Over de beveiligingsinhoud van iOS 13.2 en iPadOS 13.2
In dit document wordt de beveiligingsinhoud van iOS 13.2 en iPadOS 13.2 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
iOS 13.2 en iPadOS 13.2
Accounts
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: een externe aanvaller kan geheugen vrijgeven
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2019-8787: Steffen Klee van het Secure Mobile Networking Lab van Technische Universität Darmstadt
AirDrop
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: AirDrop-overdrachten kunnen onverwachts worden geaccepteerd in de modus Iedereen
Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.
CVE-2019-8796: Allison Husain van UC Berkeley
App Store
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: een lokale aanvaller kan mogelijk zonder geldige inloggegevens inloggen op de account van een eerder ingelogde gebruiker.
Beschrijving: een probleem met identiteitscontrole is verholpen door verbeterd statusbeheer.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
Gerelateerde domeinen
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: het onjuist verwerken van URL's kan leiden tot de exfiltratie van gegevens
Beschrijving: er was een probleem met het parseren van URL's. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2019-8788: Juha Lindstedt van Pakastin, Mirko Tanania en Rauli Rikama van Zero Keyboard Ltd
Audio
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8785: Ian Beer van Google Project Zero
CVE-2019-8797: 08Tc3wBB in samenwerking met SSD Secure Disclosure
AVEVideoEncoder
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8795: 08Tc3wBB in samenwerking met SSD Secure Disclosure
Boeken
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: het parseren van een kwaadwillig vervaardigd iBooks-bestand kan leiden tot het vrijgeven van gebruikersgegevens
Beschrijving: er was een validatieprobleem bij de verwerking van symlinks. Dit probleem is verholpen door een verbeterde validatie van symlinks.
CVE-2019-8789: Gertjan Franken van imec-DistriNet, KU Leuven
Contacten
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: het verwerken van een kwaadwillig vervaardigd contact kan leiden tot UI-spoofing
Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen met verbeterd statusbeheer.
CVE-2017-7152: Oliver Paukstadt van Thinking Objects GmbH (to.com)
Bestandssysteemgebeurtenissen
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8798: ABC Research s.r.o. in samenwerking met het Zero Day Initiative van Trend Micro
Besturingsbestand voor graphics
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8784: Vasiliy Vasilyev en Ilya Finogeev van Webinar, LLC
Kernel
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.
CVE-2019-8794: 08Tc3wBB in samenwerking met SSD Secure Disclosure
Kernel
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8786: Wen Xu van Georgia Tech, Microsoft Offensive Security Research Intern
Kernel
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een kwetsbaarheid voor geheugenbeschadiging is verholpen door verbeterde vergrendeling.
CVE-2019-8829: Jann Horn van Google Project Zero
Configuratie-assistent
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: een aanvaller die fysiek in de buurt is, kan een gebruiker dwingen om gebruik te maken van een kwaadaardig wifinetwerk tijdens de configuratie van een apparaat
Beschrijving: een inconsistentie in de configuratie-instellingen van het wifinetwerk is opgelost.
CVE-2019-8804: Christy Philip Mathew van Zimperium, Inc
Schermopname
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: een lokale gebruiker kan een schermopname maken zonder een zichtbare indicator voor schermopname
Beschrijving: er was een consistentieprobleem bij het bepalen wanneer de indicator voor schermopname moet worden getoond. Het probleem is opgelost door een verbeterd statusbeheer.
CVE-2019-8793: Ryan Jenkins van Lake Forrest Prep School
WebKit
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot universele cross-site-scripting
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2019-8813: een anonieme onderzoeker
WebKit
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8782: Cheolung Lee van het LINE+ Security Team
CVE-2019-8783: Cheolung Lee van het LINE+ Graylab Security Team
CVE-2019-8808: gevonden door OSS-Fuzz
CVE-2019-8811: Soyeon Park van het SSLab van Georgia Tech
CVE-2019-8812: JunDong Xie van het Ant-financial Light-Year Security Lab
CVE-2019-8814: Cheolung Lee van het LINE+ Security Team
CVE-2019-8816: Soyeon Park van het SSLab van Georgia Tech
CVE-2019-8819: Cheolung Lee van het LINE+ Security Team
CVE-2019-8820: Samuel Groß van Google Project Zero
CVE-2019-8821: Sergei Glazunov van Google Project Zero
CVE-2019-8822: Sergei Glazunov van Google Project Zero
CVE-2019-8823: Sergei Glazunov van Google Project Zero
WebKit
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: het bezoeken van een kwaadwillig vervaardigde website kan onthullen welke websites een gebruiker heeft bezocht
Beschrijving: de HTTP-verwijzerheader kan worden gebruikt om de browsergeschiedenis te lekken. Het probleem is opgelost door alle doorverwijzingen van derden te downgraden naar hun oorsprong.
CVE-2019-8827: Artur Janc, Krzysztof Kotowicz, Lukas Weichselbaum en Roberto Clapis van het Google Security Team
WebKit-procesmodel
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8815: Apple
Wifi
Beschikbaar voor: iPhone 6s en nieuwer, iPad Air 2 en nieuwer, iPad mini 4 en nieuwer en iPod touch 7e generatie
Impact: een aanvaller binnen wifibereik kan mogelijk een kleine hoeveelheid netwerkverkeer bekijken
Beschrijving: er was een logisch probleem bij de verwerking van statusovergangen. Dit is verholpen door verbeterd statusbeheer.
CVE-2019-15126: Milos Cermak van ESET
Aanvullende erkenning
CFNetwork
Met dank aan Lily Chen van Google voor de hulp.
Kernel
Met dank aan Daniel Roethlisberger van Swisscom CSIRT, Jann Horn van Google Project Zero voor hun hulp.
WebKit
Met dank aan Dlive van het Xuanwu Lab van Tencent en Zhiyi Zhang van het Codesafe Team van Legendsec van de Qi'anxin Group voor hun hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.