Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
iOS 14.2 a iPadOS 14.2
Dátum vydania: 5. novembra 2020
Audio
Dostupné pre: iPhone 6s a novší, iPod touch (7. generácia), iPad Air 2 a novší, iPad mini 4 a novší
Dosah: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-27910: JunDong Xie a XingWei Lin z tímu Ant Security Light-Year Lab
Audio
Dostupné pre: iPhone 6s a novší, iPod touch (7. generácia), iPad Air 2 a novší, iPad mini 4 a novší
Dosah: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-27916: JunDong Xie z tímu Ant Security Light-Year Lab
CallKit
Dostupné pre: iPhone 6s a novší, iPod touch (7. generácia), iPad Air 2 a novší, iPad mini 4 a novší
Dosah: Používateľ môže naraz prijať dva hovory bez toho, aby vedel o tom, že prijal druhý hovor
Popis: Pri spracovávaní prichádzajúcich hovorov dochádzalo k problému. Tento problém bol vyriešený dodatočnými kontrolami stavu.
CVE-2020-27925: Nick Tangri
CoreAudio
Dostupné pre: iPhone 6s a novší, iPod touch (7. generácia), iPad Air 2 a novší, iPad mini 4 a novší
Dosah: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-10017: Francis v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, JunDong Xie z tímu Ant Security Light-Year Lab
CoreAudio
Dostupné pre: iPhone 6s a novší, iPod touch (7. generácia), iPad Air 2 a novší, iPad mini 4 a novší
Dosah: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-27908: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, JunDong Xie a Xingwei Lin z tímu Ant Security Light-Year Lab
CVE-2020-27909: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, JunDong Xie a XingWei Lin z tímu Ant Security Light-Year Lab
Dátum aktualizácie záznamu: 16. marca 2021
CoreGraphics
Dostupné pre: iPhone 6s a novší, iPod touch (7. generácia), iPad Air 2 a novší, iPad mini 4 a novší
Dosah: Spracovanie PDF súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-9897: S.Y. zo spoločnosti ZecOps Mobile XDR, anonymný výskumník
Dátum pridania záznamu: 25. októbra 2021
CoreText
Dostupné pre: iPhone 6s a novší, iPod touch (7. generácia), iPad Air 2 a novší, iPad mini 4 a novší
Dosah: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-27922: Mickey Jin zo spoločnosti Trend Micro
Dátum pridania záznamu: 16. marca 2021
Crash Reporter
Dostupné pre: iPhone 6s a novší, iPod touch (7. generácia), iPad Air 2 a novší, iPad mini 4 a novší
Dosah: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení
Popis: V logike overovania ciest symbolických odkazov dochádzalo k problému. Tento problém bol vyriešený vylepšením čistenia ciest.
CVE-2020-10003: Tim Michaud (@TimGMichaud) z tímu Leviathan
FontParser
Dostupné pre: iPhone 6s a novší, iPod touch (7. generácia), iPad Air 2 a novší, iPad mini 4 a novší
Dosah: Spracovanie písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple vie o hláseniach o tom, že tento problém možno zneužiť.
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-27930: Google Project Zero
FontParser
Dostupné pre: iPhone 6s a novší, iPod touch (7. generácia), iPad Air 2 a novší, iPad mini 4 a novší
Dosah: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-27927: Xingwei Lin z tímu Ant Security Light-Year Lab
Foundation
Dostupné pre: iPhone 6s a novší, iPod touch (7. generácia), iPad Air 2 a novší, iPad mini 4 a novší
Dosah: Lokálny používateľ môže byť schopný čítať ľubovoľné súbory
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-10002: James Hutchins
ImageIO
Dostupné pre: iPhone 6s a novší, iPod touch (7. generácia), iPad Air 2 a novší, iPad mini 4 a novší
Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-27924: Lei Sun
Dátum pridania záznamu: 16. marca 2021
ImageIO
Dostupné pre: iPhone 6s a novší, iPod touch (7. generácia), iPad Air 2 a novší, iPad mini 4 a novší
Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-27912: XingWei Lin z tímu Ant Security Light-Year Lab
CVE-2020-27923: Lei Sun
Dátum aktualizácie záznamu: 16. marca 2021
IOAcceleratorFamily
Dostupné pre: iPhone 6s a novší, iPod touch (7. generácia), iPad Air 2 a novší, iPad mini 4 a novší
Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-27905: Mohamed Ghannam (@_simo36)
Kernel
Dostupné pre: iPhone 6s a novší, iPod touch (7. generácia), iPad Air 2 a novší, iPad mini 4 a novší
Dosah: Aplikácia so škodlivým kódom môže byť schopná odhaliť obsah pamäte jadra. Spoločnosť Apple vie o hláseniach o tom, že tento problém možno zneužiť.
Popis: Bol vyriešený problém s inicializáciou pamäte.
CVE-2020-27950: Google Project Zero
Kernel
Dostupné pre: iPhone 6s a novší, iPod touch (7. generácia), iPad Air 2 a novší, iPad mini 4 a novší
Dosah: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-9974: Tommy Muir (@Muirey03)
Kernel
Dostupné pre: iPhone 6s a novší, iPod touch (7. generácia), iPad Air 2 a novší, iPad mini 4 a novší
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-10016: Alex Helie
Kernel
Dostupné pre: iPhone 6s a novší, iPod touch (7. generácia), iPad Air 2 a novší, iPad mini 4 a novší
Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra. Spoločnosť Apple vie o hláseniach o tom, že tento problém možno zneužiť.
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2020-27932: Google Project Zero
Keyboard
Dostupné pre: iPhone 6s a novší, iPod touch (7. generácia), iPad Air 2 a novší, iPad mini 4 a novší
Dosah: Osoba s fyzickým prístupom k zariadeniu so systémom iOS môže byť schopná získať prístup k uloženým heslám bez overenia
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-27902: Connor Ford (@connorford2)
libxml2
Dostupné pre: iPhone 6s a novší, iPod touch (7. generácia), iPad Air 2 a novší, iPad mini 4 a novší
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2020-27917: Nájdené programom OSS-Fuzz
CVE-2020-27920: Nájdené programom OSS-Fuzz
Dátum aktualizácie záznamu: 16. marca 2021
libxml2
Dostupné pre: iPhone 6s a novší, iPod touch (7. generácia), iPad Air 2 a novší, iPad mini 4 a novší
Dosah: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-27911: Nájdené programom OSS-Fuzz
libxml2
Dostupné pre: iPhone 6s a novší, iPod touch (7. generácia), iPad Air 2 a novší, iPad mini 4 a novší
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2020-27926: Nájdené programom OSS-Fuzz
Logging
Dostupné pre: iPhone 6s a novší, iPod touch (7. generácia), iPad Air 2 a novší, iPad mini 4 a novší
Dosah: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení
Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.
CVE-2020-10010: Tommy Muir (@Muirey03)
Model I/O
Dostupné pre: iPhone 6s a novší, iPod touch (7. generácia), iPad Air 2 a novší, iPad mini 4 a novší
Dosah: Otvorenie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-10004: Aleksandar Nikolic zo spoločnosti Cisco Talos
Model I/O
Dostupné pre: iPhone 6s a novší, iPod touch (7. generácia), iPad Air 2 a novší, iPad mini 4 a novší
Dosah: Spracovanie súboru USD so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-13524: Aleksandar Nikolic zo spoločnosti Cisco Talos
Model I/O
Dostupné pre: iPhone 6s a novší, iPod touch (7. generácia), iPad Air 2 a novší, iPad mini 4 a novší
Dosah: Spracovanie súboru USD so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-10011: Aleksandar Nikolic zo spoločnosti Cisco Talos
Symptom Framework
Dostupné pre: iPhone 6s a novší, iPod touch (7. generácia), iPad Air 2 a novší, iPad mini 4 a novší
Dosah: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2020-27899: 08Tc3wBB v spolupráci so spoločnosťou ZecOps
Dátum pridania záznamu: 15. decembra 2020
WebKit
Dostupné pre: iPhone 6s a novší, iPod touch (7. generácia), iPad Air 2 a novší, iPad mini 4 a novší
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2020-27918: Liu Long z tímu Ant Security Light-Year Lab
Dátum aktualizácie záznamu: 16. marca 2021
XNU
Dostupné pre: iPhone 6s a novší, iPod touch (7. generácia), iPad Air 2 a novší, iPad mini 4 a novší
Dosah: Izolovaný proces môže byť schopný obísť obmedzenia izolovaného priestoru
Popis: Niekoľko problémov bolo vyriešených vylepšením logiky.
CVE-2020-27935: Lior Halphon (@LIJI32)
Dátum pridania záznamu: 15. decembra 2020
Ďalšie poďakovanie
NetworkExtension
Poďakovanie za pomoc si zaslúži anonymný výskumník.
Dátum pridania záznamu: 15. decembra 2020
Safari
Poďakovanie za pomoc si zaslúži Gabriel Corona.