Az iOS 14.0 és az iPadOS 14.0 biztonsági változásjegyzéke

Ez a dokumentum az iOS 14.0 és az iPadOS 14.0 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 14.0 és iPadOS 14.0

Kiadás dátuma: 2020. szeptember 16.

AppleAVD

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2020-9958: Mohamed Ghannam (@_simo36)

Assets

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A támadók vissza tudtak élni a bizalmi kapcsolatokkal, és ezáltal le tudtak tölteni rosszindulatú tartalmakat.

Leírás: Egy régi API eltávolításával elhárult egy bizalmi probléma.

CVE-2020-9979: CodeColorist (LightYear Security Lab of AntGroup)

Bejegyzés frissítve: 2020. november 12.

Audio

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2020-9943: JunDong Xie (Ant Group Light-Year Security Lab)

Bejegyzés hozzáadva: 2020. november 12.

Audio

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2020-9944: JunDong Xie (Ant Group Light-Year Security Lab)

Bejegyzés hozzáadva: 2020. november 12.

CoreAudio

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2020-9960: JunDong Xie és Xingwei Lin (Ant Security Light-Year Lab)

Bejegyzés hozzáadva: 2021. február 25.

CoreAudio

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Egy rosszindulatú hangfájl lejátszása tetszőleges programkód végrehajtására adott lehetőséget.

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2020-9954: Francis, a Trend Micro Zero Day Initiative közreműködőjeként, JunDong Xie (Ant Group Light-Year Security Lab)

Bejegyzés hozzáadva: 2020. november 12.

CoreCapture

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2020-9949: Proteas

Bejegyzés hozzáadva: 2020. november 12.

CoreText

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott szövegfájlok feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2020-9999: Apple

Bejegyzés hozzáadva: 2020. december 15.

Disk Images

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2020-9965: Proteas

CVE-2020-9966: Proteas

Bejegyzés hozzáadva: 2020. november 12.

FontParser

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2020-29629: anonim kutató

Bejegyzés hozzáadva: 2022. január 19.

FontParser

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2020-9956: Mickey Jin és Junzhi Lu (Trend Micro Mobile Security Research Team), a Trend Micro Zero Day Initiative közreműködőjeként

Bejegyzés hozzáadva: 2021. február 25.

FontParser

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb méretellenőrzéssel kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)

Bejegyzés hozzáadva: 2021. február 25.

FontParser

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Memóriasérülést okozó hiba lépett fel a betűtípusfájlok feldolgozásakor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2020-27931: Apple

Bejegyzés hozzáadva: 2021. február 25.

FontParser

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2020-29639: Mickey Jin és Qi Sun (Trend Micro)

Bejegyzés hozzáadva: 2021. február 25.

HomeKit

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A magas hálózati jogosultságú támadók váratlanul módosítani tudták az alkalmazások állapotát.

Leírás: Hatékonyabb beállításpropagálással hárítottuk el a problémát.

CVE-2020-9978: Luyi Xing, Dongfang Zhao és Xiaofeng Wang (Indiana University Bloomington), Yan Jia (Xidian University és University of Chinese Academy of Sciences) és Bin Yuan (HuaZhong University of Science and Technology)

Bejegyzés hozzáadva: 2021. február 25.

Icons

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások meg tudták állapítani, hogy a felhasználó milyen más alkalmazásokat telepített.

Leírás: Az ikongyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2020-9773: Chilik Tamir (Zimperium zLabs)

IDE Device Support

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A magas hálózati jogosultságú támadók a hálózaton keresztül tetszőleges programkódot tudtak végrehajtani egy párosított készüléken a hibakeresési munkamenetek során.

Leírás: A probléma az iOS 14, iPadOS 14, tvOS 14 és watchOS 7 rendszert futtató készülékek felé irányuló hálózati kommunikáció titkosításával hárult el.

CVE-2020-9992: Dany Lisiansky (@DanyL931), Nikias Bassen (Zimperium zLabs)

Bejegyzés frissítve: 2020. szeptember 17.

ImageIO

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott TIFF-fájlok szolgáltatásmegtagadást tudtak előidézni, illetve fel tudták fedni a memória tartalmát.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2020-36521: Xingwei Lin (Ant-Financial Light-Year Security Lab)

Bejegyzés hozzáadva: 2022. május 25.

ImageIO

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2020-9955: Mickey Jin (Trend Micro), Xingwei Lin (Ant Security Light-Year Lab)

Bejegyzés hozzáadva: 2020. december 15.

ImageIO

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2020-9961: Xingwei Lin (Ant Security Light-Year Lab)

Bejegyzés hozzáadva: 2020. november 12.

ImageIO

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott PDF-fájlok megnyitása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2020-9876: Mickey Jin (Trend Micro)

Bejegyzés hozzáadva: 2020. november 12.

IOSurfaceAccelerator

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy a helyi felhasználók olvasni tudták a kernelmemóriát.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2020-9964: Mohamed Ghannam (@_simo36), Tommy Muir (@Muirey03)

Kernel

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A távoli támadók váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk több memóriasérüléssel kapcsolatos problémát.

CVE-2020-9967: Alex Plaskett (@alexjplaskett)

Bejegyzés hozzáadva: 2021. február 25.

Kernel

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2020-9975: Tielei Wang (Pangu Lab)

Bejegyzés hozzáadva: 2021. február 25.

Kernel

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A magas hálózati jogosultságú támadóknak lehetőségük adódott aktív kapcsolatokba való beszúrásra VPN-alagutakon belül.

Leírás: Hatékonyabb korlátozásokkal elhárítottunk egy irányítási hibát.

CVE-2019-14899: William J. Tolley, Beau Kujath és Jedidiah R. Crandall

Bejegyzés hozzáadva: 2020. november 12.

Keyboard

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2020-9976: Rias A. Sherzad (JAIDE GmbH, Németország, Hamburg)

libxml2

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2020-9981: megtaláló: OSS-Fuzz

Bejegyzés hozzáadva: 2020. november 12.

libxpc

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.

CVE-2020-9971: Zhipeng Huo (@R3dF09; Tencent Security Xuanwu Lab)

Bejegyzés hozzáadva: 2020. december 15.

Mail

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A távoli támadók váratlanul módosítani tudták az alkalmazások állapotát.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2020-9941: Fabian Ising (Münster University of Applied Sciences) és Damian Poddebniak (FH Münster University of Applied Sciences)

Bejegyzés hozzáadva: 2020. november 12.

Messages

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A helyi felhasználók olvasni tudták egy másik felhasználó törölt üzeneteit.

Leírás: A törlési funkció javításával küszöböltük ki a problémát.

CVE-2020-9988: William Breuer, Hollandia

CVE-2020-9989: von Brunn Media

Bejegyzés hozzáadva: 2020. november 12.

Model I/O

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott USD-fájlok feldolgozása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2020-13520: Aleksandar Nikolic (Cisco Talos)

Bejegyzés hozzáadva: 2020. november 12.

Model I/O

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott USD-fájlok feldolgozása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2020-6147: Aleksandar Nikolic (Cisco Talos)

CVE-2020-9972: Aleksandar Nikolic (Cisco Talos)

Bejegyzés hozzáadva: 2020. november 12.

Model I/O

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott USD-fájlok feldolgozása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2020-9973: Aleksandar Nikolic (Cisco Talos)

NetworkExtension

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2020-9996: Zhiwei Yuan (Trend Micro iCore Team), Junzhi Lu és Mickey Jin (Trend Micro)

Bejegyzés hozzáadva: 2020. november 12.

Phone

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A kijelzőzár nem kapcsolódott be a megadott időtartam lejártakor.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2020-9946: Daniel Larsson (iolight AB)

Quick Look

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások meg tudták határozni, hogy léteznek-e bizonyos fájlok a számítógépen.

Leírás: Az ikongyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2020-9963: Fitzl Csaba (@theevilbit; Offensive Security)

Bejegyzés hozzáadva: 2020. november 12.

Safari

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások meg tudták állapítani, hogy a felhasználónál milyen lapok vannak megnyitva a Safariban.

Leírás: Érvényesítési hiba lépett fel a jogosultsági ellenőrzések során. A folyamatjogosultság hatékonyabb ellenőrzésével hárítottuk el a problémát.

CVE-2020-9977: Josh Parnham (@joshparnham)

Bejegyzés hozzáadva: 2020. november 12.

Safari

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: A probléma a felhasználói felület hatékonyabb kezelésével hárult el.

CVE-2020-9993: Masato Sugiyama (@smasato, University of Tsukuba), Piotr Duszynski

Bejegyzés hozzáadva: 2020. november 12.

Sandbox

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A helyi felhasználók ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.

CVE-2020-9969: Wojciech Reguła (SecuRing; wojciechregula.blog)

Bejegyzés hozzáadva: 2020. november 12.

Sandbox

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások hozzá tudtak férni korlátozott fájlokhoz.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2020-9968: Adam Chester (@_xpn_, TrustedSec)

Bejegyzés frissítve: 2020. szeptember 17.

Siri

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Egy iOS-készülékhez fizikai hozzáféréssel rendelkező személy a zárolt képernyőn meg tudta tekinteni az értesítések tartalmát.

Leírás: Egy zárolt képernyővel kapcsolatos hiba miatt hozzá lehetett férni az üzenetekhez a zárolt készüléken. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2020-9959: anonim kutató, anonim kutató, anonim kutató, anonim kutató, anonim kutató, anonim kutató, Andrew Goldberg (The University of Texas at Austin, McCombs School of Business), Meli̇h Kerem Güneş (Li̇v College), Sinan Gulguler

Bejegyzés frissítve: 2020. december 15.

SQLite

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2020-13434

CVE-2020-13435

CVE-2020-9991

Bejegyzés hozzáadva: 2020. november 12.

SQLite

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A távoli támadók ki tudtak szivárogtatni memóriát.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy adatfelfedési problémát.

CVE-2020-9849

Bejegyzés hozzáadva: 2020. november 12.

SQLite

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az SQLite több biztonsági rése.

Leírás: Több hibát elhárítottunk az SQLite 3.32.3-as verzióra való frissítésével.

CVE-2020-15358

Bejegyzés hozzáadva: 2020. november 12.

SQLite

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott SQL-lekérdezések adatsérülést okoztak.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2020-13631

Bejegyzés hozzáadva: 2020. november 12.

SQLite

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A távoli támadók elő tudták idézni egy tetszőleges kód végrehajtását.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2020-13630

Bejegyzés hozzáadva: 2020. november 12.

WebKit

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2020-9947: cc, a Trend Micro Zero Day Initiative közreműködőjeként

CVE-2020-9950: cc, a Trend Micro Zero Day Initiative közreműködőjeként

CVE-2020-9951: Marcin 'Icewall' Noga (Cisco Talos)

Bejegyzés hozzáadva: 2020. november 12.

WebKit

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2020-9983: zhunki

Bejegyzés hozzáadva: 2020. november 12.

WebKit

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.

CVE-2020-9952: Ryan Pickren (ryanpickren.com)

Wi-Fi

A következő eszközök esetén érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2020-10013: Yu Wang (Didi Research America)

Bejegyzés hozzáadva: 2020. november 12.

További köszönetnyilvánítás

802.1X

Köszönjük Kenana Dalle (Hamad bin Khalifa University) és Ryan Riley (Carnegie Mellon University, Katar) segítségét.

Bejegyzés hozzáadva: 2020. december 15.

App Store

Köszönjük Giyas Umarov (Holmdel High School) segítségét.

Audio

Köszönjük JunDong Xie és Xingwei Lin (Ant-Financial Light-Year Security Lab) segítségét.

Bejegyzés hozzáadva: 2020. november 12.

Bluetooth

Köszönjük Andy Davis (NCC Group) és Dennis Heinze (@ttdennis, TU Darmstadt, Secure Mobile Networking Lab) segítségét.

CallKit

Köszönjük Federico Zanetello segítségét.

CarPlay

Köszönjük egy anonim kutató segítségét.

Clang

Köszönjük Brandon Azad (Google Project Zero) segítségét.

Bejegyzés hozzáadva: 2020. november 12.

Core Location

Köszönjük Yiğit Can YILMAZ (@yilmazcanyigit) segítségét.

Crash Reporter

Köszönjük Artur Byszko (AFINE) segítségét.

Bejegyzés hozzáadva: 2020. december 15.

debugserver

Köszönjük Linus Henze (pinauten.de) segítségét.

FaceTime

Köszönjük Federico Zanetello segítségét.

Bejegyzés hozzáadva: 2021. február 25.

iAP

Köszönjük Andy Davis (NCC Group) segítségét.

iBoot

Köszönjük Brandon Azad (Google Project Zero) segítségét.

Kernel

Köszönjük Brandon Azad (Google Project Zero) és Stephen Röttger (Google) segítségét.

Bejegyzés frissítve: 2020. november 12.

libarchive

Köszönjük Dzmitry Plotnikau és egy anonim kutató segítségét.

libxml2

Köszönjük egy anonim kutató segítségét.

Bejegyzés hozzáadva: 2021. február 25.

lldb

Köszönjük Linus Henze (pinauten.de) segítségét.

Bejegyzés hozzáadva: 2020. november 12.

Location Framework

Köszönjük Nicolas Brunner (linkedin.com/in/nicolas-brunner-651bb4128) segítségét.

Bejegyzés frissítve 2020. október 19-én.

Mail

Köszönjük egy anonim kutató segítségét.

Bejegyzés hozzáadva: 2020. november 12.

Mail Drafts

Köszönjük Jon Bottarini (HackerOne) segítségét.

Bejegyzés hozzáadva: 2020. november 12.

Maps

Köszönjük Matthew Dolan (Amazon Alexa) segítségét.

NetworkExtension

Köszönjük Thijs Alkemade (Computest) és „Qubo Song” („Symantec, a division of Broadcom”) segítségét.

Phone Keypad

Köszönjük Hasan Fahrettin Kaya (Akdeniz University Faculty of Tourism) és egy anonim kutató segítségét.

Bejegyzés hozzáadva: 2020. november 12., frissítve: 2020. december 15.

Safari

Köszönjük Andreas Gutmann (@KryptoAndI; OneSpan's Innovation Centre – onespan.com, illetve University College London), Steven J. Murdoch (@SJMurdoch; OneSpan's Innovation Centre – onespan.com, illetve University College London), Jack Cable (Lightning Security), Ryan Pickren (ryanpickren.com) és Yair Amit segítségét.

Bejegyzés hozzáadva: 2020. november 12.

Safari Reader

Köszönjük Zhiyang Zeng (@Wester; OPPO ZIWU Security Lab) segítségét.

Bejegyzés hozzáadva: 2020. november 12.

Security

Köszönjük Christian Starkjohann (Objective Development Software GmbH) segítségét.

Bejegyzés hozzáadva: 2020. november 12.

Status Bar

Köszönjük Abdul M. Majumder, Abdullah Fasihallah (Taif university), Adwait Vikas Bhide, Frederik Schmid, Nikita és egy anonim kutató segítségét.

Telephony

Köszönjük Onur Can Bıkmaz, Vodafone Turkey @canbkmaz, Yiğit Can YILMAZ (@yilmazcanyigit) és egy anonim kutató segítségét.

Bejegyzés frissítve: 2020. november 12.

UIKit

Köszönjük Borja Marcos (Sarenet), Simon de Vegt és Talal Haj Bakry (@hajbakri), valamint Tommy Mysk (@tommymysk, Mysk Inc) segítségét.

Webapp

Köszönjük Augusto Alvarez (Outcourse Limited) segítségét.

Bejegyzés hozzáadva: 2021. február 25.

Webapp

Köszönjük Augusto Alvarez (Outcourse Limited) segítségét.

WebKit

Köszönjük Pawel Wylecial (REDTEAM.PL), Ryan Pickren (ryanpickren.com), Tsubasa FUJII (@reinforchu), Zhiyang Zeng (@Wester) (OPPO ZIWU Security Lab) és Maximilian Blochberger (Security in Distributed Systems Group of University of Hamburg) segítségét.

Bejegyzés hozzáadva: 2020. november 12., frissítve: 2022. május 25.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: