Az iOS 14.0 és az iPadOS 14.0 biztonsági változásjegyzéke

Ez a dokumentum az iOS 14.0 és az iPadOS 14.0 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 14.0 és iPadOS 14.0

Kiadás dátuma: 2020. szeptember 16.

AppleAVD

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2020-9958: Mohamed Ghannam (@_simo36)

Eszközök

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: A támadók vissza tudtak élni a bizalmi kapcsolatokkal, és ezáltal le tudtak tölteni rosszindulatú tartalmakat.

Leírás: Egy régi API eltávolításával elhárult egy bizalmi probléma.

CVE-2020-9979: CodeColorist (Ant-Financial LightYear Labs)

Ikonok

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: A rosszindulatú alkalmazások meg tudták állapítani, hogy a felhasználó milyen más alkalmazásokat telepített.

Leírás: Az ikongyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2020-9773: Chilik Tamir (Zimperium zLabs)

IDE-eszköztámogatás

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: A magas hálózati jogosultságú támadók a hálózaton keresztül tetszőleges programkódot tudtak végrehajtani egy párosított készüléken a hibakeresési munkamenetek során.

Leírás: A probléma az iOS 14, iPadOS 14, tvOS 14 és watchOS 7 rendszert futtató készülékek felé irányuló hálózati kommunikáció titkosításával hárult el.

CVE-2020-9992: Dany Lisiansky (@DanyL931), Nikias Bassen (Zimperium zLabs)

Bejegyzés frissítve: 2020. szeptember 17.

IOSurfaceAccelerator

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: Előfordult, hogy a helyi felhasználók olvasni tudták a kernelmemóriát.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2020-9964: Mohamed Ghannam (@_simo36), Tommy Muir (@Muirey03)

Billentyűzet

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: A rosszindulatú alkalmazások ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2020-9976: Rias A. Sherzad (JAIDE GmbH, Németország, Hamburg)

Model I/O

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott USD-fájlok feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2020-9973: Aleksandar Nikolic (Cisco Talos)

Telefon

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: A kijelzőzár nem kapcsolódott be a megadott időtartam lejártakor.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2020-9946: Daniel Larsson (iolight AB)

Sandbox

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások hozzá tudtak férni korlátozott fájlokhoz.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2020-9968: Adam Chester(@_xpn_, TrustedSec)

Bejegyzés frissítve: 2020. szeptember 17.

Siri

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: Egy iOS-készülékhez fizikai hozzáféréssel rendelkező személy a zárolt képernyőn meg tudta tekinteni az értesítések tartalmát.

Leírás: Egy zárolt képernyővel kapcsolatos hiba miatt hozzá lehetett férni az üzenetekhez a zárolt készüléken. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2020-9959: anonim kutató, anonim kutató, anonim kutató, anonim kutató, anonim kutató, Andrew Goldberg (The University of Texas at Austin, McCombs School of Business), Meli̇h Kerem Güneş (Li̇v College), Sinan Gulguler

WebKit

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.

CVE-2020-9952: Ryan Pickren (ryanpickren.com)

További köszönetnyilvánítások

App Store

Köszönjük Giyas Umarov (Holmdel High School) segítségét.

Bluetooth

Köszönjük Andy Davis (NCC Group) és Dennis Heinze (@ttdennis, TU Darmstadt, Secure Mobile Networking Lab) segítségét.

CallKit

Köszönjük Federico Zanetello segítségét.

CarPlay

Köszönjük egy anonim kutató segítségét.

Core Location

Köszönjük Yiğit Can YILMAZ (@yilmazcanyigit) segítségét.

debugserver

Köszönjük Linus Henze (pinauten.de) segítségét.

iAP

Köszönjük Andy Davis (NCC Group) segítségét.

iBoot

Köszönjük Brandon Azad (Google Project Zero) segítségét.

Kernel

Köszönjük Brandon Azad (Google Project Zero) segítségét.

libarchive

Köszönjük Dzmitry Plotnikau és egy anonim kutató segítségét.

Helymeghatározási keretrendszer

Köszönjük Nicolas Brunner (linkedin.com/in/nicolas-brunner-651bb4128) segítségét.

Bejegyzés frissítve: 2020. október 19.

Térképek

Köszönjük Matthew Dolan (Amazon Alexa) segítségét.

NetworkExtension

Köszönjük Thijs Alkemade (Computest) és „Qubo Song” („Symantec, a division of Broadcom”) segítségét.

Telefon-számbillentyűzet

Köszönjük egy anonim kutató segítségét.

Safari

Köszönjük Andreas Gutmann (@KryptoAndI; OneSpan's Innovation Centre – onespan.com, illetve University College London), Steven J. Murdoch (@SJMurdoch; OneSpan's Innovation Centre – onespan.com, illetve University College London), Jack Cable (Lightning Security) és Yair Amit segítségét.

Bejegyzés hozzáadva: 2020. október 19.

Állapotsáv

Köszönjük Abdul M. Majumder, Abdullah Fasihallah (Taif university), Adwait Vikas Bhide, Frederik Schmid, Nikita és egy anonim kutató segítségét.

Telefonálás

Köszönjük Yiğit Can YILMAZ (@yilmazcanyigit) segítségét.

UIKit

Köszönjük Borja Marcos (Sarenet), Simon de Vegt és Talal Haj Bakry (@hajbakri), valamint Tommy Mysk (@tommymysk, Mysk Inc) segítségét.

Webalkalmazás

Köszönjük Augusto Alvarez (Outcourse Limited) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: