Om sikkerhetsinnholdet i iOS 14.3 og iPadOS 14.3

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 14.3 og iPadOS 14.3.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

iOS 14.3 og iPadOS 14.3

Utgitt 14. desember 2020

App Store

Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere, og iPod touch (7. generasjon)

Virkning: Forespørsel om programinstallasjon i bedriftsmiljøer kan vise feil domene

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2020-29613: Ryan Pickren (ryanpickren.com)

Audio

Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere, og iPod touch (7. generasjon)

Virkning: Behandling av en skadelig lydfil kan avdekke begrenset minne

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-29610: anonym i samarbeid med Trend Micro Zero Day Initiative

Oppføring lagt til 16. mars 2021

CoreAudio

Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere, og iPod touch (7. generasjon)

Virkning: Behandling av en skadelig lydfil kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-27948: JunDong Xie fra Ant Security Light-Year Lab

FontParser

Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere, og iPod touch (7. generasjon)

Virkning: En ekstern angriper kan lekke minne

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-29608: Xingwei Lin fra Ant Security Light-Year Lab

Oppføring lagt til 16. mars 2021

FontParser

Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere, og iPod touch (7. generasjon)

Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres

Beskrivelse: Et problem med informasjonsavsløring ble løst med forbedret tilstandshåndtering.

CVE-2020-27946: Mateusz Jurczyk fra Google Project Zero

FontParser

Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere, og iPod touch (7. generasjon)

Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode

Beskrivelse: Det var et problem med skadet minne i håndteringen av fontfiler. Problemet ble løst gjennom forbedret validering av inndata.

CVE-2020-27943: Mateusz Jurczyk fra Google Project Zero

CVE-2020-27944: Mateusz Jurczyk fra Google Project Zero

CVE-2020-29624: Mateusz Jurczyk fra Google Project Zero

Oppføring oppdatert 22. desember 2020

ImageIO

Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere, og iPod touch (7. generasjon)

Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-29615: Xingwei Lin fra Ant Security Light-Year Lab

Oppføring lagt til 16. mars 2021

ImageIO

Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere, og iPod touch (7. generasjon)

Virkning: Behandling av et skadelig bilde kan føre til skade i heapen

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-29617: Xingwei Lin fra Ant Security Light-Year Lab

CVE-2020-29619: Xingwei Lin fra Ant Security Light-Year Lab

Oppføring oppdatert 16. mars 2021

ImageIO

Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere, og iPod touch (7. generasjon)

Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-29618: Xingwei Lin fra Ant Security Light-Year Lab

Oppføring oppdatert 16. mars 2021

ImageIO

Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere, og iPod touch (7. generasjon)

Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-29611: Alexandru-Vlad Niculae i samarbeid med Google Project Zero

Oppføring oppdatert 17. desember 2020

Model I/O

Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere, og iPod touch (7. generasjon)

Virkning: Behandling av en skadelig fil kan føre til skade i heapen

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2020-29614: ZhiWei Sun (@5n1p3r0010) fra Topsec Alpha Lab

Oppføring lagt til 16. mars 2021

Model I/O

Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere, og iPod touch (7. generasjon)

Virkning: Behandlingen av en skadelig USD-fil kan føre til uventet programavslutning eller kjøring av vilkårlig kode

Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.

CVE-2020-9972: Aleksandar Nikolic fra Cisco Talos

Oppføring lagt til 16. mars 2021

Security

Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere, og iPod touch (7. generasjon)

Virkning: Uautorisert kjøring av kode kan føre til brudd på retningslinjer for autentisering

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2020-27951: Apple

WebKit Storage

Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere, og iPod touch (7. generasjon)

Virkning: En bruker kan kanskje ikke slette nettleserhistorikken fullstendig

Beskrivelse: «Tøm logg og nettstedsdata» tømte ikke loggen. Problemet ble løst gjennom forbedret datasletting.

CVE-2020-29623: Simon Hunt fra OvalTwo LTD

Oppføring lagt til 16. mars 2021

WebRTC

Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere, og iPod touch (7. generasjon)

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2020-15969: en anonym forsker

Wi-Fi

Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere, og iPod touch (7. generasjon)

Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: En bufferoverflyt ble løst gjennom forbedret størrelsesvalidering.

CVE-2021-31077: Lee fra CompSec@SNU

Oppføring lagt til 16. mars 2023

Ytterligere anerkjennelser

CoreAudio

Vi vil gjerne takke JunDong Xie og Xingwei Lin fra Ant Security Light-Year Lab for hjelpen.

Oppføring lagt til 16. mars 2021

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: