Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
iOS 13.3.1 och iPadOS 13.3.1
Släpptes 28 januari 2020
Ljud
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2020-3857: Zhuo Liang på Qihoo 360 Vulcan Team
FaceTime
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: En fjärranvändare av FaceTime kan orsaka att fel kamerabild visas när den lokala användaren ska se sig själv
Beskrivning: Det förekom ett fel i hanteringen av bilden på den lokala användaren. Problemet åtgärdades genom förbättrad logik.
CVE-2020-3869: Elisa Lee
ImageIO
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2020-3826: Samuel Groß på Google Project Zero
CVE-2020-3870
CVE-2020-3878: Samuel Groß på Google Project Zero
CVE-2020-3880: Samuel Groß på Google Project Zero
Uppdaterades 4 april 2020
IOAcceleratorFamily
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2020-3837: Brandon Azad på Google Project Zero
IOUSBDeviceFamily
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2019-8836: Xiaolong Bai och Min (Spark) Zheng på Alibaba Inc. och Luyi Xing på Indiana University Bloomington
Lades till 22 juni 2020
IPSec
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Om du laddar en skadlig racoon-konfigurationsfil kan det leda till opålitlig kodkörning
Beskrivning: Ett förskjutningsproblem fanns i hanteringen av racoon-konfigurationsfiler. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-2020-3840: @littlelailo
Kernel
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Ett program utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.
CVE-2020-3875: Brandon Azad på Google Project Zero
Kernel
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Ett program utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.
CVE-2020-3872: Haakon Garseg Mørk på Cognite och Cim Stordal på Cognite
Kernel
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet
Beskrivning: Ett problem med åtkomst åtgärdades genom förbättrad minneshantering.
CVE-2020-3836: Brandon Azad på Google Project Zero
Kernel
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2020-3842: Ned Williamson i samarbete med Google Project Zero
CVE-2020-3858: Xiaolong Bai och Min (Spark) Zheng på Alibaba Inc. och Luyi Xing på Indiana University Bloomington
Kernel
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.
CVE-2020-3831: Chilik Tamir på Zimperium zLabs, Corellium, Proteas på Qihoo 360 Nirvan Team
Uppdaterades 19 mars 2020
Kernel
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.
CVE-2020-3853: Brandon Azad på Google Project Zero
Kernel
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2020-3860: Proteas på Qihoo 360 Nirvan Team
libxml2
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Bearbetning av uppsåtligt skapad XML kan leda till en oväntad programavslutning eller körning av opålitlig kod
Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad storleksvalidering.
CVE-2020-3846: Ranier Vilela
Lades till 29 januari 2020
libxpc
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Bearbetning av en skadlig sträng kan leda till heap-fel
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2020-3856: Ian Beer på Google Project Zero
libxpc
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Ett program kan få högre behörighet
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2020-3829: Ian Beer på Google Project Zero
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Det fungerade inte att stänga av Läs in fjärrinnehåll i meddelanden på alla förhandsvisningar av e-postmeddelanden
Beskrivning: Problemet åtgärdades genom att förbättra hur inställningen sparas.
CVE-2020-3873: Alexander Heinrich (@Sn0wfreeze) på Technische Universität Darmstadt, Hudson Pridham på Bridgeable, Stuart Chapman
Uppdaterades 19 mars 2020
Meddelanden
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: En person med fysisk åtkomst till en iOS-enhet kan komma åt kontakter från låsskärmen
Beskrivning: Ett problem med inkonsekvent användargränssnitt åtgärdades med hjälp av förbättrad tillståndshantering.
CVE-2020-3859: Andrew Gonzalez, Simone PC
Informationen uppdaterades 29 januari 2020
Meddelanden
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Användare som tagits bort från en iMessage-konversation kan fortfarande ändra status
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2020-3844: Ayden Panhuyzen (@aydenpanhuyzen) och Jamie Bishop (@jamiebishop123) på Dynastic, Lance Rodgers på Oxon Hill High School
Informationen uppdaterades 29 januari 2020
Telefon
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: En person med fysisk åtkomst till en iOS-enhet kan komma åt kontakter från låsskärmen
Beskrivning: Ett problem med låsskärmen tillät åtkomst till kontakter på en låst enhet. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-2020-3828: en anonym forskare
Autofyll vid Safari-inloggning
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: En lokal användare kan oavsiktligt skicka ett lösenord okrypterat över nätverket
Beskrivning: Problemet hanterades med förbättrad hantering av användargränssnittet.
CVE-2020-3841: Sebastian Bicchi (@secresDoge) från Sec-Research
Skärmavbilder
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Skärmavbilder i Meddelande-appen kan avslöja ytterligare meddelandeinnehåll
Beskrivning: Det förekom ett fel i namngivningen av skärmavbilder. Problemet åtgärdades genom förbättrad namngivning.
CVE-2020-3874: Nicolas Luckie på Durham College
WebKit
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: En skadligt utformad webbplats kan orsaka att åtkomsten till tjänsten nekas
Beskrivning: Ett problem med tjänster som nekades åtgärdades genom förbättrad minneshantering.
CVE-2020-3862: Srikanth Gatta på Google Chrome
Lades till 29 januari 2020
WebKit
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2020-3825: Przemysław Sporysz på Euvic
CVE-2020-3868: Marcin Towalski på Cisco Talos
Lades till 29 januari 2020
WebKit
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Bearbetning av skadligt webbinnehåll kan leda till universell skriptkörning över flera sajter
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2020-3867: en anonym forskare
Lades till 29 januari 2020
WebKits laddning av sidor
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Kontexten för ett DOM-objekt kanske inte hade en unik säkerhetskälla
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.
CVE-2020-3864: Ryan Pickren (ryanpickren.com)
Lades till 6 februari 2020
WebKits laddning av sidor
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Kontexten för ett överordnat DOM-objekt kan felaktigt ha blivit betraktat som säkert
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.
CVE-2020-3865: Ryan Pickren (ryanpickren.com)
Lades till 29 januari 2020, uppdaterades 6 februari 2020
Wifi
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: En fjärrangripare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet blir korrupt
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2020-3843: Ian Beer på Google Project Zero
Lades till 6 februari 2020
wifivelocityd
Tillgängligt för: iPhone 6s och senare, iPad Air 2 och senare, iPad mini 4 och senare samt iPod touch 7:e generationen
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Problemet har åtgärdats genom förbättrad behörighetslogik.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
Ytterligare tack
IOSurface
Vi vill tacka Liang Chen (@chenliang0817) för hjälpen.
Lagringsutrymme för bilder
Vi vill tacka Allison Husain på UC Berkeley för hjälpen.
Uppdaterades 19 mars 2020