Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
iOS 13.3 și iPadOS 13.3
Publicare: marți, 10 decembrie 2019
CallKit
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch de generația a 7-a
Impact: pot fi inițiate apeluri efectuate cu Siri utilizându-se planul de date celulare greșit pe dispozitive cu două planuri active
Descriere: a existat o problemă la interfața API la tratarea apelurilor telefonice de ieșire inițiate cu Siri. Această problemă a fost rezolvată prin îmbunătățirea tratării stării.
CVE-2019-8856: Fabrice TERRANCLE (TERRANCLE SARL)
Servere proxy CFNetwork
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch de generația a 7-a
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2019-8848: Zhuo Liang (Qihoo 360 Vulcan Team)
FaceTime
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch de generația a 7-a
Impact: procesarea de clipuri video rău intenționate prin FaceTime poate duce la executarea arbitrară de cod
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2019-8830: Natalie Silvanovich (Google Project Zero)
IOSurfaceAccelerator
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch de generația a 7-a
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de divulgare a informațiilor a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2019-8841: Corellium
IOUSBDeviceFamily
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch de generația a 7-a
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2019-8836: Xiaolong Bai și Min (Spark) Zheng (Alibaba Inc.) și Luyi Xing (Indiana University Bloomington)
Kernel
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch de generația a 7-a
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin eliminarea codului vulnerabil.
CVE-2019-8833: Ian Beer (Google Project Zero)
Kernel
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch de generația a 7-a
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2019-8828: Cim Stordal (Cognite)
CVE-2019-8838: Dr Silvio Cesare (InfoSect)
libexpat
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch de generația a 7-a
Impact: analizarea unui fișier XML creat cu rea intenție poate cauza divulgarea informațiilor despre utilizator
Descriere: această problemă a fost rezolvată prin actualizarea la expat versiunea 2.2.8.
CVE-2019-15903: Joonun Jang
Poze
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch de generația a 7-a
Impact: datele audio și video din Live Photo pot fi partajate prin linkuri iCloud chiar dacă Live Photo este dezactivat în caruselul Foaie partajare
Descriere: problema a fost rezolvată prin îmbunătățirea validării la crearea unui link iCloud.
CVE-2019-8857: Tor Bruce
Securitate
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch de generația a 7-a
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2019-8832: Insu Yun (SSLab) (Georgia Tech)
WebKit
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch de generația a 7-a
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2019-8835: anonim în colaborarea cu Zero Day Initiative (Trend Micro), Mike Zhang (Pangu Team)
CVE-2019-8844: William Bowling (@wcbowling)
WebKit
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch de generația a 7-a
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2019-8846: Marcin Towalski (Cisco Talos)
Alte mențiuni
Conturi
Dorim să le mulțumim lui Kishan Bagaria (KishanBagaria.com) și Tom Snelling (Loughborough University) pentru asistența acordată.
Date de bază
Dorim să-i mulțumim lui Natalie Silvanovich (Google Project Zero) pentru asistența acordată.
Configurări
Dorim să îi mulțumim unui cercetător anonim pentru asistență.