Om sikkerhetsinnholdet i iOS 13

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 13.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

iOS 13

Utgitt 19. september 2019

Bluetooth

Tilgjengelig for: iPhone 6s eller nyere

Virkning: Forhåndsvisninger av varslinger kan vises på Bluetooth-tilbehør selv når forhåndsvisninger er deaktivert

Beskrivelse: Det fantes et logisk problem med forhåndsvisninger av varslinger. Problemet ble løst gjennom forbedret validering.

CVE-2019-8711: Arjang fra MARK ANTHONY GROUP INC., Cemil Ozkebapci (@cemilozkebapci) fra Garanti BBVA, Oguzhan Meral fra Deloitte Consulting og Ömer Bozdoğan-Ramazan Atıl Anadolu Lisesi Adana/TÜRKİYE

CoreAudio

Tilgjengelig for: iPhone 6s eller nyere

Virkning: Behandling av en skadelig filmfil kan føre til at prosessminne avsløres

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.

CVE-2019-8705: riusksk fra VulWar Corp i samarbeid med Trend Micros Zero Day Initiative

Face ID

Tilgjengelig for: iPhone 6s eller nyere

Virkning: En 3D-modell som er laget for å se ut som brukeren, kan autentisere via Face ID

Beskrivelse: Dette problemet ble løst ved å forbedre maskinlæringsmodellene for Face ID.

CVE-2019-8760: Wash Wu (吴潍浠 @wish_wu) fra Ant-financial Light-Year Security Lab

Foundation

Tilgjengelig for: iPhone 6s eller nyere

Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller kjøring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2019-8641: Samuel Groß og Natalie Silvanovich fra Google Project Zero

Tastaturer

Tilgjengelig for: iPhone 6s eller nyere

Virkning: En lokal bruker kan lekke sensitiv brukerinformasjon

Beskrivelse: Et problem med autentisering ble løst gjennom forbedret tilstandshåndtering.

CVE-2019-8704: 王 邦 宇 (wAnyBug.Com) fra SAINTSEC

Meldinger

Tilgjengelig for: iPhone 6s eller nyere

Virkning: En person med fysisk tilgang til en iOS-enhet kan få tilgang til kontakter fra låst skjerm

Beskrivelse: Problemet ble løst gjennom begrensning av valgene som vises på en låst enhet.

CVE-2019-8742: videosdebarraquito

Hurtigvisning

Tilgjengelig for: iPhone 6s eller nyere

Virkning: Behandling av en skadelig fil kan avsløre brukerinformasjon

Beskrivelse: Det var et tillatelsesproblem der en kjøringstillatelse ble gitt ved en feil. Problemet ble løst gjennom forbedret validering av tillatelser.

CVE-2019-8731: Saif Hamed Hamdan Al Hinai fra Oman National CERT og Yiğit Can YILMAZ (@yilmazcanyigit)

Safari

Tilgjengelig for: iPhone 6s eller nyere

Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2019-8727: Divyanshu Shukla (@justm0rph3u5) fra Quotient Technology

Laster inn WebKit-sider

Tilgjengelig for: iPhone 6s eller nyere

Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2019-8674

Ytterligere anerkjennelse

Bluetooth

Vi vil gjerne takke Jan Ruge fra TU Darmstadt, Secure Mobile Networking Lab, Jiska Classen fra TU Darmstadt, Secure Mobile Networking Lab, Francesco Gringoli fra University of Brescia og Dennis Heinze fra TU Darmstadt, Secure Mobile Networking Lab for hjelpen.

Kontrollsenter

Vi vil gjerne takke Brandon Sellers for hjelpen.

Tastatur

Vi vil gjerne takke en anonym forsker for hjelpen.

Mail

Vi vil gjerne takke Kenneth Hyndycz for hjelpen.

Profiler

Vi vil gjerne takke James Seeley (@Code4iOS) fra Shriver Job Corps for hjelpen.

SafariViewController

Vi vil gjerne takke Yiğit Can YILMAZ (@yilmazcanyigit) for hjelpen.

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: