Om säkerhetsinnehållet i iOS 13.3.1 och iPadOS 13.3.1

I det här dokumentet beskrivs säkerhetsinnehållet i iOS 13.3.1 och iPadOS 13.3.1.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

iOS 13.3.1 och iPadOS 13.3.1

Släpptes 28 januari 2020

Ljud

Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2020-3857: Zhuo Liang på Qihoo 360 Vulcan Team

FaceTime

Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen

Effekt: En fjärranvändare av FaceTime kan orsaka att fel kamerabild visas när den lokala användaren ska se sig själv

Beskrivning: Det förekom ett fel i hanteringen av bilden på den lokala användaren. Problemet åtgärdades genom förbättrad logik.

CVE-2020-3869: Elisa Lee

ImageIO

Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2020-3826: Samuel Groß på Google Project Zero

CVE-2020-3870

CVE-2020-3878: Samuel Groß på Google Project Zero

CVE-2020-3880: Samuel Groß på Google Project Zero

Uppdaterades 4 april 2020

IOAcceleratorFamily

Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2020-3837: Brandon Azad på Google Project Zero

IOUSBDeviceFamily

Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2019-8836: Xiaolong Bai och Min (Spark) Zheng på Alibaba Inc. och Luyi Xing på Indiana University Bloomington

Lades till 22 juni 2020

IPSec

Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen

Effekt: Om du laddar en skadlig racoon-konfigurationsfil kan det leda till opålitlig kodkörning

Beskrivning: Ett förskjutningsproblem fanns i hanteringen av racoon-konfigurationsfiler. Problemet åtgärdades med förbättrad kontroll av gränserna.

CVE-2020-3840: @littlelailo

Kernel

Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.

CVE-2020-3875: Brandon Azad på Google Project Zero

Kernel

Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.

CVE-2020-3872: Haakon Garseg Mørk på Cognite och Cim Stordal på Cognite

Kernel

Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen

Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet

Beskrivning: Ett problem med åtkomst åtgärdades genom förbättrad minneshantering.

CVE-2020-3836: Brandon Azad på Google Project Zero

Kernel

Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2020-3842: Ned Williamson i samarbete med Google Project Zero

CVE-2020-3858: Xiaolong Bai och Min (Spark) Zheng på Alibaba Inc. och Luyi Xing på Indiana University Bloomington

Kernel

Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.

CVE-2020-3831: Chilik Tamir på Zimperium zLabs, Corellium, Proteas på Qihoo 360 Nirvan Team

Uppdaterades 19 mars 2020

Kernel

Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen

Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.

CVE-2020-3853: Brandon Azad på Google Project Zero

Kernel

Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2020-3860: Proteas på Qihoo 360 Nirvan Team

libxml2

Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen

Effekt: Bearbetning av uppsåtligt skapad XML kan leda till en oväntad programavslutning eller körning av opålitlig kod

Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad storleksvalidering.

CVE-2020-3846: Ranier Vilela

Lades till 29 januari 2020

libxpc

Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen

Effekt: Bearbetning av en skadlig sträng kan leda till heap-fel

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2020-3856: Ian Beer på Google Project Zero

libxpc

Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen

Effekt: Ett program kan få högre behörighet

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2020-3829: Ian Beer på Google Project Zero

Mail

Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen

Effekt: Det fungerade inte att stänga av Läs in fjärrinnehåll i meddelanden på alla förhandsvisningar av e-postmeddelanden

Beskrivning: Problemet åtgärdades genom att förbättra hur inställningen sparas.

CVE-2020-3873: Alexander Heinrich (@Sn0wfreeze) på Technische Universität Darmstadt, Hudson Pridham på Bridgeable, Stuart Chapman

Uppdaterades 19 mars 2020

Meddelanden

Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen

Effekt: En person med fysisk åtkomst till en iOS-enhet kan komma åt kontakter från låsskärmen

Beskrivning: Ett problem med inkonsekvent användargränssnitt åtgärdades med hjälp av förbättrad tillståndshantering.

CVE-2020-3859: Andrew Gonzalez, Simone PC

Informationen uppdaterades 29 januari 2020

Meddelanden

Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen

Effekt: Användare som tagits bort från en iMessage-konversation kan fortfarande ändra status

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2020-3844: Ayden Panhuyzen (@aydenpanhuyzen) och Jamie Bishop (@jamiebishop123) på Dynastic, Lance Rodgers på Oxon Hill High School

Informationen uppdaterades 29 januari 2020

Telefon

Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen

Effekt: En person med fysisk åtkomst till en iOS-enhet kan komma åt kontakter från låsskärmen

Beskrivning: Ett problem med låsskärmen tillät åtkomst till kontakter på en låst enhet. Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2020-3828: en anonym forskare

Autofyll vid Safari-inloggning

Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen

Effekt: En lokal användare kan oavsiktligt skicka ett lösenord okrypterat över nätverket

Beskrivning: Problemet hanterades med förbättrad hantering av användargränssnittet.

CVE-2020-3841: Sebastian Bicchi (@secresDoge) från Sec-Research

Skärmavbilder

Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen

Effekt: Skärmavbilder i Meddelande-appen kan avslöja ytterligare meddelandeinnehåll

Beskrivning: Det förekom ett fel i namngivningen av skärmavbilder. Problemet åtgärdades genom förbättrad namngivning.

CVE-2020-3874: Nicolas Luckie på Durham College

WebKit

Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen

Effekt: En skadligt utformad webbplats kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: Ett problem med tjänster som nekades åtgärdades genom förbättrad minneshantering.

CVE-2020-3862: Srikanth Gatta på Google Chrome

Lades till 29 januari 2020

WebKit

Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2020-3825: Przemysław Sporysz på Euvic

CVE-2020-3868: Marcin Towalski på Cisco Talos

Lades till 29 januari 2020

WebKit

Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen

Effekt: Bearbetning av skadligt webbinnehåll kan leda till universell skriptkörning över flera sajter

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2020-3867: en anonym forskare

Lades till 29 januari 2020

WebKits laddning av sidor

Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen

Effekt: Kontexten för ett DOM-objekt kanske inte hade en unik säkerhetskälla

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.

CVE-2020-3864: Ryan Pickren (ryanpickren.com)

Lades till 6 februari 2020

WebKits laddning av sidor

Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen

Effekt: Kontexten för ett överordnat DOM-objekt kan felaktigt ha blivit betraktat som säkert

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.

CVE-2020-3865: Ryan Pickren (ryanpickren.com)

Lades till 29 januari 2020, uppdaterades 6 februari 2020

Wifi

Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen

Effekt: En fjärrangripare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet blir korrupt

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2020-3843: Ian Beer på Google Project Zero

Lades till 6 februari 2020

wifivelocityd

Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Problemet har åtgärdats genom förbättrad behörighetslogik.

CVE-2020-3838: Dayton Pidhirney (@_watbulb)

Ytterligare tack

IOSurface

Vi vill tacka Liang Chen (@chenliang0817) för hjälpen.

Lagringsutrymme för bilder

Vi vill tacka Allison Husain på UC Berkeley för hjälpen.

Uppdaterades 19 mars 2020

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: