Over de beveiligingsinhoud van iOS 14.7 en iPadOS 14.7

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

Releasedatum iOS 14.7: 19 juli 2021; Releasedatum iPadOS 14.7: 21 juli 2021

ActionKit

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een snelkoppeling kan de internettoestemmingsvereisten omzeilen

Beschrijving: een probleem met de invoervalidatie is verholpen door een verbeterde invoervalidatie.

CVE-2021-30763: Zachary Keffaber (@QuickUpdate5)

Analytics

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een lokale aanvaller heeft mogelijk toegang tot analytische gegevens

Beschrijving: dit probleem is verholpen door middel van een nieuwe bevoegdheid.

CVE-2021-30871: Denis Tokarev (@illusionofcha0s)

Toegevoegd op 25 oktober 2021

Audio

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een lokale aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-30781: tr3e

AVEVideoEncoder

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2021-30748: George Nosenko

CoreAudio

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van een kwaadwillig vervaardigd audiobestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2021-30775: JunDong Xie van Ant Security Light-Year Lab

CoreAudio

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het afspelen van een kwaadaardig audiobestand kan leiden tot het onverwacht beëindigen van een app

Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.

CVE-2021-30776: JunDong Xie van Ant Security Light-Year Lab

CoreGraphics

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het openen van een kwaadwillig vervaardigd pdf-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: een racevoorwaarde is verholpen door een verbeterde statusverwerking.

CVE-2021-30786: ryuzaki

CoreText

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2021-30789: Mickey Jin (@patch1t) van Trend Micro, Sunglin van Knownsec 404 team

Crash Reporter

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een kwaadaardig programma kan rootbevoegdheden verkrijgen

Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.

CVE-2021-30774: Yizhuo Wang van Group of Software Security In Progress (G.O.S.S.I.P) van Shanghai Jiao Tong University

CVMS

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een kwaadaardig programma kan rootbevoegdheden verkrijgen

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2021-30780: Tim Michaud (@TimGMichaud) van Zoom Video Communications

dyld

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen

Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.

CVE-2021-30768: Linus Henze (pinauten.de)

Find My

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een kwaadaardig programma kan mogelijk toegang verkrijgen tot 'Zoek mijn'-gegevens

Beschrijving: een probleem met bevoegdheden is verholpen door verbeterde validatie.

CVE-2021-30804: Csaba Fitzl (@theevilbit) van Offensive Security

FontParser

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met overloop van gehele getallen is verholpen door een verbeterde invoervalidatie.

CVE-2021-30760: Sunglin van Knownsec 404 team

FontParser

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van een kwaadwillig vervaardigd tiff-bestand kan leiden tot denial-of-service of mogelijk geheugeninhoud vrijgeven

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-30788: tr3e in samenwerking met het Trend Micro Zero Day Initiative

FontParser

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een stackoverflow is verholpen door betere invoervalidatie.

CVE-2021-30759: hjy79425575 in samenwerking met het Trend Micro Zero Day Initiative

Identity Service

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een schadelijk programma kan de controles van codeondertekening omzeilen

Beschrijving: een probleem met de ondertekening van code is verholpen door verbeterde controles.

CVE-2021-30773: Linus Henze (pinauten.de)

Image Processing

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2021-30802: Matthew Denton van Google Chrome Security

ImageIO

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-30779: Jzhu, Ye Zhang (@co0py_Cat) van Baidu Security

ImageIO

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.

CVE-2021-30785: CFF van Topsec Alpha Team, Mickey Jin (@patch1t) van Trend Micro

Kernel

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een kwaadwillige aanvaller met willekeurige lees- en schrijfcapaciteiten kan Pointer Authentication omzeilen

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2021-30769: Linus Henze (pinauten.de)

Kernel

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een aanvaller die het uitvoeren van kernelcode al heeft bereikt, kan kernelgeheugenbeperkingen omzeilen

Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.

CVE-2021-30770: Linus Henze (pinauten.de)

libxml2

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-3518

Measure

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: meerdere problemen in libwebp

Beschrijving: meerdere problemen zijn verholpen door bij te werken naar versie 1.2.0.

CVE-2018-25010

CVE-2018-25011

CVE-2018-25014

CVE-2020-36328

CVE-2020-36329

CVE-2020-36330

CVE-2020-36331

Model I/O

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot een denial of service

Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.

CVE-2021-30796: Mickey Jin (@patch1t) van Trend Micro

Model I/O

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2021-30792: Anoniem in samenwerking met het Zero Day Initiative van Trend Micro

Model I/O

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot de onthulling van gebruikersgegevens

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2021-30791: Anoniem in samenwerking met het Zero Day Initiative van Trend Micro

TCC

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een kwaadaardig programma kan mogelijk bepaalde privacyvoorkeuren omzeilen

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2021-30798: Mickey Jin (@patch1t) van Trend Micro

WebKit

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een type confusion-probleem is verholpen door een verbeterde statusverwerking.

CVE-2021-30758: Christoph Guttandin van Media Codings

WebKit

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2021-30795: Sergei Glazunov van Google Project Zero

WebKit

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van code

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-30797: Ivan Fratric van Google Project Zero

WebKit

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2021-30799: Sergei Glazunov van Google Project Zero

Wi-Fi

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: verbinding maken met een kwaadaardig wifinetwerk kan leiden tot denial-of-service of het uitvoeren van willekeurige code

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-30800: vm_call, Nozhdar Abdulkhaleq Shukri

Assets

Met dank aan Cees Elzinga voor de hulp.

CoreText

Met dank aan Mickey Jin (@patch1t) van Trend Micro voor de hulp.

Safari

Met dank aan een anonieme onderzoeker voor de hulp.

Sandbox

Met dank aan Csaba Fitzl (@theevilbit) van Offensive Security voor de hulp.