Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
iOS 13
Objavljeno 19. rujna 2019.
Bluetooth
Dostupno za: iPhone 6s i noviji
Učinak: pregledi obavijesti mogu se prikazivati na Bluetooth dodatnoj opremi čak i kada su onemogućeni
Opis: postojao je problem s logičkim procesom prikaza pregleda obavijesti. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2019-8711: Arjang (MARK ANTHONY GROUP INC.), Cemil Ozkebapci (@cemilozkebapci) tvrtke Garanti BBVA, Oguzhan Meral (Deloitte Consulting), Ömer Bozdoğan (srednja škola Ramazan Atıl Anadolu Lisesi, Adana, Turska)
Povijest poziva
Dostupno za: iPhone 6s i noviji
Učinak: izbrisani pozivi ostali su vidljivi na uređaju
Opis: taj je problem riješen poboljšanim brisanjem podataka.
CVE-2019-8732: Mohamad El-Zein Berlin
Unos dodan 18. studenog 2019.
CFNetwork
Dostupno za: iPhone 6s i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do napada unakrsnim skriptiranjem na više web-mjesta
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2019-8753: Łukasz Pilorz (Standard Chartered GBS Poland)
Unos dodan 29. listopada 2019.
CoreAudio
Dostupno za: iPhone 6s i noviji
Učinak: obradom zlonamjernog filma može doći do otkrivanja procesne memorije
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2019-8705: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)
CoreAudio
Dostupno za: iPhone 6s i noviji
Učinak: reprodukcija zlonamjerne audiodatoteke može uzrokovati izvršavanje proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8592: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day tvrtke Trend Micro
Unos dodan 6. studenog 2019.
CoreCrypto
Dostupno za: iPhone 6s i noviji
Učinak: obradom velikog unosa može se izazvati uskraćivanje usluge
Opis: problem uskraćivanja usluge riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8741: Nicky Mouha (NIST)
Unos dodan 29. listopada 2019.
CoreMedia
Dostupno za: iPhone 6s i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8825: otkrio GWP-ASan u pregledniku Google Chrome
Unos dodan 29. listopada 2019.
Face ID
Dostupno za: iPhone X i noviji
Učinak: 3D model izrađen po uzoru na izgled korisnika može potvrditi autentičnost putem Face ID-ja
Opis: problem je riješen je poboljšanjem modela strojnog učenja značajke Face ID.
CVE-2019-8760: Wish Wu (吴潍浠 @wish_wu) iz tvrtke Ant-Financial Light-Year Security Lab
Osnove
Dostupno za: iPhone 6s i noviji
Učinak: udaljeni napadač može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8641: Samuel Groß i natashenka (Google Project Zero)
CVE-2019-8746: natashenka i Samuel Groß (Google Project Zero)
Unos ažuriran 29. listopada 2019.
IOUSBDeviceFamily
Dostupno za: iPhone 6s i noviji
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8718: Joshua Hill i Sem Voigtländer
Unos dodan 29. listopada 2019.
Kernel
Dostupno za: iPhone 6s i noviji
Učinak: neka aplikacija mogla bi dobiti veće ovlasti
Opis: problem je riješen poboljšanim pravima.
CVE-2019-8703: anonimni istraživač
Unos dodan 16. ožujka 2021.
Kernel
Dostupno za: iPhone 6s i noviji
Učinak: lokalna aplikacija može čitati trajni identifikator računa
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
CVE-2019-8809: Apple
Unos dodan 29. listopada 2019.
Kernel
Dostupno za: iPhone 6s i noviji
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
Unos dodan 29. listopada 2019.
Kernel
Dostupno za: iPhone 6s i noviji
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8712: Mohamed Ghannam (@_simo36)
Unos dodan 29. listopada 2019.
Kernel
Dostupno za: iPhone 6s i noviji
Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije
Opis: prilikom rukovanja IPv6 paketima otkriven je problem s oštećenjem memorije. Problem je riješen poboljšanim upravljanjem memorijom.
CVE-2019-8744: Zhuo Liang (tim Vulcan, Qihoo 360)
Unos dodan 29. listopada 2019.
Kernel
Dostupno za: iPhone 6s i noviji
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8717: Jann Horn (Google Project Zero)
Unos je dodan 8. listopada 2019.
Tipkovnice
Dostupno za: iPhone 6s i noviji
Učinak: lokalni je korisnik mogao otkriti povjerljive korisničke podatke
Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8704: 王 邦 宇 (wAnyBug.Com) (SAINTSEC)
libxml2
Dostupno za: iPhone 6s i noviji
Učinak: veći broj problema u medijateci libxml2
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8749: otkrio OSS-Fuzz
CVE-2019-8756: otkrio OSS-Fuzz
Unos je dodan 8. listopada 2019.
Poruke
Dostupno za: iPhone 6s i noviji
Učinak: osoba s fizičkim pristupom iOS uređaju mogla je sa zaključanog zaslona pristupiti kontaktima
Opis: problem je riješen ograničenjem opcija na zaključanom zaslonu.
CVE-2019-8742: videosdebarraquito
Napomene
Dostupno za: iPhone 6s i noviji
Učinak: lokalni korisnik mogao je pregledati korisnikove zaključane bilješke
Opis: u rezultatima pretraživanja ponekad se pojavljivao sadržaj zaključanih bilješki. Taj je problem riješen poboljšanim čišćenjem podataka.
CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) (Institut za politehniku i Državno sveučilište Virginia)
Unos je dodan 8. listopada 2019.
PluginKit
Dostupno za: iPhone 6s i noviji
Učinak: lokalni korisnik mogao bi provjeriti postojanje proizvoljnih datoteka
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2019-8708: anonimni istraživač
Unos dodan 29. listopada 2019.
PluginKit
Dostupno za: iPhone 6s i noviji
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8715: anonimni istraživač
Unos dodan 29. listopada 2019.
Brzi pregled
Dostupno za: iPhone 6s i noviji
Učinak: obrada zlonamjerne izrađene datoteke može otkriti korisničke podatke
Opis: otkriven je problem s nepravilnom dodjelom izvršnih dozvola. Taj je problem riješen poboljšanom provjerom valjanosti dozvola.
CVE-2019-8731: Saif Hamed Hamdan Al Hinai (Oman National CERT), Yiğit Can YILMAZ (@yilmazcanyigit)
Safari
Dostupno za: iPhone 6s i noviji
Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8727: Divyanshu Shukla (@justm0rph3u5)
Unos je ažuriran 8. listopada 2019.
UIFoundation
Dostupno za: iPhone 6s i noviji
Učinak: obradom zlonamjerne tekstne datoteke može doći do izvršavanja proizvoljnog programskog koda
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2019-8745: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)
Unos je dodan 8. listopada 2019.
WebKit
Dostupno za: iPhone 6s i noviji
Učinak: zlonamjerni web-sadržaj može kršiti pravila testiranja za iframe
Opis: problem je riješen poboljšanim ojačanjem testnog okruženja za iframe.
CVE-2019-8771: Eliya Stein (Confiant)
Unos je dodan 8. listopada 2019.
WebKit
Dostupno za: iPhone 6s i noviji
Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8625: Sergei Glazunov (Google Project Zero)
CVE-2019-8719: Sergei Glazunov (Google Project Zero)
CVE-2019-8764: Sergei Glazunov (Google Project Zero)
Unos dodan 8. listopada 2019. i ažuriran 29. listopada 2019.
WebKit
Dostupno za: iPhone 6s i noviji
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2019-8707: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro), cc u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8726: Jihui Lu (Tencent KeenLab)
CVE-2019-8728: Junho Jang (tim za sigurnost, LINE) i Hanul Choi (ABLY Corporation)
CVE-2019-8733: Sergei Glazunov (Google Project Zero)
CVE-2019-8734: otkrio OSS-Fuzz
CVE-2019-8735: G. Geshev u suradnji s inicijativom Zero Day (Trend Micro)
Unos dodan 8. listopada 2019. i ažuriran 29. listopada 2019.
WebKit
Dostupno za: iPhone 6s i noviji
Učinak: korisnik možda ne može izbrisati stavke povijesti pretraživanja
Opis: odabirom opcije „Očisti povijest i podatke stranica” povijest se nije očistila. Problem je riješen poboljšanim brisanjem podataka.
CVE-2019-8768: Hugo S. Diaz (coldpointblue)
Unos je dodan 8. listopada 2019.
Učitavanje stranice WebKita
Dostupno za: iPhone 6s i noviji
Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8674: Sergei Glazunov (Google Project Zero)
Unos je ažuriran 8. listopada 2019.
Wi-Fi
Dostupno za: iPhone 6s i noviji
Učinak: uređaj se može pasivno pratiti prema njegovoj Wi-Fi MAC adresi
Opis: problem privatnosti korisnika riješen je uklanjanjem MAC adrese za emitiranje.
CVE-2019-8854: Ta-Lun Yen (UCCU Hacker i FuriousMacTeam, Pomorska akademija Sjedinjenih Država i Mitre Cooperation)
Unos dodan 4. prosinca 2019.
Dodatna zahvala
AppleRTC
Željeli bismo zahvaliti Vitaliju Cheptsovu na pomoći.
Unos dodan 29. listopada 2019.
Zvuk
Željeli bismo zahvaliti riusksku (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro) na pomoći.
Unos dodan 29. listopada 2019.
Bluetooth
Željeli bismo zahvaliti Janu Rugeu (TU Darmstadt, Secure Mobile Networking Lab), Jiski Classen (TU Darmstadt, Secure Mobile Networking Lab), Francescu Gringoliju (sveučilište University of Brescia) i Dennisu Heinzeu (TU Darmstadt, Secure Mobile Networking Lab) na pomoći.
boringssl
Željeli bismo zahvaliti Thijsu Alkemadeu (@xnyhps) (Computest) na pomoći.
Unos je dodan 8. listopada 2019.
Kontrolni centar
Željeli bismo zahvaliti Brandonu Sellersu na pomoći.
HomeKit
Željeli bismo zahvaliti Tianu Zhangu na pomoći.
Unos dodan 29. listopada 2019.
Kernel
Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero) na pomoći.
Unos dodan 29. listopada 2019.
Tipkovnica
Želimo zahvaliti Sari Haradhvala (Harlen Web Consulting) anonimnoj istražiteljici za pomoć.
Unos je ažuriran 28. srpnja 2020.
Željeli bismo zahvaliti Kennethu Hyndyczu na pomoći.
mDNSResponder
Željeli bismo zahvaliti Gregoru Langu (e.solutions GmbH) na pomoći.
Unos dodan 29. listopada 2019.
Profili
Željeli bismo zahvaliti Eriku Johnsonu (srednja škola Vernon Hills), Jamesu Seeleyju (@Code4iOS) (Shriver Job Corps) i Jamesu Seeleyju (@Code4iOS) (Shriver Job Corps) na pomoći.
Unos ažuriran 29. listopada 2019.
Kontroler za prikaz u Safariju
Željeli bismo zahvaliti Yiğitu Canu Yilmazu (@yilmazcanyigit) za njegovu pomoć.
VPN
Željeli bismo zahvaliti Royceu Gawronu (Second Son Consulting, Inc.) na pomoći.
Unos dodan 29. listopada 2019.
WebKit
Željeli bismo zahvaliti MinJeong Kim (Laboratorij za informacijsku sigurnost, Nacionalno sveučilište Chungnam), JaeCheolu Ryou (Laboratorij za informacijsku sigurnost, Nacionalno sveučilište Chungnam u Južnoj Koreji), Yiğitu Canu Yilmazu (@yilmazcanyigit), Zhihuau Yaou (DBAPPSecurity Zion Lab), anonimnom istraživaču, cc u suradnji s inicijativom Trend Micro (Zero Day) na pomoći.
Unos dodan 8. listopada 2019. i ažuriran 29. listopada 2019.