Informacije o sigurnosnom sadržaju sustava iOS 14.0 i iPadOS 14.0

U ovom dokumentu opisan je sigurnosni sadržaj za iOS 13.6 i iPadOS 13.6.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 14.0 i iPadOS 14.0

Objavljeno 16. rujna 2020.

AppleAVD

Dostupno za: iPhone 6s i noviji, iPod touch sedme generacije, iPad Air 2 i noviji te iPad mini 4 i noviji

Učinak: neke aplikacije mogu uzrokovati neočekivani pad sustava, odnosno pisati kernelsku memoriju

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9958: Mohamed Ghannam (@_simo36)

Resursi

Dostupno za: iPhone 6s i noviji, iPod touch sedme generacije, iPad Air 2 i noviji te iPad mini 4 i noviji

Učinak: napadač je mogao zloupotrijebiti pouzdani odnos za preuzimanje zlonamjernog sadržaja

Opis: problem s pouzdanošću riješen je uklanjanjem starog API-ja.

CVE-2020-9979: CodeColorist (Ant-Financial LightYear Labs)

Ikone

Dostupno za: iPhone 6s i noviji, iPod touch sedme generacije, iPad Air 2 i noviji te iPad mini 4 i noviji

Učinak: zlonamjerne aplikacije mogle su otkriti što su korisnici drugih aplikacija instalirali

Opis: problem je riješen poboljšanim rukovanjem predmemorijom ikona.

CVE-2020-9773: Chilik Tamir (Zimperium zLabs)

Podrška za IDE uređaj

Dostupno za: iPhone 6s i noviji, iPod touch sedme generacije, iPad Air 2 i noviji te iPad mini 4 i noviji

Učinak: napadač s mrežnim ovlastima mogao je izvršiti proizvoljni kod na uparenom uređaju tijekom sesije ispravljanja pogrešaka putem mreže.

Opis: ovaj problem riješen je šifriranjem komunikacija putem mreže za uređaje sa sustavima iOS 14, iPadOS 14, tvOS 14 i watchOS 7.

CVE-2020-9992: Dany Lisiansky (@DanyL931), Nikias Bassen (Zimperium zLabs)

Unos je ažuriran 17. rujna 2020.

IOSurfaceAccelerator

Dostupno za: iPhone 6s i noviji, iPod touch sedme generacije, iPad Air 2 i noviji te iPad mini 4 i noviji

Učinak: lokalni korisnici mogli su čitati kernelsku memoriju

Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9964: Mohamed Ghannam (@_simo36), Tommy Muir (@Muirey03)

Tipkovnica

Dostupno za: iPhone 6s i noviji, iPod touch sedme generacije, iPad Air 2 i noviji te iPad mini 4 i noviji

Učinak: zlonamjerna aplikacija može odati osjetljive korisničke informacije

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2020-9976: Rias A. Sherzad (JAIDE GmbH, Hamburg, Njemačka)

Ulaz/izlaz za model

Dostupno za: iPhone 6s i noviji, iPod touch sedme generacije, iPad Air 2 i noviji te iPad mini 4 i noviji

Učinak: obrada zlonamjerne USD datoteke može dovesti do neočekivanog zatvaranja aplikacije ili proizvoljnog izvršavanja koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9973: Aleksandar Nikolic (Cisco Talos)

Telefon

Dostupno za: iPhone 6s i noviji, iPod touch sedme generacije, iPad Air 2 i noviji te iPad mini 4 i noviji

Učinak: zaključani zaslon mogao se nakon navedenog razdoblja ne aktivirati.

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2020-9946: Daniel Larsson (iolight AB)

Memorija za testiranje

Dostupno za: iPhone 6s i noviji, iPod touch sedme generacije, iPad Air 2 i noviji te iPad mini 4 i noviji

Učinak: zlonamjerna aplikacija može pristupiti ograničenim datotekama

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2020-9968: Adam Chester (@_xpn_) (TrustedSec)

Unos je ažuriran 17. rujna 2020.

Siri

Dostupno za: iPhone 6s i noviji, iPod touch sedme generacije, iPad Air 2 i noviji te iPad mini 4 i noviji

Učinak: osoba s fizičkim pristupom uređaju sa sustavom iOS mogla bi na zaključanom zaslonu vidjeti sadržaj obavijesti

Opis: zbog problema sa zaključanim zaslonom bio je moguć pristup porukama na zaključanom uređaju. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2020-9959: anonimni istraživač, anonimni istraživač, anonimni istraživač, anonimni istraživač, anonimni istraživač, Andrew Goldberg (McCombs School of Business, Sveučilište u Teksasu, Austin), Meli̇h Kerem Güneş (Li̇v College), Sinan Gulguler

WebKit

Dostupno za: iPhone 6s i noviji, iPod touch sedme generacije, iPad Air 2 i noviji te iPad mini 4 i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do napada unakrsnim skriptiranjem na više web-mjesta

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9952: Ryan Pickren (ryanpickren.com)

Dodatna zahvala

App Store

Željeli bismo zahvaliti Giyasu Umarovu (srednja škola Holmdel) na pomoći.

Bluetooth

Željeli bismo zahvaliti Andyju Davisu (NCC Group) i Dennisu Heinzeu (@ttdennis) (Laboratorij za sigurne mobilne mreže Tehničkog sveučilišta u Darmstadtu) na pomoći.

CallKit

Željeli bismo zahvaliti Federicu Zanetellu na pomoći.

CarPlay

Željeli bismo zahvaliti anonimnom istraživaču na pomoći.

Lokacija jezgre

Željeli bismo zahvaliti Yiğitu Canu Yilmazu (@yilmazcanyigit) na pomoći.

debugserver

Željeli bismo zahvaliti Linusu Henzeu (pinauten.de) na pomoći.

iAP

Željeli bismo zahvaliti Andyju Davisu (NCC grupa) na pomoći.

iBoot

Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero) na pomoći.

Kernel

Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero) na pomoći.

libarchive

Željeli bismo zahvaliti Dzmitryju Plotnikauu i anonimnom istraživaču na pomoći.

Lokacijska platforma

Željeli bismo zahvaliti Nicolasu Brunneru (linkedin.com/in/nicolas-brunner-651bb4128) na pomoći.

Unos je ažuriran 19. listopada 2020.

Karte

Željeli bismo zahvaliti Matthewu Dolanu (Amazon Alexa) na pomoći.

NetworkExtension

Željeli bismo zahvaliti Thijsu Alkemadeu (Computest) i Qubou Songu (Symantec, podružnica Broadcoma) na pomoći.

Telefonska tipkovnica

Željeli bismo zahvaliti anonimnom istraživaču na pomoći.

Safari

Željeli bismo zahvaliti sljedećim osobama na pomoći: Andreas Gutmann (@KryptoAndI) (Centar za inovacije tvrtke OneSpan (onespan.com) i University College London), Steven J. Murdoch (@SJMurdoch) (Centar za inovacije tvrtke OneSpan (onespan.com) i University College London), Jack Cable (Lightning Security) i Yair Amit.

Unos je dodan 19. listopada 2020.

Traka stanja

Na pomoći zahvaljujemo Abdulu M. Majumderu i Abdullahu Fasihallahu (Sveučilište Taif), Adwaitu Vikasu Bhideu, Frederiku Schmidu, Nikiti i anonimnom istraživaču.

Telefonija

Željeli bismo zahvaliti Yiğitu Canu Yilmazu (@yilmazcanyigit) na pomoći.

UIKit

Željeli bismo zahvaliti Borji Marcosu (Sarenet) te Simonu de Vegtu, Talalu Haju Bakryju (@hajbakri) i Tommyu Mysku (@tommymysk) (Mysk Inc) na pomoći.

Web-aplikacija

Željeli bismo zahvaliti Augustu Alvarezu (Outcourse Limited) na pomoći.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: