Over de beveiligingsinhoud van iOS 14.0 en iPadOS 14.0

In dit document wordt de beveiligingsinhoud van iOS 14.0 en iPadOS 14.0 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

iOS 14.0 en iPadOS 14.0

Releasedatum 16 september 2020

AppleAVD

Beschikbaar voor: iPhone 6s en nieuwer, iPod touch (7e generatie), iPad Air 2 en nieuwer en iPad mini 4 en nieuwer

Impact: een programma kan zorgen voor het onverwacht beëindigen van het systeem of het schrijven van kernelgeheugen

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2020-9958: Mohamed Ghannam (@_simo36)

Onderdelen

Beschikbaar voor: iPhone 6s en nieuwer, iPod touch (7e generatie), iPad Air 2 en nieuwer en iPad mini 4 en nieuwer

Impact: een aanvaller kan mogelijk misbruik maken van een vertrouwensrelatie om kwaadaardig materiaal te downloaden

Beschrijving: een probleem met vertrouwen is verholpen door een verouderde API te verwijderen.

CVE-2020-9979: CodeColorist van Ant-Financial Light-Year Labs

Symbolen

Beschikbaar voor: iPhone 6s en nieuwer, iPod touch (7e generatie), iPad Air 2 en nieuwer en iPad mini 4 en nieuwer

Impact: een kwaadaardige app kan mogelijk identificeren welke andere apps een gebruiker heeft geïnstalleerd

Beschrijving: het probleem is verholpen door een verbeterde verwerking van symboolcaches.

CVE-2020-9773: Chilik Tamir van Zimperium zLabs

IDE-apparaatondersteuning

Beschikbaar voor: iPhone 6s en nieuwer, iPod touch (7e generatie), iPad Air 2 en nieuwer en iPad mini 4 en nieuwer

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan willekeurige code uitvoeren op een gekoppeld apparaat tijdens een debugsessie over het netwerk

Beschrijving: dit probleem is verholpen door middel van versleutelde communicatie over het netwerk naar apparaten met iOS 14, iPadOS 14, tvOS 14 en watchOS 7.

CVE-2020-9992: Dany Lisiansky (@DanyL931), Nikias Bassen van Zimperium zLabs

Bijgewerkt op 17 september 2020

IOSurfaceAccelerator

Beschikbaar voor: iPhone 6s en nieuwer, iPod touch (7e generatie), iPad Air 2 en nieuwer en iPad mini 4 en nieuwer

Impact: een lokale gebruiker kan het kernelgeheugen lezen

Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.

CVE-2020-9964: Mohamed Ghannam (@_simo36), Tommy Muir (@Muirey03)

Toetsen

Beschikbaar voor: iPhone 6s en nieuwer, iPod touch (7e generatie), iPad Air 2 en nieuwer en iPad mini 4 en nieuwer

Impact: een kwaadaardig programma kan vertrouwelijke gebruikersinformatie vrijgeven

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2020-9976: Rias A. Sherzad van JAIDE GmbH in Hamburg, Duitsland

Model I/O

Beschikbaar voor: iPhone 6s en nieuwer, iPod touch (7e generatie), iPad Air 2 en nieuwer en iPad mini 4 en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigd USD-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2020-9973: Aleksandar Nikolic van Cisco Talos

Telefoon

Beschikbaar voor: iPhone 6s en nieuwer, iPod touch (7e generatie), iPad Air 2 en nieuwer en iPad mini 4 en nieuwer

Impact: de schermvergrendeling wordt mogelijk na de opgegeven tijd niet geactiveerd

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2020-9946: Daniel Larsson van iolight AB

Sandbox

Beschikbaar voor: iPhone 6s en nieuwer, iPod touch (7e generatie), iPad Air 2 en nieuwer en iPad mini 4 en nieuwer

Impact: een kwaadaardig programma kan mogelijk toegang verkrijgen tot beperkte bestanden

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2020-9968: Adam Chester(@_xpn_) van TrustedSec

Bijgewerkt op 17 september 2020

Siri

Beschikbaar voor: iPhone 6s en nieuwer, iPod touch (7e generatie), iPad Air 2 en nieuwer en iPad mini 4 en nieuwer

Impact: een persoon met fysieke toegang tot een iOS-apparaat kan mogelijk de inhoud van meldingen bekijken vanaf het toegangsscherm

Beschrijving: door een probleem met het toegangsscherm waren berichten op een vergrendeld apparaat toegankelijk. Dit probleem is opgelost door een verbeterd statusbeheer.

CVE-2020-9959: een anonieme onderzoeker, een anonieme onderzoeker, een anonieme onderzoeker, een anonieme onderzoeker, een anonieme onderzoeker, Andrew Goldberg van de University of Texas in Austin, McCombs School of Business, Meli̇h Kerem Güneş van Li̇v College, Sinan Gulguler

WebKit

Beschikbaar voor: iPhone 6s en nieuwer, iPod touch (7e generatie), iPad Air 2 en nieuwer en iPad mini 4 en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot een cross-site scripting-aanval

Beschrijving: een probleem met de invoervalidatie is verholpen door een verbeterde invoervalidatie.

CVE-2020-9952: Ryan Pickren (ryanpickren.com)

Aanvullende erkenning

App Store

Met dank aan Giyas Umarov van Holmdel High School voor de hulp.

Bluetooth

Met dank aan Andy Davis van NCC Group en Dennis Heinze (@ttdennis) van TU Darmstadt, Secure Mobile Networking Lab voor de hulp.

CallKit

Met dank aan Federico Zanetello voor de hulp.

CarPlay

Met dank aan een anonieme onderzoeker voor de hulp.

Core Location

Met dank aan Yiğit Can YILMAZ (@yilmazcanyigit) voor zijn hulp.

debugserver

Met dank aan Linus Henze (pinauten.de) voor de hulp.

iAP

Met dank aan Andy Davis van de NCC Group voor zijn hulp.

iBoot

Met dank aan Brandon Azad van Google Project Zero voor zijn hulp.

Kernel

Met dank aan Brandon Azad van Google Project Zero voor zijn hulp.

libarchive

Met dank aan Dzmitry Plotnikau en een anonieme onderzoeker voor de hulp.

Location Framework

Met dank aan Nicolas Brunner (linkedin.com/in/nicolas-brunner-651bb4128) voor de hulp.

Bijgewerkt op 19 oktober 2020

Kaarten

Met dank aan Matthew Dolan van Amazon Alexa voor de hulp.

NetworkExtension

Met dank aan Thijs Alkemade van Computest en ‘Qubo Song’ of ‘Symantec, een divisie van Broadcom’ voor de hulp.

Telefoontoetsenblok

Met dank aan een anonieme onderzoeker voor de hulp.

Safari

Met dank aan Andreas Gutmann (@KryptoAndI) van het Innovation Centre van OneSpan (onespan.com) en University College London, Steven J. Murdoch (@SJMurdoch) van het Innovation Centre van OneSpan (onespan.com) en University College London, Jack Cable van Lightning Security en Yair Amit voor de hulp.

Toegevoegd op 19 oktober 2020

Statusbalk

Met dank aan Abdul M. Majumder, Abdullah Fasihallah van Taif University, Adwait Vikas Bhide, Frederik Schmid, Nikita en een anonieme onderzoeker voor de hulp.

Telefonie

Met dank aan Yiğit Can YILMAZ (@yilmazcanyigit) voor zijn hulp.

UIKit

Met dank aan Borja Marcos van Sarenet, Simon de Vegt, en Talal Haj Bakry (@hajbakri) en Tommy Mysk (@tommymysk) van Mysk Inc. voor de hulp.

Webapp

Met dank aan Augusto Alvarez van Outcourse Limited voor de hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: