Az iOS 13 biztonsági tartalma

Ez a dokumentum az iOS 13 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 13

Kiadási dátum: 2019. szeptember 19.

Bluetooth

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Az értesítések előnézete sokszor akkor is megjelent a Bluetooth-kiegészítőkön, ha az előnézet le volt tiltva.

Leírás: Logikai hiba állt fenn az értesítések előnézetével. Hatékonyabb ellenőrzéssel hárítottuk el a problémát.

CVE-2019-8711: Arjang (MARK ANTHONY GROUP INC.), Cemil Ozkebapci (@cemilozkebapci; Garanti BBVA), Oguzhan Meral (Deloitte Consulting), Ömer Bozdoğan-Ramazan Atıl Anadolu Lisesi Adana/TÜRKİYE

CoreAudio

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott filmek feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8705: riusksk (VulWar Corp), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Face ID

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Egy 3D-s modell úgy nézett ki, mintha a regisztrált felhasználó hitelesítést tudna végezni a Face ID segítségével.

Leírás: A Face ID gépi tanulási modellek fejlesztésével hárítottuk el a problémát.

CVE-2019-8760: Wish Wu (吴潍浠 @wish_wu; Ant-financial Light-Year Security Lab)

Foundation

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2019-8641: Samuel Groß és Natalie Silvanovich (Google Project Zero)

Billentyűzetek

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: A helyi felhasználók ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.

CVE-2019-8704: 王 邦 宇 (wAnyBug.Com; SAINTSEC)

Üzenetek

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező személyek a zárolt képernyőről hozzá tudtak férni a kontaktokhoz.

Leírás: Úgy hárítottuk el a problémát, hogy korlátoztuk a zárolt készüléken felajánlott lehetőségek körét.

CVE-2019-8742: videosdebarraquito

Gyorsnézet

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor felhasználói adatok közzétételére került sor.

Leírás: Engedélyezési hiba miatt a rendszer tévesen adott végrehajtási engedélyt. Az engedélyek hatékonyabb ellenőrzésével hárították el a problémát.

CVE-2019-8731: Saif Hamed Hamdan Al Hinai (Oman National CERT), Yiğit Can YILMAZ (@yilmazcanyigit)

Safari

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2019-8727: Divyanshu Shukla (@justm0rph3u5; Quotient Technology)

WebKit-oldalbetöltés

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2019-8674

További köszönetnyilvánítások

Bluetooth

Köszönjük a következők segítségét: Jan Ruge (TU Darmstadt), Secure Mobile Networking Lab, Jiska Classen (TU Darmstadt), Secure Mobile Networking Lab, Francesco Gringoli (University of Brescia), Dennis Heinze (TU Darmstadt), Secure Mobile Networking Lab.

Vezérlőközpont

Köszönjük Brandon Sellers segítségét.

Billentyűzet

Köszönjük egy anonim kutató segítségét.

Mail

Köszönjük Kenneth Hyndycz segítségét.

Profilok

Köszönjük James Seeley (@Code4iOS; Shriver Job Corps) segítségét.

SafariViewController

Köszönjük Yiğit Can YILMAZ (@yilmazcanyigit) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: