Az iOS 15.1 és az iPadOS 15.1 biztonsági változásjegyzéke

Ez a dokumentum az iOS 15.1 és az iPadOS 15.1 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 15.1 és iPadOS 15.1

Kiadási dátum: 2021. október 25.

Audio

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy egészszám-túlcsordulást okozó problémát.

CVE-2021-30907: Zweig (Kunlun Lab)

ColorSync

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Memóriasérülési hiba állt fenn az ICC-profilok kezelési módjában. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2021-30917: Alexandru-Vlad Niculae és Mateusz Jurczyk (Google Project Zero)

Continuity Camera

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A helyi támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitelellenőrzéssel elhárítottak egy nem szabályozott formázó karakterlánccal kapcsolatos problémát.

CVE-2021-30903: Gongyu Ma (Hangzhou Dianzi University)

Bejegyzés frissítve: 2022. május 25.

CoreAudio

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozása felhasználói adatok felfedéséhez vezetett.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2021-30905: Mickey Jin (@patch1t; Trend Micro)

CoreGraphics

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott PDF-fájlok feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2021-30919

File Provider

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások meg tudták kerülni az adatvédelmi beállításokat.

Leírás: Hatékonyabb érvényesség-ellenőrzéssel elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2021-31007: Fitzl Csaba (@theevilbit; Offensive Security)

Bejegyzés hozzáadva: 2022. május 25.

FileProvider

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott archívumok kicsomagolásakor tetszőleges kód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.

CVE-2021-30881: Simon Huang (@HuangShaomang) és pjf (IceSword Lab; Qihoo 360)

File System

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.

CVE-2021-30923: Pan ZhenPeng (@Peterpan0927; Alibaba Security Pandora Lab)

Bejegyzés hozzáadva: 2022. január 19, frissítve: 2022. május 25

Game Center

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások hozzá tudtak férni a felhasználó kontaktjaival kapcsolatos információkhoz.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2021-30895: Denis Tokarev (@illusionofcha0s)

Bejegyzés hozzáadva: 2022. május 25.

GPU Drivers

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2021-30900: Yinyi Wu (@3ndy1; Ant Security Light-Year Lab)

GPU Drivers

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-30914: Zuozhi Fan (@pattern_F_; Ant Security TianQiong Lab)

iCloud

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30906: Cees Elzinga

Image Processing

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-30894: Pan ZhenPeng (@Peterpan0927; Alibaba Security Pandora Lab)

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Egy távoli támadó a készülék váratlan újraindítását tudta kiváltani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2021-30924: Elaman Iskakov (@darling_x0r; Effective) és Alexey Katkov (@watman27)

Bejegyzés hozzáadva: 2022. január 19.

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2021-30886: @0xalsr

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-30909: Zweig (Kunlun Lab)

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-30916: Zweig (Kunlun Lab)

Model I/O

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozása felhasználói adatok felfedéséhez vezetett.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2021-30910: Mickey Jin (@patch1t; Trend Micro)

Model I/O

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2021-30911: Rui Yang és Xingwei Lin (Ant Security Light-Year Lab)

Siri

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A helyi támadók adott esetben a zárolt képernyőn is meg tudtak tekinteni kontaktokat.

Leírás: Egy zárolt képernyővel kapcsolatos hiba miatt hozzá lehetett férni a kontaktokhoz a zárolt készüléken. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2021-30875: Abhay Kailasia (@abhay_kailasia; Lakshmi Narain College of Technology)

UIKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az eszközhöz fizikai hozzáféréssel rendelkező személy meg tudta határozni a felhasználó jelszavának jellemzőit egy biztonságos szövegbeviteli mezőben.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30915: Kostas Angelopoulos

Voice Control

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A helyi támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2021-30902: 08Tc3wBB (ZecOps Mobile EDR Team)

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor váratlanul nem került sor a tartalombiztonsági irányelvek foganatosítására.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2021-30887: Narendra Bhati (@imnarendrabhati; Suma Soft Pvt. Ltd.)

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A Tartalombiztonsági szabályzat jelentéseit használó, rosszindulatú webhelyek információt szivárogtathattak ki az átirányítási viselkedés révén.

Leírás: Elhárítottunk egy információszivárgási problémát.

CVE-2021-30888: Prakash (@1lastBr3ath)

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2021-30889: Chijin Zhou (ShuiMuYuLin Ltd. és Tsinghua wingtecher lab)

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30890: anonim kutató

További köszönetnyilvánítás

iCloud

Köszönjük Ryan Pickren (ryanpickren.com) segítségét.

Mail

Köszönjük Fabian Ising és Damian Poddebniak (Münster University of Applied Sciences) segítségét.

NetworkExtension

Köszönjük Alex Bauer (Branch) segítségét.

Siri

Köszönjük Abhay Kailasia (@abhay_kailasia; Lakshmi Narain College of Technology) segítségét.

Bejegyzés hozzáadva: 2022. május 25.

WebKit

Köszönjük Ivan Fratric (Google Project Zero), Pavel Gromadchuk és egy anonim kutató segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: