Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
iOS 13.3 a iPadOS 13.3
Dátum vydania: 10. decembra 2019
CallKit
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: V zariadeniach s dvoma aktívnymi programami sa môžu hovory uskutočnené pomocou Siri iniciovať použitím nesprávneho programu
Popis: Pri spracúvaní odchádzajúcich telefonických hovorov iniciovaných prostredníctvom Siri dochádzalo k problému s rozhraním API. Tento problém bol vyriešený vylepšením spracovania stavu.
CVE-2019-8856: Fabrice TERRANCLE zo spoločnosti TERRANCLE SARL
CFNetwork
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Útočník s oprávneniami v sieti môže byť schopný obísť zabezpečenie HSTS v prípade obmedzeného počtu konkrétnych domén najvyššej úrovne, ktoré predtým neboli v zozname predbežného načítavania HSTS
Popis: Dochádzalo k problému s konfiguráciou, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2019-8834: Rob Sayre (@sayrer)
Dátum pridania záznamu: 4. apríla 2020
Servery proxy CFNetwork
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2019-8848: Zhuo Liang z tímu Vulcan Team spoločnosti Qihoo 360
FaceTime
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Spracovanie videa so škodlivým kódom cez FaceTime môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8830: Natalie Silvanovich z tímu Google Project Zero
IOSurfaceAccelerator
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s únikom informácií, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2019-8841: Corellium
Jadro
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2019-8833: Ian Beer z tímu Google Project Zero
Jadro
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8828: Cim Stordal zo spoločnosti Cognite
CVE-2019-8838: Dr. Silvio Cesare zo spoločnosti InfoSect
libexpat
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Analýza súboru XML so škodlivým kódom môže viesť k odkrytiu informácií o používateľoch
Popis: Tento problém bol vyriešený aktualizovaním súčasti expat na verziu 2.2.8.
CVE-2019-15903: Joonun Jang
libpcap
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Viacero problémov v súčasti libpcap
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním súčasti libpcap na verziu 1.9.1
CVE-2019-15161
CVE-2019-15162
CVE-2019-15163
CVE-2019-15164
CVE-2019-15165
Dátum pridania záznamu: 4. apríla 2020
Fotky
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Prostredníctvom odkazov na iCloud sa môžu zdieľať dáta audia a videa fotiek Live Photo, aj keď je v karuseli menu zdieľania vypnutá možnosť Live Photo
Popis: Tento problém bol vyriešený vylepšením overovania pri vytváraní odkazov na iCloud.
CVE-2019-8857: Tor Bruce
Zabezpečenie
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8832: Insu Yun z tímu SSLab na univerzite Georgia Tech
WebKit
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Pri návšteve webovej stránky so škodlivým kódom môže dôjsť k odhaleniu stránok navštívených používateľom
Popis: Pri spracovávaní rozhrania Storage Access API dochádzalo k problému s únikom informácií. Tento problém bol vyriešený vylepšením logiky.
CVE-2019-8898: Michael Kleber zo spoločnosti Google
Dátum pridania záznamu: 11. februára 2020, dátum aktualizovania: 20. februára 2020
WebKit
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2019-8835: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Mike Zhang z tímu Pangu Team
CVE-2019-8844: William Bowling (@wcbowling)
WebKit
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím po uvoľnení, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8846: Marcin Towalski zo spoločnosti Cisco Talos
Ďalšie poďakovanie
Účty
Poďakovanie za pomoc si zaslúžia Allison Husain z UC Berkeley, Kishan Bagaria (KishanBagaria.com), Tom Snelling z univerzity v Loughborough.
Dátum aktualizovania záznamu: 4. apríla 2020
Core Data
Poďakovanie za pomoc si zaslúži Natalie Silvanovich z tímu Google Project Zero.
Nastavenia
Poďakovanie za pomoc si zaslúži anonymný výskumník.