Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
iOS 14.8 a iPadOS 14.8
Dátum vydania: 13. septembra 2021
Apple Neural Engine
Dostupné pre zariadenia s Apple Neural Enginom: iPhone 8 a novší, iPad Pro (3. generácia) a novší, iPad Air (3. generácia) a novší a iPad mini (5. generácia)
Dopad: Apka so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2021-30838: proteas wang
Dátum pridania záznamu: 19. januára 2022
Bluetooth
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30820: Jianjun Dai z tímu Alpha Lab spoločnosti Qihoo 360
Dátum pridania záznamu: 20. septembra 2021
CoreAudio
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k odhaleniu používateľských informácií
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-30905: Mickey Jin (@patch1t) zo spoločnosti Trend Micro
Dátum pridania záznamu: 19. januára 2022
CoreAudio
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Spracovanie audiosúboru so škodlivým kódom môže spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30834: JunDong Xie z tímu Ant Security Light-Year Lab
Dátum pridania záznamu: 25. októbra 2021
CoreGraphics
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30928: Mickey Jin (@patch1t) zo spoločnosti Trend Micro
Dátum pridania záznamu: 19. januára 2022
CoreGraphics
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Spracovanie PDF súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť aktívne zneužitý.
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30860: The Citizen Lab
CoreServices
Dostupné pre: Dostupné pre zariadenia s Apple Neural Enginom: iPhone 8 a novší, iPad Pro (3. generácia) a novší, iPad Air (3. generácia) a novší a iPad mini (5. generácia)
Dopad: Proces sandboxu môže byť schopný obísť obmedzenia sandboxu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30864: Ron Hass (@ronhass7) zo spoločnosti Perception Point, Ron Waisberg (@epsilan)
Dátum pridania záznamu: 25. mája 2022
Core Telephony
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Proces v sandboxe môže byť schopný obísť obmedzenia sandboxu. Spoločnosť Apple bola informovaná o tom, že tento problém mohol byť v čase vydania aktívne zneužitý.
Popis: Dochádzalo k problému s deserializáciou, ktorý bol vyriešený vylepšením overovania.
CVE-2021-31010: Citizen Lab a Google Project Zero
Dátum pridania záznamu: 25. mája 2022
FontParser
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Spracovanie súboru .dfont so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30841: Xingwei Lin z tímu Ant Security Light-Year Lab
CVE-2021-30843: Xingwei Lin z tímu Ant Security Light-Year Lab
CVE-2021-30842: Xingwei Lin z tímu Ant Security Light-Year Lab
Dátum pridania záznamu: 20. septembra 2021
Foundation
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2021-30852: Yinyi Wu (@3ndy1) z tímu Ant Security Light-Year Lab
Dátum pridania záznamu: 25. októbra 2021
ImageIO
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30847: Mike Zhang z tímu Pangu Lab
Dátum pridania záznamu: 25. októbra 2021
Kernel
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Apka so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.
CVE-2021-30857: Manish Bhatt z tímu Red Team X @Meta, Zweig z tímu Kunlun Lab
Dátum pridania záznamu: 20. septembra 2021, dátum aktualizácie: 25. mája 2022
Kernel
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Apka so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2021-30859: Apple
Dátum pridania záznamu: 20. septembra 2021
libexpat
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby
Popis: Tento problém bol vyriešený aktualizovaním súčasti expat na verziu 2.4.1.
CVE-2013-0340: Anonymný výskumník
Dátum pridania záznamu: 20. septembra 2021
Preferences
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Apka môže byť schopná získať prístup k obmedzeným súborom
Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2021-30855: Zhipeng Huo (@R3dF09) a Yuebin Sun (@yuebinsun2020) zo spoločnosti Tencent Security Xuanwu Lab (xlab.tencent.com)
Dátum pridania záznamu: 20. septembra 2021
Telephony
Dostupné pre: iPhone SE (1. generácia), 12,9-palcový iPad Pro, iPad Air 2, iPad (5. generácia) a iPad mini 4
Dopad: V určitých situáciách sa základnému pásmu nemusí podariť zapnúť ochranu integrity a šifrovania
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30826: CheolJun Park, Sangwook Bae a BeomSeok Oh z tímu KAIST SysSec Lab
Dátum pridania záznamu: 19. januára 2022
WebKit
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2021-30818: Amar Menezes (@amarekano) zo spoločnosti Zon8Research
Dátum pridania záznamu: 25. októbra 2021
WebKit
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Útočník s oprávneniami v sieti môže byť schopný obísť zabezpečenie HSTS
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2021-30823: David Gullasch zo spoločnosti Recurity Labs
Dátum pridania záznamu: 25. októbra 2021
WebKit
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k odhaleniu vyhradenej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30836: Peter Nguyen Vu Hoang zo spoločnosti STAR Labs
Dátum pridania záznamu: 25. októbra 2021
WebKit
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť aktívne zneužitý.
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2021-30858: Anonymný výskumník
WebKit
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2021-30848: Sergei Glazunov z tímu Google Project Zero
Dátum pridania záznamu: 20. septembra 2021
WebKit
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2021-30849: Sergei Glazunov z tímu Google Project Zero
Dátum pridania záznamu: 20. septembra 2021
WebKit
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2021-30846: Sergei Glazunov z tímu Google Project Zero
Dátum pridania záznamu: 20. septembra 2021
Ďalšie poďakovanie
CoreML
Poďakovanie za pomoc si zaslúži hjy79425575 v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro.
Dátum pridania záznamu: 20. septembra 2021
FaceTime
Poďakovanie za pomoc si zaslúži Mohammed Waqqas Kakangarai.
Dátum pridania záznamu: 25. mája 2022