Informacije o sigurnosnom ažuriranju sustava iOS 13.3 i iPadOS 13.3.

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 13.3 i iPadOS 13.3.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 13.3 i iPadOS 13.3

CallKit

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije

Učinak: pozivi upućeni putem Siri mogu se pokrenuti koristeći pogrešnu mobilnu tarifu na uređaju s dvjema aktivnim tarifama

Opis: postojao je problem s API-jem u rukovanju odlaznim pozivima upućenim putem Siri. Taj je problem riješen poboljšanim rukovanjem stanjem.

CVE-2019-8856: Fabrice TERRANCLE (TERRANCLE SARL)

CFNetwork

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije

Učinak: napadač s mrežnim ovlastima može zaobići HSTS za ograničeni broj određenih vršnih domena koje nisu bile uključene u predučitani popis HSTS-a

Opis: problem s konfiguracijom riješen je dodatnim ograničenjima.

CVE-2019-8834: Rob Sayre (@sayrer)

CFNetwork proxyji

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije

Učinak: aplikacije mogu dobiti veće ovlasti

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2019-8848: Zhuo Liang (tim Vulcan, Qihoo 360)

FaceTime

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije

Učinak: obrada zlonamjernog videozapisa putem značajke FaceTime može uzrokovati proizvoljno izvršavanje koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8830: natashenka (Google Project Zero)

IOSurfaceAccelerator

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s otkrivanjem informacija riješen je uklanjanjem koda sa slabim točkama.

CVE-2019-8841: Corellium

Kernel

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je uklanjanjem koda sa slabim točkama.

CVE-2019-8833: Ian Beer (Google Project Zero)

Kernel

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8828: Cim Stordal (Cognite)

CVE-2019-8838: dr. Silvio Cesare (InfoSect)

libexpat

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije

Učinak: raščlanjivanje zlonamjerne XML datoteke moglo je dovesti do otkrivanja korisničkih podataka

Opis: problem je riješen ažuriranjem medijateke expat na verziju 2.2.8.

CVE-2019-15903: Joonun Jang

libpcap

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije

Učinak: veći broj problema u medijateci libcap

Opis: veći broj problema riješen je ažuriranjem medijateke libcap na verziju 1.9.1

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

Fotografije

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije

Učinak: audiopodaci i podaci o videozapisima značajke Live Photo mogu se dijeliti putem veza na iCloud čak iako je značajka Live Photo onemogućena u rotirajućem prikazu Dijeljenje liste.

Opis: problem je riješen poboljšanom provjerom valjanosti prilikom stvaranja veze na iCloud.

CVE-2019-8857: Tor Bruce

Sigurnost

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8832: Insu Yun (SSLab, Georgia Tech)

WebKit

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije

Učinak: posjet zlonamjernom web-mjestu može otkriti ostala web-mjesta koja je korisnik posjetio

Opis: prilikom rukovanja API-jem za pristup memoriji pojavio se problem razotkrivanja informacija. Problem je riješen poboljšanjem logike.

CVE-2019-8898: Michael Kleber (Google)

WebKit

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2019-8835: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro), Mike Zhang (tim Pangu)

CVE-2019-8844: William Bowling (@wcbowling)

WebKit

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8846: Marcin Towalski (Cisco Talos)

Dodatna zahvala

Računi

Željeli bismo zahvaliti Allison Husain (UC Berkeley), Kishanu Bagariji (KishanBagaria.com) i Tomu Snellingu (Sveučilište Loughborough) na pomoći.

Temeljni podaci

Željeli bismo zahvaliti korisniku natashenka (Google Project Zero) na pomoći.

Postavke

Željeli bismo zahvaliti anonimnom istraživaču za njegovu pomoć.