Сведения о проблемах системы безопасности, устраняемых обновлениями iOS 14.0 и iPadOS 14.0

В этом документе описаны проблемы системы безопасности, устраняемые обновлениями iOS 14.0 и iPadOS 14.0.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительную информацию о безопасности см. на странице, посвященной безопасности продуктов Apple.

iOS 14.0 и iPadOS 14.0

Дата выпуска: 16 сентября 2020 г.

AppleAVD

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Приложение может вызывать неожиданное завершение работы системы или записывать данные в память ядра.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2020-9958: Mohamed Ghannam (@_simo36)

Assets

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Злоумышленник может использовать разрешение о доверии для загрузки вредоносного содержимого.

Описание. Проблема с разрешением о доверии устранена путем удаления устаревшего интерфейса API.

CVE-2020-9979: пользователь CodeColorist из отдела Light-Year Security Lab компании Ant Group

Запись обновлена 12 ноября 2020 г.

Audio

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Вредоносное приложение может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2020-9943: Цзюньдун Се (JunDong Xie) из отдела Security Lab компании Ant Group Light-Year

Запись добавлена 12 ноября 2020 г.

Audio

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2020-9944: Цзюньдун Се (JunDong Xie) из отдела Security Lab компании Ant Group Light-Year

Запись добавлена 12 ноября 2020 г.

CoreAudio

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Обработка вредоносного аудиофайла может приводить к выполнению произвольного кода.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2020-9960: JunDong Xie и Xingwei Lin из отдела Light-Year Security Lab компании Ant Group

Запись добавлена 25 февраля 2021 г.

CoreAudio

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Воспроизведение вредоносного аудиофайла может приводить к выполнению произвольного кода.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

CVE-2020-9954: пользователь Francis, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative, JunDong Xie из отдела Light-Year Security Lab компании Ant Group

Запись добавлена 12 ноября 2020 г.

CoreCapture

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2020-9949: пользователь Proteas

Запись добавлена 12 ноября 2020 г.

CoreText

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Обработка вредоносного текстового файла может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.

CVE-2020-9999: Apple

Запись добавлена 15 декабря 2020 г.

Disk Images

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2020-9965: пользователь Proteas

CVE-2020-9966: пользователь Proteas

Запись добавлена 12 ноября 2020 г.

FontParser

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Вредоносное приложение может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2020-29629: анонимный исследователь

Запись добавлена 19 января 2022 г.

FontParser

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Обработка вредоносного файла шрифта может приводить к выполнению произвольного кода.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2020-9956: Mickey Jin и Junzhi Lu из группы Trend Micro Mobile Security Research Team, сотрудничающие с компанией Trend Micro в рамках программы Zero Day Initiative

Запись добавлена 25 февраля 2021 г.

FontParser

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.

Описание. Проблема переполнения буфера устранена путем улучшенной проверки размера.

CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)

Запись добавлена 25 февраля 2021 г.

FontParser

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Обработка вредоносного файла шрифта может приводить к выполнению произвольного кода.

Описание. При обработке файлов шрифтов существовала проблема повреждения памяти. Эта проблема устранена путем улучшенной проверки ввода.

CVE-2020-27931: Apple

Запись добавлена 25 февраля 2021 г.

FontParser

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Обработка вредоносного шрифта может приводить к раскрытию памяти процессов.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2020-29639: Mickey Jin и Qi Sun из компании Trend Micro

Запись добавлена 25 февраля 2021 г.

HomeKit

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Злоумышленник с привилегированным положением в сети может неожиданно изменить состояние приложения.

Описание. Проблема устранена путем улучшенного распространения настроек.

CVE-2020-9978: Luyi Xing, Dongfang Zhao и XiaoFeng Wang из Индианского университета в Блумингтоне, Yan Jia из Сидянского университета электронных наук и технологий и Университета китайской академии наук и Bin Yuan из Хуачжунского университета науки и технологии

Запись добавлена 25 февраля 2021 г.

Icons

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Вредоносное приложение могло выявлять другие приложения, устанавливаемые пользователем.

Описание. Проблема устранена путем улучшенной обработки значков в кэше.

CVE-2020-9773: Chilik Tamir из Zimperium zLabs

IDE Device Support

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может выполнить произвольный код на сопряженном устройстве во время сеанса отладки по сети.

Описание. Проблема устранена путем шифрования сеансов связи по сети для устройств с iOS 14, iPadOS 14, tvOS 14 и watchOS 7.

CVE-2020-9992: Dany Lisiansky (@DanyL931), Nikias Bassen из Zimperium zLabs

Запись обновлена 17 сентября 2020 г.

ImageIO

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2020-9955: Mickey Jin из компании Trend Micro, Xingwei Lin из отдела Light-Year Security Lab компании Ant Group

Запись добавлена 15 декабря 2020 г.

ImageIO

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2020-9961: Xingwei Lin из отдела Light-Year Security Lab компании Ant Group

Запись добавлена 12 ноября 2020 г.

ImageIO

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Открытие вредоносного файла PDF может приводить к неожиданному завершению работы приложения или к выполнению произвольного кода.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2020-9876: Mickey Jin из компании Trend Micro

Запись добавлена 12 ноября 2020 г.

IOSurfaceAccelerator

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Локальный пользователь может считывать память ядра.

Описание. Проблема с инициализацией памяти устранена путем улучшенной обработки памяти.

CVE-2020-9964: Mohamed Ghannam (@_simo36), Tommy Muir (@Muirey03)

Kernel

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Злоумышленник может удаленно вызывать неожиданное завершение работы системы или повреждение памяти ядра.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшения проверки ввода.

CVE-2020-9967: Alex Plaskett (@alexjplaskett)

Запись добавлена 25 февраля 2021 г.

Kernel

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2020-9975: Tielei Wang из Pangu Lab

Запись добавлена 25 февраля 2021 г.

Kernel

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Злоумышленник с преимущественным положением в сети может внедриться в активные соединения в туннеле VPN.

Описание. Проблема с маршрутизацией устранена путем улучшения ограничений.

CVE-2019-14899: Уильям Дж. Толли (William J. Tolley), Бо Куджат (Beau Kujath) и Джедидайя Р. Крэндалл (Jedidiah R. Crandall)

Запись добавлена 12 ноября 2020 г.

Keyboard

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Вредоносное приложение может вызвать утечку конфиденциальных данных пользователя.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2020-9976: Rias A. Sherzad из компании JAIDE GmbH в Гамбурге, Германия

libxml2

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Обработка вредоносного файла может приводить к выполнению произвольного кода.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2020-9981: обнаружено с помощью инструмента OSS-Fuzz

Запись добавлена 12 ноября 2020 г.

libxpc

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Вредоносное приложение может повышать уровень привилегий.

Описание. Проблема с логикой устранена путем улучшенной проверки.

CVE-2020-9971: Zhipeng Huo (@R3dF09) из Tencent Security Xuanwu Lab

Запись добавлена 15 декабря 2020 г.

Mail

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Удаленный злоумышленник может неожиданно изменить состояние приложения.

Описание. Проблема устранена путем улучшения проверок.

CVE-2020-9941: Фабиан Изинг (Fabian Ising) и Дэмиан Поддебняк (Damian Poddebniak) из Мюнстерского университета прикладных наук

Запись добавлена 12 ноября 2020 г.

Messages

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Локальный пользователь может обнаружить удаленные сообщения пользователя.

Описание. Проблема устранена путем улучшения процедуры удаления данных.

CVE-2020-9988: Уильям Бройер (William Breuer), Нидерланды

CVE-2020-9989: пользователь из Brunn Media

Запись добавлена 12 ноября 2020 г.

Model I/O

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Обработка вредоносного файла USD может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2020-13520: Aleksandar Nikolic из Cisco Talos

Запись добавлена 12 ноября 2020 г.

Model I/O

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Обработка вредоносного файла USD может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

CVE-2020-6147: Aleksandar Nikolic из Cisco Talos

CVE-2020-9972: Aleksandar Nikolic из Cisco Talos

Запись добавлена 12 ноября 2020 г.

Model I/O

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Обработка вредоносного файла USD может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2020-9973: Aleksandar Nikolic из Cisco Talos

NetworkExtension

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Вредоносное приложение может повышать уровень привилегий.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2020-9996: Чживэй Юань (Zhiwei Yuan) из Trend Micro iCore Team, Цзюньчжи Лу (Junzhi Lu) и Микки Джин (Mickey Jin) из Trend Micro

Запись добавлена 12 ноября 2020 г.

Phone

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Блокировка экрана может не активироваться через указанный период времени.

Описание. Проблема устранена путем улучшения проверок.

CVE-2020-9946: Daniel Larsson из iolight AB

Quick Look

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Вредоносная программа может обнаруживать наличие файлов на компьютере.

Описание. Проблема устранена путем улучшенной обработки значков в кэше.

CVE-2020-9963: Чаба Фицл (Csaba Fitzl, @theevilbit) из Offensive Security

Запись добавлена 12 ноября 2020 г.

Safari

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Вредоносная программа может выявлять открытые вкладки пользователя в Safari.

Описание. При подтверждении прав возникала проблема проверки. Проблема устранена посредством улучшенной проверки процесса подтверждения прав.

CVE-2020-9977: Джош Парнэм (Josh Parnham, @joshparnham)

Запись добавлена 12 ноября 2020 г.

Safari

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Посещение вредоносного веб-сайта может приводить к подмене адресной строки.

Описание. Проблема устранена путем улучшения обработки пользовательского интерфейса.

CVE-2020-9993: Masato Sugiyama (@smasato) из Университета Цукубы, Piotr Duszynski

Запись добавлена 12 ноября 2020 г.

Sandbox

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Локальный пользователь может просматривать конфиденциальные пользовательские данные.

Описание. Проблема доступа устранена путем ввода дополнительных ограничений изолированной среды.

CVE-2020-9969: Войцех Регула (Wojciech Reguła) из SecuRing (wojciechregula.blog)

Запись добавлена 12 ноября 2020 г.

Sandbox

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Вредоносное приложение может получить доступ к файлам, предназначенным для ограниченного использования.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2020-9968: Adam Chester (@_xpn_) из TrustedSec

Запись обновлена 17 сентября 2020 г.

Siri

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Пользователь с физическим доступом к устройству iOS может просматривать содержимое уведомлений с экрана блокировки.

Описание. Проблема с экраном блокировки позволяла получить доступ к сообщениям на заблокированном устройстве. Проблема устранена путем улучшенного управления состояниями.

CVE-2020-9959: шесть анонимных исследователей, Andrew Goldberg из Техасского университета в Остине, Школа бизнеса Маккомбса, Meli̇h Kerem Güneş из колледжа Лив, Sinan Gulguler

Запись обновлена 15 декабря 2020 г.

SQLite

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Злоумышленник может удаленно вызвать отказ в обслуживании.

Описание. Проблема устранена путем улучшения проверок.

CVE-2020-13434

CVE-2020-13435

CVE-2020-9991

Запись добавлена 12 ноября 2020 г.

SQLite

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Удаленный злоумышленник может инициировать утечку памяти.

Описание. Проблема раскрытия информации устранена путем улучшения управления состояниями.

CVE-2020-9849

Запись добавлена 12 ноября 2020 г.

SQLite

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Обнаружен ряд проблем в SQLite.

Описание. Ряд проблем устранен путем обновления SQLite до версии 3.32.3.

CVE-2020-15358

Запись добавлена 12 ноября 2020 г.

SQLite

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Вредоносный SQL-запрос может приводить к повреждению данных.

Описание. Проблема устранена путем улучшения проверок.

CVE-2020-13631

Запись добавлена 12 ноября 2020 г.

SQLite

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Злоумышленник может удаленно вызвать выполнение произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.

CVE-2020-13630

Запись добавлена 12 ноября 2020 г.

WebKit

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2020-9947: пользователь cc, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

CVE-2020-9950: пользователь cc, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

CVE-2020-9951: Marcin «Icewall» Noga из Cisco Talos

Запись добавлена 12 ноября 2020 г.

WebKit

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению кода.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2020-9983: пользователь zhunki

Запись добавлена 12 ноября 2020 г.

WebKit

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Обработка вредоносного веб-содержимого может приводить к атаке с использованием межсайтовых сценариев.

Описание. Проблема проверки ввода устранена путем улучшения проверки ввода.

CVE-2020-9952: Ryan Pickren (ryanpickren.com)

Wi-Fi

Целевые продукты: iPhone 6s и более поздние модели, iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2020-10013: Yu Wang из Didi Research America

Запись добавлена 12 ноября 2020 г.

Дополнительные благодарности

802.1X

Выражаем благодарность за помощь Kenana Dalle из Университета Хамад бин Халифа и Ryan Riley из Университета Карнеги — Меллона в Катаре.

Запись добавлена 15 декабря 2020 г.

App Store

Выражаем благодарность за помощь Giyas Umarov из средней школы Холмдел.

Audio

Выражаем благодарность за помощь JunDong Xie и Xingwei Lin из отдела Light-Year Security Lab компании Ant-Financial.

Запись добавлена 12 ноября 2020 г.

Bluetooth

Выражаем благодарность за помощь Andy Davis из NCC Group и Dennis Heinze (@ttdennis) из лаборатории Secure Mobile Networking Lab при Дармштадтском техническом университете.

CallKit

Выражаем благодарность за помощь Federico Zanetello.

CarPlay

Выражаем благодарность за помощь анонимному исследователю.

Clang

Выражаем благодарность за помощь Брэндону Азаду (Brandon Azad) из подразделения Google Project Zero.

Запись добавлена 12 ноября 2020 г.

Core Location

Выражаем благодарность за помощь Йигиту Кану Йилмазу (Yiğit Can YILMAZ, @yilmazcanyigit).

Crash Reporter

Выражаем благодарность за помощь Artur Byszko из AFINE.

Запись добавлена 15 декабря 2020 г.

debugserver

Выражаем благодарность за помощь Linus Henze (pinauten.de).

FaceTime

Выражаем благодарность за помощь Federico Zanetello.

Запись добавлена 25 февраля 2021 г.

iAP

Выражаем благодарность за помощь Энди Дэвису (Andy Davis) из NCC Group.

iBoot

Выражаем благодарность за помощь Брэндону Азаду (Brandon Azad) из подразделения Google Project Zero.

Kernel

Выражаем благодарность за помощь Брэндону Азаду (Brandon Azad) из подразделения Google Project Zero и Штефану Рёттгеру (Stephen Roettger) из Google.

Запись обновлена 12 ноября 2020 г.

libarchive

Выражаем благодарность за помощь Dzmitry Plotnikau и анонимному исследователю.

libxml2

Выражаем благодарность за помощь анонимному исследователю.

Запись добавлена 25 февраля 2021 г.

lldb

Выражаем благодарность за помощь Linus Henze (pinauten.de).

Запись добавлена 12 ноября 2020 г.

Location Framework

Выражаем благодарность за помощь Nicolas Brunner (linkedin.com/in/nicolas-brunner-651bb4128).

Запись обновлена 19 октября 2020 г.

Mail

Выражаем благодарность за помощь анонимному исследователю.

Запись добавлена 12 ноября 2020 г.

Mail Drafts

Выражаем благодарность за помощь Jon Bottarini из HackerOne.

Запись добавлена 12 ноября 2020 г.

Maps

Выражаем благодарность за помощь Matthew Dolan из Amazon Alexa.

NetworkExtension

Выражаем благодарность за помощь Thijs Alkemade из Computest и Qubo Song из подразделения Broadcom компании Symantec.

Phone Keypad

Выражаем благодарность за помощь Hasan Fahrettin Kaya с факультета туризма университета Акдениза и анонимному исследователю.

Запись добавлена 12 ноября 2020 г., обновлена 15 декабря 2020 г.

Safari

Выражаем благодарность за помощь Andreas Gutmann (@KryptoAndI) и Steven J. Murdoch (@SJMurdoch) из Центра инноваций компании OneSpan (onespan.com) и Университетского колледжа Лондона, Jack Cable из Lightning Security, Ryan Pickren (ryanpickren.com) и Yair Amit.

Запись добавлена 12 ноября 2020 г.

Safari Reader

Выражаем благодарность за помощь Zhiyang Zeng (@Wester) из отдела Cyber Security Lab компании OPPO ZIWU.

Запись добавлена 12 ноября 2020 г.

Security

Выражаем благодарность за помощь Кристиану Старкджоханну (Christian Starkjohann) из Objective Development Software GmbH.

Запись добавлена 12 ноября 2020 г.

Status Bar

Выражаем благодарность за помощь Abdul M. Majumder, Abdullah Fasihallah из университета Таифа, Adwait Vikas Bhide, Frederik Schmid, Nikita и анонимному исследователю.

Telephony

Выражаем благодарность за помощь Onur Can Bıkmaz (@canbkmaz) из Vodafone Turkey, Yiğit Can YILMAZ (@yilmazcanyigit) и анонимному исследователю.

Запись обновлена 12 ноября 2020 г.

UIKit

Выражаем благодарность Borja Marcos из Sarenet, Simon de Vegt, а также Talal Haj Bakry (@hajbakri) и Tommy Mysk (@tommymysk) из Mysk Inc.

Web App

Выражаем благодарность за помощь Augusto Alvarez из Outcourse Limited.

Запись добавлена 25 февраля 2021 г.

Web App

Выражаем благодарность за помощь Augusto Alvarez из Outcourse Limited.

WebKit

Выражаем благодарность за помощь Pawel Wylecial из REDTEAM.PL, Ryan Pickren (ryanpickren.com), Tsubasa FUJII (@reinforchu) и Zhiyang Zeng (@Wester) из отдела Cyber Security Lab компании OPPO ZIWU.

Запись добавлена 12 ноября 2020 г.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: