Obsah zabezpečenia v systémoch iOS 13.3 a iPadOS 13.3

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

Vydané 10. decembra 2019

CallKit

Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: V zariadeniach s dvomi aktívnymi mobilnými programami sa môžu hovory prostredníctvom Siri uskutočňovať pomocou nesprávneho programu

Popis: Pri spracovávaní odchádzajúcich telefonických hovorov prostredníctvom Siri dochádzalo k problému s rozhraním API. Tento problém bol vyriešený vylepšením spracovania stavu.

CVE-2019-8856: Fabrice TERRANCLE zo spoločnosti TERRANCLE SARL

Servery proxy CFNetwork

Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2019-8848: Zhuo Liang z tímu Qihoo 360 Vulcan Team

FaceTime

Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Spracovanie videa so škodlivým kódom cez FaceTime môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8830: Natalie Silvanovich z tímu Google Project Zero

IOSurfaceAccelerator

Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s únikom informácií, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2019-8841: Corellium

IOUSBDeviceFamily

Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8836: Xiaolong Bai a Min (Spark) Zheng zo spoločnosti Alibaba Inc. a Luyi Xing z Bloomingtonskej univerzity v Indiane

Jadro

Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2019-8833: Ian Beer z tímu Google Project Zero

Jadro

Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8828: Cim Stordal zo spoločnosti Cognite

CVE-2019-8838: Dr. Silvio Cesare zo spoločnosti InfoSect

libexpat

Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Analýza súboru XML so škodlivým kódom môže viesť k odkrytiu informácií o používateľoch

Popis: Tento problém bol vyriešený aktualizovaním súčasti expat na verziu 2.2.8.

CVE-2019-15903: Joonun Jang

Fotky

Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Prostredníctvom odkazov na iCloud sa môžu zdieľať dáta audia a videa fotiek Live Photo, aj keď je v karuseli menu zdieľania vypnutá možnosť Live Photo

Popis: Tento problém bol vyriešený vylepšením overovania pri vytváraní odkazov na iCloud.

CVE-2019-8857: Tor Bruce

Zabezpečenie

Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8832: Insu Yun z tímu SSLab na univerzite Georgia Tech

WebKit

Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2019-8835: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Mike Zhang z tímu Pangu

CVE-2019-8844: William Bowling (@wcbowling)

WebKit

Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s použitím po uvoľnení, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8846: Marcin Towalski zo spoločnosti Cisco Talos

Účty

Poďakovanie za pomoc si zaslúžia Kishan Bagaria (KishanBagaria.com) a Tom Snelling z univerzity Loughborough.

Core Data

Poďakovanie za pomoc si zaslúži Natalie Silvanovich z tímu Google Project Zero.

Nastavenia

Poďakovanie za pomoc si zaslúži anonymný výskumník.