוגבל

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-9943: ג'ון-דונג שייה מ-Ant Group Light-Year Security Lab

הערך נוסף ב-12 בנובמבר 2020

שמע

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: יישום עלול להצליח לקרוא זיכרון מוגבל

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-9944: ג'ון-דונג שייה מ-Ant Group Light-Year Security Lab

הערך נוסף ב-12 בנובמבר 2020

CoreAudio

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2020-9960: ג'ון-דונג שייה ושינגווי לין מAnt Security-Light-Year Lab

הערך נוסף ב-25 בפברואר 2021

CoreAudio

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: הפעלת קובץ שמע זדוני עלולה להוביל להפעלת קוד שרירותי

תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.

CVE-2020-9954: פרנסיס יחד עם Zero Day Initiative של Trend Micro, ג'ון-דונג שייה מ-Ant Group Light-Year Security Lab

הערך נוסף ב-12 בנובמבר 2020

CoreCapture

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2020-9949:‏ Proteas

הערך נוסף ב-12 בנובמבר 2020

CoreText

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: עיבוד קובץ מלל בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2020-9999‏: Apple

הערך נוסף ב-15 בדצמבר 2020

דמויות כונן

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2020-9965:‏ Proteas

CVE-2020-9966:‏ Proteas

הערך נוסף ב-12 בנובמבר 2020

FontParser

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: יישום זדוני עלול להצליח לקרוא זיכרון מוגבל

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2020-29629: חוקר אנונימי

הערך נוסף ב-19 בינואר 2022

FontParser

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2020-9956: מיקי ג'ין וג'ון-ג'י לו מצוות המחקר לאבטחת מכשירים ניידים של Trend Micro יחד עם Zero Day Initiative של Trend Micro

הערך נוסף ב-25 בפברואר 2021

FontParser

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: גלישת חוצץ טופלה ואימות הגודל שופר.

CVE-2020-9962: ‏ייגיט ג'ן ילמז ‏(‎@yilmazcanyigit)

הערך נוסף ב-25 בפברואר 2021

FontParser

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי

תיאור: הייתה בעיה של השחתת זיכרון בעיבוד של קובצי גופנים. בעיה זו טופלה באמצעות אימות קלט משופר.

CVE-2020-27931‏: Apple

הערך נוסף ב-25 בפברואר 2021

FontParser

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: עיבוד של גופן בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2020-29639: מיקי ג'ין וצ'י סון מ-Trend Micro

הערך נוסף ב-25 בפברואר 2021

HomeKit

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: ייתכן שתוקף במיקום מורשה ברשת יוכל לשנות מצב יישום באופן בלתי צפוי

תיאור: בעיה זו טופלה באמצעות הפצה משופרת של הגדרות.

CVE-2020-9978‏: לו-יי שינג, דונגפאנג ז'או ושיאופנג וונג מאוניברסיטת אינדיאנה בבלומינגטון, יאן ג'יה מאוניברסיטת שידיאן ומהאקדמיה הסינית למדעים ובין יואן מאוניברסיטת הואה-ג'ונג למדעים ולטכנולוגיה

הערך נוסף ב-25 בפברואר 2021

Icons

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: אפליקציה זדונית עלולה להיות מסוגלת לזהות אילו אפליקציות אחרות התקין המשתמש

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון של אייקונים.

CVE-2020-9773: חיליק תמיר מ-Zimperium zLabs

IDE Device Support

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: תוקף במיקום מורשה ברשת עלול להצליח להפעיל קוד שרירותי במכשיר מקושר במהלך הפעלת איתור באגים ברשת

תיאור: בעיה זו טופלה בעזרת הצפנת תקשורת ברשת אל מכשירים עם iOS 14,‏ iPadOS 14,‏ tvOS 14 ו-watchOS 7.

CVE-2020-9992: דני ליסיאנסקי (‎@DanyL931), ניקיאס באסן מ-Zimperium zLabs

הערך עודכן ב-17 בספטמבר 2020

ImageIO

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: עיבוד קובץ tiff שנוצר באופן זדוני עלול להוביל למניעת שירות או לחשיפה פוטנציאלית של תוכן הזיכרון

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2020-36521: שינגווי לין מ-Ant-financial Light-Year Security Lab

הערך נוסף ב-25 במאי 2022

ImageIO

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-9955‏: מיקי ג'ין מ-Trend Micro, שינגווי לין מ-Ant Security Light-Year Lab

הערך נוסף ב-15 בדצמבר 2020

ImageIO

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2020-9961‏: שינגווי לין מ-Ant Security Light-Year Lab

הערך נוסף ב-12 בנובמבר 2020

ImageIO

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: פתיחת קובץ PDF שנוצר באופן זדוני עלולה להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-9876‏: מיקי ג'ין מ-Trend Micro

הערך נוסף ב-12 בנובמבר 2020

IOSurfaceAccelerator

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: משתמש מקומי עלול להצליח לקרוא זיכרון ליבה

תיאור: בעיית אתחול זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2020-9964: מוחמד גנם (‎@_simo36), טומי מואיר (‎@Muirey03)

ליבה

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: תוקף מרחוק עלול לגרום לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות שיפור אימות הקלט.

CVE-2020-9967‏: אלכס פלאסקט (‎@alexjplaskett)

הערך נוסף ב-25 בפברואר 2021

ליבה

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2020-9975‏: טייליי וואנג מ-Pangu Lab

הערך נוסף ב-25 בפברואר 2021

ליבה

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: ייתכן שתוקף במיקום מורשה ברשת יוכל לבצע החדרה לחיבורים פעילים במנהרת VPN

תיאור: בעיית ניתוב טופלה באמצעות הגבלות משופרות.

CVE-2019-14899: ויליאם ג' טולי, בו קויאת וג'דדיה ר' קרנדל

הערך נוסף ב-12 בנובמבר 2020

מקלדת

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: אפליקציה זדונית עלולה להצליח להדליף מידע רגיש אודות המשתמש

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2020-9976‏: ריאס א' שרזאד מ-JAIDE GmbH בהמבורג, גרמניה

libxml2

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2020-9981: התגלה על-ידי OSS-Fuzz

הערך נוסף ב-12 בנובמבר 2020

libxpc

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: יישום זדוני עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.

CVE-2020-9971‏: ז'יפנג הואו (‎@R3dF09) מ-Tencent Security Xuanwu Lab

הערך נוסף ב-15 בדצמבר 2020

דואר

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: תוקף מרוחק עלול להצליח לשנות מצב של יישום באופן בלתי צפוי

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2020-9941: פביאן איסינג (Fabian Ising) מ-FH Münster University of Applied Sciences ודמיאן פודבניאק (Damian Poddebniak) מ-FH Münster University of Applied Sciences

הערך נוסף ב-12 בנובמבר 2020

הודעות

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: משתמש מקומי עלול להצליח לגלות הודעות משתמש שנמחקו

תיאור: הבעיה טופלה באמצעות שיפור מחיקה.

CVE-2020-9988: ויליאם ברויאר (William Breuer) מהולנד

CVE-2020-9989:‏ von Brunn Media

הערך נוסף ב-12 בנובמבר 2020

Model I/O

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: עיבוד של קובץ USD שנוצר באופן זדוני עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-13520: אלכסנדר ניקוליץ' מ-Cisco Talos

הערך נוסף ב-12 בנובמבר 2020

Model I/O

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: עיבוד של קובץ USD שנוצר באופן זדוני עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.

CVE-2020-6147: אלכסנדר ניקוליץ' מ-Cisco Talos

CVE-2020-9972: אלכסנדר ניקוליץ' מ-Cisco Talos

הערך נוסף ב-12 בנובמבר 2020

Model I/O

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: עיבוד של קובץ USD שנוצר באופן זדוני עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-9973: אלכסנדר ניקוליץ' מ-Cisco Talos

NetworkExtension

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: יישום זדוני עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2020-9996: ז'יוואי יואן מ-Trend Micro iCore Team, ג'ונז'י לו ומיקי ג'ין מ-Trend Micro

הערך נוסף ב-12 בנובמבר 2020

Phone

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: נעילת המסך עלולה לא להשתחרר לאחר פרק הזמן שצוין

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2020-9946: דניאל לארסון מ-iolight AB

מבט מהיר

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: יישום זדוני עלול להצליח לקבוע את קיומם של קבצים במחשב

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון של אייקונים.

CVE-2020-9963: סאבה פיצל (Csaba Fitzl)‏ (‎@theevilbit) מ-Offensive Security

הערך נוסף ב-12 בנובמבר 2020

Safari

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: יישום זדוני עלול להצליח לזהות כרטיסיות פתוחות של משתמש ב-Safari

תיאור: בעיית אימות קיימת בטיפול באימות זכאות. בעיה זו תוקנה באמצעות אימות משופר של תהליך הזכאות.

CVE-2020-9977: ג'וש פרנהאם (Josh Parnham)‏ (‎@joshparnham)

הערך נוסף ב-12 בנובמבר 2020

Safari

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות

תיאור: הבעיה טופלה באמצעות טיפול משופר בממשק המשתמש.

CVE-2020-9993: מסאטו סוגיאמה (‎@smasato) מאוניברסיטת טסוקובה, פיוטר דושינסקי

הערך נוסף ב-12 בנובמבר 2020

Sandbox

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: משתמש מקומי עלול להצליח לצפות במידע רגיש אודות משתמש

תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות.

CVE-2020-9969: וויצ'ך רגולה (Wojciech Reguła) מ-SecuRing‏ (wojciechregula.blog)

הערך נוסף ב-12 בנובמבר 2020

Sandbox

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: יישום זדוני עלול להצליח לגשת לקבצים מוגבלים

תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.

CVE-2020-9968‏: אדם צ'סטר (‎@_xpn_‎) מ-TrustedSec

הערך עודכן ב-17 בספטמבר 2020

Siri

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: אדם שיש לו גישה פיזית למכשיר iOS עלול להצליח לראות תוכן עדכונים ממסך הנעילה

תיאור: בעיה במסך הנעילה אפשרה גישה להודעות במכשיר נעול. בעיה זו טופלה באמצעות ניהול מצב משופר.

CVE-2020-9959: חוקר אנונימי, חוקר אנונימי, חוקר אנונימי, חוקר אנונימי, חוקר אנונימי, חוקר אנונימי, אנדרו גולדברג מאוניברסיטת טקסס באוסטין, McCombs School of Business, מליח קרם גונש מ-Li̇v College, סינאן גולגולר

הערך עודכן ב-15 בדצמבר 2020

SQLite

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2020-13434

CVE-2020-13435

CVE-2020-9991

הערך נוסף ב-12 בנובמבר 2020

SQLite

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: תוקף מרוחק עלול להצליח להדליף זיכרון

תיאור: בעיית חשיפת מידע טופלה באמצעות ניהול מצבים משופר.

CVE-2020-9849

הערך נוסף ב-12 בנובמבר 2020

SQLite

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: מספר בעיות ב-SQLite

תיאור: מספר בעיות טופלו באמצעות עדכון SQLite לגרסה 3.32.3.

CVE-2020-15358

הערך נוסף ב-12 בנובמבר 2020

SQLite

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: שאילתת SQL בעלת מבנה זדוני עלולה להוביל להשחתת נתונים

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2020-13631

הערך נוסף ב-12 בנובמבר 2020

SQLite

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: תוקף מרוחק עלול להצליח להפעיל קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2020-13630

הערך נוסף ב-12 בנובמבר 2020

WebKit

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2020-9947: ‏cc יחד עם Zero Day Initiative של Trend Micro

CVE-2020-9950: ‏cc יחד עם Zero Day Initiative של Trend Micro

CVE-2020-9951‏: מרצין 'Icewall' נוגה מ-Cisco Talos

הערך נוסף ב-12 בנובמבר 2020

WebKit

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-9983‏: ז'ונקי

הערך נוסף ב-12 בנובמבר 2020

WebKit

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול לגרום להתקפת Scripting בין אתרים

תיאור: בעיית אימות קלט טופלה באמצעות אימות קלט משופר.

CVE-2020-9952: ריאן פיקרן (ryanpickren.com)

Wi-Fi

זמין עבור: iPhone 6s ואילך, iPad Air 2 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2020-10013: יו וואנג מ-Didi Research America

הערך נוסף ב-12 בנובמבר 2020

תודות נוספות

802.1X

אנחנו מבקשים להודות לכנאנה דאלה מאוניברסיטת חמד בין ח'ליפה ולריאן ריילי מאוניברסיטת קרנגי מלון בקטאר על הסיוע.

הערך נוסף ב-15 בדצמבר 2020

App Store

אנחנו מבקשים להודות לגיאס אומארוב מ-Holmdel High School על הסיוע.

שמע

אנחנו מבקשים להודות לג'ון-דונג שייה ולשינג-וויי לין מ-Ant-financial Light-Year Security Lab על הסיוע.

הערך נוסף ב-12 בנובמבר 2020

Bluetooth

אנחנו מבקשים להודות לאנדי דייוויס מ-NCC Group ולדניס היינצה (‎@ttdennis) מהאוניברסיטה הטכנית של דרמשטאדט, Secure Mobile Networking Lab על הסיוע.

CallKit

אנחנו מבקשים להודות לפדריקו צנטלו על הסיוע.

CarPlay

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

Clang

אנחנו מבקשים להודות לברנדון אזאד (Brandon Azad) מ-Google Project Zero על הסיוע.

הערך נוסף ב-12 בנובמבר 2020

Core Location

ברצוננו להודות לייגיט קאן יילמז (Yiğit Can YILMAZ)‏ (‎@yilmazcanyigit) על העזרה.

Crash Reporter

אנחנו מבקשים להודות לארתור ביסקו מ-AFINE על הסיוע.

הערך נוסף ב-15 בדצמבר 2020

debugserver

אנחנו מבקשים להודות ללינוס הנזה (pinauten.de) על הסיוע.

FaceTime

אנחנו מבקשים להודות לפדריקו צנטלו על הסיוע.

הערך נוסף ב-25 בפברואר 2021

iAP

אנחנו מבקשים להודות לאנדי דייוויס מ-NCC Group על הסיוע.

iBoot

אנחנו מבקשים להודות לברנדון אזאד (Brandon Azad) מ-Google Project Zero על הסיוע.

ליבה

אנחנו מבקשים להודות לברנדון אזאד מ-Google Project Zero ולסטפן רוטגר מ-Google על הסיוע.

הערך עודכן ב-12 בנובמבר 2020

libarchive

אנחנו מבקשים להודות לדמיטרי פלוטניקוב ולחוקר אנונימי על הסיוע.

libxml2

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

הערך נוסף ב-25 בפברואר 2021

lldb

אנחנו מבקשים להודות ללינוס הנזה (pinauten.de) על הסיוע.

הערך נוסף ב-12 בנובמבר 2020

Location Framework

אנחנו מבקשים להודות לניקולאס ברונר (linkedin.com/in/nicolas-brunner-651bb4128) על הסיוע.

הערך עודכן ב-19 באוקטובר 2020

Mail

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

הערך נוסף ב-12 בנובמבר 2020

Mail Drafts

אנחנו מבקשים להודות לג'ון בוטאריני מ-HackerOne על הסיוע.

הערך נוסף ב-12 בנובמבר 2020

מפות

אנחנו מבקשים להודות למתיו דולאן מ-Amazon Alexa על הסיוע.

NetworkExtension

אנחנו מבקשים להודות לתייס אלקמאדה מ-Computest ול-Qubo Song מ-'Symantec, מחלקה של Broadcom' על הסיוע.

Phone Keypad

אנחנו מבקשים להודות לחסן פאהרטין קאיה מהפקולטה לתיירות באוניברסיטת אקדניז ולחוקר אנונימי על הסיוע.

הערך נוסף ב-12 בנובמבר 2020, עודכן ב-15 בדצמבר 2020

Safari

אנחנו מבקשים להודות לאנדראס גוטמן (‎@KryptoAndI) ממרכז החדשנות של OneSpan‏ (onespan.com) ויוניברסיטי קולג' לונדון, לסטיבן ג' מרדוק (‎@SJMurdoch) ממרכז החדשנות של OneSpan‏ (onespan.com) ויוניברסיטי קולג' לונדון, לג'ק קייבל מ-Lightning Security, לריאן פיקרן (ryanpickren.com) וליאיר עמית על הסיוע.

הערך נוסף ב-12 בנובמבר 2020

הקורא של Safari

אנחנו מבקשים להודות לג'יאנג זנג (‎@Wester) מ-OPPO ZIWU Security Lab על הסיוע.

הערך נוסף ב-12 בנובמבר 2020

אבטחה

אנחנו מבקשים להודות לכריסטיאן סטארקיוהן מ-Objective Development Software GmbH על הסיוע.

הערך נוסף ב-12 בנובמבר 2020

Status Bar

אנחנו מבקשים להודות לעבדול מ' מג'ומדר, עבדאללה פסיחאללה מאוניברסיטת טאיף, עדוויאת ויקאס בהידה, פרדריק שמיד, ניקיטה וחוקר אנונימי על הסיוע.

טלפוניה

אנחנו מבקשים להודות לאונור ג'אן ביקמז מ-Vodafone Turkey ‏‎@canbkmaz, לייאיט ג'אן יילמז (‎@yilmazcanyigit) ולחוקר אנונימי על הסיוע.

הערך עודכן ב-12 בנובמבר 2020

UIKit

אנחנו מבקשים להודות לבורז'ה מארקוס מ-Sarenet, סימון דה וגט וטלאל חאג' בארכי (‎@hajbakri) ולטומי מיסק (‎@tommymysk) מ-Mysk Inc על הסיוע.

Web App

אנחנו מבקשים להודות לאוגוסטו אלווארז מ-Outcourse Limited על הסיוע.

הערך נוסף ב-25 בפברואר 2021

Web App

אנחנו מבקשים להודות לאוגוסטו אלווארז מ-Outcourse Limited על הסיוע.

WebKit

אנחנו מבקשים להודות לפאבל וילסיאל מ-REDTEAM.PL, ריאן פיקרן (ryanpickren.com), צובאסה פוג'י (‎@reinforchu), ז'יאנג זנג (‎@Wester) מ-OPPO ZIWU Security Lab ומקסימיליאן בלוכברגר מ-Security in Distributed Systems Group של אוניברסיטת המבורג על הסיוע.

הערך נוסף ב-12 בנובמבר 2020, עודכן ב-25 במאי 2022

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

תאריך פרסום: