Az iOS 13.1 és az iPadOS 13.1 biztonsági változásjegyzéke

Ez a dokumentum az iOS 13.1 és az iPadOS 13.1 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 13.1 és iPadOS 13.1

Kiadás dátuma: 2019. szeptember 24.

Az iOS 13.1 és az iPadOS 13.1 magában foglalja az iOS 13 biztonsági változásjegyzékét .

AppleFirmwareUpdateKext

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb zárolás révén elhárítottunk egy memóriasérülési biztonsági rést.

CVE-2019-8747: Mohamed Ghannam (@_simo36)

Bejegyzés hozzáadva: 2019. október 29.

Hang

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8706: Yu Zhou (Ant-Financial Light-Year Security Lab)

Bejegyzés hozzáadva: 2019. október 29.

Hang

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor felfedhető volt a korlátozott memória.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határérték-olvasási hibát.

CVE-2019-8850: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés hozzáadva: 2019. december 18.

Könyvek

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott iBooks-fájlok elemzésekor folyamatos szolgáltatásmegtagadás lépett fel.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy erőforrásfogyással kapcsolatos hibát.

CVE-2019-8774: Gertjan Franken imec-DistriNet (KU Leuven)

Bejegyzés hozzáadva: 2019. október 29.

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb zárolás révén elhárítottunk egy memóriasérülési biztonsági rést.

CVE-2019-8740: Mohamed Ghannam (@_simo36)

Bejegyzés hozzáadva: 2019. október 29.

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy a helyi alkalmazások olvasni tudták az állandó fiókazonosítókat.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2019-8809: Apple

Bejegyzés hozzáadva: 2019. október 29.

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások meg tudták állapítani a kernelmemória felépítését.

Leírás: Hatékonyabb engedélyezési logikával küszöböltük ki a problémát.

CVE-2019-8780: Siguza

Bejegyzés hozzáadva: 2019. október 8.

libxslt

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A libxslt motorral kapcsolatos többféle probléma.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk több memóriasérüléssel kapcsolatos problémát.

CVE-2019-8750: megtaláló: OSS-Fuzz

Bejegyzés hozzáadva: 2019. október 29.

mDNSResponder

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Egy fizikailag a közelben lévő támadó passzív módon megfigyelhette a készülékneveket az AWDL-kommunikációk során.

Leírás: A problémát úgy hárítottuk el, hogy a készülékneveket véletlenszerű azonosítóra cseréltük le.

CVE-2019-8799: David Kreitschmann és Milan Stute (Secure Mobile Networking Lab, Technische Universität Darmstadt)

Bejegyzés hozzáadva: 2019. október 29.

Parancsok

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy magas hálózati jogosultságú támadók hozzá tudtak férni az SSH-forgalomhoz a „Szkript futtatása SSH-n keresztül” műveletből.

Leírás: A problémát úgy hárítottuk el, hogy előírtuk a hosztkulcsok ellenőrzését a korábbról ismert SSH-kiszolgálókhoz való csatlakozáskor.

CVE-2019-8901: anonim kutató

Bejegyzés hozzáadva: 2020. február 11.

UIFoundation

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8831: riusksk (VulWar Corp), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés hozzáadva: 2019. november 18.

VoiceOver

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező személyek a zárolt képernyőről hozzá tudtak férni a kontaktokhoz.

Leírás: Úgy hárítottuk el a problémát, hogy korlátoztuk a zárolt készüléken felajánlott lehetőségek körét.

CVE-2019-8775: videosdebarraquito

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor felfedhetők voltak a böngészési előzmények.

Leírás: Hibás volt a weboldalelemek megrajzolása. Hatékonyabb logikával hárítottuk el a problémát.

CVE-2019-8769: Piérre Reimertz (@reimertz)

Bejegyzés hozzáadva: 2019. október 8.

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2019-8710: megtaláló: OSS-Fuzz

CVE-2019-8743: zhunki (Codesafe Team, Legendsec, Qi'anxin Group)

CVE-2019-8751: Dongzhuo Zhao a Venustech ADLab közreműködőjeként

CVE-2019-8752: Dongzhuo Zhao a Venustech ADLab közreműködőjeként

CVE-2019-8763: Sergei Glazunov (Google Project Zero)

CVE-2019-8765: Samuel Groß (Google Project Zero)

CVE-2019-8766: megtaláló: OSS-Fuzz

CVE-2019-8773: megtaláló: OSS-Fuzz

Bejegyzés hozzáadva: 2019. október 8., frissítve: 2019. október 29.

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2019-8762: Sergei Glazunov (Google Project Zero)

Bejegyzés hozzáadva: 2019. november 18.

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2020-9932: Dongzhuo Zhao, a Venustech ADLab közreműködőjeként

Bejegyzés hozzáadva: 2020. július 28.

További köszönetnyilvánítás

boringssl

Köszönjük Nimrod Aviram (Tel Aviv University), Robert Merget (Ruhr University Bochum) és Juraj Somorovsky (Ruhr University Bochum) segítségét.

Bejegyzés hozzáadva: 2019. október 29.

iPhone keresése

Köszönjük egy anonim kutató segítségét.

Identitásszolgáltatás

Köszönjük Yiğit Can YILMAZ (@yilmazcanyigit) segítségét.

Bejegyzés hozzáadva: 2019. október 29.

Kernel

Köszönjük Vlad Tsyrklevics segítségét.

Bejegyzés hozzáadva: 2020. július 28.

Megjegyzések

Köszönjük egy anonim kutató segítségét.

Fotók

Köszönjük Peter Scott (Sydney, Ausztrália) segítségét.

Bejegyzés hozzáadva: 2019. december 18.

Megosztás lap

Szeretnénk megköszönni Milan Stute (Secure Mobile Networking Lab, Technische Universität Darmstadt) segítségét.

Bejegyzés hozzáadva: 2019. október 29.

Állapotsáv

Köszönjük Isaiah Kahler, Mohammed Adham és egy anonim kutató segítségét.

Bejegyzés hozzáadva: 2019. október 29.

Telefonálás

Köszönjük Yiğit Can YILMAZ (@yilmazcanyigit) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: