Az iOS 13 biztonsági tartalma

Ez a dokumentum az iOS 13 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 13

Kiadási dátum: 2019. szeptember 19.

Bluetooth

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Az értesítések előnézete sokszor akkor is megjelent a Bluetooth-kiegészítőkön, ha az előnézet le volt tiltva.

Leírás: Logikai hiba állt fenn az értesítések előnézetével. Hatékonyabb ellenőrzéssel hárítottuk el a problémát.

CVE-2019-8711: Arjang (MARK ANTHONY GROUP INC.), Cemil Ozkebapci (@cemilozkebapci; Garanti BBVA), Oguzhan Meral (Deloitte Consulting), Ömer Bozdoğan-Ramazan Atıl Anadolu Lisesi Adana/TÜRKİYE

CoreAudio

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott filmek feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8705: riusksk (VulWar Corp), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Face ID

A következőkhöz érhető el: iPhone X és újabb modellek.

Érintett terület: Egy 3D-s modell úgy nézett ki, mintha a regisztrált felhasználó hitelesítést tudna végezni a Face ID segítségével.

Leírás: A Face ID gépi tanulási modellek fejlesztésével hárítottuk el a problémát.

CVE-2019-8760: Wish Wu (吴潍浠 @wish_wu; Ant-financial Light-Year Security Lab)

Foundation

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2019-8641: Samuel Groß és Natalie Silvanovich (Google Project Zero)

Kernel

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8717: Jann Horn (Google Project Zero)

Bejegyzés hozzáadva 2019. október 8-án.

Billentyűzetek

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: A helyi felhasználók ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.

CVE-2019-8704: 王 邦 宇 (wAnyBug.Com; SAINTSEC)

libxml2

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: A libxml2 több biztonsági rése.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk több memóriasérüléssel kapcsolatos problémát.

CVE-2019-8749: megtaláló: OSS-Fuzz

CVE-2019-8756: megtaláló: OSS-Fuzz

Bejegyzés hozzáadva 2019. október 8-án.

Üzenetek

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező személyek a zárolt képernyőről hozzá tudtak férni a kontaktokhoz.

Leírás: Úgy hárítottuk el a problémát, hogy korlátoztuk a zárolt készüléken felajánlott lehetőségek körét.

CVE-2019-8742: videosdebarraquito

Megjegyzések

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: A helyi felhasználók meg tudták tekinteni egy másik felhasználó zárolt jegyzeteit.

Leírás: A zárolt jegyzetek tartalma néha megjelent a keresési találatok között. Hatékonyabb adattisztítással küszöböltük ki a problémát.

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg; Virginia Polytechnic Institute and State University)

Bejegyzés hozzáadva 2019. október 8-án.

Gyorsnézet

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor felhasználói adatok közzétételére került sor.

Leírás: Engedélyezési hiba miatt a rendszer tévesen adott végrehajtási engedélyt. Az engedélyek hatékonyabb ellenőrzésével hárították el a problémát.

CVE-2019-8731: Saif Hamed Hamdan Al Hinai (Oman National CERT), Yiğit Can YILMAZ (@yilmazcanyigit)

Safari

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2019-8727: Divyanshu Shukla (@justm0rph3u5)

Bejegyzés frissítve 2019. október 8-án.

UIFoundation

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott szövegfájlok feldolgozásakor tetszőleges kódvégrehajtásra került sor.

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2019-8745: riusksk (VulWar Corp), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés hozzáadva 2019. október 8-án.

WebKit

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak sértették az iframe sandbox-házirendet.

Leírás: Az iframe sandbox hatékonyabb érvényesítésével hárult el a probléma.

CVE-2019-8771: Eliya Stein (Confiant)

Bejegyzés hozzáadva 2019. október 8-án.

WebKit

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2019-8625: Sergei Glazunov (Google Project Zero)

CVE-2019-8719: Sergei Glazunov (Google Project Zero)

Bejegyzés hozzáadva 2019. október 8-án.

WebKit

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2019-8707: anonim kutató, a Trend Micro Zero Day kezdeményezésének közreműködőjeként; cc, a Trend Micro Zero Day kezdeményezésének közreműködőjeként

CVE-2019-8720: Wen Xu (SSLab, Georgia Tech)

CVE-2019-8726: Jihui Lu (Tencent KeenLab)

CVE-2019-8733: Sergei Glazunov (Google Project Zero)

CVE-2019-8735: G. Geshev, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés hozzáadva 2019. október 8-án.

WebKit

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Előfordult, hogy a felhasználó nem tudta törölni a böngészési előzményeket.

Leírás: Az „Előzm. és webhelyadatok törlése” funkció nem törölte teljes mértékben az előzményeket. Az adattörlés javításával küszöböltük ki a problémát.

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

Bejegyzés hozzáadva 2019. október 8-án.

WebKit-oldalbetöltés

A következőkhöz érhető el: iPhone 6s és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2019-8674: Sergei Glazunov (Google Project Zero)

Bejegyzés frissítve 2019. október 8-án.

További köszönetnyilvánítás

Bluetooth

Köszönjük a következők segítségét: Jan Ruge (TU Darmstadt), Secure Mobile Networking Lab, Jiska Classen (TU Darmstadt), Secure Mobile Networking Lab, Francesco Gringoli (University of Brescia), Dennis Heinze (TU Darmstadt), Secure Mobile Networking Lab.

boringssl

Köszönjük Thijs Alkemade (@xnyhps; Computest) segítségét.

Bejegyzés hozzáadva 2019. október 8-án.

Vezérlőközpont

Köszönjük Brandon Sellers segítségét.

Billentyűzet

Köszönjük egy anonim kutató segítségét.

Mail

Köszönjük Kenneth Hyndycz segítségét.

Profilok

Köszönjük James Seeley (@Code4iOS; Shriver Job Corps) segítségét.

SafariViewController

Köszönjük Yiğit Can YILMAZ (@yilmazcanyigit) segítségét.

WebKit

Köszönjük Yiğit Can YILMAZ (@yilmazcanyigit), Zhihua Yao (DBAPPSecurity Zion Lab) és egy anonim kutató segítségét.

Bejegyzés hozzáadva 2019. október 8-án.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: