Informacije o sigurnosnom sadržaju sustava iOS 14.5 i iPadOS 14.5
U ovom je dokumentu opisan sigurnosni sadržaj sustava iOS 14.5 i iPadOS 14.5.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
iOS 14.5 i iPadOS 14.5
Accessibility
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: osoba s fizičkim pristupom iOS uređaju mogla bi sa zaključanog zaslona pristupiti bilješkama
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-1835: videosdebarraquito
App Store
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: napadač s privilegiranim mrežnim ovlastima mogao bi presresti mrežni promet
Opis: riješen je problem provjere valjanosti certifikata.
CVE-2021-1837: Aapo Oksman (Nixu Cybersecurity)
Apple Neural Engine
Dostupno za: iPhone 8 i noviji, iPad Pro (treće generacije) i noviji te iPad Air (treće generacije) i noviji
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-1867: Zuozhi Fan (@pattern_F_) i Wish Wu (吴潍浠) (Ant Group Tianqiong Security Lab)
AppleMobileFileIntegrity
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: zlonamjerna aplikacija mogla bi zaobići postavke privatnosti
Opis: problem s provjerom valjanosti potpisa koda riješen je poboljšanim provjerama.
CVE-2021-1849: Siguza
Assets
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: lokalni korisnik mogao bi stvoriti ili izmijeniti datoteke za koje su potrebne ovlasti
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2021-1836: anonimni istraživač
Audio
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: neka bi aplikacija mogla čitati ograničenu memoriju
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2021-1808: JunDong Xie (Ant Security Light-Year Lab)
Audio
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2021-30742: Mickey Jin (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)
CFNetwork
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjernog web-sadržaja može doći do otkrivanja osjetljivih korisničkih podataka
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1857: anonimni istraživač
Compression
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30752: Ye Zhang (@co0py_Cat) (Baidu Security)
CoreAudio
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjerne datoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30664: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjerne datoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30664: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjerne audiodatoteke moglo bi doći do otkrivanja ograničene memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-1846: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: neka bi zlonamjerna aplikacija mogla čitati ograničenu memoriju
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2021-1809: JunDong Xie (Ant Security Light-Year Lab)
CoreFoundation
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: zlonamjerna aplikacija mogla bi otkriti osjetljive korisničke podatke
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
CVE-2021-30659: Thijs Alkemade (Computest)
Core Motion
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: neke zlonamjerne aplikacije mogle bi uz sistemske ovlasti izvršiti proizvoljni kod
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2021-1812: Siddharth Aeri (@b1n4r1b01)
CoreText
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1811: Xingwei Lin (Ant Security Light-Year Lab)
FaceTime
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: isključenjem zvuka CallKit poziva tijekom zvonjave možda neće doći do omogućavanja opcije isključivanja zvuka
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1872: Siraj Zaneer (Facebook)
FontParser
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-1881: anonimni istraživač, Xingwei Lin (Ant Security Light-Year Lab), Mickey Jin (Trend Micro) i Hou JingYi (@hjy79425575) (Qihoo 360)
Foundation
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: neka bi aplikacija mogla dobiti veće ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)
Foundation
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: neka zlonamjerna aplikacija mogla bi steći korijenske ovlasti
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
CVE-2021-1813: Cees Elzinga
GPU Drivers
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Djelovanje: zlonamjerne aplikacije mogle su odrediti raspored elemenata memorije kernela
Opis: problem s pristupom riješen je poboljšanim upravljanjem memorijom.
CVE-2021-30656: Justin Sherman (Sveučilište Maryland, okrug Baltimore)
Heimdal
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obrada zlonamjernih poruka poslužitelja može dovesti do oštećenja skupa
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge
Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
ImageIO
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30743: CFF iz tvrtke Topsec Alpha Team, Ye Zhang (@co0py_Cat) iz tvrtke Baidu Security i Jeonghoon Shin (@singi21a) iz tvrtke THEORI u suradnji s inicijativom Zero Day (Trend Micro)
ImageIO
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-1885: CFF (Topsec Alpha Team)
ImageIO
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30653: Ye Zhang (Baidu Security)
CVE-2021-1843: Ye Zhang (Baidu Security)
ImageIO
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-1858: Mickey Jin (Trend Micro)
ImageIO
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjerne datoteke može doći do izvršavanja proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30764: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2021-30662: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro), Jzhu u suradnji s inicijativom Zero Day (Trend Micro)
iTunes Store
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: napadač koji koristi JavaScript mogao bi pokrenuti proizvoljni kod
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1864: CodeColorist (Ant-Financial LightYear Labs)
Kernel
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: lokalni korisnik mogao bi čitati kernelsku memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-1877: Zuozhi Fan (@pattern_F_) (Ant Group Tianqiong Security Lab)
CVE-2021-1852: Zuozhi Fan (@pattern_F_) (Ant Group Tianqiong Security Lab)
CVE-2021-1830: Tielei Wang (Pangu Lab)
Kernel
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1874: Zuozhi Fan (@pattern_F_) (Ant Group Tianqiong Security Lab)
CVE-2021-1851: @0xalsr
Kernel
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: zlonamjerna aplikacija mogla bi otkriti kernelsku memoriju
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1860: @0xalsr
Kernel
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2021-1816: Tielei Wang (Pangu Lab)
Kernel
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: može se dogoditi da kopirane datoteke nemaju očekivane datotečne dozvole
Opis: problem je riješen poboljšanom logikom za dozvole.
CVE-2021-1832: anonimni istraživač
Kernel
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: zlonamjerna aplikacija mogla bi otkriti kernelsku memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30660: Alex Plaskett
libxpc
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: neka zlonamjerna aplikacija mogla bi steći korijenske ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2021-30652: James Hutchins
libxslt
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obrada zlonamjerne datoteke može dovesti do oštećenja skupa
Opis: problem dvostrukog oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1875: otkrio OSS-Fuzz
MobileAccessoryUpdater
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: neka bi aplikacija mogla dobiti veće ovlasti
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-1833: Cees Elzinga
MobileInstallation
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: lokalni korisnik mogao bi izmijeniti zaštićene dijelove datotečnog sustava
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2021-1822: Bruno Virlet (The Grizzly Labs)
Password Manager
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: korisnikova lozinka možda će biti vidljiva na zaslonu
Opis: problem sa zatamnjivanjem lozinki na snimkama zaslona riješen je poboljšanom logikom.
CVE-2021-1865: Shibin B Shaji (UST)
Preferences
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: lokalni korisnik mogao bi izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem raščlanjivanja prilikom rukovanja putovima direktorija riješen je poboljšanom provjerom valjanosti puta.
CVE-2021-1815: Zhipeng Huo (@R3dF09) i Yuebin Sun (@yuebinsun2020) (Tencentov laboratorij za sigurnost Xuanwu (xlab.tencent.com))
CVE-2021-1739: Zhipeng Huo (@R3dF09) i Yuebin Sun (@yuebinsun2020) (Tencentov laboratorij za sigurnost Xuanwu (xlab.tencent.com))
CVE-2021-1740: Zhipeng Huo (@R3dF09) i Yuebin Sun (@yuebinsun2020) (Tencentov laboratorij za sigurnost Xuanwu (xlab.tencent.com))
Quick Response
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: osoba s fizičkim pristupom iOS uređaju mogla bi upućivati telefonske pozive bilo kojem telefonskom broju
Opis: postojao je problem s provjerom autentičnosti akcije koju je pokrenula NFC oznaka. Problem je riješen poboljšanom provjerom autentičnosti akcije.
CVE-2021-1863: REFHAN OZGORUR
Safari
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: lokalni korisnik mogao bi zapisivati proizvoljne datoteke
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2021-1807: David Schütz (@xdavidhu)
Shortcuts
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: neka bi aplikacija mogla dopustiti prečace kako bi pristupila datotekama s ograničenjima
Opis: problem je riješen poboljšanom logikom za dozvole.
CVE-2021-1831: Bouke van der Bijl
Siri
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: problem s pristupom pretraživanju putem Siri riješen je poboljšanom logikom
Opis: osoba s fizičkim pristupom može pristupiti kontaktima.
CVE-2021-1862: Anshraj Srivastava (@AnshrajSrivas14) (UKEF)
Tailspin
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: lokalni napadač mogao bi povećati svoje ovlasti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1868: Tim Michaud (Zoom Communications)
TCC
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: zlonamjerna aplikacija mogla bi otkriti osjetljive korisničke podatke
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
CVE-2021-30659: Thijs Alkemade (Computest)
Telephony
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: stara mobilna mreža može nakon završetka ili prekida poziva u tijeku automatski odgovoriti na dolazni poziv.
Opis: problem sa završetkom poziva riješen je poboljšanom logikom.
CVE-2021-1854: Steven Thorne (Cspire)
UIKit
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: korisnikova lozinka možda će biti vidljiva na zaslonu
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30921: Maximilian Blochberger (Grupa za sigurnost u distribuiranim sustavima Sveučilišta u Hamburgu)
Wallet
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: lokalni korisnik mogao bi na izmjenjivaču aplikacija vidjeti osjetljive podatke
Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.
CVE-2021-1848: Bradley D’Amato (ActionIQ)
WebKit
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjernog web-sadržaja može doći do napada unakrsnim skriptiranjem na više web-mjesta
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-1825: Alex Camboe (Aon’s Cyber Solutions)
WebKit
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1817: zhunki
WebKit
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2021-1826: anonimni istraživač
WebKit
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjernog web-sadržaja može se otkriti procesna memorija
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1820: André Bargull
WebKit Storage
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-30661: yangkang (@dnpushme) (360 ATA)
WebRTC
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: udaljeni napadač može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2020-7463: Megan2013678
Wi-Fi
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: prekoračenje međuspremnika može rezultirati proizvoljnim izvršenjem koda
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1770: Jiska Classen (@naehrdine) iz laboratorija Secure Mobile Networking Lab, TU Darmstadt
Dodatna zahvala
Accounts Framework
Željeli bismo zahvaliti Ellouganiju Mohamedu (Dr.Phones Recycle Inc.) na pomoći.
AirDrop
Željeli bismo zahvaliti istraživaču @maxzks na pomoći.
Assets
Na pomoći zahvaljujemo Ceesu Elzingau.
CoreAudio
Na pomoći zahvaljujemo anonimnom istraživaču.
CoreCrypto
Željeli bismo zahvaliti Andyju Russonu (Orange Group) na pomoći.
File Bookmark
Na pomoći zahvaljujemo anonimnom istraživaču.
Datoteke
Na pomoći zahvaljujemo Omaru Espinu (omespino.com).
Foundation
Željeli bismo zahvaliti CodeColoristu (Ant-Financial LightYear Labs) na pomoći.
Kernel
Željeli bismo zahvaliti Antoniju Frighettou (Politecnico di Milano), GRIMM-u, Keyu Manu, Zhiyunu Qianu, Zhongjieu Wangu, Xiaofengu Zhengu, Youjunu Huangu, Haixinu Duanu, Mikkou Kenttäläu (@Turmio_) (SensorFu), Proteasu, Tieleiu Wangu (Pangu Lab) i Zuozhiju Fanu (@pattern_F_) (Ant Group Tianqiong Security Lab) na pomoći.
Željeli bismo zahvaliti Lauritzu Holtmannu (@_lauritz_), Muhammedu Koranyu (facebook.com/MohamedMoustafa4) i Yiğitu Canu YILMAZU (@yilmazcanyigit) na pomoći.
NetworkExtension
Željeli bismo zahvaliti Fabianu Hartmannu na pomoći.
Safari Private Browsing
Željeli bismo zahvaliti Doru Kahanau i Griddaluru Veerau Pranayu Naiduu na pomoći.
Sigurnost
Željeli bismo zahvaliti Xingweiju Linu (Ant Security Light-Year Lab) i Johnu (@nyan_satan) na pomoći.
sysdiagnose
Željeli bismo zahvaliti Timu Michaudu (@TimGMichaud) (Leviathan) na pomoći.
WebKit
Željeli bismo zahvaliti Emiliju Cobosu Álvarezu (Mozilla) na pomoći.
WebSheet
Željeli bismo zahvaliti Patricku Cloveru na pomoći.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.