Om säkerhetsinnehållet i iOS 13.1 och iPadOS 13.1
I det här dokumentet beskrivs säkerhetsinnehållet i iOS 13.1 och iPadOS 13.1.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
iOS 13.1 och iPadOS 13.1
iOS 13.1 och iPadOS 13.1 har säkerhetsinnehållet för iOS 13.
AppleFirmwareUpdateKext
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: En sårbarhet för minnesfel åtgärdades med förbättrad låsning.
CVE-2019-8747: Mohamed Ghannam (@_simo36)
Ljud
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Bearbetning av en ljudfil med skadligt innehåll kan leda till körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2019-8706: Yu Zhou på Ant-financial Light-Year Security Lab
Ljud
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Bearbetning av en ljudfil med skadligt innehåll kan leda till att begränsat minne avslöjas
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2019-8850: Anonym i samarbete med Trend Micro Zero Day Initiative
Böcker
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Tolkning av en iBooks-fil med skadligt innehåll kan leda till ett konstant dos-angrepp
Beskrivning: Ett problem med resursutmattning åtgärdades genom förbättrad indatavalidering.
CVE-2019-8774: Gertjan Franken imec-DistriNet på KU Leuven
Kernel
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: En sårbarhet för minnesfel åtgärdades med förbättrad låsning.
CVE-2019-8740: Mohamed Ghannam (@_simo36)
Kernel
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Ett lokalt program kan kanske läsa en konstant kontoidentifierare
Beskrivning: Ett valideringsproblem hanterades genom förbättrad logik.
CVE-2019-8809: Apple
Kernel
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet
Beskrivning: Problemet har åtgärdats genom förbättrad behörighetslogik.
CVE-2019-8780: Siguza
libxslt
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Flera problem i libxslt
Beskrivning: Flera minnesfel åtgärdades med hjälp av förbättrad indatavalidering.
CVE-2019-8750: hittad av OSS-Fuzz
mDNSResponder
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: En angripare som befinner sig fysiskt i närheten kan eventuellt passivt observera enhetsnamn i AWDL-kommunikation
Beskrivning: Detta problem åtgärdades genom att enhetsnamnen ersattes med en slumpmässig identifierare.
CVE-2019-8799: David Kreitschmann och Milan Stute på Secure Mobile Networking Lab vid Technische Universität Darmstadt
Genvägar
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: En angripare med en behörig nätverksposition kan påverka SSH-trafik från åtgärden ”Kör skript via SSH”
Beskrivning: Det här problemet åtgärdades genom att verifiera värdnycklar vid anslutning till en känd SSH-server.
CVE-2019-8901: en anonym forskare
UIFoundation
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2019-8831: riusksk på VulWar Corp i samarbete med Trend Micros Zero Day Initiative
VoiceOver
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: En person med fysisk åtkomst till en iOS-enhet kan komma åt kontakter från låsskärmen
Beskrivning: Problemet åtgärdades genom att begränsa tillgängliga alternativ på en låst enhet.
CVE-2019-8775: videosdebarraquito
WebKit
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Besök på en webbplats med skadligt innehåll kan avslöja surfhistorik
Beskrivning: Ett problem förekom vid hämtning av webbplatselement. Problemet åtgärdades med förbättrad logik.
CVE-2019-8769: Piérre Reimertz (@reimertz)
WebKit
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2019-8710: hittad av OSS-Fuzz
CVE-2019-8743: zhunki från Codesafe Team of Legendsec på Qi'anxin Group
CVE-2019-8751: Dongzhuo Zhao i samarbete med ADLab på Venustech
CVE-2019-8752: Dongzhuo Zhao i samarbete med ADLab på Venustech
CVE-2019-8763: Sergei Glazunov på Google Project Zero
CVE-2019-8765: Samuel Groß på Google Project Zero
CVE-2019-8766: hittad av OSS-Fuzz
CVE-2019-8773: hittad av OSS-Fuzz
WebKit
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Bearbetning av skadligt webbinnehåll kan leda till en attack med skriptkörning över flera webbplatser
Beskrivning: Ett valideringsproblem hanterades genom förbättrad logik.
CVE-2019-8762: Sergei Glazunov från Google Project Zero
WebKit
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2020-9932: Dongzhuo Zhao i samarbete med ADLab på Venustech
Ytterligare tack
boringssl
Vi vill tacka Nimrod Aviram vid Tel Aviv University, Robert Merget vid Ruhr University Bochum, Juraj Somorovsky vid Ruhr University Bochum för hjälpen.
Hitta min iPhone
Vi vill tacka en anonym forskare för hjälpen.
Identitetstjänst
Vi vill tacka Yiğit Can YILMAZ (@yilmazcanyigit) för hjälpen.
Kernel
Vi vill tacka Vlad Tsyrklevich för hjälpen.
Anteckningar
Vi vill tacka en anonym forskare för hjälpen.
Bilder
Vi vill tacka Peter Scott i Sydney, Australien för hjälpen.
Delningsblad
Vi vill tacka Milan Stute på Secure Mobile Networking Lab vid Technische Universität Darmstadt för hjälpen.
Statusfält
Vi vill tacka Isaiah Kahler, Mohammed Adham och en anonym forskare för hjälpen.
Telefoni
Vi vill tacka Yiğit Can YILMAZ (@yilmazcanyigit) för hjälpen.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.