Az iOS 14.3 és az iPadOS 14.3 biztonsági változásjegyzéke

Ez a dokumentum az iOS 14.3 és az iPadOS 14.3 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 14.3 és iPadOS 14.3

Kiadási dátum: 2020. december 14.

App Store

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy a vállalati alkalmazások telepítési párbeszédpanele rossz tartományt jelenített meg.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2020-29613: Ryan Pickren (ryanpickren.com)

Hang

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor felfedhető volt a korlátozott memória.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2020-29610: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés hozzáadva: 2021. március 16.

CoreAudio

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2020-27948: JunDong Xie (Ant Security Light-Year Lab)

FontParser

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A távoli támadók ki tudtak szivárogtatni memóriát.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2020-29608: Xingwei Lin (Ant Security Light-Year Lab)

Bejegyzés hozzáadva: 2021. március 16.

FontParser

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy adatfelfedési problémát.

CVE-2020-27946: Mateusz Jurczyk (Google Project Zero)

FontParser

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Memóriasérülést okozó hiba lépett fel a betűtípusfájlok feldolgozásakor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2020-27943: Mateusz Jurczyk (Google Project Zero)

CVE-2020-27944: Mateusz Jurczyk (Google Project Zero)

CVE-2020-29624: Mateusz Jurczyk (Google Project Zero)

Bejegyzés frissítve: 2020. december 22.

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor szolgáltatásmegtagadás lépett fel.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2020-29615: Xingwei Lin (Ant Security Light-Year Lab)

Bejegyzés hozzáadva: 2021. március 16.

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor sérült a halommemória.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2020-29617: Xingwei Lin (Ant Security Light-Year Lab)

CVE-2020-29619: Xingwei Lin (Ant Security Light-Year Lab)

Bejegyzés frissítve: 2021. március 16.

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2020-29618: Xingwei Lin (Ant Security Light-Year Lab)

Bejegyzés frissítve: 2021. március 16.

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2020-29611: Alexandru-Vlad Niculae, a Google Project Zero közreműködőjeként

Bejegyzés frissítve: 2020. december 17.

Model I/O

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor sérült a halommemória.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2020-29614: ZhiWei Sun (@5n1p3r0010; Topsec Alpha Lab)

Bejegyzés hozzáadva: 2021. március 16.

Model I/O

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott USD-fájlok feldolgozása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2020-9972: Aleksandar Nikolic (Cisco Talos)

Bejegyzés hozzáadva: 2021. március 16.

Biztonság

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy a jogosulatlan kódvégrehajtás a hitelesítési szabályzat megsértését eredményezte.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2020-27951: Apple

WebKit-tároló

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy a felhasználó nem tudta teljes mértékben törölni a böngészési előzményeket.

Leírás: Az „Előzmények és webhelyadatok törlése” funkció nem törölte az előzményeket. Az adattörlés javításával küszöböltük ki a problémát.

CVE-2020-29623: Simon Hunt (OvalTwo LTD)

Bejegyzés hozzáadva: 2021. március 16.

WebRTC

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2020-15969: anonim kutató

 

További köszönetnyilvánítás

CoreAudio

Köszönjük JunDong Xie és Xingwei Lin (Ant Security Light-Year Lab) segítségét.

Bejegyzés hozzáadva: 2021. március 16.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: