Informacije o sigurnosnom sadržaju sustava iOS 13.3.1 i iPadOS 13.3.1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 13.3.1 i iPadOS 13.3.1.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 13.3.1 i iPadOS 13.3.1

Objavljeno 28. siječnja 2020.

Audio

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: uz sistemske ovlasti aplikacije su mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2020-3857: Zhuo Liang (tim Vulcan, Qihoo 360)

FaceTime

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: udaljeni korisnici servisa FaceTime mogli su dobiti prikaz s korisnikove lokalne kamere

Opis: otkriven je problem u rukovanju prikazom s korisnikove lokalne kamere. Problem je riješen poboljšanom logikom.

CVE-2020-3869: Elisa Lee

files

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: zlonamjerna aplikacija može prebrisati proizvoljne datoteke

Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.

CVE-2020-3855: Csaba Fitzl (@theevilbit)

Stavka dodana 19. siječnja 2022.

ImageIO

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-3826: Samuel Groß (Google Project Zero)

CVE-2020-3870

CVE-2020-3878: Samuel Groß (Google Project Zero)

CVE-2020-3880: Samuel Groß (Google Project Zero)

Stavka ažurirana 4. travnja 2020.

IOAcceleratorFamily

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2020-3837: Brandon Azad (Google Project Zero)

IOUSBDeviceFamily

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8836: Xiaolong Bai i Min (Spark) Zheng (Alibaba Inc.) te Luyi Xing (Sveučilište Bloomington u Indiani)

Stavka dodana 22. lipnja 2020.

IPSec

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: učitavanjem zlonamjerne konfiguracijske Racoon datoteke moglo je doći do pokretanja proizvoljnog koda

Opis: u konfiguracijskim Racoon datotekama otkriven je problem s prekoračenjem međuspremnika za jedan. Problem je riješen poboljšanom provjerom ograničenja.

CVE-2020-3840: @littlelailo

Kernel

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: aplikacije su mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2020-3875: Brandon Azad (Google Project Zero)

Kernel

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: aplikacije su mogle čitati ograničenu memoriju

Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2020-3872: Haakon Garseg Mørk (Cognite) i Cim Stordal (Cognite)

Kernel

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Djelovanje: zlonamjerne aplikacije mogle su odrediti raspored elemenata memorije kernela

Opis: problem s pristupom riješen je poboljšanim upravljanjem memorijom.

CVE-2020-3836: Brandon Azad (Google Project Zero)

Kernel

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2020-3842: Ned Williamson i Google Project Zero

CVE-2020-3858: Xiaolong Bai i Min (Spark) Zheng (Alibaba Inc.) i Luyi Xing (Sveučilište Bloomington u Indiani)

Kernel

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.

CVE-2020-3831: Chilik Tamir (Zimperium zLabs), Corellium, Proteas (Qihoo 360 Nirvan Team)

Stavka ažurirana 19. ožujka 2020.

Kernel

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: zlonamjerne aplikacije mogle su uz sistemske ovlasti izvršiti proizvoljni kod

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2020-3853: Brandon Azad (Google Project Zero)

Kernel

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-3860: Proteas (Qihoo 360 Nirvan Team)

libxml2

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.

CVE-2020-3846: Ranier Vilela

Stavka dodana 29. siječnja 2020.

libxpc

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: obradom zlonamjernog niza moglo je doći do oštećenja skupa memorijskih mjesta

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-3856: Ian Beer (Google Project Zero)

libxpc

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-3829: Ian Beer (Google Project Zero)

Mail

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: opcija „Učitaj udaljeni sadržaj u poruke” možda se neće isključiti za sve pretpreglede e-pošte

Opis: problem je riješen poboljšanom propagacijom postavki.

CVE-2020-3873: Alexander Heinrich (@Sn0wfreeze) (Tehničko sveučilište u Darmstadtu), Hudson Pridham (Bridgeable), Stuart Chapman

Stavka ažurirana 19. ožujka 2020.

Messages

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: osobe s fizičkim pristupom iOS uređaju mogle su sa zaključanog zaslona pristupiti kontaktima

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2020-3859: Andrew Gonzalez, Simone PC

Stavka ažurirana 29. siječnja 2020.

Messages

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: korisnici uklonjeni iz razgovora na servisu iMessage mogli su i dalje promijeniti stanje

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2020-3844: Ayden Panhuyzen (@aydenpanhuyzen) i Jamie Bishop (@jamiebishop123) (Dynastic), Lance Rodgers (Srednja škola Oxon Hill)

Stavka ažurirana 29. siječnja 2020.

Phone

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: osobe s fizičkim pristupom iOS uređaju mogle su sa zaključanog zaslona pristupiti kontaktima

Opis: zbog problema sa zaključanim zaslonom putem njega bio je moguć pristup kontaktima. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2020-3828: anonimni istraživač

Safari Login AutoFill

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: lokalni korisnici nehotice su mogli slati nešifrirane lozinke putem mreže

Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.

CVE-2020-3841: Sebastian Bicchi (@secresDoge) (Sec-Research)

Screenshots

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: snimke zaslona u aplikaciji Poruke mogle su otkriti dodatni sadržaj poruka

Opis: otkriven je problem s imenovanjem snimki zaslona. Problem je riješen poboljšanim imenovanjem.

CVE-2020-3874: Nicolas Luckie (Durham College)

WebKit

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: zlonamjerna web-mjesta mogla su uzrokovati odbijanje usluge

Opis: problem s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.

CVE-2020-3862: Srikanth Gatta (Google Chrome)

Stavka dodana 29. siječnja 2020.

WebKit

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2020-3825: Przemysław Sporysz (Euvic)

CVE-2020-3868: Marcin Towalski (Cisco Talos)

Stavka dodana 29. siječnja 2020.

WebKit

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2020-3867: anonimni istraživač

Stavka dodana 29. siječnja 2020.

WebKit Page Loading

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: kontekst DOM objekta možda nije imao jedinstveno sigurnosno podrijetlo

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2020-3864: Ryan Pickren (ryanpickren.com)

Stavka dodana 6. veljače 2020.

WebKit Page Loading

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: kontekst DOM objekta najviše razine možda je pogrešno smatran sigurnim

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2020-3865: Ryan Pickren (ryanpickren.com)

Stavka dodana 29. siječnja 2020., ažurirana 6. veljače 2020.

Wi-Fi

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: udaljeni napadač može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-3843: Ian Beer (Google Project Zero)

Stavka dodana 6. veljače 2020.

wifivelocityd

Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: uz sistemske ovlasti aplikacije su mogle izvršiti proizvoljni kod

Opis: problem je riješen poboljšanom logikom za dozvole.

CVE-2020-3838: Dayton Pidhirney (@_watbulb)

Dodatna zahvala

IOSurface

Na pomoći zahvaljujemo Liangu Chenu (@chenliang0817).

Photos Storage

Na pomoći zahvaljujemo Allison Husain (Kalifornijsko sveučilište u Berkeleyju).

Stavka ažurirana 19. ožujka 2020.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: