Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
iOS 13.3.1 i iPadOS 13.3.1
Objavljeno 28. siječnja 2020.
Zvuk
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2020-3857: Zhuo Liang (tim Vulcan, Qihoo 360)
FaceTime
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: udaljeni korisnik usluge FaceTime mogao bi uzrokovati prikazivanje pogrešne kamere prilikom zrcalnog prikaza na kameri lokalnog korisnika
Opis: otkriven je problem u rukovanju zrcalnim prikazom lokalnog korisnika. Problem je riješen poboljšanom logikom.
CVE-2020-3869: Elisa Lee
Ulaz i izlaz slika
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-3826: Samuel Groß (Google Project Zero)
CVE-2020-3870
CVE-2020-3878: Samuel Groß (Google Project Zero)
CVE-2020-3880: Samuel Groß (Google Project Zero)
Unos ažuriran 4. travnja 2020.
IOAcceleratorFamily
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2020-3837: Brandon Azad (Google Project Zero)
IOUSBDeviceFamily
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8836: Xiaolong Bai i Min (Spark) Zheng (Alibaba Inc.) te Luyi Xing (Sveučilište Bloomington u Indiani)
Unos je dodan 22. lipnja 2020.
IPSec
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: učitavanje zlonamjerne konfiguracijske datoteke racoon može uzrokovati arbitrarno izvršavanje koda
Opis: otkriven je problem off by one u konfiguracijskim datotekama racoon. Problem je riješen poboljšanom provjerom ograničenja.
CVE-2020-3840: @littlelailo
Kernel
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: neke aplikacije mogu čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2020-3875: Brandon Azad (Google Project Zero)
Kernel
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: neke aplikacije mogu čitati ograničenu memoriju
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2020-3872: Haakon Garseg Mørk (Cognite) i Cim Stordal (Cognite)
Kernel
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije
Opis: problem s pristupom riješen je poboljšanim upravljanjem memorijom.
CVE-2020-3836: Brandon Azad (Google Project Zero)
Kernel
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2020-3842: Ned Williamson u suradnji s Google Project Zero
CVE-2020-3858: Xiaolong Bai i Min (Spark) Zheng (Alibaba Inc.) i Luyi Xing (Sveučilište Bloomington u Indiani)
Kernel
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.
CVE-2020-3831: Chilik Tamir (Zimperium zLabs), Corellium, Proteas (Qihoo 360 Nirvan Team)
Unos je ažuriran 19. ožujka 2020.
Kernel
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kod
Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.
CVE-2020-3853: Brandon Azad (Google Project Zero)
Kernel
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-3860: Proteas (Qihoo 360 Nirvan Team)
libxml2
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.
CVE-2020-3846: Ranier Vilela
Unos je dodan 29. siječnja 2020.
libxpc
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: obrada zlonamjerno izrađenog niza može dovesti do oštećenja hrpe.
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-3856: Ian Beer (Google Project Zero)
libxpc
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: aplikacije mogu dobiti veće ovlasti
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-3829: Ian Beer (Google Project Zero)
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: isključivanje opcije „Učitaj udaljeni sadržaj u poruke” možda se neće primijeniti na sve preglede pošte
Opis: problem je riješen poboljšanom propagacijom postavki.
CVE-2020-3873: Alexander Heinrich (@Sn0wfreeze) (Tehničko sveučilište u Darmstadtu), Hudson Pridham (Bridgeable), Stuart Chapman
Unos je ažuriran 19. ožujka 2020.
Poruke
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: osoba s fizičkim pristupom iOS uređaju mogla je sa zaključanog zaslona pristupiti kontaktima
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2020-3859: Andrew Gonzalez, Simone PC
Unos je ažuriran 29. siječnja 2020.
Poruke
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: korisnici uklonjeni iz iMessage razgovora i dalje mogu mijenjati stanje
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2020-3844: Ayden Panhuyzen (@aydenpanhuyzen) i Jamie Bishop (@jamiebishop123) (Dynastic), Lance Rodgers (Srednja škola Oxon Hill)
Unos je ažuriran 29. siječnja 2020.
Telefon
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: osoba s fizičkim pristupom iOS uređaju mogla je sa zaključanog zaslona pristupiti kontaktima
Opis: problem sa zaključanim zaslonom omogućio je pristup kontaktima na zaključanom uređaju. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2020-3828: anonimni istraživač
Automatska ispuna prilikom prijave u pregledniku Safari
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: lokalni korisnik nehotice može slati nešifrirane lozinke putem mreže
Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.
CVE-2020-3841: Sebastian Bicchi (@secresDoge) (Sec-Research)
Snimke zaslona
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: snimke zaslona aplikacije Poruke mogu otkriti dodatni sadržaj poruka
Opis: otkriven je problem s imenovanjem snimki zaslona. Problem je riješen poboljšanim imenovanjem.
CVE-2020-3874: Nicolas Luckie (Durham College)
WebKit
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: zlonamjerno web-mjesto moglo bi uzrokovati odbijanje usluge
Opis: problem s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.
CVE-2020-3862: Srikanth Gatta (Google Chrome)
Unos je dodan 29. siječnja 2020.
WebKit
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2020-3825: Przemysław Sporysz (Euvic)
CVE-2020-3868: Marcin Towalski (Cisco Talos)
Unos je dodan 29. siječnja 2020.
WebKit
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2020-3867: anonimni istraživač
Unos je dodan 29. siječnja 2020.
Učitavanje stranice WebKita
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: kontekst DOM objekta možda nije imao jedinstveno sigurnosno podrijetlo
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2020-3864: Ryan Pickren (ryanpickren.com)
Unos je dodan 6. veljače 2020.
Učitavanje stranice WebKita
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: kontekst DOM objekta najviše razine možda je pogrešno smatran sigurnim
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2020-3865: Ryan Pickren (ryanpickren.com)
Unos je dodan 29. siječnja 2020., ažuriran 6. veljače 2020.
Wi-Fi
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: udaljeni napadač može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-3843: Ian Beer (Google Project Zero)
Unos je dodan 6. veljače 2020.
wifivelocityd
Dostupno za: iPhone 6s i noviji, iPad Air 2 i noviji, iPad mini 4 i noviji te iPod touch 7. generacije
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem je riješen poboljšanjem logičkog procesa dozvola.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
Dodatna zahvala
IOSurface
Željeli bismo zahvaliti Liangu Chenu (@chenliang0817) na pomoći.
Memorija fotografija
Željeli bismo zahvaliti Allison Husain (UC Berkeley) na pomoći.
Unos je ažuriran 19. ožujka 2020.