Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
iOS 13.1 i iPadOS 13.1
Objavljeno 24. rujna 2019.
Sustavi iOS 13.1 i iPadOS 13.1 sadrže sigurnosni sadržaj sustava iOS 13.
AppleFirmwareUpdateKext
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: ranjivost zbog oštećenja memorije riješena je poboljšanim zaključavanjem.
CVE-2019-8747: Mohamed Ghannam (@_simo36)
Unos je dodan 29. listopada 2019.
Zvuk
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8706: Yu Zhou (Ant-financial Light-Year Security Lab)
Unos je dodan 29. listopada 2019.
Zvuk
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: obradom zlonamjerne audiodatoteke može doći do otkrivanja ograničene memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8850: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro)
Unos je dodan 18. prosinca 2019.
Knjige
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: parsiranjem zlonamjerno stvorene iBooks datoteke može doći do trajnog odbijanja usluge
Opis: problem iscrpljivanja resursa riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8774: Gertjan Franken (imec-DistriNet, KU Leuven)
Unos je dodan 29. listopada 2019.
Kernel
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: ranjivost zbog oštećenja memorije riješena je poboljšanim zaključavanjem.
CVE-2019-8740: Mohamed Ghannam (@_simo36)
Unos je dodan 29. listopada 2019.
Kernel
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: lokalna aplikacija može čitati trajni identifikator računa
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
CVE-2019-8809: Apple
Unos je dodan 29. listopada 2019.
Kernel
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije
Opis: problem je riješen poboljšanjem logičkog procesa dozvola.
CVE-2019-8780: Siguza
Unos je dodan 8. listopada 2019.
libxslt
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: veći broj problema u medijateci libxslt
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8750: otkrio OSS-Fuzz
Unos je dodan 29. listopada 2019.
mDNSResponder
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: napadač koji se nalazi u blizini može pasivno promatrati nazive uređaja u AWDL komunikacijama
Opis: problem je riješen zamjenom naziva uređaja nasumičnim identifikatorom.
CVE-2019-8799: David Kreitschmann i Milan Stute (laboratorij za sigurne mobilne mreže, Tehničko sveučilište u Darmstadtu)
Unos je dodan 29. listopada 2019.
Prečaci
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: napadač s mrežnim ovlastima može presresti SSH promet izvršavanjem radnje „Pokreni skriptu preko SSH“
Opis: problem je riješen provjerom ključeva hosta prilikom povezivanja s unaprijed poznatim SSH poslužiteljem.
CVE-2019-8901: anonimni istraživač
Unos je dodan 11. veljače 2020.
UIFoundation
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8831: riusksk VulWar Corp u suradnji s inicijativom Zero Day (Trend Micro)
Unos je dodan 18. studenog 2019.
VoiceOver
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: osoba s fizičkim pristupom iOS uređaju mogla je sa zaključanog zaslona pristupiti kontaktima
Opis: problem je riješen ograničenjem opcija na zaključanom zaslonu.
CVE-2019-8775: videosdebarraquito
WebKit
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: posjetom zlonamjerno izrađenom web-mjestu može se otkriti povijest pregledavanja
Opis: problem je postojao u nacrtu elemenata web-stranice. Problem je riješen poboljšanjem logike.
CVE-2019-8769: Piérre Reimertz (@reimertz)
Unos je dodan 8. listopada 2019.
WebKit
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2019-8710: otkrio OSS-Fuzz
CVE-2019-8743: zhunki (tim Codesafe, Legendsec grupacije Qi'anxin)
CVE-2019-8751: Dongzhuo Zhao u suradnji s laboratorijem ADLab (Venustech)
CVE-2019-8752: Dongzhuo Zhao u suradnji s laboratorijem ADLab (Venustech)
CVE-2019-8763: Sergei Glazunov (Google Project Zero)
CVE-2019-8765: Samuel Groß (Google Project Zero)
CVE-2019-8766: otkrio OSS-Fuzz
CVE-2019-8773: otkrio OSS-Fuzz
Unos je dodan 8. listopada 2019. i ažuriran 29. listopada 2019.
WebKit
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
CVE-2019-8762: Sergei Glazunov (Google Project Zero)
Unos je dodan 18. studenog 2019.
WebKit
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2020-9932: Dongzhuo Zhao u suradnji s laboratorijem ADLab (Venustech)
Unos dodan 28. srpnja 2020.
Dodatna zahvala
boringssl
Željeli bismo zahvaliti Nimrodu Aviramu (Sveučilište u Tel Avivu), Robertu Mergetu (Sveučilište Ruhr, Bochum) i Jurju Somorovskom (Sveučilište Ruhr, Bochum) na pomoći.
Unos je dodan 29. listopada 2019.
Nađi moj iPhone
Željeli bismo zahvaliti anonimnom istraživaču za njegovu pomoć.
Usluga provjere identiteta
Željeli bismo zahvaliti Yiğitu Canu Yilmazu (@yilmazcanyigit) za njegovu pomoć.
Unos je dodan 29. listopada 2019.
Kernel
Želimo zahvaliti Vladu Tsyrklevichu za pruženu pomoć.
Unos dodan 28. srpnja 2020.
Napomene
Željeli bismo zahvaliti anonimnom istraživaču za njegovu pomoć.
Fotografije
Na pomoći želimo zahvaliti Peteru Scottu iz Sydneya u Australiji.
Unos je dodan 18. prosinca 2019.
Dijeljenje lista
Željeli bismo zahvaliti Milanu Stuteu (laboratorij za sigurne mobilne mreže, Tehničko sveučilište u Darmstadtu) na pomoći.
Unos je dodan 29. listopada 2019.
Traka stanja
Na pomoći želimo zahvaliti Isaiahu Kahleru, Mohammedu Adhamu i anonimnom istraživaču.
Unos je dodan 29. listopada 2019.
Telefonija
Željeli bismo zahvaliti Yiğitu Canu Yilmazu (@yilmazcanyigit) za njegovu pomoć.