Az iOS 14.6 és az iPadOS 14.6 biztonsági változásjegyzéke
Ez a dokumentum az iOS 14.6 és az iPadOS 14.6 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
iOS 14.6 és iPadOS 14.6
Audio
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-30707: hjy79425575 a Trend Micro Zero Day Initiative kezdeményezés keretében
Audio
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Egy ártó szándékkal létrehozott hangfájl elemzése a felhasználói adatok felfedéséhez vezetett.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-30685: Mickey Jin (@patch1t), Trend Micro
AVEVideoEncoder
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.
CVE-2021-30714: @08Tc3wBB (ZecOps) és George Nosenko
CommCenter
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: A készülék bizonyos esetekben érvénytelen aktiválásokat is elfogadott.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2021-30729: CHRISTIAN MINA
Core Services
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: A rosszindulatú alkalmazások gyökérszintű jogosultságokat tudtak szerezni.
Leírás: Érvényesítési hiba lépett fel a szimbolikus hivatkozások kezelésekor. A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.
CVE-2021-30681: Zhongcheng Li (CK01)
CoreAudio
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor felfedhető volt a korlátozott memória.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2021-30686: Mickey Jin (Trend Micro)
CoreText
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát
Leírás: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.
CVE-2021-30733: Sunglin (Knownsec 404)
CVE-2021-30753: Xingwei Lin (Ant Security Light-Year Lab)
Crash Reporter
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: A rosszindulatú alkalmazások módosítani tudták a fájlrendszer védett részeit.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30727: Cees Elzinga
CVMS
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-30724: Mickey Jin (@patch1t), Trend Micro
FontParser
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.
CVE-2021-30771: Mickey Jin (@patch1t, Trend Micro), CFF (Topsec Alpha Team)
Heimdal
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: A helyi felhasználók ki tudtak szivárogtatni bizalmas jellegű információkat.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)
Heimdal
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: A rosszindulatú alkalmazások szolgáltatásmegtagadást idézhettek elő, illetve esetlegesen felfedhették a memória tartalmát.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)
ImageIO
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Egy ártó szándékkal létrehozott szövegfájl elemzése a felhasználói adatok felfedéséhez vezetett.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2021-30687: Hou JingYi (@hjy79425575), Qihoo 360
ImageIO
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Egy ártó szándékkal létrehozott szövegfájl elemzése a felhasználói adatok felfedéséhez vezetett.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-30700: Ye Zhang (@co0py_Cat), Baidu Security
ImageIO
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-30701: Mickey Jin (@patch1t), Trend Micro és Ye Zhang, Baidu Security
ImageIO
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott ASTC-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-30705: Ye Zhang (Baidu Security)
ImageIO
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát
Leírás: Egy ártó szándékkal létrehozott szövegfájl elemzése a felhasználói adatok felfedéséhez vezetett.
CVE-2021-30706: anonim kutató, a Trend Micro Zero Day Initiative közreműködőjeként, Jzhu, a Trend Micro Zero Day Initiative közreműködőjeként
Kernel
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.
CVE-2021-30740: Linus Henze (pinauten.de)
Kernel
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: A rosszindulatú alkalmazások fel tudtak fedni korlátozott memóriát.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-30674: Siddharth Aeri (@b1n4r1b01)
Kernel
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30704: anonim kutató
Kernel
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott üzenetek feldolgozásakor szolgáltatásmegtagadás lépett fel.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30715: National Cyber Security Centre (NCSC, Egyesült Királyság)
Kernel
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.
Leírás: Hatékonyabb méretellenőrzéssel kiküszöböltünk egy puffertúlcsordulást okozó problémát.
CVE-2021-30736: Ian Beer (Google Project Zero)
Kernel
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát
Leírás: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
CVE-2021-30703: anonim kutató
LaunchServices
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: A rosszindulatú alkalmazások adott esetben ki tudtak törni a sandboxból.
Leírás: A környezeti tisztítás továbbfejlesztésével elhárítottuk a problémát.
CVE-2021-30677: Ron Waisberg (@epsilan)
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Bizonyos, ártó szándékkal létrehozott e-mail-üzenetek feldolgozása váratlan memóriamódosulást, illetve alkalmazásleállást okozott.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2021-30741: SYMaster (ZecOps Mobile EDR Team)
MediaRemote
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Az engedélyek kijavításával megoldottunk adatvédelmi problémát a Most játszott funkcióban
Leírás: A helyi támadók bizonyos esetekben megtekinthették a zárolási képernyőn megjelenített Most játszott információkat.
CVE-2021-30756: Ricky D'Amelio, Jatayu Holznagel (@jholznagel)
Model I/O
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy adatfelfedési problémát.
CVE-2021-30723: Mickey Jin (@patch1t), Trend Micro
CVE-2021-30691: Mickey Jin (@patch1t), Trend Micro
CVE-2021-30692: Mickey Jin (@patch1t), Trend Micro
CVE-2021-30694: Mickey Jin (@patch1t), Trend Micro
Model I/O
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott USD-fájlok feldolgozása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2021-30725: Mickey Jin (@patch1t), Trend Micro
Model I/O
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2021-30746: Mickey Jin (@patch1t), Trend Micro
Model I/O
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.
CVE-2021-30693: Mickey Jin (@patch1t) és Junzhi Lu (@pwn0rz), Trend Micro
Model I/O
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2021-30695: Mickey Jin (@patch1t) és Junzhi Lu (@pwn0rz), Trend Micro
Model I/O
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott USD-fájlok feldolgozása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2021-30708: Mickey Jin (@patch1t) és Junzhi Lu (@pwn0rz), Trend Micro
Model I/O
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-30709: Mickey Jin (@patch1t), Trend Micro
Networking
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott weboldalak meglátogatásakor szolgáltatásmegtagadás lépett fel.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-1821: Georgi Valkov (httpstorm.com)
Notes
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: A felhasználók bizonyos esetekben a zárolt képernyőn is meg tudták tekinteni a korlátozott tartalmakat.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy ablakkezelési problémát.
CVE-2021-30699: videosdebarraquito
Safari
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Előfordult, hogy a felhasználó nem tudta teljes mértékben törölni a böngészési előzményeket.
Leírás: Hatékonyabb engedélyezési logikával küszöböltük ki a problémát.
CVE-2021-30999: anonim kutató
Security
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott tanúsítványok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: A sérülékeny kód eltávolításával megoldottunk egy memóriasérüléssel kapcsolatos problémát, amely az ASN.1 dekódert érintette.
CVE-2021-30737: xerub
WebKit
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.
Leírás: A biztonsági eredet fejlettebb követése megoldotta az iFrame-elemek származásával kapcsolatos problémát.
CVE-2021-30744: Dan Hite (jsontop)
WebKit
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2021-21779: Marcin Towalski (Cisco Talos)
WebKit
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: A rosszindulatú alkalmazások ki tudtak szivárogtatni bizalmas jellegű információkat.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2021-30682: Prakash (@1lastBr3ath)
WebKit
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2021-30689: anonim kutató
WebKit
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.
CVE-2021-30749: anonim kutató és mipu94 a SEFCOM-laborból (ASU). a Trend Micro Zero Day Initiative kezdeményezés keretében
CVE-2021-30734: Jack Dates, a RET2 Systems, Inc. (@ret2systems) munkatársa a Trend Micro Zero Day Initiative kezdeményezés keretében
WebKit
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Előfordult, hogy a rosszindulatú webhelyek hozzá tudtak férni tetszőleges kiszolgálók korlátozott portjaihoz.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2021-30720: David Schütz (@xdavidhu)
WebRTC
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.
CVE-2021-23841: Tavis Ormandy (Google)
CVE-2021-30698: Tavis Ormandy (Google)
Wi-Fi
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: A Wi-Fi hatósugarán belüli támadók bizonyos esetekben rá tudták kényszeríteni a klienst, hogy kevésbé biztonságos hitelesítési mechanizmust használjon.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.
CVE-2021-30667: Raul Siles (@dinosec) (DinoSec)
További köszönetnyilvánítás
AVEVideoEncoder
Köszönjük @08Tc3wBB segítségét.
CommCenter
Köszönjük CHRISTIAN MINA és Stefan Sterz (@0x7374) segítségét (Secure Mobile Networking Lab a Darmstadti Műszaki Egyetemen és Industrial Software labor a Bécsi Műszaki Egyetemen).
CoreCapture
Köszönjük Zuozhi Fan (@pattern_F_) (Ant-financial TianQiong Security Lab) segítségét.
ImageIO
Köszönjük a Trend Micro Zero Day Initiative kezdeményezés keretei között eljáró Jzhu és egy anonim kutató segítségét.
Kernel
Köszönjük Saar Amar (@AmarSaar) segítségét.
Mail Drafts
Köszönjük Lauritz Holtmann (@_lauritz_) segítségét.
NetworkExtension
Köszönjük Matthias Ortmann (Secure Mobile Networking Lab) segítségét.
WebKit
Szeretnénk megköszönni Chris Salls (@salls), a Makai Security munkatársa segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.