Informacije o sigurnosnom ažuriranju sustava iOS 13.1 i iPadOS 13.1.

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 13.1 i iPadOS 13.1.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 13.1 i iPadOS 13.1

Objavljeno 24. rujna 2019.

Sustavi iOS 13.1 i iPadOS 13.1 sadrže sigurnosni sadržaj sustava iOS 13.

AppleFirmwareUpdateKext

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: ranjivost oštećenja memorije riješena je poboljšanim zaključavanjem.

CVE-2019-8747: Mohamed Ghannam (@_simo36)

Unos je dodan 29. listopada 2019.

Zvuk

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije

Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8706: Yu Zhou (Ant-financial Light-Year Security Lab)

Unos je dodan 29. listopada 2019.

Knjige

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije

Učinak: parsiranjem zlonamjerno stvorene iBooks datoteke može doći do trajnog odbijanja usluge

Opis: problem iscrpljivanja resursa riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8774: Gertjan Franken (imec-DistriNet, KU Leuven)

Unos je dodan 29. listopada 2019.

Kernel

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: ranjivost oštećenja memorije riješena je poboljšanim zaključavanjem.

CVE-2019-8740: Mohamed Ghannam (@_simo36)

Unos je dodan 29. listopada 2019.

Kernel

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije

Učinak: lokalna aplikacija možda može čitati trajni identifikator računa

Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.

CVE-2019-8809: Apple

Unos je dodan 29. listopada 2019.

Kernel

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije

Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije

Opis: problem je riješen poboljšanjem logičkog procesa dozvola.

CVE-2019-8780: Siguza

Unos je dodan 8. listopada 2019.

libxslt

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije

Učinak: veći broj problema u libxslt-u

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8750: otkrio OSS-Fuzz

Unos je dodan 29. listopada 2019.

mDNSResponder

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije

Učinak: napadač koji se nalazi u blizini može biti u mogućnosti pasivno promatrati nazive uređaja u AWDL komunikacijama

Opis: problem je riješen zamjenom naziva uređaja nasumičnim identifikatorom.

CVE-2019-8799: David Kreitschmann i Milan Stute (laboratorij za sigurno mobilno umrežavanje, Tehničko sveučilište Darmstadt)

Unos je dodan 29. listopada 2019.

UIFoundation

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8831: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 18. studenoga 2019.

VoiceOver

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije

Učinak: osoba s fizičkim pristupom iOS uređaju mogla je sa zaključanog zaslona pristupiti kontaktima.

Opis: problem je riješen ograničenjem opcija na zaključanom zaslonu.

CVE-2019-8775: videosdebarraquito

WebKit

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije

Učinak: posjetom zlonamjernom web-mjestu može se otkriti povijest pregledavanja

Opis: problem je postojao u nacrtu elemenata web-stranice. Problem je riješen poboljšanjem logičkog procesa.

CVE-2019-8769: Piérre Reimertz (@reimertz)

Unos je dodan 8. listopada 2019.

WebKit

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2019-8710: otkrio OSS-Fuzz

CVE-2019-8743: zhunki (tim Codesafe, Legendsec grupacije Qi'anxin)

CVE-2019-8751: Dongzhuo Zhao u suradnji s laboratorijem ADLab (Venustech)

CVE-2019-8752: Dongzhuo Zhao u suradnji s laboratorijem ADLab (Venustech)

CVE-2019-8763: Sergei Glazunov (Google Project Zero)

CVE-2019-8765: Samuel Groß (Google Project Zero)

CVE-2019-8766: otkrio OSS-Fuzz

CVE-2019-8773: otkrio OSS-Fuzz

Unos dodan 8. listopada 2019. i ažuriran 29. listopada 2019.

WebKit

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije

Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.

CVE-2019-8762: Sergei Glazunov (Google Project Zero)

Unos je dodan 18. studenoga 2019.

Dodatna zahvala

boringssl

Željeli bismo zahvaliti Nimrodu Aviramu (Sveučilište u Tel Avivu), Robertu Mergetu (Sveučilište Ruhr, Bochum), Jurju Somorovskom (Sveučilište Ruhr, Bochum) na pomoći.

Unos je dodan 29. listopada 2019.

Nađi moj iPhone

Željeli bismo zahvaliti anonimnom istraživaču za njegovu pomoć.

Usluga identiteta

Željeli bismo zahvaliti Yiğitu Canu Yilmazu (@yilmazcanyigit) za njegovu pomoć.

Unos je dodan 29. listopada 2019.

Napomene

Željeli bismo zahvaliti anonimnom istraživaču za njegovu pomoć.

Dijeljenje liste

Željeli bismo zahvaliti Milanu Stuteu (laboratorij za sigurne mobilne mreže, Tehničko sveučilište u Darmstadtu) na pomoći.

Unos je dodan 29. listopada 2019.

Traka stanja

Željeli bismo zahvaliti Isaiahu Kahleru, Mohammedu Adhamu i anonimnom istraživaču na pomoći.

Unos je dodan 29. listopada 2019.

Telefonija

Željeli bismo zahvaliti Yiğitu Canu Yilmazu (@yilmazcanyigit) za njegovu pomoć.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: