Om säkerhetsinnehållet i iOS 13.3.1 och iPadOS 13.3.1
I det här dokumentet beskrivs säkerhetsinnehållet i iOS 13.3.1 och iPadOS 13.3.1.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
iOS 13.3.1 och iPadOS 13.3.1
Audio
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch (7:e generationen)
Effekt: en app kan köra opålitlig kod med systembehörighet
Beskrivning: ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2020-3857: Zhuo Liang på Qihoo 360 Vulcan Team
FaceTime
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch (7:e generationen)
Effekt: en fjärranvändare av FaceTime kan orsaka att fel kamerabild visas när den lokala användaren ska se sig själv
Beskrivning: det förekom ett fel i hanteringen av bilden på den lokala användaren. Problemet åtgärdades genom förbättrad logik.
CVE-2020-3869: Elisa Lee
files
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch (7:e generationen)
Effekt: ett skadligt program kan godtyckligt skriva över filer
Beskrivning: ett åtkomstproblem åtgärdades genom ytterligare åtkomstbegränsningar.
CVE-2020-3855: Csaba Fitzl (@theevilbit)
ImageIO
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch (7:e generationen)
Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2020-3826: Samuel Groß på Google Project Zero
CVE-2020-3870
CVE-2020-3878: Samuel Groß på Google Project Zero
CVE-2020-3880: Samuel Groß på Google Project Zero
IOAcceleratorFamily
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch (7:e generationen)
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2020-3837: Brandon Azad på Google Project Zero
IOUSBDeviceFamily
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch (7:e generationen)
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2019-8836: Xiaolong Bai och Min (Spark) Zheng på Alibaba Inc. och Luyi Xing på Indiana University Bloomington
IPSec
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch (7:e generationen)
Effekt: om du laddar en skadlig racoon-konfigurationsfil kan det leda till opålitlig kodkörning
Beskrivning: ett förskjutningsproblem fanns i hanteringen av racoon-konfigurationsfiler. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-2020-3840: @littlelailo
Kernel
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch (7:e generationen)
Effekt: en app utan rättigheter kan läsa det begränsade minnet
Beskrivning: ett valideringsproblem hanterades genom förbättrad indatasanering.
CVE-2020-3875: Brandon Azad på Google Project Zero
Kernel
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch (7:e generationen)
Effekt: en app utan rättigheter kan läsa det begränsade minnet
Beskrivning: ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.
CVE-2020-3872: Haakon Garseg Mørk på Cognite och Cim Stordal på Cognite
Kernel
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch (7:e generationen)
Effekt: ett program med skadligt innehåll kan ta reda på schemat för kernelminnet
Beskrivning: ett problem med åtkomst åtgärdades genom förbättrad minneshantering.
CVE-2020-3836: Brandon Azad på Google Project Zero
Kernel
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch (7:e generationen)
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2020-3842: Ned Williamson i samarbete med Google Project Zero
CVE-2020-3858: Xiaolong Bai och Min (Spark) Zheng på Alibaba Inc. och Luyi Xing på Indiana University Bloomington
Kernel
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch (7:e generationen)
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett konkurrenstillstånd åtgärdades genom förbättrad låsning.
CVE-2020-3831: Chilik Tamir på Zimperium zLabs, Corellium, Proteas på Qihoo 360 Nirvan Team
Kernel
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch (7:e generationen)
Effekt: ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.
CVE-2020-3853: Brandon Azad på Google Project Zero
Kernel
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch (7:e generationen)
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2020-3860: Proteas på Qihoo 360 Nirvan Team
libxml2
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch (7:e generationen)
Effekt: Bearbetning av uppsåtligt skapad XML kan leda till en oväntad programavslutning eller körning av opålitlig kod
Beskrivning: ett problem med buffertspill åtgärdades genom förbättrad storleksvalidering.
CVE-2020-3846: Ranier Vilela
libxpc
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch (7:e generationen)
Effekt: bearbetning av en skadlig sträng kan leda till heap-fel
Beskrivning: ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2020-3856: Ian Beer på Google Project Zero
libxpc
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch (7:e generationen)
Effekt: en app kan få högre behörighet
Beskrivning: ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2020-3829: Ian Beer på Google Project Zero
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch (7:e generationen)
Effekt: det fungerade inte att stänga av Läs in fjärrinnehåll i meddelanden på alla förhandsvisningar av e-postmeddelanden
Beskrivning: problemet åtgärdades genom att förbättra hur inställningen sparas.
CVE-2020-3873: Alexander Heinrich (@Sn0wfreeze) på Technische Universität Darmstadt, Hudson Pridham på Bridgeable, Stuart Chapman
Messages
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch (7:e generationen)
Effekt: en person med fysisk åtkomst till en iOS-enhet kan komma åt kontakter från låsskärmen
Beskrivning: Ett problem med inkonsekvent användargränssnitt åtgärdades med hjälp av förbättrad tillståndshantering.
CVE-2020-3859: Andrew Gonzalez, Simone PC
Messages
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch (7:e generationen)
Effekt: Användare som tagits bort från en iMessage-konversation kan fortfarande ändra status
Beskrivning: problemet åtgärdades med förbättrade kontroller.
CVE-2020-3844: Ayden Panhuyzen (@aydenpanhuyzen) och Jamie Bishop (@jamiebishop123) på Dynastic, Lance Rodgers på Oxon Hill High School
Phone
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch (7:e generationen)
Effekt: en person med fysisk åtkomst till en iOS-enhet kan komma åt kontakter från låsskärmen
Beskrivning: ett problem med låsskärmen tillät åtkomst till kontakter på en låst enhet. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-2020-3828: en anonym forskare
Safari Login AutoFill
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch (7:e generationen)
Effekt: En lokal användare kan oavsiktligt skicka ett lösenord okrypterat över nätverket
Beskrivning: problemet hanterades med förbättrad hantering av användargränssnittet.
CVE-2020-3841: Sebastian Bicchi (@secresDoge) från Sec-Research
Screenshots
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch (7:e generationen)
Effekt: skärmavbilder i Meddelande-appen kan avslöja ytterligare meddelandeinnehåll
Beskrivning: det förekom ett fel i namngivningen av skärmavbilder. Problemet åtgärdades genom förbättrad namngivning.
CVE-2020-3874: Nicolas Luckie på Durham College
WebKit
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch (7:e generationen)
Effekt: En skadligt utformad webbplats kan orsaka att åtkomsten till tjänsten nekas
Beskrivning: Ett problem med tjänster som nekades åtgärdades genom förbättrad minneshantering.
CVE-2020-3862: Srikanth Gatta på Google Chrome
WebKit
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch (7:e generationen)
Effekt: bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2020-3825: Przemysław Sporysz på Euvic
CVE-2020-3868: Marcin Towalski på Cisco Talos
WebKit
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch (7:e generationen)
Effekt: bearbetning av skadligt webbinnehåll kan leda till universell skriptkörning över flera sajter
Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2020-3867: en anonym forskare
WebKit Page Loading
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch (7:e generationen)
Effekt: kontexten för ett DOM-objekt kanske inte hade en unik säkerhetskälla
Beskrivning: ett logikproblem åtgärdades med hjälp av förbättrad validering.
CVE-2020-3864: Ryan Pickren (ryanpickren.com)
WebKit Page Loading
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch (7:e generationen)
Effekt: kontexten för ett överordnat DOM-objekt kan felaktigt ha blivit betraktat som säkert
Beskrivning: ett logikproblem åtgärdades med hjälp av förbättrad validering.
CVE-2020-3865: Ryan Pickren (ryanpickren.com)
Wi-Fi
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch (7:e generationen)
Effekt: en fjärrangripare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet blir korrupt
Beskrivning: ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2020-3843: Ian Beer på Google Project Zero
wifivelocityd
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch (7:e generationen)
Effekt: en app kan köra opålitlig kod med systembehörighet
Beskrivning: problemet har åtgärdats genom förbättrad behörighetslogik.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
Ytterligare tack
IOSurface
Vi vill tacka Liang Chen (@chenliang0817) för hjälpen.
Photos Storage
Vi vill tacka Allison Husain på UC Berkeley för hjälpen.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.