Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
iOS 13.5 a iPadOS 13.5
Dátum vydania: 20. mája 2020
Účty
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby
Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-9827: Jannik Lorenz z tímu SEEMOO na Technickej univerzite v Darmstadte
AirDrop
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby
Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-9826: Dor Hadad z tímu Palo Alto Networks
AppleMobileFileIntegrity
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Škodlivá aplikácia môže na základe interakcií so systémovými procesmi získať prístup k súkromným informáciám a vykonávať privilegované akcie
Popis: Dochádzalo k problému s oprávneniami, ktorý bol vyriešený vylepšením syntaktickej analýzy.
CVE-2020-9842: Linus Henze (pinauten.de)
Zvuk
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Spracovanie audiosúboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-9815: Yu Zhou (@yuzhou6666) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Zvuk
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Spracovanie audiosúboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-9791: Yu Zhou (@yuzhou6666) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Bluetooth
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Útočník s oprávneniami v sieti môže byť schopný zaznamenávať prenosy cez Bluetooth
Popis: Vyskytol sa problém pri používaní PRNG s nízkou entropiou. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2020-6616: Jörn Tillmanns (@matedealer) a Jiska Classen (@naehrdine) z tímu Secure Mobile Networking Lab
Bluetooth
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-9838: Dennis Heinze (@ttdennis) z Technickej univerzity v Darmstadte, tím Secure Mobile Networking Lab
CoreText
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Spracovanie textovej správy so škodlivým kódom môže viesť k odmietnutiu služby aplikácie
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2020-9829: Aaron Perris (@aaronp613), anonymný výskumník, anonymný výskumník, Carlos S Tech, Sam Menzies z tímu Sam’s Lounge, Sufiyan Gouri z Lovely Professional University v Indii, Suleman Hasan Rathor z tímu Arabic-Classroom.com
FaceTime
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Video používateľa sa počas volania FaceTime nemusí pozastaviť, ak používateľ ukončí aplikáciu FaceTime počas vyzváňania
Popis: Dochádzalo k problému pri pozastavovaní videa v aplikácii FaceTime. Tento problém bol vyriešený vylepšením logiky.
CVE-2020-9835: Olivier Levesque (@olilevesque)
Súborový systém
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Vzdialený útočník môže byť schopný upraviť súborový systém
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2020-9820: Thijs Alkemade zo spoločnosti Computest
FontParser
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Otvorenie PDF súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-9816: Peter Nguyen Vu Hoang z tímu STAR Labs v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
ImageIO
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-3878: Samuel Groß z tímu Google Project Zero
ImageIO
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-9789: Wenchao Li z tímu VARAS@IIE
CVE-2020-9790: Xingwei Lin z tímu Light-Year Security Lab spoločnosti Ant-Financial
IPSec
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Vzdialený útočník môže byť schopný spôsobiť únik pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-9837: Thijs Alkemade zo spoločnosti Computest
Jadro
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-9821: Xinru Chi a Tielei Wang z tímu Pangu Lab
Jadro
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte inej aplikácie
Popis: Dochádzalo k problému súvisiacemu s únikom informácií, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2020-9797: Anonymný výskumník
Jadro
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-9852: Tao Huang a Tielei Wang z tímu Pangu Lab
Jadro
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2020-9795: Zhuo Liang z tímu Vulcan Team spoločnosti Qihoo 360
Jadro
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Aplikácia môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-9808: Xinru Chi a Tielei Wang z tímu Pangu Lab
Jadro
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Lokálny používateľ môže byť schopný čítať pamäť jadra
Popis: Dochádzalo k problému s únikom informácií, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-9811: Tielei Wang z tímu Pangu Lab
CVE-2020-9812: derrek (@derrekr6)
Jadro
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s logikou, ktorý spôsoboval poškodenie pamäte. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2020-9813: Xinru Chi z tímu Pangu Lab
CVE-2020-9814: Xinru Chi a Tielei Wang z tímu Pangu Lab
Jadro
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra
Popis: Dochádzalo k problému s únikom informácií, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-9809: Benjamin Randazzo (@____benjamin)
libxpc
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Aplikácia so škodlivým kódom môže byť schopná prepísať ľubovoľné súbory
Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.
CVE-2020-9994: Apple
Dátum pridania záznamu: 21. septembra 2020
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Spracovanie e-mailovej správy so škodlivým kódom môže viesť k poškodeniu haldy
Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2020-9819: ZecOps.com
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Spracovanie e-mailovej správy so škodlivým kódom môže viesť k neočakávanej zmene pamäte alebo ukončeniu aplikácie
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-9818: ZecOps.com
Správy
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Používatelia odstránení z konverzácie iMessage môžu aj naďalej byť schopní upraviť stav
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2020-9823: Suryansh Mansharamani, študent na škole Community Middle School v Plainsboro (New Jersey)
Hlásenia
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Osoba s fyzickým prístupom k zariadeniu so systémom iOS môže byť schopná vidieť obsah upozornení zo zamknutej plochy
Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-9848: Nima
rsync
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Vzdialený útočník môže byť schopný prepísať existujúce súbory
Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2014-9512: gaojianfeng
Dátum pridania záznamu: 28. júla 2020
Izolovaný priestor
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Aplikácia so škodlivým kódom môže byť schopná obísť nastavenia ochrany osobných údajov
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení izolovaného priestoru.
CVE-2020-9825: Sreejith Krishnan R (@skr0x1C0)
Zabezpečenie
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2020-9854: Ilias Morad (A2nkF)
Dátum pridania záznamu: 28. júla 2020
SQLite
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Škodlivá aplikácia môže spôsobiť odmietnutie služby alebo potenciálne sprístupniť obsah pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-9794
Systémové nastavenia
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2020-9839: @jinmo123, @setuid0x0_ a @insu_yun_en z tímu @SSLab_Gatech v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
USB Audio
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: USB zariadenie môže byť schopné spôsobiť odmietnutie služby
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2020-9792: Andy Davis zo spoločnosti NCC Group
WebKit
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2020-9805: Anonymný výskumník
WebKit
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2020-9802: Samuel Groß z tímu Google Project Zero
WebKit
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2020-9850: @jinmo123, @setuid0x0_ a @insu_yun_en z tímu @SSLab_Gatech v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
WebKit
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-9843: Ryan Pickren (ryanpickren.com)
WebKit
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2020-9803: Wen Xu z tímu SSLab na univerzite Georgia Tech
WebKit
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-9806: Wen Xu z tímu SSLab na univerzite Georgia Tech
CVE-2020-9807: Wen Xu z tímu SSLab na univerzite Georgia Tech
WebKit
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2020-9800: Brendan Draper (@6r3nd4n) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
WebRTC
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2019-20503: natashenka z tímu Google Project Zero
Wi-Fi
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra
Popis: Dochádzalo k problému s dvojitým uvoľnením, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2020-9844: Ian Beer z tímu Google Project Zero
Wi-Fi
Dostupné pre: iPhone 6s a novší, iPad Air 2 a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-9830: Tielei Wang z tímu Pangu Lab
Dátum pridania záznamu: 10. augusta 2020
Ďalšie poďakovanie
Bluetooth
Poďakovanie za pomoc si zaslúžia Maximilian von Tschirschnitz (@maxinfosec1) z Technickej univerzity v Mníchove a Ludwig Peuckert z Technickej univerzity v Mníchove.
CoreText
Poďakovanie za pomoc si zaslúžia Jiska Classen (@naehrdine) a Dennis Heinze (@ttdennis) z tímu Secure Mobile Networking Lab.
Analytika zariadenia
Poďakovanie za pomoc si zaslúži Mohamed Ghannam (@_simo36).
ImageIO
Poďakovanie za pomoc si zaslúži Lei Sun.
IOHIDFamily
Poďakovanie za pomoc si zaslúži Andy Davis zo spoločnosti NCC Group.
IPSec
Poďakovanie za pomoc si zaslúži Thijs Alkemade zo spoločnosti Computest.
Dátum pridania záznamu: 10. augusta 2020
Jadro
Poďakovanie za pomoc si zaslúži Brandon Azad z tímu Google Project Zero.
Safari
Poďakovanie za pomoc si zaslúžia Jeffball z GRIMM a Luke Walker z Manchesterskej metropolitnej univerzity.
WebKit
Poďakovanie za pomoc si zaslúži Aidan Dunlap z UT v Austine.