Informacije o sigurnosnom sadržaju sustava iOS 14.4 i iPadOS 14.4

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 14.4 i iPadOS 14.4.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 14.4 i iPadOS 14.4

Objavljeno 26. siječnja 2021.

Analytics

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2021-1761: Cees Elzinga

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

APFS

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: lokalni korisnik mogao bi čitati proizvoljne datoteke

Opis: problem je riješen poboljšanom logikom za dozvole.

CVE-2021-1797: Thomas Tempelmann

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

Bluetooth

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: udaljeni napadač mogao bi uzrokovati izvršavanje proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-1794: Jianjun Dai (360 Alpha Lab)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

Bluetooth

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: udaljeni napadač mogao bi uzrokovati izvršavanje proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-1795: Jianjun Dai (360 Alpha Lab)

CVE-2021-1796: Jianjun Dai (360 Alpha Lab)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

Bluetooth

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: napadač s mrežnim ovlastima mogao bi izazvati napad odbijanja usluge

Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2021-1780: Jianjun Dai (360 Alpha Lab)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

CoreAnimation

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: zlonamjerna aplikacija mogla bi izvršiti proizvoljni kod, što može uzrokovati ugrožavanje korisničkih podataka

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2021-1760: @S0rryMybad (360 Vulcan Team)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

CoreAudio

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-1747: JunDong Xie (Ant Security Light-Year Lab)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

CoreGraphics

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2021-1776: Ivan Fratric (Google Project Zero)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

CoreMedia

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-1759: Hou JingYi (@hjy79425575) (Qihoo 360 CERT)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

CoreText

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: obradom zlonamjerne tekstne datoteke može doći do izvršavanja proizvoljnog koda

Opis: problem s prekoračenjem stoga riješen je poboljšanom provjerom valjanosti ulaznih vrijednosti.

CVE-2021-1772: Mickey Jin (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

CoreText

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: udaljeni napadač mogao bi uzrokovati izvršavanje proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2021-1792: Mickey Jin i Junzhi Lu (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

Crash Reporter

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: lokalni korisnik mogao bi izraditi ili izmijeniti datoteke sustava

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2021-1786: Csaba Fitzl (@theevilbit) (Offensive Security)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

Crash Reporter

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: lokalni napadač mogao bi povećati svoje ovlasti

Opis: više problema riješeno je poboljšanom logikom.

CVE-2021-1787: James Hutchins

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

FairPlay

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: zlonamjerna aplikacija mogla bi otkriti kernelsku memoriju

Opis: otkriven je problem s prekoračenjem čitanja, koji je doveo do otkrivanja sadržaja kernelske memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-1791: Junzhi Lu (@pwn0rz), Qi Sun i Mickey Jin (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

FontParser

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: udaljeni napadač mogao bi uzrokovati izvršavanje proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2021-1758: Peter Nguyen (STAR Labs)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

ImageIO

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: obradom zlonamjerne slike može doći do uskraćivanja usluge

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2021-1773: Xingwei Lin (Ant Security Light-Year Lab)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

ImageIO

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: obradom zlonamjerne slike može doći do uskraćivanja usluge

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2021-1766: Danny Rosseau (Carve Systems)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

ImageIO

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-1785: Xingwei Lin (Ant Security Light-Year Lab)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

ImageIO

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-1737: Xingwei Lin (Ant Security Light-Year Lab)

CVE-2021-1738: Lei Sun

CVE-2021-1744: Xingwei Lin (Ant Security Light-Year Lab)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

ImageIO

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2021-1818: Xingwei Lin (Ant-Financial Light-Year Security Lab)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

ImageIO

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2021-1838: Mickey Jin i Qi Sun (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)

CVE-2021-1742: Xingwei Lin (Ant Security Light-Year Lab)

CVE-2021-1746: Xingwei Lin (Ant Security Light-Year Lab), Mickey Jin i Qi Sun (Trend Micro) u suradnji s inicijativom Zero Day tvrtke Trend Micro i Jeonghoon Shin (@ singi21a) (THEORI)

CVE-2021-1754: Xingwei Lin (Ant Security Light-Year Lab)

CVE-2021-1774: Xingwei Lin (Ant Security Light-Year Lab)

CVE-2021-1793: Xingwei Lin (Ant Security Light-Year Lab)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

ImageIO

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2021-1741: Xingwei Lin (Ant Security Light-Year Lab)

CVE-2021-1743: Mickey Jin i Junzhi Lu (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro), Xingwei Lin (Ant Security Light-Year Lab)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

ImageIO

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: obradom zlonamjerne slike može doći do uskraćivanja usluge

Opis: u funkciji curl postojao je problem s čitanjem izvan dopuštenog opsega. Taj je problem riješen poboljšanom provjerom ograničenja.

CVE-2021-1778: Xingwei Lin (Ant Security Light-Year Lab)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

ImageIO

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda

Opis: problem s pristupom riješen je poboljšanim upravljanjem memorijom.

CVE-2021-1783: Xingwei Lin (Ant Security Light-Year Lab)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

IOSkywalkFamily

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: lokalni napadač mogao bi povećati svoje ovlasti

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2021-1757: Proteas i Pan ZhenPeng (@Peterpan0927) iz tima za sigurnost mobilnih uređaja tvrtke Alibaba

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

iTunes Store

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: obradom zlonamjernog URL-a može doći do izvršavanja proizvoljnog JavaScript koda

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2021-1748: CodeColorist u suradnji s tvrtkom Ant Security Light-Year Labs

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

Kernel

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2021-1764: @m00nbsd

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

Kernel

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: više problema riješeno je poboljšanom logikom.

CVE-2021-1750: @0xalsr

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

Kernel

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: zlonamjerna aplikacija mogla bi povećati ovlasti. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.

Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.

CVE-2021-1782: anonimni istraživač

Unos je ažuriran 28. svibnja 2021.

Messages

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: zlonamjerna aplikacija mogla bi otkriti povjerljive korisničke podatke

Opis: u postupku obrade kartica kontakata otkriven je problem sa zaštitom privatnosti. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2021-1781: Csaba Fitzl (@theevilbit) (Offensive Security)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

Model I/O

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2021-1763: Mickey Jin (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

Model I/O

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2021-1768: Mickey Jin i Junzhi Lu (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

Model I/O

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-1745: Mickey Jin i Junzhi Lu (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

Model I/O

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-1762: Mickey Jin (Trend Micro)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

Model I/O

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-1762: Mickey Jin (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

Model I/O

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: obradom zlonamjerne slike može doći do oštećenja hrpe

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2021-1767: Mickey Jin i Junzhi Lu (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

Model I/O

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2021-1753: Mickey Jin (Trend Micro)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

Model I/O

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2021-1753: Mickey Jin (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

Phone Keypad

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: napadač s fizičkim pristupom uređaju mogao bi vidjeti privatne podatke za kontakt

Opis: problem sa zaključanim zaslonom omogućio je pristup kontaktima na zaključanom uređaju. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2021-1756: Ryan Pickren (ryanpickren.com)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

Swift

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: zlonamjerni napadač s mogućnošću proizvoljnog čitanja i pisanja mogao bi zaobići autorizaciju pokazivača

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2021-1769: CodeColorist (Ant-Financial Light-Year Labs)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

WebKit

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2021-1788: Francisco Alonso (@revskills)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

WebKit

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda

Opis: problem sa zamjenom vrste riješen je poboljšanim upravljanjem stanjem.

CVE-2021-1789: @S0rryMybad (360 Vulcan Team)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

WebKit

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: zlonamjerni web-sadržaj može kršiti pravila testiranja za iframe

Opis: problem je riješen poboljšanim ojačanjem testnog okruženja za iframe.

CVE-2021-1801: Eliya Stein (Confiant)

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

WebKit

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: udaljeni napadač mogao bi uzrokovati izvršavanje proizvoljnog koda. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2021-1871: anonimni istraživač

CVE-2021-1870: anonimni istraživač

Unos je ažuriran 28. svibnja 2021.

WebRTC

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: zlonamjerna web-stranica mogla bi pristupiti ograničenim ulazima na proizvoljnim poslužiteljima

Opis: problem s preusmjeravanjem ulaza riješen je dodatnom provjerom valjanosti ulaza.

CVE-2021-1799: Gregory Vishnepolsky i Ben Seri (Armis Security) i Samy Kamkar

Unos je dodan 1. veljače 2021. i ažuriran 28. svibnja 2021.

XNU

Dostupno za sljedeće uređaje: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji te iPod touch (7. generacije)

Učinak: zlonamjerna aplikacija mogla bi izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem sa zamjenom vrste riješen je poboljšanim upravljanjem stanjem.

CVE-2021-30869: Apple

Unos je dodan 23. rujna 2021.

Dodatna zahvala

iTunes Store

Željeli bismo zahvaliti korisniku CodeColorist (Ant-Financial Light-Year Labs) na pomoći.

Unos je dodan 1. veljače 2021.

Kernel

Željeli bismo zahvaliti Junzhiju Luu (@pwn0rz), Mickeyju Jinu i Jesseju Changeu (Trend Micro) na pomoći.

Unos je dodan 1. veljače 2021.

libpthread

Željeli bismo zahvaliti korisniku CodeColorist (Ant-Financial Light-Year Labs) na pomoći.

Unos je dodan 1. veljače 2021.

Mail

Željeli bismo zahvaliti Yiğitu Canu YILMAZU (@yilmazcanyigit) i anonimnom istraživaču na njihovoj pomoći.

Unos je dodan 1. veljače 2021.

Store Demo

Željeli bismo zahvaliti korisniku @08Tc3wBB na pomoći.

Unos je dodan 1. veljače 2021.

WebRTC

Željeli bismo zahvaliti Philippu Hanckeu na pomoći.

Unos je dodan 1. veljače 2021.

Wi-Fi

Željeli bismo zahvaliti anonimnom istraživaču na pomoći.

Unos je dodan 1. veljače 2021.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: