Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
iOS 13.3.1 și iPadOS 13.3.1
Publicat pe 28 ianuarie 2020
Audio
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2020-3857: Zhuo Liang de la Qihoo 360 Vulcan Team
FaceTime
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: un utilizator FaceTime de la distanță poate face ca vizualizarea frontală a camerei utilizatorului local să afișeze camera incorectă
Descriere: a existat o problemă la tratarea vizualizării frontale a utilizatorului local. Problema a fost corectată prin îmbunătățirea logicii.
CVE-2020-3869: Elisa Lee
files
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: o aplicație rău intenționată ar putea suprascrie fișiere în mod arbitrar
Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru acces.
CVE-2020-3855: Csaba Fitzl (@theevilbit)
Adăugare intrare: 19 ianuarie 2022
ImageIO
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-3826: Samuel Groß de la Google Project Zero
CVE-2020-3870
CVE-2020-3878: Samuel Groß de la Google Project Zero
CVE-2020-3880: Samuel Groß (Google Project Zero)
Intrare actualizată pe 4 aprilie 2020
IOAcceleratorFamily
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2020-3837: Brandon Azad de la Google Project Zero
IOUSBDeviceFamily
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2019-8836: Xiaolong Bai și Min (Spark) Zheng (Alibaba Inc.) și Luyi Xing (Indiana University Bloomington)
Adăugare intrare: 22 iunie 2020
IPSec
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: încărcarea unui fișier de configurare de tip „racoon” creat cu rea intenție poate duce la executarea unui cod arbitrar
Descriere: a existat o problemă de tipul „off by one” în tratarea fișierelor de configurare de tip „racoon”. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-2020-3840: @littlelailo
Kernel
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.
CVE-2020-3875: Brandon Azad de la Google Project Zero
Kernel
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2020-3872: Haakon Garseg Mørk de la Cognite și Cim Stordal de la Cognite
Kernel
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să determine aspectul memoriei kernel
Descriere: a fost rezolvată o problemă de acces prin îmbunătățirea gestionării memoriei.
CVE-2020-3836: Brandon Azad de la Google Project Zero
Kernel
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2020-3842: Ned Williamson, în colaborare cu Google Project Zero
CVE-2020-3858: Xiaolong Bai și Min (Spark) Zheng (Alibaba Inc.) și Luyi Xing (Indiana University Bloomington)
Kernel
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.
CVE-2020-3831: Chilik Tamir (Zimperium zLabs, Corellium), Proteas (Qihoo 360 Nirvan Team)
Intrare actualizată pe 19 martie 2020
Kernel
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.
CVE-2020-3853: Brandon Azad de la Google Project Zero
Kernel
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2020-3860: Proteas de la Qihoo 360 Nirvan Team
libxml2
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: procesarea unor coduri XML create cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de depășire de memoriei-tampon prin îmbunătățirea validării dimensiunii.
CVE-2020-3846: Ranier Vilela
Adăugare intrare: 29 ianuarie 2020
libxpc
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: procesarea unui șir creat cu rea intenție poate cauza deteriorarea zonei-tampon de structuri de date
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2020-3856: Ian Beer de la Google Project Zero
libxpc
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2020-3829: Ian Beer de la Google Project Zero
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: este posibil ca dezactivarea funcției „Încarcă în mesaje conținutul extern” să nu se aplice tuturor previzualizărilor pentru e-mailuri
Descriere: această problemă a fost rezolvată prin îmbunătățirea propagării configurării.
CVE-2020-3873: Alexander Heinrich (@Sn0wfreeze) (Technische Universität Darmstadt), Hudson Pridham (Bridgeable), Stuart Chapman
Intrare actualizată pe 19 martie 2020
Messages
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: o persoană cu acces fizic la un dispozitiv iOS poate accesa contacte din ecranul de blocare
Descriere: a fost rezolvată o problemă legată de inconstanța interfeței cu utilizatorul prin gestionarea îmbunătățită a stării.
CVE-2020-3859: Andrew Gonzalez, Simone PC
Actualizare intrare: 29 ianuarie 2020
Messages
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: utilizatorii excluși dintr-o conversație în iMessage pot modifica în continuare starea
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2020-3844: Ayden Panhuyzen (@aydenpanhuyzen) și Jamie Bishop (@jamiebishop123) (Dynastic), Lance Rodgers (Oxon Hill High School)
Actualizare intrare: 29 ianuarie 2020
Phone
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: o persoană cu acces fizic la un dispozitiv iOS poate accesa contacte din ecranul de blocare
Descriere: o problemă la ecranul de blocare a permis accesul la contacte pe un dispozitiv blocat. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2020-3828: un cercetător anonim
Safari Login AutoFill
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: este posibil ca un utilizator local să trimită fără să știe o parolă necriptată în rețea
Descriere: problema a fost remediată prin îmbunătățirea gestionării interfeței cu utilizatorul.
CVE-2020-3841: Sebastian Bicchi (@secresDoge) (Sec-Research)
Screenshots
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: capturile de ecran din aplicația Mesaje pot dezvăluit conținut suplimentar din mesaje
Descriere: a existat o problemă în denumirea capturilor de ecran. Problema a fost corectată prin îmbunătățirea denumirii.
CVE-2020-3874: Nicolas Luckie (Durham College)
WebKit
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: un site web rău intenționat poate cauza o refuzare a serviciului (DoS)
Descriere: a fost rezolvată o problemă de refuzare a serviciului (DoS) prin îmbunătățirea tratării memoriei.
CVE-2020-3862: Srikanth Gatta de la Google Chrome
Adăugare intrare: 29 ianuarie 2020
WebKit
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2020-3825: Przemysław Sporysz de la Euvic
CVE-2020-3868: Marcin Towalski de la Cisco Talos
Adăugare intrare: 29 ianuarie 2020
WebKit
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: procesarea unui conținut web creat cu rea intenție poate cauza crearea de scripturi universale între site-uri
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2020-3867: un cercetător anonim
Adăugare intrare: 29 ianuarie 2020
WebKit Page Loading
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: un context de obiect DOM poate să nu fi avut o origine de securitate unică
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.
CVE-2020-3864: Ryan Pickren (ryanpickren.com)
Adăugare intrare: 6 februarie 2020
WebKit Page Loading
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: un context de obiect DOM de nivel superior poate fi considerat sigur în mod incorect
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.
CVE-2020-3865: Ryan Pickren (ryanpickren.com)
Adăugare intrare: 29 ianuarie 2020, actualizare intrare: 6 februarie 2020
Wi-Fi
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: un atacator la distanță ar putea cauza închiderea neașteptată a sistemului sau ar putea corupe memoria kernel
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2020-3843: Ian Beer de la Google Project Zero
Adăugare intrare: 6 februarie 2020
wifivelocityd
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Air 2 și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: problema a fost remediată prin îmbunătățirea logicii pentru permisiuni.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
Alte mențiuni
IOSurface
Dorim să îi mulțumim lui Liang Chen (@chenliang0817) pentru asistență.
Photos Storage
Dorim să îi mulțumim lui Allison Husain de la UC Berkeley pentru asistență.
Intrare actualizată pe 19 martie 2020