Az iOS 14.4 és az iPadOS 14.4 biztonsági változásjegyzéke

Ez a dokumentum az iOS 14.4 és az iPadOS 14.4 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 14.4 és iPadOS 14.4

Kiadás dátuma: 2021. január 26.

Analytics

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch. 

Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-1761: Cees Elzinga

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

APFS

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A helyi felhasználók olvasni tudtak tetszőleges fájlokat.

Leírás: Hatékonyabb engedélyezési logikával küszöböltük ki a problémát.

CVE-2021-1797: Thomas Tempelmann

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

Bluetooth

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A távoli támadók elő tudták idézni egy tetszőleges kód végrehajtását.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2021-1794: Jianjun Dai (360 Alpha Lab)

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

Bluetooth

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A távoli támadók elő tudták idézni egy tetszőleges kód végrehajtását.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2021-1795: Jianjun Dai (360 Alpha Lab)

CVE-2021-1796: Jianjun Dai (360 Alpha Lab)

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

Bluetooth

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A magas jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2021-1780: Jianjun Dai (360 Alpha Lab)

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

CoreAnimation

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások tetszőleges kódot tudtak végrehajtani, aminek következtében jogosulatlanul hozzá tudtak férni a felhasználói információkhoz.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-1760: @S0rryMybad (360 Vulcan Team)

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

CoreAudio

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2021-1747: JunDong Xie (Ant Security Light-Year Lab)

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

CoreGraphics

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2021-1776: Ivan Fratric (Google Project Zero)

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

CoreMedia

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2021-1759: Hou JingYi (@hjy79425575, Qihoo 360 CERT)

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

CoreText

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott szövegfájlok feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy veremtúlcsordulást okozó problémát.

CVE-2021-1772: Mickey Jin (Trend Micro), a Trend Micro Zero Day Initiative közreműködőjeként

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

CoreText

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A távoli támadók elő tudták idézni egy tetszőleges kód végrehajtását.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2021-1792: Mickey Jin és Junzhi Lu (Trend Micro), a Trend Micro Zero Day Initiative közreműködőjeként

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

Crash Reporter

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A helyi felhasználók rendszerfájlokat tudtak létrehozni vagy módosítani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-1786: Fitzl Csaba (@theevilbit; Offensive Security)

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

Crash Reporter

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának.

Leírás: Továbbfejlesztett logikával hárítottunk el több problémát.

CVE-2021-1787: James Hutchins

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

FairPlay

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások fel tudták fedni a kernelmemóriát

Leírás: Egy határértéken kívüli olvasási hiba miatt felfedhető volt a kernelmemória tartalma. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2021-1791: Junzhi Lu(@pwn0rz), Qi Sun és Mickey Jin (Trend Micro), a Trend Micro Zero Day Initiative közreműködőjeként

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

FontParser

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A távoli támadók elő tudták idézni egy tetszőleges kód végrehajtását.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2021-1758: Peter Nguyen (STAR Labs)

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor szolgáltatásmegtagadás lépett fel.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-1773: Xingwei Lin (Ant Security Light-Year Lab)

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor szolgáltatásmegtagadás lépett fel.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-1766: Danny Rosseau (Carve Systems)

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2021-1785: Xingwei Lin (Ant Security Light-Year Lab)

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2021-1737: Xingwei Lin (Ant Security Light-Year Lab)

CVE-2021-1738: Lei Sun

CVE-2021-1744: Xingwei Lin (Ant Security Light-Year Lab)

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-1818: Xingwei Lin (Ant-Financial Light-Year Security Lab)

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch. 

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-1838: Mickey Jin és Qi Sun (Trend Micro), a Trend Micro Zero Day Initiative közreműködőjeként

CVE-2021-1742: Xingwei Lin (Ant Security Light-Year Lab)

CVE-2021-1746: Xingwei Lin (Ant Security Light-Year Lab), Mickey Jin és Qi Sun (Trend Micro) a Trend Micro’s Zero Day Initiative közreműködőjeként és Jeonghoon Shin (@singi21a, THEORI)

CVE-2021-1754: Xingwei Lin (Ant Security Light-Year Lab)

CVE-2021-1774: Xingwei Lin (Ant Security Light-Year Lab)

CVE-2021-1793: Xingwei Lin (Ant Security Light-Year Lab)

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2021-1741: Xingwei Lin (Ant Security Light-Year Lab)

CVE-2021-1743: Mickey Jin és Junzhi Lu (Trend Micro), a Trend Micro Zero Day Initiative közreműködőjeként, Xingwei Lin (Ant Security Light-Year Lab)

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor szolgáltatásmegtagadás lépett fel.

Leírás: Határértéket túllépő olvasási hiba állt fenn a curl esetén. Hatékonyabb határérték-ellenőrzéssel hárítottuk el a problémát.

CVE-2021-1778: Xingwei Lin (Ant Security Light-Year Lab)

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy hozzáférési problémát.

CVE-2021-1783: Xingwei Lin (Ant Security Light-Year Lab)

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

IOSkywalkFamily

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2021-1757: Proteas és Pan ZhenPeng (@Peterpan0927) (Alibaba Security)

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

iTunes Store

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott URL-ek feldolgozásakor tetszőleges Javascript-programkód végrehajtására került sor.

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2021-1748: CodeColorist, az Ant Security Light-Year Labs közreműködőjeként

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2021-1764: @m00nbsd

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Továbbfejlesztett logikával hárítottunk el több problémát.

CVE-2021-1750: @0xalsr

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni. Az Apple tud egy jelentésről, mely szerint lehet, hogy ezt a problémát aktívan kihasználták.

Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.

CVE-2021-1782: anonim kutató

Bejegyzés frissítve: 2021. május 28.

Messages

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Adatvédelmi probléma lépett fel a kontaktkártyák kezelésekor. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2021-1781: Fitzl Csaba (@theevilbit; Offensive Security)

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

Model I/O

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott USD-fájlok feldolgozása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2021-1763: Mickey Jin (Trend Micro), a Trend Micro Zero Day Initiative közreműködőjeként

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

Model I/O

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott USD-fájlok feldolgozása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2021-1768: Mickey Jin és Junzhi Lu (Trend Micro), a Trend Micro Zero Day Initiative közreműködőjeként

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

Model I/O

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott USD-fájlok feldolgozása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2021-1745: Mickey Jin és Junzhi Lu (Trend Micro), a Trend Micro Zero Day Initiative közreműködőjeként

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

Model I/O

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott USD-fájlok feldolgozása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2021-1762: Mickey Jin (Trend Micro)

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

Model I/O

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott USD-fájlok feldolgozása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2021-1762: Mickey Jin (Trend Micro), a Trend Micro Zero Day Initiative közreműködőjeként

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

Model I/O

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor sérült a halommemória.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-1767: Mickey Jin és Junzhi Lu (Trend Micro), a Trend Micro Zero Day Initiative közreműködőjeként

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

Model I/O

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2021-1753: Mickey Jin (Trend Micro)

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

Model I/O

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2021-1753: Mickey Jin (Trend Micro), a Trend Micro Zero Day Initiative közreműködőjeként

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

Phone Keypad

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező támadó adott esetben meg tudott tekinteni magánjellegű kontaktadatokat.

Leírás: Egy zárolt képernyővel kapcsolatos hiba miatt hozzá lehetett férni a kontaktokhoz a zárolt készüléken. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2021-1756: Ryan Pickren (ryanpickren.com)

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

Swift

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A rosszindulatú támadók tetszőleges olvasási és írási képesség birtokában megkerülhették a Mutatóhitelesítést.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.

CVE-2021-1769: CodeColorist (Ant-Financial Light-Year Labs)

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2021-1788: Francisco Alonso (@revskills)

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2021-1789: @S0rryMybad (360 Vulcan Team)

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak sértették az iframe-ek sandboxban való futtatására vonatkozó szabályzatot.

Leírás: Az iframe-ek sandboxban való futtatásának hatékonyabb kikényszerítésével hárítottuk el a problémát.

CVE-2021-1801: Eliya Stein (Confiant)

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A távoli támadók elő tudták idézni egy tetszőleges kód végrehajtását. Az Apple tud egy jelentésről, mely szerint lehet, hogy ezt a problémát aktívan kihasználták.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2021-1871: anonim kutató

CVE-2021-1870: anonim kutató

Bejegyzés frissítve: 2021. május 28.

WebRTC

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy a rosszindulatú webhelyek hozzá tudtak férni tetszőleges kiszolgálók korlátozott portjaihoz.

Leírás: További portellenőrzéssel elhárítottunk egy portátirányítási hibát.

CVE-2021-1799: Gregory Vishnepolsky & Ben Seri (Armis Security) és Samy Kamkar

Bejegyzés hozzáadva 2021. február 1-én, frissítve 2021. május 28-án

XNU

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch. 

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2021-30869: Apple

Bejegyzés hozzáadva: 2021. szeptember 23.

További köszönetnyilvánítás

iTunes Store

Köszönjük CodeColorist (Ant-Financial Light-Year Labs) segítségét.

Bejegyzés hozzáadva: 2021. február 1.

Kernel

Köszönjük Junzhi Lu (@pwn0rz), Mickey Jin és Jesse Change (Trend Micro) segítségét.

Bejegyzés hozzáadva: 2021. február 1.

libpthread

Köszönjük CodeColorist (Ant-Financial Light-Year Labs) segítségét.

Bejegyzés hozzáadva: 2021. február 1.

Mail

Köszönjük Yiğit Can YILMAZ (@yilmazcanyigit) és egy anonim kutató segítségét.

Bejegyzés hozzáadva: 2021. február 1.

Store Demo

Köszönjük @08Tc3wBB segítségét.

Bejegyzés hozzáadva: 2021. február 1.

WebRTC

Köszönjük Philipp Hancke segítségét.

Bejegyzés hozzáadva: 2021. február 1.

Wi-Fi

Köszönjük egy anonim kutató segítségét.

Bejegyzés hozzáadva: 2021. február 1.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: