Az iOS 14.2 és az iPadOS 14.2 biztonsági változásjegyzéke

Ez a dokumentum az iOS 14.2 és az iPadOS 14.2 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 14.2 és iPadOS 14.2

Kiadási dátum: 2020. november 5.

Audio

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2020-27910: JunDong Xie és XingWei Lin (Ant Security Light-Year Lab)

Audio

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2020-27916: JunDong Xie (Ant Security Light-Year Lab)

CallKit

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: Előfordult, hogy a felhasználók egyszerre két hívást is fogadtak anélkül, hogy jelezték volna a második hívás fogadását.

Leírás: Hiba lépett fel a bejövő hívások kezelésekor. Hatékonyabb állapotellenőrzéssel elhárítottuk a problémát.

CVE-2020-27925: Nick Tangri

CoreAudio

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2020-10017: Francis, a Trend Micro Zero Day Initiative közreműködőjeként, JunDong Xie (Ant Security Light-Year Lab)

CoreAudio

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2020-27908: anonim kutató, a Trend Micro Zero Day Initiative közreműködőjeként, JunDong Xie és XingWei Lin (Ant Security Light-Year Lab)

CVE-2020-27909: anonim kutató, a Trend Micro Zero Day Initiative közreműködőjeként, JunDong Xie és XingWei Lin (Ant Security Light-Year Lab)

A bejegyzés frissítve: 2021. március 16.

CoreGraphics

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: Az ártó szándékkal létrehozott PDF-fájlok feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2020-9897: S.Y. (ZecOps Mobile XDR), anonim kutató

Bejegyzés hozzáadva 2021. október 25-én.

CoreText

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: Az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2020-27922: Mickey Jin (Trend Micro)

Bejegyzés hozzáadva 2021. március 16.

Crash Reporter

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának.

Leírás: Egy hiba állt fenn a szimbolikus hivatkozások útvonal-érvényesítési logikájában. Hatékonyabb útvonaltisztítással hárítottuk el a problémát.

CVE-2020-10003: Tim Michaud (@TimGMichaud, Leviathan)

FontParser

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség. Az Apple tud azokról a jelentésekről, amelyek szerint kihasználható ez a biztonsági rés.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2020-27930: Google Project Zero

FontParser

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: Az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2020-27927: Xingwei Lin (Ant Security Light-Year Lab)

Foundation

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: A helyi felhasználók olvasni tudtak tetszőleges fájlokat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2020-10002: James Hutchins

ImageIO

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2020-27924: Lei Sun

Bejegyzés hozzáadva 2021. március 16.

ImageIO

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2020-27912: Xingwei Lin (Ant Security Light-Year Lab)

CVE-2020-27923: Lei Sun

A bejegyzés frissítve: 2021. március 16.

IOAcceleratorFamily

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2020-27905: Mohamed Ghannam (@_simo36)

Kernel

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: A rosszindulatú alkalmazások fel tudták fedni a kernelmemóriát. Az Apple tud azokról a jelentésekről, amelyek szerint kihasználható ez a biztonsági rés.

Leírás: Elhárítottunk egy memóriainicializálási problémát.

CVE-2020-27950: Google Project Zero

Kernel

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: A rosszindulatú alkalmazások meg tudták állapítani a kernelmemória felépítését.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2020-9974: Tommy Muir (@Muirey03)

Kernel

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2020-10016: Alex Helie

Kernel

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani. Az Apple tud azokról a jelentésekről, amelyek szerint kihasználható ez a biztonsági rés.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2020-27932: Google Project Zero

Keyboard

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező személyek hitelesítés nélkül hozzá tudtak férni a tárolt jelszavakhoz.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.

CVE-2020-27902: Connor Ford (@connorford2)

libxml2

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2020-27917: megtaláló: OSS-Fuzz

CVE-2020-27920: megtaláló: OSS-Fuzz

A bejegyzés frissítve: 2021. március 16.

libxml2

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy egészszám-túlcsordulást okozó problémát.

CVE-2020-27911: megtaláló: OSS-Fuzz

libxml2

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2020-27926: megtaláló: OSS-Fuzz

Logging

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2020-10010: Tommy Muir (@Muirey03)

Model I/O

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: Az ártó szándékkal létrehozott fájlok megnyitása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2020-10004: Aleksandar Nikolic (Cisco Talos)

Model I/O

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: Az ártó szándékkal létrehozott USD-fájlok feldolgozása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2020-13524: Aleksandar Nikolic (Cisco Talos)

Model I/O

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: Az ártó szándékkal létrehozott USD-fájlok feldolgozása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2020-10011: Aleksandar Nikolic (Cisco Talos)

Symptom Framework

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2020-27899: 08Tc3wBB, a ZecOps közreműködőjeként

Bejegyzés hozzáadva: 2020. december 15.

WebKit

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2020-27918: Liu Long (Ant Security Light-Year Lab)

A bejegyzés frissítve: 2021. március 16.

XNU

A következő készülékekhez érhető el: iPhone 6s és újabb, 7. generációs iPod touch, iPad Air 2 és újabb, iPad mini 4 és újabb.

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: Továbbfejlesztett logikával hárítottunk el több problémát.

CVE-2020-27935: Lior Halphon (@LIJI32)

Bejegyzés hozzáadva: 2020. december 15.

További köszönetnyilvánítás

NetworkExtension

Köszönjük egy anonim kutató segítségét.

Bejegyzés hozzáadva: 2020. december 15.

Safari

Köszönjük Gabriel Corona segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: