Az iOS 14.6 és az iPadOS 14.6 biztonsági változásjegyzéke

Ez a dokumentum az iOS 14.6 és az iPadOS 14.6 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 14.6 és iPadOS 14.6

Audio

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30707: hjy79425575 a Trend Micro Zero Day Initiative kezdeményezés keretében

Audio

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Egy ártó szándékkal létrehozott hangfájl elemzése a felhasználói adatok felfedéséhez vezetett.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30685: Mickey Jin (@patch1t), Trend Micro

AVEVideoEncoder

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.

CVE-2021-30714: @08Tc3wBB (ZecOps) és George Nosenko

CommCenter

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A készülék bizonyos esetekben érvénytelen aktiválásokat is elfogadott.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2021-30729: CHRISTIAN MINA

Core Services

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások gyökérszintű jogosultságokat tudtak szerezni.

Leírás: Érvényesítési hiba lépett fel a szimbolikus hivatkozások kezelésekor. A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2021-30681: Zhongcheng Li (CK01)

CoreAudio

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor felfedhető volt a korlátozott memória.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2021-30686: Mickey Jin (Trend Micro)

CoreText

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát

Leírás: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

CVE-2021-30733: Sunglin (Knownsec 404)

CVE-2021-30753: Xingwei Lin (Ant Security Light-Year Lab)

Crash Reporter

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások módosítani tudták a fájlrendszer védett részeit.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30727: Cees Elzinga

CVMS

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30724: Mickey Jin (@patch1t), Trend Micro

FontParser

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2021-30771: Mickey Jin (@patch1t, Trend Micro), CFF (Topsec Alpha Team)

Heimdal

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A helyi felhasználók ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)

Heimdal

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások szolgáltatásmegtagadást idézhettek elő, illetve esetlegesen felfedhették a memória tartalmát.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Egy ártó szándékkal létrehozott szövegfájl elemzése a felhasználói adatok felfedéséhez vezetett.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2021-30687: Hou JingYi (@hjy79425575), Qihoo 360

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Egy ártó szándékkal létrehozott szövegfájl elemzése a felhasználói adatok felfedéséhez vezetett.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30700: Ye Zhang (@co0py_Cat), Baidu Security

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30701: Mickey Jin (@patch1t), Trend Micro és Ye Zhang, Baidu Security

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott ASTC-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30705: Ye Zhang (Baidu Security)

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát

Leírás: Egy ártó szándékkal létrehozott szövegfájl elemzése a felhasználói adatok felfedéséhez vezetett.

CVE-2021-30706: anonim kutató, a Trend Micro Zero Day Initiative közreműködőjeként, Jzhu, a Trend Micro Zero Day Initiative közreműködőjeként

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.

CVE-2021-30740: Linus Henze (pinauten.de)

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások fel tudtak fedni korlátozott memóriát.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30674: Siddharth Aeri (@b1n4r1b01)

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30704: anonim kutató

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott üzenetek feldolgozásakor szolgáltatásmegtagadás lépett fel.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30715: National Cyber Security Centre (NCSC, Egyesült Királyság)

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb méretellenőrzéssel kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2021-30736: Ian Beer (Google Project Zero)

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát

Leírás: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

CVE-2021-30703: anonim kutató

LaunchServices

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások adott esetben ki tudtak törni a sandboxból.

Leírás: A környezeti tisztítás továbbfejlesztésével elhárítottuk a problémát.

CVE-2021-30677: Ron Waisberg (@epsilan)

Mail

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Bizonyos, ártó szándékkal létrehozott e-mail-üzenetek feldolgozása váratlan memóriamódosulást, illetve alkalmazásleállást okozott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2021-30741: SYMaster (ZecOps Mobile EDR Team)

MediaRemote

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az engedélyek kijavításával megoldottunk adatvédelmi problémát a Most játszott funkcióban

Leírás: A helyi támadók bizonyos esetekben megtekinthették a zárolási képernyőn megjelenített Most játszott információkat.

CVE-2021-30756: Ricky D'Amelio, Jatayu Holznagel (@jholznagel)

Model I/O

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy adatfelfedési problémát.

CVE-2021-30723: Mickey Jin (@patch1t), Trend Micro

CVE-2021-30691: Mickey Jin (@patch1t), Trend Micro

CVE-2021-30692: Mickey Jin (@patch1t), Trend Micro

CVE-2021-30694: Mickey Jin (@patch1t), Trend Micro

Model I/O

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott USD-fájlok feldolgozása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-30725: Mickey Jin (@patch1t), Trend Micro

Model I/O

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2021-30746: Mickey Jin (@patch1t), Trend Micro

Model I/O

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2021-30693: Mickey Jin (@patch1t) és Junzhi Lu (@pwn0rz), Trend Micro

Model I/O

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2021-30695: Mickey Jin (@patch1t) és Junzhi Lu (@pwn0rz), Trend Micro

Model I/O

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott USD-fájlok feldolgozása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2021-30708: Mickey Jin (@patch1t) és Junzhi Lu (@pwn0rz), Trend Micro

Model I/O

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30709: Mickey Jin (@patch1t), Trend Micro

Networking

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott weboldalak meglátogatásakor szolgáltatásmegtagadás lépett fel.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-1821: Georgi Valkov (httpstorm.com)

Notes

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A felhasználók bizonyos esetekben a zárolt képernyőn is meg tudták tekinteni a korlátozott tartalmakat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy ablakkezelési problémát.

CVE-2021-30699: videosdebarraquito

Safari

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy a felhasználó nem tudta teljes mértékben törölni a böngészési előzményeket.

Leírás: Hatékonyabb engedélyezési logikával küszöböltük ki a problémát.

CVE-2021-30999: anonim kutató

Security

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott tanúsítványok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: A sérülékeny kód eltávolításával megoldottunk egy memóriasérüléssel kapcsolatos problémát, amely az ASN.1 dekódert érintette.

CVE-2021-30737: xerub

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: A biztonsági eredet fejlettebb követése megoldotta az iFrame-elemek származásával kapcsolatos problémát.

CVE-2021-30744: Dan Hite (jsontop)

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2021-21779: Marcin Towalski (Cisco Talos)

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2021-30682: Prakash (@1lastBr3ath)

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30689: anonim kutató

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2021-30749: anonim kutató és mipu94 a SEFCOM-laborból (ASU). a Trend Micro Zero Day Initiative kezdeményezés keretében

CVE-2021-30734: Jack Dates, a RET2 Systems, Inc. (@ret2systems) munkatársa a Trend Micro Zero Day Initiative kezdeményezés keretében

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy a rosszindulatú webhelyek hozzá tudtak férni tetszőleges kiszolgálók korlátozott portjaihoz.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2021-30720: David Schütz (@xdavidhu)

WebRTC

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.

CVE-2021-23841: Tavis Ormandy (Google)

CVE-2021-30698: Tavis Ormandy (Google)

Wi-Fi

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A Wi-Fi hatósugarán belüli támadók bizonyos esetekben rá tudták kényszeríteni a klienst, hogy kevésbé biztonságos hitelesítési mechanizmust használjon.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.

CVE-2021-30667: Raul Siles (@dinosec) (DinoSec)

További köszönetnyilvánítás

AVEVideoEncoder

Köszönjük @08Tc3wBB segítségét.

CommCenter

Köszönjük CHRISTIAN MINA és Stefan Sterz (@0x7374) segítségét (Secure Mobile Networking Lab a Darmstadti Műszaki Egyetemen és Industrial Software labor a Bécsi Műszaki Egyetemen).

CoreCapture

Köszönjük Zuozhi Fan (@pattern_F_) (Ant-financial TianQiong Security Lab) segítségét.

ImageIO

Köszönjük a Trend Micro Zero Day Initiative kezdeményezés keretei között eljáró Jzhu és egy anonim kutató segítségét.

Kernel

Köszönjük Saar Amar (@AmarSaar) segítségét.

Mail Drafts

Köszönjük Lauritz Holtmann (@_lauritz_) segítségét.

NetworkExtension

Köszönjük Matthias Ortmann (Secure Mobile Networking Lab) segítségét.

WebKit

Szeretnénk megköszönni Chris Salls (@salls), a Makai Security munkatársa segítségét.