Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

iOS 14.8 en iPadOS 14.8
Releasedatum: 13 september 2021
Apple Neural Engine
Beschikbaar voor apparaten met Apple Neural Engine: iPhone 8 en nieuwer, iPad Pro (3e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer en iPad mini (5e generatie)
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2021-30838: proteas wang
Toegevoegd op 19 januari 2022
Bluetooth
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2021-30820: Jianjun Dai van Qihoo 360 Alpha Lab
Toegevoegd op 20 september 2021
CoreAudio
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot de onthulling van gebruikersgegevens
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2021-30905: Mickey Jin (@patch1t) van Trend Micro
Toegevoegd op 19 januari 2022
CoreAudio
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: het verwerken van een schadelijk audiobestand kan leiden tot het onverwacht beëindigen van een programma of het uitvoeren van willekeurige code
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2021-30834: JunDong Xie van Ant Security Light-Year Lab
Toegevoegd op 25 oktober 2021
CoreGraphics
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.
CVE-2021-30928: Mickey Jin (@patch1t) van Trend Micro
Toegevoegd op 19 januari 2022
CoreGraphics
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: het verwerken van een kwaadwillig vervaardigde pdf kan leiden tot het uitvoeren van willekeurige code. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.
Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.
CVE-2021-30860: The Citizen Lab
CoreServices
Beschikbaar voor apparaten met Apple Neural Engine: iPhone 8 en nieuwer, iPad Pro (3e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer en iPad mini (5e generatie)
Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2021-30864: Ron Hass (@ronhass7) van Perception Point, Ron Waisberg (@epsilan)
Toegevoegd op 25 mei 2022
Core Telephony
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen. Apple was op de hoogte van een melding dat er mogelijk actief misbruik werd gemaakt van dit probleem ten tijde van de release.
Beschrijving: een deserialisatieprobleem is verholpen door een verbeterde validatie.
CVE-2021-31010: Citizen Lab en Google Project Zero
Toegevoegd op 25 mei 2022
FontParser
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: het verwerken van een kwaadwillig vervaardigd DFONT-bestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: dit probleem is verholpen door middel van verbeterde controles.
CVE-2021-30841: Xingwei Lin van Ant Security Light-Year Lab
CVE-2021-30843: Xingwei Lin van Ant Security Light-Year Lab
CVE-2021-30842: Xingwei Lin van Ant Security Light-Year Lab
Toegevoegd op 20 september 2021
Foundation
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een type confusion-probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-2021-30852: Yinyi Wu (@3ndy1) van Ant Security Light-Year Lab
Toegevoegd op 25 oktober 2021
ImageIO
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code
Beschrijving: dit probleem is verholpen door middel van verbeterde controles.
CVE-2021-30847: Mike Zhang van Pangu Lab
Toegevoegd op 25 oktober 2021
Kernel
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een 'race condition' is verholpen door verbeterde vergrendeling.
CVE-2021-30857: Manish Bhatt van Red Team X @Meta, Zweig van Kunlun Lab
Toegevoegd op 20 september 2021, bijgewerkt op 25 mei 2022
Kernel
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een type confusion-probleem is verholpen door een verbeterde statusverwerking.
CVE-2021-30859: Apple
Toegevoegd op 20 september 2021
libexpat
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een externe aanvaller kan mogelijk zorgen voor een denial of service
Beschrijving: dit probleem is verholpen door een update van expat naar versie 2.4.1.
CVE-2013-0340: een anonieme onderzoeker
Toegevoegd op 20 september 2021
Preferences
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een programma heeft mogelijk toegang tot beperkte bestanden
Beschrijving: er was een validatieprobleem bij de verwerking van symlinks. Dit probleem is verholpen door een verbeterde validatie van symlinks.
CVE-2021-30855: Zhipeng Huo (@R3dF09) en Yuebin Sun (@yuebinsun2020) van Tencent Security Xuanwu Lab (xlab.tencent.com)
Toegevoegd op 20 september 2021
Telefonie
Beschikbaar voor: iPhone SE (1e generatie), iPad Pro 12,9-inch, iPad Air 2, iPad (5e generatie) en iPad mini 4
Impact: in bepaalde situaties kan de baseband geen bescherming van integriteit en codering bieden
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2021-30826: CheolJun Park, Sangwook Bae en BeomSeok Oh van KAIST SysSec Lab
Toegevoegd op 19 januari 2022
WebKit
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een type confusion-probleem is verholpen door een verbeterde statusverwerking.
CVE-2021-30818: Amar Menezes (@amarekano) van Zon8Research
Toegevoegd op 25 oktober 2021
WebKit
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een aanvaller met een geprivilegieerde netwerkpositie kan HSTS omzeilen
Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.
CVE-2021-30823: David Gullasch van Recurity Labs
Toegevoegd op 25 oktober 2021
WebKit
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: het verwerken van een kwaadwillig vervaardigd audiobestand kan beperkt geheugen vrijgeven
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2021-30836: Peter Nguyen Vu Hoang van STAR Labs
Toegevoegd op 25 oktober 2021
WebKit
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2021-30858: een anonieme onderzoeker
WebKit
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2021-30848: Sergei Glazunov van Google Project Zero
Toegevoegd op 20 september 2021
WebKit
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-2021-30849: Sergei Glazunov van Google Project Zero
Toegevoegd op 20 september 2021
WebKit
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2021-30846: Sergei Glazunov van Google Project Zero
Toegevoegd op 20 september 2021

Aanvullende erkenning
CoreML
Met dank aan hjy79425575 van Trend Micro Zero Day Initiative voor de hulp.
Toegevoegd op 20 september 2021
FaceTime
Met dank aan Mohammed Waqqas Kakangarai voor de hulp.
Toegevoegd op 25 mei 2022