Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
iOS 13.4 en iPadOS 13.4
Releasedatum: 24 maart 2020
Accounts
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen
Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.
CVE-2020-9772: Allison Husain van UC Berkeley
Toegevoegd op 21 mei 2020
ActionKit
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: een app kan mogelijk gebruikmaken van een SSH-client die afkomstig is van private frameworks
Beschrijving: dit probleem is verholpen door middel van een nieuwe bevoegdheid.
CVE-2020-3917: Steven Troughton-Smith (@stroughtonsmith)
AppleMobileFileIntegrity
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: een app kan mogelijk arbitraire bevoegdheden gebruiken
Beschrijving: dit probleem is verholpen door middel van verbeterde controles.
CVE-2020-3883: Linus Henze (pinauten.de)
Bluetooth
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk Bluetooth-verkeer onderscheppen
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2020-9770: Jianliang Wu van het PurSec Lab van de Purdue University, Xinwen Fu en Yue Zhang van de Universiteit van Central Florida
CoreFoundation
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: een kwaadaardig programma kan de bevoegdheden verhogen
Beschrijving: er was een probleem met bevoegdheden. Dit probleem is verholpen door een verbeterde validatie van bevoegdheden.
CVE-2020-3913: Timo Christ van Avira Operations GmbH & Co. KG
Symbolen
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: door het instellen van een vervangend appsymbool kan een foto openbaar worden gemaakt zonder toestemming voor toegang tot foto's
Beschrijving: een toegangsprobleem is verholpen door aanvullende sandboxbeperkingen.
CVE-2020-3916: Vitaliy Alekseev (@villy21)
Beeldverwerking
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2020-9768: Mohamed Ghannam (@_simo36)
IOHIDFamily
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.
CVE-2020-3919: Alex Plaskett van F-Secure Consulting
Bijgewerkt op 21 mei 2020
Kernel
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.
CVE-2020-3914: pattern-f (@pattern_F_) van WaCai
Kernel
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterd statusbeheer.
CVE-2020-9785: Proteas van het Qihoo 360 Nirvan Team
libxml2
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: meerdere problemen in libxml2
Beschrijving: een bufferoverloop is verholpen door verbeterde groottevalidatie.
CVE-2020-3910: LGTM.com
libxml2
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: meerdere problemen in libxml2
Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.
CVE-2020-3909: LGTM.com
CVE-2020-3911: gevonden door OSS-Fuzz
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: een lokale gebruiker kan verwijderde inhoud bekijken in de appkiezer
Beschrijving: het probleem is verholpen door het opschonen van voorbeelden van programma's als inhoud wordt verwijderd.
CVE-2020-9780: een anonieme onderzoeker, Dimitris Chaintinis
Mailbijlagen
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: bijgesneden video's worden mogelijk niet op de juiste wijze gedeeld via Mail
Beschrijving: er was een probleem bij het selecteren van een videobestand via Mail. Het probleem is opgelost door de nieuwste versie van een video te selecteren.
CVE-2020-9777
Berichten
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: een persoon met fysieke toegang tot een vergrendeld iOS-apparaat kan mogelijk reageren op berichten, zelfs als antwoorden zijn uitgeschakeld
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2020-3891: Peter Scott
Berichtencompositie
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: verwijderde berichtengroepen kunnen nog worden voorgesteld als automatische aanvulling
Beschrijving: het probleem is verholpen met verbeterde verwijdering.
CVE-2020-3890: een anonieme onderzoeker
Safari
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: de privébrowseractiviteit van een gebruiker kan onverwachts worden bewaard in Schermtijd
Beschrijving: er was een probleem bij de verwerking van tabbladen die een video 'beeld in beeld' weergeven. Het probleem is verholpen door een verbeterde werking van de status.
CVE-2020-9775: Andrian (@retroplasma), Marat Turaev, Marek Wawro (futurefinance.com) en Sambor Wawro van STO64 School, Krakau, Polen
Bijgewerkt op 1 mei 2020
Safari
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: een gebruiker kan bevoegdheden voor websites verlenen aan een website die niet is bedoeld
Beschrijving: het probleem is verholpen door de bevoegdheid tot een website na het navigeren te wissen.
CVE-2020-9781: Nikhil Mittal (@c0d3G33k) van Payatu Labs (payatu.com)
Sandbox
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: een lokale gebruiker kan vertrouwelijke gebruikersinformatie bekijken
Beschrijving: een toegangsprobleem is verholpen door aanvullende sandboxbeperkingen.
CVE-2020-3918: een anonieme onderzoeker, Augusto Alvarez van Outcourse Limited
Toegevoegd op 1 mei 2020, bijgewerkt op 21 mei 2020
Webapp
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: een kwaadwillig vervaardigde pagina kan andere webcontexten beïnvloeden
Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.
CVE-2020-3888: Darren Jones van Dappological Ltd.
WebKit
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: sommige websites werden mogelijk niet weergegeven in Safari-voorkeuren
Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.
CVE-2020-9787: Ryan Pickren (ryanpickren.com)
Toegevoegd op 1 mei 2020
WebKit
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.
CVE-2020-3894: Sergei Glazunov van Google Project Zero
WebKit
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken
Beschrijving: een probleem met geheugengebruik is verholpen door een verbeterde verwerking van het geheugen.
CVE-2020-3899: gevonden door OSS-Fuzz
WebKit
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot een cross-site scripting-aanval
Beschrijving: een probleem met de invoervalidatie is verholpen door een verbeterde invoervalidatie.
CVE-2020-3902: Yiğit Can YILMAZ (@yilmazcanyigit)
WebKit
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2020-3895: grigoritchy
CVE-2020-3900: Dongzhuo Zhao in samenwerking met ADLab van Venustech
WebKit
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een type confusion-probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-2020-3901: Benjamin Randazzo (@____benjamin)
WebKit
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: er is mogelijk een onjuist verband tussen de download en de oorsprong
Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.
CVE-2020-3887: Ryan Pickren (ryanpickren.com)
WebKit
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van code
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2020-9783: Apple
WebKit
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken
Beschrijving: een type confusion-probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-2020-3897: Brendan Draper (@6r3nd4n) in samenwerking met het Zero Day Initiative van Trend Micro
Het laden van pagina's in WebKit
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: de URL van een bestand wordt mogelijk onjuist verwerkt
Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.
CVE-2020-3885: Ryan Pickren (ryanpickren.com)
Aanvullende erkenning
4FontParser
Met dank aan Matthew Denton van Google Chrome voor de hulp.
Kernel
Met dank aan Siguza voor de hulp.
LinkPresentation
Met dank aan Travis voor de hulp.
Notities
Met dank aan Mike DiLoreto voor de hulp.
rapportd
Met dank aan Alexander Heinrich (@Sn0wfreeze) van Technische Universität Darmstadt voor de hulp.
Safari Reader
Met dank aan Nikhil Mittal (@c0d3G33k) van Payatu Labs (payatu.com) voor de hulp.
Sidecar
Met dank aan Rick Backley (@rback_sec) voor de hulp.
SiriKit
Met dank aan Ioan Florescu en Ki Ha Nam voor de hulp.
WebKit
Met dank aan Emilio Cobos Álvarez van Mozilla, Samuel Groß van Google Project Zero en hearmen voor de hulp.
Bijgewerkt op 4 april 2020