Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
iOS 13.3.1 og iPadOS 13.3.1
Utgitt 28. januar 2020
Lyd
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Et program kan utføre vilkårlig kode med systemrettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2020-3857: Zhuo Liang fra Qihoo 360 Vulcan Team
FaceTime
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: En ekstern FaceTime-bruker kan klare å få egenvisningen av brukerens lokale kamera til å vise feil kamera
Beskrivelse: Det var et problem med håndteringen av egenvisningen til den lokale brukeren. Problemet ble rettet med forbedret logikk.
CVE-2020-3869: Elisa Lee
ImageIO
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Behandling av et skadelig bilde kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2020-3826: Samuel Groß fra Google Project Zero
CVE-2020-3870
CVE-2020-3878: Samuel Groß fra Google Project Zero
CVE-2020-3880: Samuel Groß fra Google Project Zero
Oppføring oppdatert 4. april 2020
IOAcceleratorFamily
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2020-3837: Brandon Azad fra Google Project Zero
IOUSBDeviceFamily
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2019-8836: Xiaolong Bai og Min (Spark) Zheng fra Alibaba Inc. og Luyi Xing fra Indiana University Bloomington
Oppføring lagt til 22. juni 2020
IPSec
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Innlasting av en skadelig racoon-konfigurasjonsfil kan føre til utføring av vilkårlig kode
Beskrivelse: Det var et «off by one»-problem med behandlingen av racoon-konfigurasjonsfiler. Problemet ble løst gjennom forbedret grensekontroll.
CVE-2020-3840: @littlelailo
Kjerne
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Et program kan lese begrenset minne
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.
CVE-2020-3875: Brandon Azad fra Google Project Zero
Kjerne
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Et program kan lese begrenset minne
Beskrivelse: Et problem med initialisering av minne ble løst gjennom forbedret minnehåndtering.
CVE-2020-3872: Haakon Garseg Mørk fra Cognite og Cim Stordal fra Cognite
Kjerne
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet
Beskrivelse: Et tilgangsproblem ble løst med forbedret minnehåndtering.
CVE-2020-3836: Brandon Azad fra Google Project Zero
Kjerne
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2020-3842: Ned Williamson i samarbeid med Google Project Zero
CVE-2020-3858: Xiaolong Bai og Min (Spark) Zheng fra Alibaba Inc., Luyi Xing fra Indiana University Bloomington
Kjerne
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: En kappløpssituasjon ble løst gjennom forbedret låsing.
CVE-2020-3831: Chilik Tamir fra Zimperium zLabs, Corellium, Proteas på Qihoo 360 Nirvan Team
Oppføring oppdatert 19. mars 2020
Kjerne
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.
CVE-2020-3853: Brandon Azad fra Google Project Zero
Kjerne
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2020-3860: Proteas fra Qihoo 360 Nirvan Team
libxml2
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Behandling av en skadelig XML-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: En bufferoverflyt ble løst gjennom forbedret størrelsesvalidering.
CVE-2020-3846: Ranier Vilela
Oppføring lagt til 29. januar 2020
libxpc
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Behandling av en skadelig streng kan føre til heap-feil
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2020-3856: Ian Beer fra Google Project Zero
libxpc
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Et program kan være i stand til å få utvidede rettigheter
Beskrivelse: Et problem med lesing utenfor grensene ble løst gjennom forbedret grenseverdikontroll.
CVE-2020-3829: Ian Beer fra Google Project Zero
E-post
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Å slå av «Last inn eksternt innhold i meldinger» fungerer kanskje ikke for alle e-postforhåndsvisninger
Beskrivelse: Problemet ble løst gjennom forbedret innstillingspropagering.
CVE-2020-3873: Alexander Heinrich (@Sn0wfreeze) fra Technische Universität Darmstadt, Hudson Pridham ved Bridgeable, Stuart Chapman
Oppføring oppdatert 19. mars 2020
Meldinger
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: En person med fysisk tilgang til en iOS-enhet kan få tilgang til kontakter fra låst skjerm
Beskrivelse: Et problem med inkonsistent brukergrensesnitt ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-3859: Andrew Gonzalez, Simone PC
Oppføring oppdatert 29. januar 2020
Meldinger
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Brukere som er fjernet fra en iMessage-samtale, kan fremdeles klare å endre tilstanden
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2020-3844: Ayden Panhuyzen (@aydenpanhuyzen) og Jamie Bishop (@jamiebishop123) fra Dynastic, Lance Rodgers ved Oxon Hill High School
Oppføring oppdatert 29. januar 2020
Telefon
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: En person med fysisk tilgang til en iOS-enhet kan få tilgang til kontakter fra låst skjerm
Beskrivelse: Et problem med låst skjerm tillot tilgang til kontakter på en låst enhet. Problemet ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-3828: en anonym forsker
Autofyll ved Safari-pålogging
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: En lokal bruker kan sende et passord ukryptert over nettverket uten å vite det
Problemet ble løst gjennom forbedret håndtering av grensesnittet.
CVE-2020-3841: Sebastian Bicchi (@secresDoge) fra Sec-Research
Skjermbilder
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Skjermbilder av Meldinger-appen kan avsløre ekstra meldingsinnhold
Beskrivelse: Det var et problem med navnsettingen av skjermbildene. Problemet ble rettet med forbedret navnsetting.
CVE-2020-3874: Nicolas Luckie ved Durham College
WebKit
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Et skadelig nettsted kan være i stand til å forårsake tjenestenekt (DoS)
Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret minnehåndtering.
CVE-2020-3862: Srikanth Gatta fra Google Chrome
Oppføring lagt til 29. januar 2020
WebKit
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2020-3825: Przemysław Sporysz fra Euvic
CVE-2020-3868: Marcin Towalski fra Cisco Talos
Oppføring lagt til 29. januar 2020
WebKit
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-3867: en anonym forsker
Oppføring lagt til 29. januar 2020
Laster inn WebKit-sider
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: En DOM-objektkontekst har kanskje ikke hatt et unikt sikkerhetsopphav
Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.
CVE-2020-3864: Ryan Pickren (ryanpickren.com)
Oppføring lagt til 6. februar 2020
Laster inn WebKit-sider
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: En DOM-objektkontekst på øverste nivå kan feilaktig ha blitt ansett som sikker
Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.
CVE-2020-3865: Ryan Pickren (ryanpickren.com)
Oppføring lagt til 29. januar 2020 og oppdatert 6. februar 2020
Wi-Fi
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: En ekstern angriper kan forårsake uventet systemavslutning eller skadet kjerneminne
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2020-3843: Ian Beer fra Google Project Zero
Oppføring lagt til 6. februar 2020
wifivelocityd
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Et program kan utføre vilkårlig kode med systemrettigheter
Beskrivelse: Problemet ble løst gjennom forbedret tillatelseslogikk.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
Ytterligere anerkjennelse
IOSurface
Vi vil gjerne takke Liang Chen (@chenliang0817) for hjelpen.
Bilder-lagring
Vi vil gjerne takke Allison Husain ved UC Berkeley for hjelpen.
Oppføring oppdatert 19. mars 2020