Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
iOS 13.2 a iPadOS 13.2
Dátum vydania: 28. októbra 2019
Účty
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Vzdialený útočník môže byť schopný spôsobiť únik pamäte
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8787: Steffen Klee z tímu Secure Mobile Networking Lab na Technickej univerzite v Darmstadte
AirDrop
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Prenosy prostredníctvom technológie AirDrop sa môžu v režime Všetci neočakávane akceptovať
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2019-8796: Allison Husain z UC Berkeley
Dátum pridania záznamu: 4. apríla 2020
App Store
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Lokálny útočník sa môže prihlásiť do účtu predtým prihláseného používateľa bez použitia platných prihlasovacích údajov.
Popis: Dochádzalo k problému súvisiacemu s overovaním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
Priradené domény
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Nesprávne spracovanie adries URL môže viesť k exfiltrácii údajov
Popis: Pri analyzovaní adries URL dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2019-8788: Juha Lindstedt z tímu Pakastin, Mirko Tanania a Rauli Rikama z tímu Zero Keyboard Ltd
Zvuk
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8785: Ian Beer z tímu Google Project Zero
CVE-2019-8797: 08Tc3wBB v spolupráci so spoločnosťou SSD Secure Disclosure
AVEVideoEncoder
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8795: 08Tc3wBB v spolupráci so spoločnosťou SSD Secure Disclosure
Knihy
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Analýza súboru aplikácie iBooks so škodlivým kódom môže viesť k sprístupneniu informácií používateľa
Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2019-8789: Gertjan Franken z tímu imec-DistriNet, KU Leuven
Kontakty
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Spracovanie kontaktu so škodlivým kódom môže viesť k sfalšovaniu používateľského rozhrania
Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2017-7152: Oliver Paukstadt zo spoločnosti Thinking Objects GmbH (to.com)
Udalosti súborového systému
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8798: ABC Research s. r. o. v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Ovládač grafickej karty
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8784: Vasiliy Vasilyev a Ilya Finogeev zo spoločnosti Webinar, LLC
Jadro
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2019-8794: 08Tc3wBB v spolupráci so spoločnosťou SSD Secure Disclosure
Jadro
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8786: Wen Xu z Technickej univerzity v Georgii, člen tímu Offensive Security Research spoločnosti Microsoft
Dátum aktualizácie záznamu: 18. novembra 2019
Jadro
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Nedostatočne zabezpečené miesto súvisiace s poškodením pamäte bolo odstránené vylepšením zamykania.
CVE-2019-8829: Jann Horn z tímu Google Project Zero
Dátum pridania záznamu: 8. novembra 2019
Sprievodca nastavením
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Útočník vo fyzickej blízkosti môže prinútiť používateľa pri nastavovaní zariadenia použiť Wi-Fi sieť so škodlivým kódom
Popis: Dochádzalo k problému s nekonzistentnosťou v nastaveniach Wi-Fi siete, ktorý bol vyriešený.
CVE-2019-8804: Christy Philip Mathew zo spoločnosti Zimperium, Inc
Záznam obrazovky
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Lokálny používateľ môže nahrávať obrazovku aj bez zobrazeného indikátora nahrávania obrazovky
Popis: Pri určovaní, kedy sa má zobraziť indikátor nahrávania obrazovky, dochádzalo k problému s konzistentnosťou. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2019-8793: Ryan Jenkins z tímu prípravnej školy Lake Forrest
WebKit
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8813: Anonymný výskumník
WebKit
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2019-8782: Cheolung Lee z tímu LINE+ Security Team
CVE-2019-8783: Cheolung Lee z tímu LINE+ Graylab Security Team
CVE-2019-8808: Nájdené programom OSS-Fuzz
CVE-2019-8811: Soyeon Park z tímu SSLab na Technickej univerzite v Georgii
CVE-2019-8812: JunDong Xie z tímu Ant-financial Light-Year Security Lab
CVE-2019-8814: Cheolung Lee z tímu LINE+ Security Team
CVE-2019-8816: Soyeon Park z tímu SSLab z Technickej univerzity v Georgii
CVE-2019-8819: Cheolung Lee z tímu LINE+ Security Team
CVE-2019-8820: Samuel Groß z tímu Google Project Zero
CVE-2019-8821: Sergei Glazunov z tímu Google Project Zero
CVE-2019-8822: Sergei Glazunov z tímu Google Project Zero
CVE-2019-8823: Sergei Glazunov z tímu Google Project Zero
Dátum aktualizácie záznamu: 18. novembra 2019
WebKit
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Pri návšteve webovej stránky so škodlivým kódom môže dôjsť k odhaleniu stránok navštívených používateľom
Popis: Hlavičku odkazovača HTTP bolo možné zneužiť na únik histórie prehliadania. Tento problém bol vyriešený degradovaním všetkých odkazovačov tretích strán na ich pôvod.
CVE-2019-8827: Artur Janc, Krzysztof Kotowicz, Lukas Weichselbaum a Roberto Clapis z tímu spoločnosti Google pre zabezpečenie
Dátum pridania záznamu: 6. februára 2020
Model procesu WebKit
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2019-8815: Apple
Wi-Fi
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Útočník v dosahu Wi-Fi siete môže byť schopný pozrieť si malú časť sieťových prenosov
Popis: Pri spracovávaní prechodov stavu dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2019-15126: Milos Cermak zo spoločnosti ESET
Dátum pridania záznamu: 3. februára 2020
Ďalšie poďakovanie
CFNetwork
Poďakovanie za pomoc si zaslúži Lily Chen zo spoločnosti Google.
Jadro
Poďakovanie za pomoc si zaslúžia Daniel Roethlisberger z tímu Swisscom CSIRT a Jann Horn z tímu Google Project Zero.
Dátum aktualizácie záznamu: 8. novembra 2019
WebKit
Poďakovanie za pomoc si zaslúžia Dlive z tímu Tencent's Xuanwu Lab a Zhiyi Zhang z tímu Codesafe Team of Legendsec spoločnosti Qi'anxin Group.