Az iOS 13 biztonsági változásjegyzéke

Ez a dokumentum az iOS 13 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 13

Kiadás dátuma: 2019. szeptember 19.

Bluetooth

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Az értesítések előnézete sokszor akkor is megjelent a Bluetooth-kiegészítőkön, ha az előnézet le volt tiltva.

Leírás: Logikai hiba állt fenn az értesítések előnézetével. Hatékonyabb ellenőrzéssel hárítottuk el a problémát.

CVE-2019-8711: Arjang (MARK ANTHONY GROUP INC.), Cemil Ozkebapci (@cemilozkebapci; Garanti BBVA), Oguzhan Meral (Deloitte Consulting), Ömer Bozdoğan-Ramazan Atıl Anadolu Lisesi Adana/TÜRKİYE

Híváselőzmények

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: A törölt hívások láthatóak maradtak az eszközön.

Leírás: Az adattörlés javításával küszöböltük ki a problémát.

CVE-2019-8732: Mohamad El-Zein Berlin

Bejegyzés hozzáadva: 2019. november 18.

CFNetwork

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2019-8753: Łukasz Pilorz (Standard Chartered GBS Poland)

Bejegyzés hozzáadva: 2019. október 29.

CoreAudio

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott filmek feldolgozása lehetőséget adott a folyamatmemóriához való illetéktelen hozzáférésre.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8705: riusksk (VulWar Corp), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CoreAudio

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Egy rosszindulatú hangfájl lejátszása tetszőleges programkód végrehajtására adott lehetőséget.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8592: riusksk (VulWar Corp), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés hozzáadva: 2019. november 6.

CoreCrypto

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Előfordult, hogy nagy mennyiségű bemenet feldolgozásakor szolgáltatásmegtagadás lépett fel.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2019-8741: Nicky Mouha (NIST)

Bejegyzés hozzáadva: 2019. október 29.

CoreMedia

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8825: megtaláló: GWP-ASan a Google Chrome-ban

Bejegyzés hozzáadva: 2019. október 29.

Face ID

A következőkhöz érhető el: iPhone X és újabb modellek.

Érintett terület: Egy 3D-s modell úgy nézett ki, mintha a regisztrált felhasználó hitelesítést tudna végezni a Face ID segítségével.

Leírás: A Face ID gépi tanulási modellek fejlesztésével hárítottuk el a problémát.

CVE-2019-8760: Wish Wu (吴潍浠 @wish_wu; Ant-financial Light-Year Security Lab)

Foundation

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2019-8641: Samuel Groß és natashenka (Google Project Zero)

CVE-2019-8746: natashenka és Samuel Groß (Google Project Zero)

Bejegyzés frissítve: 2019. október 29.

IOUSBDeviceFamily

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8718: Joshua Hill és Sem Voigtländer

Bejegyzés hozzáadva: 2019. október 29.

Kernel

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: A jogosultságok megadásának javításával hárítottuk el a problémát.

CVE-2019-8703: anonim kutató

Bejegyzés hozzáadva: 2021. március 16.

Kernel

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Előfordult, hogy a helyi alkalmazások olvasni tudták az állandó fiókazonosítókat.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2019-8809: Apple

Bejegyzés hozzáadva: 2019. október 29.

Kernel

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

Bejegyzés hozzáadva: 2019. október 29.

Kernel

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8712: Mohamed Ghannam (@_simo36)

Bejegyzés hozzáadva: 2019. október 29.

Kernel

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: A rosszindulatú alkalmazások meg tudták állapítani a kernelmemória felépítését.

Leírás: Memóriasérülési probléma lépett fel az IPv6-csomagok kezelésekor. Hatékonyabb memóriakezeléssel küszöböltük ki a problémát.

CVE-2019-8744: Zhuo Liang (Qihoo 360 Vulcan Team)

Bejegyzés hozzáadva: 2019. október 29.

Kernel

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8717: Jann Horn (Google Project Zero)

Bejegyzés hozzáadva: 2019. október 8.

Billentyűzetek

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: A helyi felhasználók ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.

CVE-2019-8704: 王 邦 宇 (wAnyBug.Com; SAINTSEC)

libxml2

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: A libxml2 motorral kapcsolatos többféle probléma.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk több memóriasérüléssel kapcsolatos problémát.

CVE-2019-8749: megtaláló: OSS-Fuzz

CVE-2019-8756: megtaláló: OSS-Fuzz

Bejegyzés hozzáadva: 2019. október 8.

Üzenetek

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező személyek a zárolt képernyőről hozzá tudtak férni a kontaktokhoz.

Leírás: Úgy hárítottuk el a problémát, hogy korlátoztuk a zárolt készüléken felajánlott lehetőségek körét.

CVE-2019-8742: videosdebarraquito

Megjegyzések

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: A helyi felhasználók meg tudták tekinteni egy másik felhasználó zárolt jegyzeteit.

Leírás: A zárolt jegyzetek tartalma néha megjelent a keresési találatok között. Hatékonyabb adattisztítással küszöböltük ki a problémát.

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg; Virginia Polytechnic Institute and State University)

Bejegyzés hozzáadva: 2019. október 8.

PluginKit

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Előfordult, hogy a helyi felhasználók ellenőrizni tudták, hogy léteznek-e tetszőleges fájlok.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2019-8708: anonim kutató

Bejegyzés hozzáadva: 2019. október 29.

PluginKit

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8715: anonim kutató

Bejegyzés hozzáadva: 2019. október 29.

Gyorsnézet

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor felhasználói adatok közzétételére került sor.

Leírás: Engedélyezési hiba miatt a rendszer tévesen adott végrehajtási engedélyt. Az engedélyek hatékonyabb ellenőrzésével hárítottuk el a problémát.

CVE-2019-8731: Saif Hamed Hamdan Al Hinai (Oman National CERT), Yiğit Can YILMAZ (@yilmazcanyigit)

Safari

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2019-8727: Divyanshu Shukla (@justm0rph3u5)

Bejegyzés frissítve: 2019. október 8.

UIFoundation

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott szövegfájlok feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2019-8745: riusksk (VulWar Corp), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés hozzáadva: 2019. október 8.

WebKit

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak sértették az iframe-ek sandboxban való futtatására vonatkozó szabályzatot.

Leírás: Az iframe-ek sandboxban való futtatásának hatékonyabb kikényszerítésével hárítottuk el a problémát.

CVE-2019-8771: Eliya Stein (Confiant)

Bejegyzés hozzáadva: 2019. október 8.

WebKit

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2019-8625: Sergei Glazunov (Google Project Zero)

CVE-2019-8719: Sergei Glazunov (Google Project Zero)

CVE-2019-8764: Sergei Glazunov (Google Project Zero)

Bejegyzés hozzáadva: 2019. október 8., frissítve: 2019. október 29.

WebKit

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2019-8707: anonim kutató, a Trend Micro Zero Day kezdeményezésének közreműködőjeként; cc, a Trend Micro Zero Day kezdeményezésének közreműködőjeként

CVE-2019-8726: Jihui Lu (Tencent KeenLab)

CVE-2019-8728: Junho Jang (LINE Security Team) és Hanul Choi (ABLY Corporation)

CVE-2019-8733: Sergei Glazunov (Google Project Zero)

CVE-2019-8734: megtaláló: OSS-Fuzz

CVE-2019-8735: G. Geshev, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés hozzáadva: 2019. október 8., frissítve: 2019. október 29.

WebKit

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Előfordult, hogy a felhasználó nem tudta törölni a böngészési előzményeket.

Leírás: Az „Előzm. és webhelyadatok törlése” funkció nem törölte teljes mértékben az előzményeket. Az adattörlés javításával küszöböltük ki a problémát.

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

Bejegyzés hozzáadva: 2019. október 8.

WebKit-oldalbetöltés

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2019-8674: Sergei Glazunov (Google Project Zero)

Bejegyzés frissítve: 2019. október 8.

Wi-Fi

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: A készülékek passzív módon nyomon követhetők voltak a Wi-Fi MAC-címük alapján.

Leírás: Egy felhasználói adatvédelmi probléma hárult el a szórási MAC-cím eltávolításával.

CVE-2019-8854: Ta-Lun Yen (UCCU Hacker), FuriousMacTeam (United States Naval Academy) és Mitre Cooperation

Bejegyzés hozzáadva: 2019. december 4.

További köszönetnyilvánítás

AppleRTC

Köszönjük Vitaly Cheptsov segítségét.

Bejegyzés hozzáadva: 2019. október 29.

Hang

Köszönjük riusksk (VulWar Corp, a Trend Micro Zero Day Initiative kezdeményezésének közreműködője) segítségét.

Bejegyzés hozzáadva: 2019. október 29.

Bluetooth

Köszönjük a következők segítségét: Jan Ruge (TU Darmstadt), Secure Mobile Networking Lab, Jiska Classen (TU Darmstadt), Secure Mobile Networking Lab, Francesco Gringoli (University of Brescia), Dennis Heinze (TU Darmstadt), Secure Mobile Networking Lab.

boringssl

Köszönjük Thijs Alkemade (@xnyhps; Computest) segítségét.

Bejegyzés hozzáadva: 2019. október 8.

Vezérlőközpont

Köszönjük Brandon Sellers segítségét.

HomeKit

Köszönjük Tian Zhang segítségét.

Bejegyzés hozzáadva: 2019. október 29.

Kernel

Köszönjük Brandon Azad (Google Project Zero) segítségét.

Bejegyzés hozzáadva: 2019. október 29.

Billentyűzet

Köszönjük Sara Haradhvala (Harlen Web Consulting) és egy anonim kutató segítségét.

Bejegyzés frissítve: 2020. július 28.

Mail

Köszönjük Kenneth Hyndycz segítségét.

mDNSResponder

Köszönjük Gregor Lang (e.solutions GmbH) segítségét.

Bejegyzés hozzáadva: 2019. október 29.

Profilok

Köszönjük Erik Johnson (Vernon Hills High School), James Seeley (@Code4iOS, Shriver Job Corps), James Seeley (@Code4iOS, Shriver Job Corps) segítségét.

Bejegyzés frissítve: 2019. október 29.

SafariViewController

Köszönjük Yiğit Can YILMAZ (@yilmazcanyigit) segítségét.

VPN

Köszönjük Royce Gawron (Second Son Consulting, Inc.) segítségét.

Bejegyzés hozzáadva: 2019. október 29.

WebKit

Köszönjük MinJeong Kim (Information Security Lab, Chungnam National University), JaeCheol Ryou (Information Security Lab, Chungnam National University, Dél-Korea), Yiğit Can YILMAZ (@yilmazcanyigit), Zhihua Yao (DBAPPSecurity Zion Lab), egy anonim kutató, és cc (a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként) segítségét.

Bejegyzés hozzáadva: 2019. október 8., frissítve: 2019. október 29.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: