Сведения о проблемах системы безопасности, устраняемых обновлением iOS 13

В этом документе описаны проблемы системы безопасности, устраняемые обновлением iOS 13.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple.

iOS 13

Дата выпуска: 19 сентября 2019 г.

Bluetooth

Целевые продукты: iPhone 6s и более поздних моделей

Воздействие. Bluetooth-аксессуары отображаются в предварительных просмотрах уведомлений, даже когда они отключены.

Описание. Имела место проблема в логике отображения предварительного просмотра уведомлений. Проблема устранена путем улучшения процедуры проверки.

CVE-2019-8711: пользователь Arjang из MARK ANTHONY GROUP INC., Джемил Озкебапджи (Cemil Ozkebapci, @cemilozkebapci) из Garanti BBVA, Огузхан Мерал (Oguzhan Meral) из Deloitte Consulting, Омер Боздоган-Рамзан Атиль Анадолу Лисеси Адана (Ömer Bozdoğan-Ramazan Atıl Anadolu Lisesi Adana) из Турции

CoreAudio

Целевые продукты: iPhone 6s и более поздних моделей

Воздействие. Обработка вредоносного фильма может привести к раскрытию памяти процесса.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки.

CVE-2019-8705: пользователь riusksk из VulWar Corp, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

Face ID

Целевые продукты: iPhone 6s и более поздних моделей

Воздействие. Компьютерная 3D модель лица позволяет выполнить аутентификацию с помощью Face ID.

Описание. Проблема устранена путем улучшения технологии машинного обучения Face ID.

CVE-2019-8760: Виш Ву (Wish Wu, @wish_wu) из Ant-financial Light-Year Security Lab

Платформа

Целевые продукты: iPhone 6s и более поздних моделей

Воздействие. Удаленный злоумышленник может вызвать неожиданное завершение работы программы или выполнить произвольный код.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2019-8641: Самуэль Гросс (Samuel Groß) и Натали Сильванович (Natalie Silvanovich) из подразделения Google Project Zero

Клавиатуры

Целевые продукты: iPhone 6s и более поздних моделей

Воздействие. Локальный пользователь может инициировать утечку конфиденциальных пользовательских данных.

Описание. Проблема с аутентификацией устранена путем улучшенного управления состояниями.

CVE-2019-8704: wAnyBug.Com, SAINTSEC

Сообщения

Целевые продукты: iPhone 6s и более поздних моделей

Воздействие. Лицо с физическим доступом к устройству iOS может получить доступ к контактам с экрана блокировки.

Описание. Проблема была решена ограничением предлагаемых опций на заблокированном устройстве.

CVE-2019-8742: пользователь videosdebarraquito

Быстрый просмотр

Целевые продукты: iPhone 6s и более поздних моделей

Воздействие. Обработка вредоносного файла может привести к раскрытию сведений о пользователе.

Описание. Имела место проблема с разрешениями, в результате которой неправильно предоставлялось разрешение на выполнение. Она была устранена путем улучшенной проверки прав доступа.

CVE-2019-8731: Саиф Хамед Хамдан Аль Хинаи (Saif Hamed Hamdan Al Hinai) из координационного центра CERT Омана, Йигит Кан Йилмазу (Yiğit Can YILMAZ, @yilmazcanyigit)

Safari

Целевые продукты: iPhone 6s и более поздних моделей

Воздействие. Посещение вредоносного веб-сайта может приводить к подмене адресной строки.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2019-8727: Дивьянши Шукла (Divyanshu Shukla, @justm0rph3u5) из Quotient Technology

Загрузка страниц WebKit

Целевые продукты: iPhone 6s и более поздних моделей

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению универсальных межсайтовых сценариев.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2019-8674

Дополнительные благодарности

Bluetooth

Выражаем благодарность за помощь Яну Ружу (Jan Ruge) из лаборатории Secure Mobile Networking Lab при Дармштадтском техническом университете, Иске Классену (Jiska Classen) из лаборатории Secure Mobile Networking Lab при Дармштадтском техническом университете, Франческо Гринголи (Francesco Gringoli) из университета Брешии, Деннису Хайнзу (Dennis Heinze) из лаборатории Secure Mobile Networking Lab при Дармштадтском техническом университете.

Пункт управления

Выражаем благодарность за помощь Брэндону Сэллерсу (Brandon Sellers).

Клавиатура

Выражаем благодарность за помощь анонимному исследователю.

Почта

Выражаем благодарность за помощь Кеннету Ниндичу (Kenneth Hyndycz).

Профили

Выражаем благодарность за помощь Джеймсу Сили (James Seeley, @Code4iOS) из Shriver Job Corps.

SafariViewController

Выражаем благодарность за помощь Йигиту Кану Йилмазу (Yiğit Can YILMAZ, @yilmazcanyigit).

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: