Az iOS 13.3.1 és az iPadOS 13.3.1 biztonsági változásjegyzéke

Ez a dokumentum az iOS 13.3.1 és az iPadOS 13.3.1 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 13.3.1 és iPadOS 13.3.1

Kiadás dátuma: 2020. január 28.

Hang

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2020-3857: Zhuo Liang (Qihoo 360 Vulcan Team)

FaceTime

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A távoli FaceTime-felhasználók el tudták érni, hogy a helyi felhasználó kamerájának saját nézete ne a megfelelő kamerát jelenítse meg.

Leírás: Egy hiba lépett fel a helyi felhasználó saját nézetének kezelésekor. Hatékonyabb logikával küszöböltük ki a problémát.

CVE-2020-3869: Elisa Lee

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határérték-olvasási hibát.

CVE-2020-3826: Samuel Groß (Google Project Zero)

CVE-2020-3870

CVE-2020-3878: Samuel Groß (Google Project Zero)

CVE-2020-3880: Samuel Groß (Google Project Zero)

Bejegyzés frissítve: 2020. április 4.

IOAcceleratorFamily

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2020-3837: Brandon Azad (Google Project Zero)

IOUSBDeviceFamily

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8836: Xiaolong Bai és Min (Spark) Zheng (Alibaba Inc.) és Luyi Xing (Indiana University Bloomington)

Bejegyzés hozzáadva: 2020. június 22.

IPSec

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A racoon ártó szándékkal létrehozott konfigurációs fájljainak betöltésekor tetszőleges kódvégrehajtásra kerülhetett sor.

Leírás: A racoon konfigurációs fájljainak kezelési módjában egy OBOE- (off-by-one) hiba állt fenn. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

CVE-2020-3840: @littlelailo

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2020-3875: Brandon Azad (Google Project Zero)

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2020-3872: Haakon Garseg Mørk (Cognite) és Cim Stordal (Cognite)

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások meg tudták állapítani a kernelmemória felépítését.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy hozzáférési problémát.

CVE-2020-3836: Brandon Azad (Google Project Zero)

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2020-3842: Ned Williamson, a Google Project Zero közreműködőjeként

CVE-2020-3858: Xiaolong Bai és Min (Spark) Zheng (Alibaba Inc.) és Luyi Xing (Indiana University Bloomington)

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.

CVE-2020-3831: Chilik Tamir (Zimperium zLabs), Corellium, Proteas (Qihoo 360 Nirvan Team)

Bejegyzés frissítve: 2020. március 19.

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy típustévesztési hibát.

CVE-2020-3853: Brandon Azad (Google Project Zero)

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2020-3860: Proteas (Qihoo 360 Nirvan Team)

libxml2

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott XML-dokumentumok feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb méretellenőrzéssel kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2020-3846: Ranier Vilela

Bejegyzés hozzáadva: 2020. január 29.

libxpc

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott karakterláncok feldolgozásakor sérült a halommemória.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2020-3856: Ian Beer (Google Project Zero)

libxpc

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határérték-olvasási hibát.

CVE-2020-3829: Ian Beer (Google Project Zero)

Mail

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A „Távoli tartalom betöltése az üzenetekben” funkció kikapcsolásakor a művelet nem érvényesült az összes e-mail-előnézet esetén.

Leírás: Hatékonyabb beállításpropagálással hárítottuk el a problémát.

CVE-2020-3873: Alexander Heinrich (@Sn0wfreeze; Technische Universität Darmstadt), Hudson Pridham (Bridgeable), Stuart Chapman

Bejegyzés frissítve: 2020. március 19.

Üzenetek

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező személyek a zárolt képernyőről hozzá tudtak férni a kontaktokhoz.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2020-3859: Andrew Gonzalez, Simone PC

Bejegyzés frissítve: 2020. január 29.

Üzenetek

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az iMessage-beszélgetések felhasználói továbbra is meg tudták változtatni az állapotot.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2020-3844: Ayden Panhuyzen (@aydenpanhuyzen) és Jamie Bishop (@jamiebishop123; mindketten Dynastic), Lance Rodgers (Oxon Hill High School)

Bejegyzés frissítve: 2020. január 29.

Telefon

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező személyek a zárolt képernyőről hozzá tudtak férni a kontaktokhoz.

Leírás: Egy zárolt képernyővel kapcsolatos hiba miatt hozzá lehetett férni a kontaktokhoz a zárolt készüléken. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2020-3828: anonim kutató

Safari – automatikus kitöltés bejelentkezésnél

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy a helyi felhasználók véletlenül titkosítás nélkül küldtek el jelszavakat a hálózaton keresztül.

Leírás: A probléma a felhasználói felület hatékonyabb kezelésével hárult el.

CVE-2020-3841: Sebastian Bicchi (@secresDoge; Sec-Research)

Képernyőfotók

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az Üzenetek alkalmazás képernyőfotóin időnként nem kívánatos üzenettartalmak voltak láthatók.

Leírás: Hiba lépett fel a képernyőfotók elnevezésekor. Hatékonyabb elnevezési módszerrel hárítottuk el a problémát.

CVE-2020-3874: Nicolas Luckie (Durham College)

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webhelyek szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy szolgáltatásmegtagadással kapcsolatos problémát.

CVE-2020-3862: Srikanth Gatta (Google Chrome)

Bejegyzés hozzáadva: 2020. január 29.

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2020-3825: Przemysław Sporysz (Euvic)

CVE-2020-3868: Marcin Towalski (Cisco Talos)

Bejegyzés hozzáadva: 2020. január 29.

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2020-3867: anonim kutató

Bejegyzés hozzáadva: 2020. január 29.

WebKit-oldalbetöltés

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy a DOM-objektumkörnyezetek nem rendelkeztek egyedi biztonságos eredettel.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.

CVE-2020-3864: Ryan Pickren (ryanpickren.com)

Bejegyzés hozzáadva: 2020. február 6.

WebKit-oldalbetöltés

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy a rendszer tévesen biztonságosnak ítélt legfelső szintű DOM-objektumkörnyezeteket.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.

CVE-2020-3865: Ryan Pickren (ryanpickren.com)

Bejegyzés hozzáadva: 2020. január 29., frissítve: 2020. február 6.

Wi-Fi

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A távoli támadók váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2020-3843: Ian Beer (Google Project Zero)

Bejegyzés hozzáadva: 2020. február 6.

wifivelocityd

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb engedélyezési logikával küszöböltük ki a problémát.

CVE-2020-3838: Dayton Pidhirney (@_watbulb)

További köszönetnyilvánítás

IOSurface

Köszönjük Liang Chen (@chenliang0817) segítségét.

Fotótárhely

Köszönjük Allison Husain (UC Berkeley) segítségét.

Bejegyzés frissítve: 2020. március 19.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: