Informacije o sigurnosnom sadržaju sustava iOS 13.2 i iPadOS 13.2

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 13.2 i iPadOS 13.2.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 13.2 i iPadOS 13.2

Objavljeno 28. listopada 2019.

Računi

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch sedme generacije

Učinak: udaljeni napadač može probiti memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8787: Steffen Klee (laboratorij za sigurno mobilno umrežavanje, Tehničko sveučilište Darmstadt)

AirDrop

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch sedme generacije

Učinak: AirDrop prijenosi mogu se neočekivano prihvatiti dok ste u modu Svi

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2019-8796: Allison Husain (UC Berkeley)

Unos je dodan 4. travnja 2020.

App Store

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch sedme generacije

Učinak: lokalni napadač može se bez valjanih vjerodajnica prijaviti na račun korisnika koji je već bio prijavljen.

Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

Povezane domene

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch sedme generacije

Učinak: neispravno procesiranje URL-a može dovesti do eksfiltriranja podataka

Opis: otkriven je problem s parsiranjem URL-a u porukama. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8788: Juha Lindstedt (Pakastin), Mirko Tanania, Rauli Rikama (Zero Keyboard Ltd)

Zvuk

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch sedme generacije

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8785: Ian Beer (Google Project Zero)

CVE-2019-8797: 08Tc3wBB i SSD Secure Disclosure

AVEVideoEncoder

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch sedme generacije

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8795: 08Tc3wBB i SSD Secure Disclosure

Knjige

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch sedme generacije

Učinak: raščlanjivanjem zlonamjerne iBooks datoteke može doći do otkrivanja korisničkih podataka

Opis: postojao je problem s provjerom valjanosti prilikom rukovanja simboličkim vezama. Taj je problem riješen poboljšanom provjerom simboličkih veza.

CVE-2019-8789: Gertjan Franken (imec-DistriNet, KU Leuven)

Kontakti

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch sedme generacije

Učinak: obradom zlonamjernog kontakta može se krivotvoriti korisničko sučelje

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2017-7152: Oliver Paukstadt (Thinking Objects GmbH (to.com))

Događaji datotečnog sustava

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch sedme generacije

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8798: ABC Research s.r.o. i inicijativa Zero Day (Trend Micro)

Upravljački program za grafičku karticu

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch sedme generacije

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8784: Vasiliy Vasilyev i Ilya Finogeev (Webinar, LLC)

Kernel

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch sedme generacije

Učinak: neke aplikacije mogu čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2019-8794: 08Tc3wBB i SSD Secure Disclosure

Kernel

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch sedme generacije

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8786: Wen Xu (Georgia Tech, stažist istraživačkog tima Microsoft Offensive Security)

Unos je ažuriran 18. studenoga 2019.

Kernel

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch sedme generacije

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: ranjivost zbog oštećenja memorije riješena je poboljšanim zaključavanjem.

CVE-2019-8829: Jann Horn (Google Project Zero)

Unos je dodan 8. studenoga 2019.

Asistent za podešavanje

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch sedme generacije

Učinak: napadač koji se nalazi u blizini može natjerati korisnika na povezivanje sa zlonamjernom Wi-Fi mrežom tijekom postavljanja uređaja

Opis: riješen je problem s nedosljednošću postavki konfiguracije Wi-Fi mreže.

CVE-2019-8804: Christy Philip Mathew (Zimperium, Inc)

Snimanje zaslona

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch sedme generacije

Učinak: lokalni korisnik možda može snimati zaslon bez vidljivog indikatora snimanja zaslona

Opis: postojao je problem s dosljednošću prilikom donošenja odluke o tome kada prikazati indikator snimanja zaslona. Taj je problem riješen poboljšanim upravljanjem stanjem.

CVE-2019-8793: Ryan Jenkins (srednja škola Lake Forrest)

WebKit

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch sedme generacije

Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8813: anonimni istraživač

WebKit

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch sedme generacije

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2019-8782: Cheolung Lee (tim za sigurnost, LINE+)

CVE-2019-8783: Cheolung Lee (tim za sigurnost, LINE+)

CVE-2019-8808: otkrio OSS-Fuzz

CVE-2019-8811: Soyeon Park (SSLab, Georgia Tech)

CVE-2019-8812: JunDong Xie (Ant-financial Light-Year Security Lab)

CVE-2019-8814: Cheolung Lee (tim za sigurnost, LINE+)

CVE-2019-8816: Soyeon Park (SSLab, Georgia Tech)

CVE-2019-8819: Cheolung Lee (tim za sigurnost, LINE+)

CVE-2019-8820: Samuel Groß (Google Project Zero)

CVE-2019-8821: Sergei Glazunov (Google Project Zero)

CVE-2019-8822: Sergei Glazunov (Google Project Zero)

CVE-2019-8823: Sergei Glazunov (Google Project Zero)

Unos je ažuriran 18. studenoga 2019.

WebKit

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch sedme generacije

Učinak: posjet zlonamjernom web-mjestu može otkriti ostala web-mjesta koja je korisnik posjetio

Opis: zaglavlje HTTP-a referenta može se upotrijebiti za otkrivanje povijesti pregledavanja. Problem je riješen degradiranjem svih referenata treće strane na njihovo ishodište.

CVE-2019-8827: Artur Janc, Krzysztof Kotowicz, Lukas Weichselbaum i Roberto Clapis (Googleov tim za sigurnost)

Unos je dodan 6. veljače 2020.

Model procesiranja za WebKit

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch sedme generacije

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2019-8815: Apple

Wi-Fi

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch sedme generacije

Učinak: napadač u dometu Wi-Fi mreže može vidjeti dio mrežnog prometa

Opis: u rukovanju prijelazima iz jednog stanja u drugo pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2019-15126: Milos Cermak (ESET)

Unos je dodan 3. veljače 2020.

Dodatna zahvala

CFNetwork

Željeli bismo zahvaliti Lily Chen (Google) na pomoći.

Kernel

Željeli bismo zahvaliti Danielu Roethlisbergeru (Swisscom CSIRT) i Jannu Hornu (Google Project Zero) na pomoći.

Unos je ažuriran 8. studenoga 2019.

WebKit

Željeli bismo zahvaliti Dliveu (Tencent, Xuanwu Lab) i Zhiyi Zhang (tim Codesafe. Legendsec grupacije Qi'anxin) na pomoći.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 06. studenoga 2023.