Az iOS 13.3 és az iPadOS 13.3 biztonsági változásjegyzéke
Ez a dokumentum az iOS 13.3 és az iPadOS 13.3 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
iOS 13.3 és iPadOS 13.3
CallKit
A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.
Érintett terület: A Sirivel indított hívások nem a megfelelő mobil-előfizetést használták olyan készülékeken, amelyeken két előfizetés volt aktív.
Leírás: Egy API-probléma állt fenn a Sirivel indított kimenő telefonhívások kezelési módjában. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2019-8856: Fabrice TERRANCLE (TERRANCLE SARL)
CFNetwork
A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.
Érintett terület: A magas hálózati jogosultságú támadók meg tudták kerülni a HSTS-t bizonyos olyan legfelső szintű tartományok esetén, amelyek korábban nem szerepeltek a HSTS előbetöltési listában.
Leírás: További korlátozásokkal elhárítottunk egy konfigurációs hibát.
CVE-2019-8834: Rob Sayre (@sayrer)
CFNetwork proxyk
A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.
Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2019-8848: Zhuo Liang (Qihoo 360 Vulcan Team)
FaceTime
A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.
Érintett terület: Előfordult, hogy rosszindulatú videók FaceTime-on keresztül történő feldolgozásakor tetszőleges programkód végrehajtására nyílt lehetőség.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2019-8830: natashenka (Google Project Zero)
IOSurfaceAccelerator
A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Elhárítottunk egy információfelfedéssel kapcsolatos problémát a sebezhető kód eltávolításával.
CVE-2019-8841: Corellium
Kernel
A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Elhárítottunk egy memóriasérülési hibát a sebezhető kód eltávolításával.
CVE-2019-8833: Ian Beer (Google Project Zero)
Kernel
A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8828: Cim Stordal (Cognite)
CVE-2019-8838: Dr. Silvio Cesare (InfoSect)
libexpat
A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott XML-fájlok elemzésekor előfordult, hogy napvilágra kerültek a felhasználói adatok.
Leírás: Az expat 2.2.8-as verziójára való frissítéssel hárítottuk el a problémát.
CVE-2019-15903: Joonun Jang
libpcap
A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.
Érintett terület: Több probléma volt a libpcappel.
Leírás: Több hibát is elhárítottunk a libpcap 1.9.1-es verziójára való frissítéssel.
CVE-2019-15161
CVE-2019-15162
CVE-2019-15163
CVE-2019-15164
CVE-2019-15165
Fotók
A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.
Érintett terület: Akkor is meg lehetett osztani Live Photo-audióadatokat és -videóadatokat iCloud-hivatkozások segítségével, ha a Live Photo le volt tiltva a Megosztás lapon.
Leírás: Azáltal hárult el a probléma, hogy hatékonyabb ellenőrzést vezettünk be az iCloud-hivatkozások létrehozásakor.
CVE-2019-8857: Tor Bruce
Biztonság
A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8832: Insu Yun (SSLab; Georgia Tech)
WebKit
A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webhelyek felkeresésekor ki lehetett deríteni, hogy a felhasználó milyen webhelyeket látogatott meg.
Leírás: A Storage Access API kezelési módjában adatfelfedési probléma állt fenn. Hatékonyabb logikával hárítottuk el a problémát.
CVE-2019-8898: Michael Kleber (Google)
WebKit
A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.
CVE-2019-8835: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként, Mike Zhang (Pangu Team)
CVE-2019-8844: William Bowling (@wcbowling)
WebKit
A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2019-8846: Marcin Towalski (Cisco Talos)
További köszönetnyilvánítás
Fiókok
Köszönjük Allison Husain (UC Berkeley), Kishan Bagaria (KishanBagaria.com) és Tom Snelling (Loughborough University) segítségét.
Core Data
Köszönjük natashenka (Google Project Zero) segítségét.
Beállítások
Köszönjük egy anonim kutató segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.