Par programmatūras iOS 13.2 un iPadOS 13.2 drošības saturu

Šajā dokumentā ir aprakstīts programmatūras iOS 13.2 un iPadOS 13.2 drošības saturs.

Par Apple drošības atjauninājumiem

Klientu aizsardzības nolūkā Apple neizpauž, neapspriež un neapstiprina drošības problēmas, līdz ir veikta izmeklēšana un ir pieejami drošības ielāpi vai laidieni. Jaunākie laidieni ir uzskaitīti lapā Apple drošības atjauninājumi.

Apple drošības dokumentos ievainojamības tiek minētas ar CVE-ID, ja tas ir iespējams.

Plašāku informāciju par drošību skatiet lapā Apple produktu drošība.

iOS 13.2 un iPadOS 13.2

Laidiena datums: 2019. gada 28. oktobris

Accounts

Pieejamība: iPhone 6s un jaunāki modeļi, iPad Air 2 un jaunāki modeļi, iPad mini 4 un jaunāki modeļi, iPod touch (7. paaudze)

Iedarbība: attāls uzbrucējs var veikt atmiņas noplūdi.

Apraksts: ārpusrobežu lasījuma problēma tika novērsta ar uzlabotas ievades validācijas palīdzību.

CVE-2019-8787: Stefans Klē (Steffen Klee), Darmštates Tehniskās universitātes (Technische Universität Darmstadt) Drošas mobilās tīklošanas laboratorija (Secure Mobile Networking)

AirDrop

Pieejamība: iPhone 6s un jaunāki modeļi, iPad Air 2 un jaunāki modeļi, iPad mini 4 un jaunāki modeļi, iPod touch (7. paaudze)

Iedarbība: AirDrop datu pārsūtīšana var būt neparedzēti akceptēta režīmā Everyone (Visi).

Apraksts: loģikas problēma tika novērsta ar uzlabotas validācijas palīdzību.

CVE-2019-8796: Elisone Huseina (Allison Husain), Kalifornijas Universitāte, Bērkli

Ieraksts pievienots: 2020. gada 4. aprīlī

App Store

Pieejamība: iPhone 6s un jaunāki modeļi, iPad Air 2 un jaunāki modeļi, iPad mini 4 un jaunāki modeļi, iPod touch (7. paaudze)

Iedarbība: vietējs uzbrucējs var bez derīgiem akreditācijas datiem pieteikties tā lietotāja kontā, kurš iepriekš bija pieteicies.

Apraksts: autentifikācijas problēma tika novērsta ar uzlabotas stāvokļa pārvaldības palīdzību.

CVE-2019-8803: Kijeons Ans (Kiyeon An), Čha Minkju (Cha Min-Kyu (차민규))

Saistītie domēni

Pieejamība: iPhone 6s un jaunāki modeļi, iPad Air 2 un jaunāki modeļi, iPad mini 4 un jaunāki modeļi, iPod touch (7. paaudze)

Iedarbība: nepareiza vietrāža URL apstrāde var izraisīt datu eksfiltrāciju.

Apraksts: pastāvēja problēma saistībā ar vietrāžu URL parsēšanu. Šī problēma tika novērsta ar uzlabotas ievades validācijas palīdzību.

CVE-2019-8788: Juha Lindstets (Juha Lindstedt) no Pakastin, Mirko Tananija (Mirko Tanania), Rauli Rikama (Rauli Rikama), Zero Keyboard Ltd

Audio

Pieejamība: iPhone 6s un jaunāki modeļi, iPad Air 2 un jaunāki modeļi, iPad mini 4 un jaunāki modeļi, iPod touch (7. paaudze)

Iedarbība: lietojumprogramma var izpildīt patvaļīgu kodu ar sistēmas atļaujām.

Apraksts: ar bojātu atmiņu saistīta problēma tika novērsta ar uzlabotas atmiņas apstrādes palīdzību.

CVE-2019-8785: Īans Bīrs (Ian Beer), Google Project Zero

CVE-2019-8797: 08Tc3wBB sadarbībā ar SSD Secure Disclosure

AVEVideoEncoder

Pieejamība: iPhone 6s un jaunāki modeļi, iPad Air 2 un jaunāki modeļi, iPad mini 4 un jaunāki modeļi, iPod touch (7. paaudze)

Iedarbība: lietojumprogramma var izpildīt patvaļīgu kodu ar sistēmas atļaujām.

Apraksts: ar bojātu atmiņu saistīta problēma tika novērsta ar uzlabotas atmiņas apstrādes palīdzību.

CVE-2019-8795: 08Tc3wBB sadarbībā ar SSD Secure Disclosure

Books

Pieejamība: iPhone 6s un jaunāki modeļi, iPad Air 2 un jaunāki modeļi, iPad mini 4 un jaunāki modeļi, iPod touch (7. paaudze)

Iedarbība: ļaunprātīgi izstrādāta iBooks faila parsēšana var izraisīt lietotāja informācijas atklāšanu.

Apraksts: simbolisku saišu apstrādē pastāvēja validācijas problēma. Šī problēma tika novērsta ar uzlabotas simbolisku saišu validācijas palīdzību.

CVE-2019-8789: Gertjans Frankens (Gertjan Franken), imec-DistriNet, Lēveņas Katoliskā universitāte

Contacts

Pieejamība: iPhone 6s un jaunāki modeļi, iPad Air 2 un jaunāki modeļi, iPad mini 4 un jaunāki modeļi, iPod touch (7. paaudze)

Iedarbība: ļaunprātīgi izveidotas kontaktpersonas apstrāde var izraisīt lietotāja saskarnes viltošanu.

Apraksts: ar nekonsekventu lietotāja saskarni saistīta problēma tika novērsta ar uzlabotas stāvokļa pārvaldības palīdzību.

CVE-2017-7152: Olivers Paukštats (Oliver Paukstadt), Thinking Objects GmbH (to.com)

Failu sistēmas notikumi

Pieejamība: iPhone 6s un jaunāki modeļi, iPad Air 2 un jaunāki modeļi, iPad mini 4 un jaunāki modeļi, iPod touch (7. paaudze)

Iedarbība: lietojumprogramma var izpildīt patvaļīgu kodu ar sistēmas atļaujām.

Apraksts: ar bojātu atmiņu saistīta problēma tika novērsta ar uzlabotas atmiņas apstrādes palīdzību.

CVE-2019-8798: ABC Research s.r.o. sadarbībā ar Trend Micro's Zero Day Initiative

Grafikas draiveris

Pieejamība: iPhone 6s un jaunāki modeļi, iPad Air 2 un jaunāki modeļi, iPad mini 4 un jaunāki modeļi, iPod touch (7. paaudze)

Iedarbība: lietojumprogramma var izpildīt patvaļīgu kodu ar sistēmas atļaujām.

Apraksts: ar bojātu atmiņu saistīta problēma tika novērsta ar uzlabotas atmiņas apstrādes palīdzību.

CVE-2019-8784: Vasilijs Vasiļjevs (Vasiliy Vasilyev) un Iļja Finogejevs (Ilya Finogeev), Webinar, LLC

Kernel

Pieejamība: iPhone 6s un jaunāki modeļi, iPad Air 2 un jaunāki modeļi, iPad mini 4 un jaunāki modeļi, iPod touch (7. paaudze)

Iedarbība: lietojumprogramma var lasīt datus ierobežotās piekļuves atmiņā.

Apraksts: validācijas problēma tika novērsta ar uzlabotas ievades tīrīšanas palīdzību.

CVE-2019-8794: 08Tc3wBB sadarbībā ar SSD Secure Disclosure

Kernel

Pieejamība: iPhone 6s un jaunāki modeļi, iPad Air 2 un jaunāki modeļi, iPad mini 4 un jaunāki modeļi, iPod touch (7. paaudze)

Iedarbība: lietojumprogramma var izpildīt patvaļīgu kodu ar kodola atļaujām.

Apraksts: ar bojātu atmiņu saistīta problēma tika novērsta ar uzlabotas atmiņas apstrādes palīdzību.

CVE-2019-8786: Veņs Sjui (Wen Xu), Džordžijas Tehnoloģiju institūta (Georgia Institute of Technology) Microsoft aizvainojoša satura drošības izpētes darba grupas interns

Ieraksts atjaunināts: 2019. gada 18. novembris

Kernel

Pieejamība: iPhone 6s un jaunāki modeļi, iPad Air 2 un jaunāki modeļi, iPad mini 4 un jaunāki modeļi, iPod touch (7. paaudze)

Iedarbība: lietojumprogramma var izpildīt patvaļīgu kodu ar kodola atļaujām.

Apraksts: ar bojātu atmiņu saistīta problēma tika novērsta ar uzlabotas bloķēšanas palīdzību.

CVE-2019-8829: Jans Horns (Jann Horn), Google Project Zero

Ieraksts pievienots: 2019. gada 8. novembris

Iestatīšanas palīgs

Pieejamība: iPhone 6s un jaunāki modeļi, iPad Air 2 un jaunāki modeļi, iPad mini 4 un jaunāki modeļi, iPod touch (7. paaudze)

Iedarbība: uzbrucējs, kas atrodas fiziski tuvu lietotājam, var piespiedu kārtā pievienot lietotāju ļaunprātīgam Wi-Fi tīklam ierīces iestatīšanas laikā.

Apraksts: problēma saistībā ar nekonsekventiem Wi-Fi tīkla konfigurācijas iestatījumiem tika novērsta.

CVE-2019-8804: Kristijs Filipss Metjūss (Christy Philip Mathew), Zimperium, Inc

Ekrāna ierakstīšana

Pieejamība: iPhone 6s un jaunāki modeļi, iPad Air 2 un jaunāki modeļi, iPad mini 4 un jaunāki modeļi, iPod touch (7. paaudze)

Iedarbība: vietējs lietotājs var ierakstīt ekrānu, kaut ekrāna ierakstīšanas indikators nav redzams.

Apraksts: lēmuma pieņemšanas procesā, kas saistīts ar ekrāna ierakstīšanas indikatora parādīšanu, pastāvēja nekonsekvences problēma. Šī problēma tika novērsta ar uzlabotas stāvokļa pārvaldības palīdzību.

CVE-2019-8793: Raians Dženkinss (Ryan Jenkins), Lake Forrest Preparatory School

WebKit

Pieejamība: iPhone 6s un jaunāki modeļi, iPad Air 2 un jaunāki modeļi, iPad mini 4 un jaunāki modeļi, iPod touch (7. paaudze)

Iedarbība: ļaunprātīgi izstrādāta tīmekļa satura apstrāde var izraisīt universālu starpvietņu skriptēšanu.

Apraksts: loģikas problēma tika novērsta ar uzlabotas stāvokļa pārvaldības palīdzību.

CVE-2019-8813: anonīms pētnieks

WebKit

Pieejamība: iPhone 6s un jaunāki modeļi, iPad Air 2 un jaunāki modeļi, iPad mini 4 un jaunāki modeļi, iPod touch (7. paaudze)

Iedarbība: ļaunprātīgi izstrādāta tīmekļa satura apstrāde var izraisīt patvaļīga koda izpildi.

Apraksts: vairākas ar bojātu atmiņu saistītas problēmas tika novērstas ar uzlabotas atmiņas apstrādes palīdzību.

CVE-2019-8782: Čholins Lē (Cheolung Lee), LINE+ drošības darba grupa

CVE-2019-8783: Čholins Lē (Cheolung Lee), LINE+ Graylab drošības darba grupa

CVE-2019-8808: ziņoja OSS-Fuzz

CVE-2019-8811: Sojuna Pārka (Soyeon Park), Džordžijas Tehnoloģiju institūta (Georgia Institute of Technology) Sistēmu programmatūras un drošības laboratorija (SSLab)

CVE-2019-8812: Dzjuņduns Sje (JunDong Xie), Ant-financial Light-Year Security Lab

CVE-2019-8814: Čholins Lē (Cheolung Lee), LINE+ drošības darba grupa

CVE-2019-8816: Sojuna Pārka (Soyeon Park), Džordžijas Tehnoloģiju institūta (Georgia Institute of Technology) Sistēmu programmatūras un drošības laboratorija (SSLab)

CVE-2019-8819: Čholins Lē (Cheolung Lee), LINE+ drošības darba grupa

CVE-2019-8820: Semjuels Gross (Samuel Groß), Google Project Zero

CVE-2019-8821: Sergejs Glazunovs (Sergei Glazunov), Google Project Zero

CVE-2019-8822: Sergejs Glazunovs (Sergei Glazunov), Google Project Zero

CVE-2019-8823: Sergejs Glazunovs (Sergei Glazunov), Google Project Zero

Ieraksts atjaunināts: 2019. gada 18. novembris

WebKit

Pieejamība: iPhone 6s un jaunāki modeļi, iPad Air 2 un jaunāki modeļi, iPad mini 4 un jaunāki modeļi, iPod touch (7. paaudze)

Iedarbība: apmeklējot ļaunprātīgi izstrādātu vietni, var tikt atklāta informācija par vietnēm, ko lietotājs iepriekš apmeklēja.

Apraksts: HTTP nosūtītāja galveni var izmantot, lai veiktu pārlūkošanas vēstures noplūdi. Šī problēma tika novērsta, pazeminot visus trešās puses nosūtītājus līdz sākotnējam stāvoklim.

CVE-2019-8827: Arturs Jančs (Artur Janc), Kšištofs Kotovičs (Krzysztof Kotowicz), Lūkass Veikselbaums (Lukas Weichselbaum) un Roberto Klapiss (Roberto Clapis), Google drošības darba grupa

Ieraksts pievienots: 2020. gada 6. februāris

WebKit apstrādes modelis

Pieejamība: iPhone 6s un jaunāki modeļi, iPad Air 2 un jaunāki modeļi, iPad mini 4 un jaunāki modeļi, iPod touch (7. paaudze)

Iedarbība: ļaunprātīgi izstrādāta tīmekļa satura apstrāde var izraisīt patvaļīga koda izpildi.

Apraksts: vairākas ar bojātu atmiņu saistītas problēmas tika novērstas ar uzlabotas atmiņas apstrādes palīdzību.

CVE-2019-8815: Apple

Wi-Fi

Pieejamība: iPhone 6s un jaunāki modeļi, iPad Air 2 un jaunāki modeļi, iPad mini 4 un jaunāki modeļi, iPod touch (7. paaudze)

Iedarbība: uzbrucējs Wi-Fi tīklā var skatīt nelielu daļu tīkla trafika datu.

Apraksts: stāvokļu pāreju apstrādē pastāvēja loģikas problēma. Šī problēma tika novērsta ar uzlabotas stāvokļa pārvaldības palīdzību.

CVE-2019-15126: Milošs Čermāks (Milos Cermak), ESET

Ieraksts pievienots: 2020. gada 3. februāris

Papildu atzinība

CFNetwork

Vēlamies izteikt pateicību par palīdzību Lilijai Čeņai (Lily Chen) no Google.

Kernel

Vēlamies izteikt pateicību par palīdzību Dānielam Retlisbergeram (Daniel Roethlisberger) no Swisscom CSIRT un Janam Hornam (Jann Horn) no Google Project Zero.

Ieraksts atjaunināts: 2019. gada 8. novembris

WebKit

Vēlamies izteikt pateicību par palīdzību lietotājam Dlive no Tencent's Xuanwu Lab un Džii Džanam (Zhiyi Zhang) no Legendsec kodu drošības darba grupas, Qi'anxin Group.

Informācija par produktiem, kuru ražotājs nav uzņēmums Apple, vai neatkarīgām tīmekļa vietnēm, kuras uzņēmums Apple nekontrolē un nav testējis, ir sniegta bez ieteikumiem un apstiprinājuma. Apple neuzņemas nekādu atbildību par trešo pušu tīmekļa vietņu vai produktu izvēli, darbību vai izmantošanu. Apple nepauž nekādu viedokli attiecībā uz trešo pušu tīmekļa vietņu precizitāti vai uzticamību. Sazinieties ar nodrošinātāju, lai saņemtu papildinformāciju.

Publicēšanas datums: