Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
iOS 13.3 és iPadOS 13.3
Kiadási dátum: 2019. december 10.
CallKit
A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.
Érintett terület: Siri segítségével nem a megfelelő mobil-előfizetéssel lehetett hívásokat kezdeményezni a két aktív előfizetéssel rendelkező készülékeken.
Leírás: Egy API-val kapcsolatos probléma lépett fel a Siri segítségével kezdeményezett kimenő telefonhívások kezelésekor. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2019-8856: Fabrice TERRANCLE (TERRANCLE SARL)
CFNetwork proxyk
A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.
Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2019-8848: Zhuo Liang (Qihoo 360 Vulcan Team)
FaceTime
A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.
Érintett terület: Előfordult, hogy rosszindulatú videók FaceTime-on keresztül történő feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határérték-olvasási hibát.
CVE-2019-8830: Natalie Silvanovich (Google Project Zero)
IOSurfaceAccelerator
A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Elhárítottunk egy információfelfedéssel kapcsolatos problémát a sebezhető kód eltávolításával.
CVE-2019-8841: Corellium
IOUSBDeviceFamily
A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8836: Xiaolong Bai és Min (Spark) Zheng (Alibaba Inc.) és Luyi Xing (Indiana University Bloomington)
Kernel
A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Elhárítottunk egy memóriasérülési hibát a sebezhető kód eltávolításával.
CVE-2019-8833: Ian Beer (Google Project Zero)
Kernel
A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8828: Cim Stordal (Cognite)
CVE-2019-8838: Dr. Silvio Cesare (InfoSect)
libexpat
A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott XML-fájlok elemzésekor felfedhetők voltak a felhasználói adatok.
Leírás: Az expat 2.2.8-as verziójára való frissítéssel hárult el a probléma.
CVE-2019-15903: Joonun Jang
Fotók
A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.
Érintett terület: Akkor is meg lehetett osztani Live Photo-audióadatokat és -videóadatokat iCloud-hivatkozások segítségével, ha a Live Photo le volt tiltva a Megosztás lapon.
Leírás: Azáltal hárult el a probléma, hogy hatékonyabb ellenőrzést vezettünk be az iCloud-hivatkozások létrehozásakor.
CVE-2019-8857: Tor Bruce
Biztonság
A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8832: Insu Yun (SSLab; Georgia Tech)
WebKit
A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.
CVE-2019-8835: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként, Mike Zhang (Pangu Team)
CVE-2019-8844: William Bowling (@wcbowling)
WebKit
A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2019-8846: Marcin Towalski (Cisco Talos)
További köszönetnyilvánítás
Fiókok
Köszönjük Kishan Bagaria (KishanBagaria.com) és Tom Snelling (Loughborough University) segítségét.
Core Data
Köszönjük Natalie Silvanovich (Google Project Zero) segítségét.
Beállítások
Köszönjük egy anonim kutató segítségét.