אודות תוכני האבטחה של iOS 14.5 ושל iPadOS 14.5

מסמך זה מתאר את תוכן האבטחה של iOS 14.5 ו-iPadOS 14.5.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.

iOS 14.5 ו-iPadOS 14.5

הופץ ב-26 באפריל 2021

Accessibility

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: אדם שיש לו גישה פיזית למכשיר iOS עשוי להצליח להיכנס לפתקים ממסך הנעילה

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2021-1835: videosdebarraquito

App Store

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: תוקף במיקום מורשה ברשת עשוי להצליח לשנות תעבורה ברשת

תיאור: בעיית אימות אישורים טופלה.

CVE-2021-1837: ‏Aapo Oksman of Nixu Cybersecurity

Apple Neural Engine

זמין עבור: iPhone 8 ואילך, iPad Pro (דור שלישי) ואילך ו-iPad Air (דור שלישי) ואילך

השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2021-1867: ‏Zuozhi Fan (@pattern_F_) and Wish Wu (吴潍浠) of Ant Group Tianqiong Security Lab

AppleMobileFileIntegrity

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: יישום זדוני עלול להצליח לעקוף את העדפות הפרטיות

תיאור: בעיה באימות חתימה של קוד טופלה באמצעות בדיקות משופרות.

CVE-2021-1849: ‏Siguza

Assets

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: משתמש מקומי עלול להצליח ליצור או לשנות קבצים מורשים

תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.

CVE-2021-1836: ‏an anonymous researcher

Audio

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: יישום עלול להצליח לקרוא זיכרון מוגבל

תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.

CVE-2021-1808: ‏JunDong Xie of Ant Security Light-Year Lab

Audio

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיה בצריכת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2021-30742: מיקי ג'ין מ-Trend Micro בעבודה עם Zero Day Initiative של Trend Micro

הערך נוסף ב-21 ביולי 2021 

CFNetwork

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: עיבוד של תוכן אינטרנט זדוני עשוי להביא לגילוי מידע רגיש של משתמשים

תיאור: בעיית אתחול זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2021-1857: ‏an anonymous researcher

Compression

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2021-30752: יה ז'אנג (‎@co0py_Cat) מ-Baidu Security

הערך נוסף ב-28 במאי 2021

CoreAudio

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2021-30664: ‏ג'ון-דונג שייה מ-Ant Security Light-Year Lab

הערך נוסף ב-28 במאי 2021

CoreAudio

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2021-30664: ‏ג'ון-דונג שייה מ-Ant Security Light-Year Lab

הערך נוסף ב-6 במאי 2021

CoreAudio

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול לחשוף זיכרון מוגבל

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2021-1846: ‏JunDong Xie of Ant Security Light-Year Lab

CoreAudio

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: יישום זדוני עלול להצליח לקרוא זיכרון מוגבל

תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.

CVE-2021-1809: ‏JunDong Xie of Ant Security Light-Year Lab

CoreFoundation

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: אפליקציה זדונית עלולה להצליח להדליף מידע רגיש אודות המשתמש

תיאור: בעיית אימות טופלה באמצעות לוגיקה משופרת.

CVE-2021-30659: תייס אלקמדה מ-Computest

Core Motion

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.

CVE-2021-1812: סידהארת' ארי (‎@b1n4r1b01)

הערך נוסף ב-28 במאי 2021

CoreText

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: עיבוד של גופן בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2021-1811: ‏Xingwei Lin of Ant Security Light-Year Lab

FaceTime

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: ייתכן שהשתקה של שיחת CallKit תוך כדי חיוג לא תפעיל את ההשתקה

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2021-1872: ‏Siraj Zaneer of Facebook

FontParser

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2021-1881: an anonymous researcher, Xingwei Lin of Ant Security Light-Year Lab, Mickey Jin of Trend Micro, and Hou JingYi (@hjy79425575) of Qihoo 360

Foundation

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר

תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.

CVE-2021-1882: ‏Gabe Kirkpatrick (@gabe_k)

Foundation

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: ייתכן שאפליקציה זדונית תצליח לקבל הרשאות בסיס

תיאור: בעיית אימות טופלה באמצעות לוגיקה משופרת.

CVE-2021-1813: ‏Cees Elzinga

GPU Drivers

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: יישום זדוני עלול להצליח לקבוע את פריסת זיכרון הליבה

תיאור: בעיית גישה טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2021-30656: ‏Justin Sherman of University of Maryland, Baltimore County

Heimdal

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: עיבוד הודעות שרת בעלות מבנה זדוני עלול להוביל לפגם בזיכרון

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2021-1883: ‏Gabe Kirkpatrick (@gabe_k)

Heimdal

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות

תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.

CVE-2021-1884: ‏Gabe Kirkpatrick (@gabe_k)

ImageIO

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2021-30743: ‏CFF מ-Topsec Alpha Team, יה ז'אנג (‎@co0py_Cat) מ-Baidu Security וג'אונגהון שין (‎@singi21a) מ-THEORI בעבודה עם Zero Day Initiative של Trend Micro

הערך נוסף ב-28 במאי 2021

ImageIO

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2021-1885: CFF of Topsec Alpha Team

ImageIO

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2021-30653: ‏Ye Zhang of Baidu Security

CVE-2021-1843: ‏Ye Zhang of Baidu Security

ImageIO

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2021-1858: ‏Mickey Jin of Trend Micro

ImageIO

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2021-30764:‏ אנונימי בעבודה עם Zero Day Initiative של Trend Micro

CVE-2021-30662: אנונימי בעבודה עם Zero Day Initiative של Trend Micro, ז'ו בעבודה עם Zero Day Initiative של Trend Micro

הערך נוסף ב-21 ביולי 2021 

iTunes Store

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: תוקף עם יכולת הפעלת JavaScript עלול להצליח להפעיל קוד שרירותי

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2021-1864: ‏CodeColorist מ-Ant-Financial LightYear Labs

Kernel

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: משתמש מקומי עלול להצליח לקרוא זיכרון ליבה

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2021-1877: ‏Zuozhi Fan (@pattern_F_) of Ant Group Tianqiong Security Lab

CVE-2021-1852: ‏Zuozhi Fan (@pattern_F_) of Ant Group Tianqiong Security Lab

CVE-2021-1830: ‏Tielei Wang of Pangu Lab

Kernel

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2021-1874: ‏Zuozhi Fan (@pattern_F_) of Ant Group Tianqiong Security Lab

CVE-2021-1851:‏ ‎@0xalsr

Kernel

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: יישום זדוני עלול לחשוף את זיכרון הליבה

תיאור: בעיית אתחול זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2021-1860: @0xalsr

Kernel

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.

CVE-2021-1816: ‏Tielei Wang of Pangu Lab

Kernel

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: ייתכן שלקבצים שהועתקו לא יהיו הרשאות הקובץ המצופות

תיאור: הבעיה טופלה באמצעות שיפור הלוגיקה של ההרשאות.

CVE-2021-1832: ‏an anonymous researcher

Kernel

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: יישום זדוני עלול לחשוף את זיכרון הליבה

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2021-30660: Alex Plaskett

libxpc

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: ייתכן שאפליקציה זדונית תצליח לקבל הרשאות בסיס

תיאור: מצב מירוץ טופל באמצעות אימות נוסף.

CVE-2021-30652: ‏James Hutchins

libxslt

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לפגם בזיכרון

תיאור: בעיית שחרור כפול טופלה באמצעות ניהול זיכרון משופר.

CVE-2021-1875: ‏Found by OSS-Fuzz

MobileAccessoryUpdater

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2021-1833: קייס אלזינחה

הערך נוסף ב-28 במאי 2021

MobileInstallation

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: ייתכן שמשתמש מקומי יוכל לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.

CVE-2021-1822: ‏Bruno Virlet of The Grizzly Labs

Password Manager

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: ייתכן שסיסמת משתמש תהיה גלויה על המסך

תיאור: בעיה בטשטוש סיסמאות בצילומי מסך טופלה באמצעות לוגיקה משופרת.

CVE-2021-1865: ‏Shibin B Shaji of UST

Preferences

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: ייתכן שמשתמש מקומי יוכל לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיית ניתוח בטיפול בנתיבים של ספריות טופלה על ידי אימות נתיבים משופר.

CVE-2021-1815: ‏Zhipeng Huo (@R3dF09) and Yuebin Sun (@yuebinsun2020) of Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1739: ‏Zhipeng Huo (@R3dF09) and Yuebin Sun (@yuebinsun2020) of Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1740: ‏Zhipeng Huo (@R3dF09) and Yuebin Sun (@yuebinsun2020) of Tencent Security Xuanwu Lab (xlab.tencent.com)

Quick Response

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: ייתכן שאדם שיש לו גישה פיזית למכשיר iOS יוכל להתקשר לכל מספר טלפון שהוא

תיאור: הייתה בעיה באימות הפעולה שמופעלת על-ידי תג NFC. הבעיה טופלה באמצעות אימות פעולה משופר.

CVE-2021-1863: רפהאן אוזגורור

הערך נוסף ב-28 במאי 2021

Safari

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: משתמש מקומי עלול להצליח לכתוב קבצים שרירותיים

תיאור: בעיית אימות טופלה באמצעות סניטציה משופרת של קלט.

CVE-2021-1807: ‏David Schütz (@xdavidhu)

קיצורים

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: אפליקציה עלולה לאפשר לקיצורי דרך לגשת לקבצים מוגבלים

תיאור: הבעיה טופלה באמצעות שיפור הלוגיקה של ההרשאות.

CVE-2021-1831: ‏Bouke van der Bijl

Siri

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: בעיה בגישה של החיפוש של Siri טופלה באמצעות לוגיקה משופרת

תיאור: אדם עם גישה פיזית עלול להצליח לגשת לאנשי קשר.

CVE-2021-1862: אנשראג' סריוואסטבה (‎@AnshrajSrivas14) מ-UKEF

הערך נוסף ב-6 במאי 2021, עודכן ב-21 ביולי 2021

Tailspin

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: תוקף מקומי עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2021-1868: ‏Tim Michaud of Zoom Communications

TCC

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: אפליקציה זדונית עלולה להצליח להדליף מידע רגיש אודות המשתמש

תיאור: בעיית אימות טופלה באמצעות לוגיקה משופרת.

CVE-2021-30659: תייס אלקמדה מ-Computest

הערך נוסף ב-28 במאי 2021

Telephony

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: רשת סלולרית מדור קודם יכולה לענות באופן אוטומטי לשיחה נכנסת כאשר שיחה נוכחית מסתיימת או מתנתקת. 

תיאור: בעיית בסיום שיחות טופלה באמצעות לוגיקה משופרת.

CVE-2021-1854: ‏Steven Thorne of Cspire

UIKit

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: ייתכן שסיסמת משתמש תהיה גלויה על המסך

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2021-30921: מקסימיליאן בלוכברגר מ‑Security in Distributed Systems Group באוניברסיטת המבורג

הערך נוסף ב-19 בינואר 2022

Wallet

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: משתמש מקומי עלול להצליח להציג מידע רגיש במחליף היישומים

תיאור: הבעיה טופלה באמצעות טיפול משופר בממשק המשתמש.

CVE-2021-1848: ‏Bradley D’Amato of ActionIQ

WebKit

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול לגרום להתקפת Scripting בין אתרים

תיאור: בעיית אימות קלט טופלה באמצעות אימות קלט משופר.

CVE-2021-1825: ‏Alex Camboe of Aon’s Cyber Solutions

WebKit

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2021-1817: ז'ונקי

הערך עודכן ב-6 במאי 2021

WebKit

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: עיבוד תוכן אינטרנטי בעל מבנה זדוני עלול לגרום ל-Scripting אוניברסלי בין אתרים

תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.

CVE-2021-1826: ‏an anonymous researcher

WebKit

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: בעיית אתחול זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2021-1820‏: אנדרה ברגול

הערך עודכן ב-6 במאי 2021

WebKit Storage

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה באופן פעיל.

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2021-30661: yangkang(@dnpushme) of 360 ATA

WebRTC

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: תוקף מרחוק עלול לגרום לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2020-7463‏: Megan2013678

Wi-Fi

זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)

השפעה: גלישת חוצץ עלולה לגרום לביצוע קוד שרירותי

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2021-1770‏: ייסקה קלאסן (‎@naehrdine) מ-Secure Mobile Networking Lab‏, האוניברסיטה הטכנית של דרמשטאדט

הערך נוסף ב-28 במאי 2021

תודות נוספות

Accounts Framework

אנחנו מבקשים להודות לאלוגאני מוחמד מ-Dr.Phones Recycle Inc.‎ על הסיוע.

הערך נוסף ב-6 במאי 2021

AirDrop

אנחנו מבקשים להודות ל-‎@maxzks על הסיוע.

הערך נוסף ב-6 במאי 2021

Assets

אנחנו מבקשים להודות לקייס אלזינחה (Cees Elzinga) על הסיוע.

הערך נוסף ב-6 במאי 2021

CoreAudio

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

הערך נוסף ב-6 במאי 2021

CoreCrypto

אנחנו מבקשים להודות לאנדי רוסון מ-Orange Group על הסיוע.

הערך נוסף ב-6 במאי 2021

File Bookmark

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

הערך נוסף ב-6 במאי 2021

קבצים

אנחנו מבקשים להודות לעומאר אספינו (omespino.com) על הסיוע.

הרשומה נוספה ב-25 במאי 2022

יסוד

אנחנו מבקשים להודות ל-CodeColorist מ-Ant-Financial LightYear Labs על הסיוע.

הערך נוסף ב-6 במאי 2021

Kernel

אנחנו מבקשים להודות לאנטוניו פריגטו מ-Politecnico di Milano, ל-GRIMM, לקאיו מאן, לז'יון צ'יאן, לז'ונגג'י וואנג, לשיופנג ז'נג, ליוג'ון הואנג, להיישין דואן, למיקו קנטאלה ( ‎@Turmio_‎ ) מ-SensorFu, ל-Proteas ולטיילי וואנג מ-Pangu Lab ולזיוז'י פאן (‎@pattern_F_‎) מ-Ant Group Tianqiong Security Lab על הסיוע.

הערך נוסף ב-6 במאי 2021

Mail

ברצוננו להודות ללאוריץ הולטמן (‎@_lauritz_), למוחמד קוראני (facebook.com/MohamedMoustafa4) ולייג'יט קאן YILMAZ (‏‎@yilmazcanyigit) על הסיוע.

הערך נוסף ב-6 במאי 2021

NetworkExtension

אנחנו מבקשים להודות לפביאן הרטמן על הסיוע.

הערך נוסף ב-6 במאי 2021

Safari Private Browsing

אנחנו מבקשים להודות לדור כהנא ולגרידלורו ורה ולפראנאיי נאידו על הסיוע.

הערך נוסף ב-6 במאי 2021

Security

אנחנו מבקשים להודות לשינגווי לין מ-Ant Security Light-Year Lab ולג'ון (‎@nyan_satan) על הסיוע.

הערך נוסף ב-6 במאי 2021

sysdiagnose

אנחנו מבקשים להודות לטים מישו (‎@TimGMichaud) מ-Leviathan על הסיוע.

הערך נוסף ב-6 במאי 2021

WebKit

אנחנו מבקשים להודות לאמיליו קובוס אלוורז מ-Mozilla על הסיוע.

הערך נוסף ב-6 במאי 2021

WebSheet

אנחנו מבקשים להודות לפטריק קלובר על הסיוע.

הערך נוסף ב-6 במאי 2021

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: