Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
iOS 13.3.1 i iPadOS 13.3.1
Objavljeno 28. siječnja 2020.
Audio
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz sistemske ovlasti aplikacije su mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2020-3857: Zhuo Liang (tim Vulcan, Qihoo 360)
FaceTime
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: udaljeni korisnici servisa FaceTime mogli su dobiti prikaz s korisnikove lokalne kamere
Opis: otkriven je problem u rukovanju prikazom s korisnikove lokalne kamere. Problem je riješen poboljšanom logikom.
CVE-2020-3869: Elisa Lee
files
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: zlonamjerna aplikacija može prebrisati proizvoljne datoteke
Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.
CVE-2020-3855: Csaba Fitzl (@theevilbit)
Stavka dodana 19. siječnja 2022.
ImageIO
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-3826: Samuel Groß (Google Project Zero)
CVE-2020-3870
CVE-2020-3878: Samuel Groß (Google Project Zero)
CVE-2020-3880: Samuel Groß (Google Project Zero)
Stavka ažurirana 4. travnja 2020.
IOAcceleratorFamily
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2020-3837: Brandon Azad (Google Project Zero)
IOUSBDeviceFamily
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8836: Xiaolong Bai i Min (Spark) Zheng (Alibaba Inc.) te Luyi Xing (Sveučilište Bloomington u Indiani)
Stavka dodana 22. lipnja 2020.
IPSec
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: učitavanjem zlonamjerne konfiguracijske Racoon datoteke moglo je doći do pokretanja proizvoljnog koda
Opis: u konfiguracijskim Racoon datotekama otkriven je problem s prekoračenjem međuspremnika za jedan. Problem je riješen poboljšanom provjerom ograničenja.
CVE-2020-3840: @littlelailo
Kernel
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: aplikacije su mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2020-3875: Brandon Azad (Google Project Zero)
Kernel
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: aplikacije su mogle čitati ograničenu memoriju
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2020-3872: Haakon Garseg Mørk (Cognite) i Cim Stordal (Cognite)
Kernel
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Djelovanje: zlonamjerne aplikacije mogle su odrediti raspored elemenata memorije kernela
Opis: problem s pristupom riješen je poboljšanim upravljanjem memorijom.
CVE-2020-3836: Brandon Azad (Google Project Zero)
Kernel
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2020-3842: Ned Williamson i Google Project Zero
CVE-2020-3858: Xiaolong Bai i Min (Spark) Zheng (Alibaba Inc.) i Luyi Xing (Sveučilište Bloomington u Indiani)
Kernel
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.
CVE-2020-3831: Chilik Tamir (Zimperium zLabs), Corellium, Proteas (Qihoo 360 Nirvan Team)
Stavka ažurirana 19. ožujka 2020.
Kernel
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: zlonamjerne aplikacije mogle su uz sistemske ovlasti izvršiti proizvoljni kod
Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.
CVE-2020-3853: Brandon Azad (Google Project Zero)
Kernel
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-3860: Proteas (Qihoo 360 Nirvan Team)
libxml2
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.
CVE-2020-3846: Ranier Vilela
Stavka dodana 29. siječnja 2020.
libxpc
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjernog niza moglo je doći do oštećenja skupa memorijskih mjesta
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-3856: Ian Beer (Google Project Zero)
libxpc
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-3829: Ian Beer (Google Project Zero)
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: opcija „Učitaj udaljeni sadržaj u poruke” možda se neće isključiti za sve pretpreglede e-pošte
Opis: problem je riješen poboljšanom propagacijom postavki.
CVE-2020-3873: Alexander Heinrich (@Sn0wfreeze) (Tehničko sveučilište u Darmstadtu), Hudson Pridham (Bridgeable), Stuart Chapman
Stavka ažurirana 19. ožujka 2020.
Messages
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: osobe s fizičkim pristupom iOS uređaju mogle su sa zaključanog zaslona pristupiti kontaktima
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2020-3859: Andrew Gonzalez, Simone PC
Stavka ažurirana 29. siječnja 2020.
Messages
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: korisnici uklonjeni iz razgovora na servisu iMessage mogli su i dalje promijeniti stanje
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2020-3844: Ayden Panhuyzen (@aydenpanhuyzen) i Jamie Bishop (@jamiebishop123) (Dynastic), Lance Rodgers (Srednja škola Oxon Hill)
Stavka ažurirana 29. siječnja 2020.
Phone
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: osobe s fizičkim pristupom iOS uređaju mogle su sa zaključanog zaslona pristupiti kontaktima
Opis: zbog problema sa zaključanim zaslonom putem njega bio je moguć pristup kontaktima. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2020-3828: anonimni istraživač
Safari Login AutoFill
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: lokalni korisnici nehotice su mogli slati nešifrirane lozinke putem mreže
Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.
CVE-2020-3841: Sebastian Bicchi (@secresDoge) (Sec-Research)
Screenshots
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: snimke zaslona u aplikaciji Poruke mogle su otkriti dodatni sadržaj poruka
Opis: otkriven je problem s imenovanjem snimki zaslona. Problem je riješen poboljšanim imenovanjem.
CVE-2020-3874: Nicolas Luckie (Durham College)
WebKit
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: zlonamjerna web-mjesta mogla su uzrokovati odbijanje usluge
Opis: problem s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.
CVE-2020-3862: Srikanth Gatta (Google Chrome)
Stavka dodana 29. siječnja 2020.
WebKit
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2020-3825: Przemysław Sporysz (Euvic)
CVE-2020-3868: Marcin Towalski (Cisco Talos)
Stavka dodana 29. siječnja 2020.
WebKit
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2020-3867: anonimni istraživač
Stavka dodana 29. siječnja 2020.
WebKit Page Loading
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: kontekst DOM objekta možda nije imao jedinstveno sigurnosno podrijetlo
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2020-3864: Ryan Pickren (ryanpickren.com)
Stavka dodana 6. veljače 2020.
WebKit Page Loading
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: kontekst DOM objekta najviše razine možda je pogrešno smatran sigurnim
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2020-3865: Ryan Pickren (ryanpickren.com)
Stavka dodana 29. siječnja 2020., ažurirana 6. veljače 2020.
Wi-Fi
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: udaljeni napadač može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-3843: Ian Beer (Google Project Zero)
Stavka dodana 6. veljače 2020.
wifivelocityd
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz sistemske ovlasti aplikacije su mogle izvršiti proizvoljni kod
Opis: problem je riješen poboljšanom logikom za dozvole.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
Dodatna zahvala
IOSurface
Na pomoći zahvaljujemo Liangu Chenu (@chenliang0817).
Photos Storage
Na pomoći zahvaljujemo Allison Husain (Kalifornijsko sveučilište u Berkeleyju).
Stavka ažurirana 19. ožujka 2020.