Obsah zabezpečenia v systémoch iOS 14.5 a iPadOS 14.5

V tomto dokumente sa opisuje obsah zabezpečenia v systémoch iOS 14.5 a iPadOS 14.5.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

iOS 14.5 a iPadOS 14.5

Accessibility

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Osoba s fyzickým prístupom k zariadeniu so systémom iOS môže byť schopná získať prístup k poznámkam zo zamknutej obrazovky

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2021-1835: videosdebarraquito

App Store

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Útočník s oprávneniami v sieti môže byť schopný upravovať sieťové prenosy

Popis: Bol vyriešený problém s overovaním certifikátov.

CVE-2021-1837: Aapo Oksman zo spoločnosti Nixu Cybersecurity

Apple Neural Engine

Dostupné pre: iPhone 8 a novší, iPad Pro (3. generácia) a novší a iPad Air (3. generácia) a novší

Dopad: Apka so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2021-1867: Zuozhi Fan (@pattern_F_) a Wish Wu (吴潍浠) z tímu Ant Group Tianqiong Security Lab

AppleMobileFileIntegrity

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Apka so škodlivým kódom môže byť schopná obísť nastavenia ochrany súkromia

Popis: Dochádzalo k problému s overovaním podpisu kódu, ktorý bol vyriešený vylepšením kontrol.

CVE-2021-1849: Siguza

Assets

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Lokálny používateľ môže byť schopný vytvárať alebo upravovať privilegované súbory

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2021-1836: Anonymný výskumník

Audio

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Apka môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2021-1808: JunDong Xie z tímu Ant Security Light-Year Lab

Audio

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2021-30742: Mickey Jin zo spoločnosti Trend Micro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CFNetwork

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k odhaleniu citlivých používateľských informácií

Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2021-1857: Anonymný výskumník

Compression

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2021-30752: Ye Zhang (@co0py_Cat) z tímu Baidu Security

CoreAudio

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2021-30664: JunDong Xie z tímu Ant Security Light-Year Lab

CoreAudio

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2021-30664: JunDong Xie z tímu Ant Security Light-Year Lab

CoreAudio

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k odhaleniu vyhradenej pamäte

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2021-1846: JunDong Xie z tímu Ant Security Light-Year Lab

CoreAudio

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Apka so škodlivým kódom môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2021-1809: JunDong Xie z tímu Ant Security Light-Year Lab

CoreFoundation

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Apka so škodlivým kódom byť schopná spôsobiť únik citlivých používateľských informácií

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.

CVE-2021-30659: Thijs Alkemade zo spoločnosti Computest

Core Motion

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Apka so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

CVE-2021-1812: Siddharth Aeri (@b1n4r1b01)

CoreText

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Spracovanie škodlivého písma môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2021-1811: Xingwei Lin z tímu Ant Security Light-Year Lab

FaceTime

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Stíšenie hovoru cez CallKit počas zvonenia nemusí viesť k zapnutiu stíšenia

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2021-1872: Siraj Zaneer zo spoločnosti Facebook

FontParser

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2021-1881: Anonymný výskumník, Xingwei Lin z tímu Ant Security Light-Year Lab, Mickey Jin zo spoločnosti Trend Micro a Hou JingYi (@hjy79425575) z tímu Qihoo 360

Foundation

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)

Foundation

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k oprávneniam správcu

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.

CVE-2021-1813: Cees Elzinga

GPU Drivers

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Apka so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2021-30656: Justin Sherman z Marylandskej univerzity, okres Baltimore

Heimdal

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Spracovanie serverových správ so škodlivým kódom môže viesť k poškodeniu haldy

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)

Heimdal

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.

CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)

ImageIO

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2021-30743: CFF z tímu Topsec Alpha Team, Ye Zhang (@co0py_Cat) z tímu Baidu Security a Jeonghoon Shin (@singi21a) z tímu THEORI v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

ImageIO

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2021-1885: CFF z tímu Topsec Alpha Team

ImageIO

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2021-30653: Ye Zhang z tímu Baidu Security

CVE-2021-1843: Ye Zhang z tímu Baidu Security

ImageIO

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2021-1858: Mickey Jin zo spoločnosti Trend Micro

ImageIO

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2021-30764: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2021-30662: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Jzhu v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

iTunes Store

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Útočník s možnosťou spustenia JavaScriptu môže byť schopný spustiť ľubovoľný kód

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2021-1864: CodeColorist z tímu Ant-Financial LightYear Labs

Kernel

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Lokálny používateľ môže byť schopný čítať pamäť jadra

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2021-1877: Zuozhi Fan (@pattern_F_) z tímu Ant Group Tianqiong Security Lab

CVE-2021-1852: Zuozhi Fan (@pattern_F_) z tímu Ant Group Tianqiong Security Lab

CVE-2021-1830: Tielei Wang z tímu Pangu Lab

Kernel

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2021-1874: Zuozhi Fan (@pattern_F_) z tímu Ant Group Tianqiong Security Lab

CVE-2021-1851: @0xalsr

Kernel

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Apka so škodlivým kódom môže byť schopná odhaliť obsah pamäte jadra

Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2021-1860: @0xalsr

Kernel

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Apka so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2021-1816: Tielei Wang z tímu Pangu Lab

Kernel

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Kopírované súbory nemusia mať očakávané povolenia súboru

Popis: Tento problém bol vyriešený vylepšením logiky povolení.

CVE-2021-1832: Anonymný výskumník

Kernel

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Apka so škodlivým kódom môže byť schopná odhaliť obsah pamäte jadra

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2021-30660: Alex Plaskett

libxpc

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k oprávneniam správcu

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2021-30652: James Hutchins

libxslt

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k poškodeniu haldy

Popis: Dochádzalo k problému s dvojitým uvoľnením, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2021-1875: Nájdené službou OSS-Fuzz

MobileAccessoryUpdater

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2021-1833: Cees Elzinga

MobileInstallation

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Lokálny používateľ môže byť schopný upravovať chránené časti súborového systému

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2021-1822: Bruno Virlet z tímu The Grizzly Labs

Password Manager

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Na obrazovke sa môže zobrazovať heslo používateľa

Popis: Dochádzalo k problému s maskovaním hesiel na snímkach obrazoviek, ktorý bol vyriešený vylepšením logiky.

CVE-2021-1865: Shibin B Shaji z tímu UST

Preferences

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Lokálny používateľ môže byť schopný upravovať chránené časti súborového systému

Popis: Dochádzalo k problému s analýzou pri spracovávaní ciest adresárov, ktorý bol vyriešený vylepšením overovania ciest.

CVE-2021-1815: Zhipeng Huo (@R3dF09) a Yuebin Sun (@yuebinsun2020) z tímu Security Xuanwu Lab spoločnosti Tencent (xlab.tencent.com)

CVE-2021-1739: Zhipeng Huo (@R3dF09) a Yuebin Sun (@yuebinsun2020) z tímu Security Xuanwu Lab spoločnosti Tencent (xlab.tencent.com)

CVE-2021-1740: Zhipeng Huo (@R3dF09) a Yuebin Sun (@yuebinsun2020) z tímu Security Xuanwu Lab spoločnosti Tencent (xlab.tencent.com)

Quick Response

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Osoba s fyzickým prístupom k zariadeniu so systémom iOS môže mať možnosť uskutočňovať telefonické hovory na ľubovoľné telefónne čísla

Popis: Vyskytoval sa problém s overovaním akcie spustenej značkou NFC. Tento problém bol vyriešený vylepšením overovania akcií.

CVE-2021-1863: REFHAN OZGORUR

Safari

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Lokálny používateľ môže byť schopný zapisovať ľubovoľné súbory

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2021-1807: David Schütz (@xdavidhu)

Shortcuts

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Apka môže umožniť skratkám získať prístup k obmedzeným súborom

Popis: Tento problém bol vyriešený vylepšením logiky povolení.

CVE-2021-1831: Bouke van der Bijl

Siri

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Problém s prístupom vyhľadávania Siri k údajom bol vyriešený vylepšením logiky

Popis: Osoba s fyzickým prístupom môže mať prístup ku kontaktom.

CVE-2021-1862: Anshraj Srivastava (@AnshrajSrivas14) z tímu UKEF

Tailspin

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2021-1868: Tim Michaud zo spoločnosti Zoom Communications

TCC

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Apka so škodlivým kódom byť schopná spôsobiť únik citlivých používateľských informácií

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.

CVE-2021-30659: Thijs Alkemade zo spoločnosti Computest

Telephony

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Staršia mobilná sieť môže automaticky prijať prichádzajúci hovor po skončení alebo výpadku prebiehajúceho hovoru.

Popis: Dochádzalo k problému s ukončovaním hovorov, ktorý bol vyriešený vylepšením logiky.

CVE-2021-1854: Steven Thorne zo spoločnosti Cspire

UIKit

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Na obrazovke sa môže zobrazovať heslo používateľa

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2021-30921: Maximilian Blochberger z tímu Security in Distributed Systems Group na Hamburskej univerzite

Wallet

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Lokálny používateľ môže byť schopný zobraziť v prepínači apiek citlivé údaje

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania používateľského rozhrania.

CVE-2021-1848: Bradley D’Amato zo spoločnosti ActionIQ

WebKit

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)

Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2021-1825: Alex Camboe z tímu Cyber Solutions spoločnosti Aon

WebKit

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2021-1817: zhunki

WebKit

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2021-1826: Anonymný výskumník

WebKit

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2021-1820: André Bargull

WebKit Storage

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť aktívne zneužitý.

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2021-30661: yangkang (@dnpushme) zo spoločnosti 360 ATA

WebRTC

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2020-7463: Megan2013678

Wi-Fi

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Pretečenie buffera môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2021-1770: Jiska Classen (@naehrdine) z tímu Secure Mobile Networking Lab, Technická univerzita v Darmstadte

Ďalšie poďakovanie

Accounts Framework

Poďakovanie za pomoc si zaslúži Ellougani Mohamed zo spoločnosti Dr.Phones Recycle Inc.

AirDrop

Poďakovanie za pomoc si zaslúži @maxzks.

Assets

Poďakovanie za pomoc si zaslúži Cees Elzinga.

CoreAudio

Poďakovanie za pomoc si zaslúži anonymný výskumník.

CoreCrypto

Poďakovanie za pomoc si zaslúži Andy Russon zo spoločnosti Orange Group.

File Bookmark

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Files

Poďakovanie za pomoc si zaslúži Omar Espino (omespino.com).

Foundation

Poďakovanie za pomoc si zaslúži CodeColorist z tímu Ant-Financial LightYear Labs.

Kernel

Poďakovanie za pomoc si zaslúžia Antonio Frighetto z Polytechnickej univerzity v Miláne, GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä (@Turmio_) zo spoločnosti SensorFu, Proteas, Tielei Wang z tímu Pangu Lab a Zuozhi Fan (@pattern_F_) z tímu Ant Group Tianqiong Security Lab.

Mail

Poďakovanie za pomoc si zaslúžia Lauritz Holtmann (@_lauritz_), Muhammed Korany (facebook.com/MohamedMoustafa4) a Yiğit Can YILMAZ (@yilmazcanyigit).

NetworkExtension

Poďakovanie za pomoc si zaslúži Fabian Hartmann.

Safari Private Browsing

Poďakovanie za pomoc si zaslúžia Dor Kahana a Griddaluru Veera Pranay Naidu.

Security

Poďakovanie za pomoc si zaslúžia Xingwei Lin z tímu Ant Security Light-Year Lab a john (@nyan_satan).

sysdiagnose

Poďakovanie za pomoc si zaslúži Tim Michaud (@TimGMichaud) zo spoločnosti Leviathan.

WebKit

Poďakovanie za pomoc si zaslúži Emilio Cobos Álvarez zo spoločnosti Mozilla.

WebSheet

Poďakovanie za pomoc si zaslúži Patrick Clover.