Informacije o sigurnosnom sadržaju sustava iOS 13

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 13.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 13

Objavljeno 19. rujna 2019.

Bluetooth

Dostupno za: iPhone 6s i noviji

Učinak: pregledi obavijesti mogu se prikazivati na Bluetooth dodatnoj opremi čak i kada su onemogućeni.

Opis: postojao je problem s logičkim procesom prikaza pregleda obavijesti. Problem je riješen poboljšanom provjerom valjanosti.

CVE-2019-8711: Arjang of MARK ANTHONY GROUP INC., Cemil Ozkebapci (@cemilozkebapci) tvrtke Garanti BBVA, Oguzhan Meral of Deloitte Consulting, Ömer Bozdoğan-Ramazan Atıl Anadolu Lisesi Adana/TÜRKİYE

CoreAudio

Dostupno za: iPhone 6s i noviji

Učinak: obradom zlonamjernog videozapisa može doći do otkrivanja procesne memorije.

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2019-8705: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)

Face ID

Dostupno za: iPhone X i noviji

Učinak: 3D model izrađen po uzoru na izgled korisnika može potvrditi autentičnost putem Face ID-ja.

Opis: problem je riješen je poboljšanjem modela strojnog učenja značajke Face ID.

CVE-2019-8760: Wish Wu (吴潍浠 @wish_wu) tvrtke Ant-financial Light-Year Security Lab

Osnove

Dostupno za: iPhone 6s i noviji

Učinak: udaljeni napadač može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8641: Samuel Groß i Natalie Silvanovich (Google Project Zero)

Kernel

Dostupno za: iPhone 6s i noviji

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8717: Jann Horn (Google Project Zero)

Unos je dodan 8. listopada 2019.

Tipkovnice

Dostupno za: iPhone 6s i noviji

Učinak: lokalni je korisnik mogao otkriti povjerljive korisničke podatke

Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8704: 王 邦 宇 (wAnyBug.Com) tvrtke SAINTSEC

libxml2

Dostupno za: iPhone 6s i noviji

Učinak: veći broj problema u libxml2-u

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8749: otkrio OSS-Fuzz

CVE-2019-8756: otkrio OSS-Fuzz

Unos je dodan 8. listopada 2019.

Poruke

Dostupno za: iPhone 6s i noviji

Učinak: osoba s fizičkim pristupom iOS uređaju mogla je sa zaključanog zaslona pristupiti kontaktima.

Opis: problem je riješen ograničenjem opcija na zaključanom zaslonu.

CVE-2019-8742: videosdebarraquito

Napomene

Dostupno za: iPhone 6s i noviji

Učinak: lokalni korisnik možda može pregledati korisnikove zaključane bilješke.

Opis: u rezultatima pretraživanja ponekad se pojavljivao sadržaj zaključanih bilješki. Problem je riješen poboljšanim čišćenjem podataka.

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) (Institut za politehniku i Državno sveučilište Virginia)

Unos je dodan 8. listopada 2019.

Brzi pregled

Dostupno za: iPhone 6s i noviji

Učinak: obrada zlonamjerno izrađene datoteke može otkriti korisničke podatke.

Opis: otkriven je problem s nepravilnom dodjelom izvršnih dozvola. Taj je problem riješen poboljšanom provjerom valjanosti dozvola.

CVE-2019-8731: Saif Hamed Hamdan Al Hinai tvrtke Oman National CERT, Yiğit Can YILMAZ (@yilmazcanyigit)

Safari

Dostupno za: iPhone 6s i noviji

Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8727: Divyanshu Shukla (@justm0rph3u5)

Unos je ažuriran 8. listopada 2019.

UIFoundation

Dostupno za: iPhone 6s i noviji

Učinak: obradom zlonamjerne tekstne datoteke može doći do izvršavanja proizvoljnog programskog koda.

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2019-8745: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 8. listopada 2019.

WebKit

Dostupno za: iPhone 6s i noviji

Utjecaj: zlonamjerni web-sadržaj može kršiti pravila testiranja za iframe.

Opis: problem je riješen poboljšanjem ojačanja testnog okruženja za iframe.

CVE-2019-8771: Eliya Stein (Confiant)

Unos je dodan 8. listopada 2019.

WebKit

Dostupno za: iPhone 6s i noviji

Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8625: Sergei Glazunov (Google Project Zero)

CVE-2019-8719: Sergei Glazunov (Google Project Zero)

Unos je dodan 8. listopada 2019.

WebKit

Dostupno za: iPhone 6s i noviji

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2019-8707: anonimni istraživač koji surađuje s inicijativom Zero Day (Trend Micro), cc u suradnji s inicijativom Zero Day (Trend Micro)

CVE-2019-8720: Wen Xu (SSLab, Georgia Tech)

CVE-2019-8726: Jihui Lu (Tencent KeenLab)

CVE-2019-8733: Sergei Glazunov (Google Project Zero)

CVE-2019-8735: G. Geshev u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 8. listopada 2019.

WebKit

Dostupno za: iPhone 6s i noviji

Učinak: korisnik možda ne može izbrisati stavke povijesti pretraživanja

Opis: odabirom opcije „Očisti povijest i podatke stranica” povijest se nije očistila. Problem je riješen poboljšanim brisanjem podataka.

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

Unos je dodan 8. listopada 2019.

Učitavanje stranice WebKita

Dostupno za: iPhone 6s i noviji

Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8674: Sergei Glazunov (Google Project Zero)

Unos je ažuriran 8. listopada 2019.

Dodatna zahvala

Bluetooth

Željeli bismo zahvaliti Janu Rugeu iz ustanove TU Darmstadt, Secure Mobile Networking Lab, Jiski Classen iz tvrtke TU Darmstadt, Secure Mobile Networking Lab, Francescu Gringoliju sa sveučilišta University of Brescia, Dennis Heinze iz ustanove TU Darmstadt, Secure Mobile Networking Lab na pomoći.

boringssl

Zahvaljujemo Thijs Alkemade (@xnyhps) iz tvrtke Computest na pomoći.

Unos je dodan 8. listopada 2019.

Kontrolni centar

Na pomoći zahvaljujemo Brandonu Sellersu.

Tipkovnica

Željeli bismo zahvaliti anonimnom istraživaču za njegovu pomoć.

Mail

Na pomoći zahvaljujemo Kennethu Hyndyczu.

Profili

Na pomoći zahvaljujemo Jamesu Seeleyju (@Code4iOS) iz tvrtke Shriver Job Corps.

Kontroler za prikaz u Safariju

Željeli bismo zahvaliti Yiğitu Canu Yilmazu (@yilmazcanyigit) za njegovu pomoć.

WebKit

Zahvaljujemo Yiğit Can YILMAZ (@yilmazcanyigit), Zhihua Yao iz tvrtke DBAPPSecurity Zion Lab i anonimnom istraživaču na pomoći.

Unos je dodan 8. listopada 2019.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: