Over de beveiligingsinhoud van iOS 14.5 en iPadOS 14.5

In dit document wordt de beveiligingsinhoud van iOS 14.5 en iPadOS 14.5 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

iOS 14.5 en iPadOS 14.5

Bereikbaarheid

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een persoon met fysieke toegang tot een iOS-apparaat heeft mogelijk toegang tot notities vanaf het toegangsscherm

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-1835: videosdebarraquito

App Store

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk netwerkverkeer wijzigen

Beschrijving: een probleem met het valideren van certificaten is verholpen.

CVE-2021-1837: Aapo Oksman van Nixu Cybersecurity

Apple Neural Engine

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (3e generatie) en nieuwer en iPad Air (3e generatie) en nieuwer

Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2021-1867: Zuozhi Fan (@pattern_F_) en Wish Wu (吴潍浠) van het Ant Group Tianqiong Security Lab

AppleMobileFileIntegrity

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een kwaadaardig programma kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: een probleem met de ondertekening van code is verholpen door verbeterde controles.

CVE-2021-1849: Siguza

Assets

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een lokale gebruiker kan mogelijk geprivilegieerde bestanden aanmaken of wijzigen

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2021-1836: een anonieme onderzoeker

Audio

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een programma kan beperkt geheugen lezen

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.

CVE-2021-1808: JunDong Xie van het Ant Security Light-Year Lab

Audio

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van een kwaadwillig vervaardigd audiobestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugengebruik is verholpen door een verbeterde verwerking van het geheugen.

CVE-2021-30742: Mickey Jin van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro

CFNetwork

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan gevoelige gebruikersgegevens openbaar maken

Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.

CVE-2021-1857: een anonieme onderzoeker

Compression

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2021-30752: Ye Zhang (@co0py_Cat) van Baidu Security

CoreAudio

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2021-30664: JunDong Xie van het Ant Security Light-Year Lab

CoreAudio

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2021-30664: JunDong Xie van het Ant Security Light-Year Lab

CoreAudio

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van een kwaadwillig vervaardigd audiobestand kan beperkt geheugen vrijgeven

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2021-1846: JunDong Xie van het Ant Security Light-Year Lab

CoreAudio

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een kwaadaardig programma kan beperkt geheugen lezen

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.

CVE-2021-1809: JunDong Xie van het Ant Security Light-Year Lab

CoreFoundation

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een kwaadaardig programma kan vertrouwelijke gebruikersinformatie vrijgeven

Beschrijving: een validatieprobleem is verholpen door verbeterde logica.

CVE-2021-30659: Thijs Alkemade van Computest

Core Motion

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een schadelijk programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.

CVE-2021-1812: Siddharth Aeri (@b1n4r1b01)

CoreText

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2021-1811: Xingwei Lin van het Ant Security Light-Year Lab

FaceTime

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het dempen van een CallKit-oproep terwijl die overgaat leidt mogelijk niet tot het inschakelen van de dempfunctie

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2021-1872: Siraj Zaneer van Facebook

FontParser

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2021-1881: een anonieme onderzoeker, Xingwei Lin van het Ant Security Light-Year Lab, Mickey Jin van Trend Micro en Hou JingYi (@hjy79425575) van Qihoo 360

Foundation

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.

CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)

Foundation

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een kwaadaardig programma kan rootbevoegdheden verkrijgen

Beschrijving: een validatieprobleem is verholpen door verbeterde logica.

CVE-2021-1813: Cees Elzinga

GPU Drivers

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen

Beschrijving: een toegangsprobleem is verholpen door verbeterd geheugenbeheer.

CVE-2021-30656: Justin Sherman van de University of Maryland, Baltimore County

Heimdal

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van kwaadwillig vervaardigde serverberichten kan leiden tot heapbeschadiging

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)

Heimdal

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een externe aanvaller kan mogelijk zorgen voor een denial of service

Beschrijving: een 'race condition' is verholpen door verbeterde vergrendeling.

CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)

ImageIO

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2021-30743: CFF van Topsec Alpha Team, Ye Zhang (@co0py_Cat) van Baidu Security en Jeonghoon Shin (@singi21a) van THEORI in samenwerking met het Zero Day Initiative van Trend Micro

ImageIO

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2021-1885: CFF van Topsec Alpha Team

ImageIO

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-30653: Ye Zhang van Baidu Security

CVE-2021-1843: Ye Zhang van Baidu Security

ImageIO

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2021-1858: Mickey Jin van Trend Micro

ImageIO

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-30764: anoniem in samenwerking met het Zero Day Initiative van Trend Micro

CVE-2021-30662: anoniem in samenwerking met het Zero Day Initiative van Trend Micro, Jzhu in samenwerking met het Zero Day Initiative van Trend Micro

iTunes Store

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een aanvaller die JavaScript uitvoert, kan mogelijk willekeurige code uitvoeren

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2021-1864: CodeColorist van Ant-Financial Light-Year Labs

Kernel

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een lokale gebruiker kan het kernelgeheugen lezen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2021-1877: Zuozhi Fan (@pattern_F_) van het Ant Group Tianqiong Security Lab

CVE-2021-1852: Zuozhi Fan (@pattern_F_) van het Ant Group Tianqiong Security Lab

CVE-2021-1830: Tielei Wang van Pangu Lab

Kernel

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2021-1874: Zuozhi Fan (@pattern_F_) van het Ant Group Tianqiong Security Lab

CVE-2021-1851: @0xalsr

Kernel

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een kwaadwillig vervaardigd programma kan kernelgeheugen vrijgeven

Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.

CVE-2021-1860: @0xalsr

Kernel

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.

CVE-2021-1816: Tielei Wang van Pangu Lab

Kernel

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: gekopieerde bestanden hebben mogelijk niet de verwachte bestandsbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde logica voor bevoegdheden.

CVE-2021-1832: een anonieme onderzoeker

Kernel

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een kwaadwillig vervaardigd programma kan kernelgeheugen vrijgeven

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2021-30660: Alex Plaskett

libxpc

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een kwaadaardig programma kan rootbevoegdheden verkrijgen

Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.

CVE-2021-30652: James Hutchins

libxslt

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot heapbeschadiging

Beschrijving: een double-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2021-1875: gevonden door OSS-Fuzz

MobileAccessoryUpdater

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-1833: Cees Elzinga

MobileInstallation

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een lokale gebruiker kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2021-1822: Bruno Virlet van The Grizzly Labs

Password Manager

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het wachtwoord van een gebruiker is mogelijk zichtbaar op het scherm

Beschrijving: een probleem met het verbergen van wachtwoorden in schermafbeeldingen is verholpen door verbeterde logica.

CVE-2021-1865: Shibin B Shaji van UST

Preferences

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een lokale gebruiker kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: een probleem met het parseren bij de verwerking van directorypaden is verholpen door een verbeterde padvalidatie.

CVE-2021-1815: Zhipeng Huo (@R3dF09) en Yuebin Sun (@yuebinsun2020) van het Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1739: Zhipeng Huo (@R3dF09) en Yuebin Sun (@yuebinsun2020) van het Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1740: Zhipeng Huo (@R3dF09) en Yuebin Sun (@yuebinsun2020) van het Tencent Security Xuanwu Lab (xlab.tencent.com)

Quick Response

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een persoon met fysieke toegang tot een iOS-apparaat kan mogelijk bellen naar elk telefoonnummer

Beschrijving: er was een probleem met de authenticatie van de actie die wordt geactiveerd met een NFC-tag. Het probleem is verholpen door verbeterde authenticatie van acties.

CVE-2021-1863: REFHAN OZGORUR

Safari

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een lokale gebruiker kan mogelijk willekeurige bestanden schrijven

Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.

CVE-2021-1807: David Schütz (@xdavidhu)

Shortcuts

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een programma kan opdrachten mogelijk toegang verlenen tot beperkte bestanden

Beschrijving: het probleem is verholpen door verbeterde logica voor bevoegdheden.

CVE-2021-1831: Bouke van der Bijl

Siri

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een probleem met de toegang tot informatie bij het zoeken via Siri is verholpen door verbeterde logica

Beschrijving: een persoon met fysieke toegang heeft mogelijk toegang tot contacten.

CVE-2021-1862: Anshraj Srivastava (@AnshrajSrivas14) van UKEF

Tailspin

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een lokale aanvaller kan zijn bevoegdheden mogelijk verhogen

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2021-1868: Tim Michaud van Zoom Communications

TCC

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een kwaadaardig programma kan vertrouwelijke gebruikersinformatie vrijgeven

Beschrijving: een validatieprobleem is verholpen door verbeterde logica.

CVE-2021-30659: Thijs Alkemade van Computest

Telefonie

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een verouderd mobiel netwerk kan automatisch een inkomend gesprek beantwoorden als een lopend gesprek wordt beëindigd of wegvalt.

Beschrijving: een probleem met het beëindigen van gesprekken is verholpen door verbeterde logica.

CVE-2021-1854: Steven Thorne van Cspire

UIKit

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het wachtwoord van een gebruiker is mogelijk zichtbaar op het scherm

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2021 -30921: Maximilian Blochberger van de Security in Distributed Systems Group van de Universiteit van Hamburg

Wallet

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een lokale gebruiker kan mogelijk vertrouwelijke gegevens bekijken in de appkiezer

Beschrijving: het probleem is verholpen door een verbeterde verwerking in de gebruikersinterface.

CVE-2021-1848: Bradley D'Amato van ActionIQ

WebKit

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot een cross-site scripting-aanval

Beschrijving: een probleem met de invoervalidatie is verholpen door een verbeterde invoervalidatie.

CVE-2021-1825: Alex Camboe van Aon's Cyber Solutions

WebKit

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2021-1817: zhunki

WebKit

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot universele cross-site-scripting

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2021-1826: een anonieme onderzoeker

WebKit

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.

CVE-2021-1820: André Bargull

WebKit Storage

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2021-30661: yangkang (@dnpushme) van 360 ATA

WebRTC

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een externe aanvaller kan het onverwacht beëindigen van het systeem of het beschadigen van het kernelgeheugen veroorzaken

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2020-7463: Megan2013678

Wi-Fi

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een bufferoverloop kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2021-1770: Jiska Classen (@naehrdine) van het Secure Mobile Networking Lab van de TU Darmstadt

Aanvullende erkenning

Accounts Framework

Met dank aan Ellougani Mohamed van Dr.Phones Recycle Inc. voor de hulp.

AirDrop

Met dank aan @maxzks voor de hulp.

Assets

Met dank aan Cees Elzinga voor de hulp.

CoreAudio

Met dank aan een anonieme onderzoeker voor de hulp.

CoreCrypto

Met dank aan Andy Russon van de Orange Group voor de hulp.

File Bookmark

Met dank aan een anonieme onderzoeker voor de hulp.

Bestanden

Met dank aan Omar Espino (omespino.com) voor de hulp.

Foundation

Met dank aan CodeColorist van Ant-Financial LightYear Labs voor de hulp.

Kernel

Met dank aan Antonio Frighetto van Politecnico di Milano, GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä ( @Turmio_ ) van SensorFu, Proteas, Tielei Wang van Pangu Lab en Zuozhi Fan (@pattern_F_) van het Ant Group Tianqiong Security Lab voor hun hulp.

Mail

Met dank aan Lauritz Holtmann (@_lauritz_), Muhammed Korany (facebook.com/MohamedMoustafa4) en Yiğit Can YILMAZ (@yilmazcanyigit) voor hun hulp.

NetworkExtension

Met dank aan Fabian Hartmann voor de hulp.

Safari Private Browsing

Met dank aan Dor Kahana en Griddaluru Veera Pranay Naidu voor hun hulp.

Security

Met dank aan Xingwei Lin van het Ant Security Light-Year Lab en john (@nyan_satan) voor de hulp.

sysdiagnose

Met dank aan Tim Michaud (@TimGMichaud) van Leviathan voor de hulp.

WebKit

Met dank aan Emilio Cobos Álvarez van Mozilla voor de hulp.

WebSheet

Met dank aan Patrick Clover voor de hulp.