Az iOS 13.3 és az iPadOS 13.3 biztonsági változásjegyzéke

Ez a dokumentum az iOS 13.3 és az iPadOS 13.3 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 13.3 és iPadOS 13.3

Kiadás dátuma: 2019. december 10.

CallKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A Sirivel indított hívások nem a megfelelő mobil-előfizetést használták olyan készülékeken, amelyeken két előfizetés volt aktív.

Leírás: Egy API-probléma állt fenn a Sirivel indított kimenő telefonhívások kezelési módjában. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2019-8856: Fabrice TERRANCLE (TERRANCLE SARL)

CFNetwork

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A magas hálózati jogosultságú támadók meg tudták kerülni a HSTS-t bizonyos olyan legfelső szintű tartományok esetén, amelyek korábban nem szerepeltek a HSTS előbetöltési listában.

Leírás: További korlátozásokkal elhárítottunk egy konfigurációs hibát.

CVE-2019-8834: Rob Sayre (@sayrer)

Bejegyzés hozzáadva: 2020. április 4.

CFNetwork proxyk

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2019-8848: Zhuo Liang (Qihoo 360 Vulcan Team)

FaceTime

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy rosszindulatú videók FaceTime-on keresztül történő feldolgozásakor tetszőleges programkód végrehajtására nyílt lehetőség.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2019-8830: natashenka (Google Project Zero)

IOSurfaceAccelerator

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Elhárítottunk egy információfelfedéssel kapcsolatos problémát a sebezhető kód eltávolításával.

CVE-2019-8841: Corellium

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Elhárítottunk egy memóriasérülési hibát a sebezhető kód eltávolításával.

CVE-2019-8833: Ian Beer (Google Project Zero)

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8828: Cim Stordal (Cognite)

CVE-2019-8838: Dr. Silvio Cesare (InfoSect)

libexpat

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott XML-fájlok elemzésekor előfordult, hogy napvilágra kerültek a felhasználói adatok.

Leírás: Az expat 2.2.8-as verziójára való frissítéssel hárítottuk el a problémát.

CVE-2019-15903: Joonun Jang

libpcap

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Több probléma volt a libpcappel.

Leírás: Több hibát is elhárítottunk a libpcap 1.9.1-es verziójára való frissítéssel.

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

Bejegyzés hozzáadva: 2020. április 4.

Fotók

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Akkor is meg lehetett osztani Live Photo-audióadatokat és -videóadatokat iCloud-hivatkozások segítségével, ha a Live Photo le volt tiltva a Megosztás lapon.

Leírás: Azáltal hárult el a probléma, hogy hatékonyabb ellenőrzést vezettünk be az iCloud-hivatkozások létrehozásakor.

CVE-2019-8857: Tor Bruce

Biztonság

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8832: Insu Yun (SSLab; Georgia Tech)

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webhelyek felkeresésekor ki lehetett deríteni, hogy a felhasználó milyen webhelyeket látogatott meg.

Leírás: A Storage Access API kezelési módjában adatfelfedési probléma állt fenn. Hatékonyabb logikával hárítottuk el a problémát.

CVE-2019-8898: Michael Kleber (Google)

Bejegyzés hozzáadva: 2020. február 11., frissítve: 2020. február 20.

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2019-8835: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként, Mike Zhang (Pangu Team)

CVE-2019-8844: William Bowling (@wcbowling)

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2019-8846: Marcin Towalski (Cisco Talos)

További köszönetnyilvánítás

Fiókok

Köszönjük Allison Husain (UC Berkeley), Kishan Bagaria (KishanBagaria.com) és Tom Snelling (Loughborough University) segítségét.

Bejegyzés frissítve: 2020. április 4.

Core Data

Köszönjük natashenka (Google Project Zero) segítségét.

Beállítások

Köszönjük egy anonim kutató segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: