Om säkerhetsinnehållet i iOS 14.5 och iPadOS 14.5

I det här dokumentet beskrivs säkerhetsinnehållet i iOS 14.5 och iPadOS 14.5.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

iOS 14.5 och iPadOS 14.5

Accessibility

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En person med fysisk åtkomst till en iOS-enhet kan komma åt anteckningar från låsskärmen

Beskrivning: problemet åtgärdades med förbättrade kontroller.

CVE-2021-1835: videosdebarraquito

App Store

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En angripare med en privilegierad nätverksposition kan påverka nätverkstrafik

Beskrivning: Ett problem med certifikatsvalidering åtgärdades.

CVE-2021-1837: Aapo Oksman på Nixu Cybersecurity

Apple Neural Engine

Tillgängligt för: iPhone 8 och senare, iPad Pro (3:e generationen) och senare och iPad Air (3:e generationen) och senare

Effekt: Ett skadligt program kan köra opålitlig kod med kernelbehörighet

Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2021-1867: Zuozhi Fan (@pattern_F_) och Wish Wu (吴潍浠) på Ant Group Tianqiong Security Lab

AppleMobileFileIntegrity

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: en skadlig app kan kringgå integritetsinställningar

Beskrivning: Ett problem med validering av kodsignaturer åtgärdades med förbättrade kontroller.

CVE-2021-1849: Siguza

Assets

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En lokal användare kan skapa och ändra behöriga filer

Beskrivning: ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2021-1836: En anonym forskare

Audio

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En app utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.

CVE-2021-1808: JunDong Xie på Ant Security Light-Year Lab

Audio

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: bearbetning av en ljudfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med minnesförbrukningen åtgärdades genom förbättrad minneshantering.

CVE-2021-30742: Mickey Jin på Trend Micro i samarbete med Trend Micros Zero Day Initiative

CFNetwork

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Bearbetning av skadligt webbinnehåll kan avslöja känslig användarinformation

Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.

CVE-2021-1857: En anonym forskare

Compression

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2021-30752: Ye Zhang (@co0py_Cat) på Baidu Security

CoreAudio

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2021-30664: JunDong Xie på Ant Security Light-Year Lab

CoreAudio

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2021-30664: JunDong Xie på Ant Security Light-Year Lab

CoreAudio

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Bearbetning av en ljudfil med skadligt innehåll kan leda till att begränsat minne avslöjas

Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2021-1846: JunDong Xie på Ant Security Light-Year Lab

CoreAudio

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En app med skadligt innehåll utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.

CVE-2021-1809: JunDong Xie på Ant Security Light-Year Lab

CoreFoundation

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Ett skadligt program kan läcka känslig användarinformation

Beskrivning: Ett valideringsproblem hanterades genom förbättrad logik.

CVE-2021-30659: Thijs Alkemade på Computest

Core Motion

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

Beskrivning: ett logikproblem åtgärdades med hjälp av förbättrad validering.

CVE-2021-1812: Siddharth Aeri (@b1n4r1b01)

CoreText

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Bearbetning av ett typsnitt med skadligt innehåll kan leda till att processminnet avslöjas

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-1811: Xingwei Lin på Ant Security Light-Year Lab

FaceTime

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Ett försök att stänga av ljudet under ett CallKit-samtal kunde leda till att ljudet inte stängdes av

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-1872: Siraj Zaneer på Facebook

FontParser

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2021-1881: En anonym forskare, Xingwei Lin på Ant Security Light-Year Lab, Mickey Jin på Trend Micro och Hou JingYi (@hjy79425575) på Qihoo 360

Foundation

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En app kan få högre behörighet

Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.

CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)

Foundation

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En skadlig app kan tillskansa sig rotbehörighet

Beskrivning: Ett valideringsproblem hanterades genom förbättrad logik.

CVE-2021-1813: Cees Elzinga

GPU Drivers

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Ett program med skadligt innehåll kan ta reda på schemat för kernelminnet

Beskrivning: Ett problem med åtkomst åtgärdades genom förbättrad minneshantering.

CVE-2021-30656: Justin Sherman på University of Maryland, Baltimore County

Heimdal

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Bearbetning av skadliga servermeddelanden kan leda till heap-fel

Beskrivning: problemet åtgärdades med förbättrade kontroller.

CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)

Heimdal

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: ett konkurrenstillstånd åtgärdades genom förbättrad låsning.

CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)

ImageIO

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med skrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2021-30743: CFF på Topsec Alpha Team, Ye Zhang (@co0py_Cat) på Baidu Security och Jeonghoon Shin (@singi21a) på THEORI i samarbete med Trend Micro Zero Day Initiative

ImageIO

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2021-1885: CFF på Topsec Alpha Team

ImageIO

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: problemet åtgärdades med förbättrade kontroller.

CVE-2021-30653: Ye Zhang på Baidu Security

CVE-2021-1843: Ye Zhang på Baidu Security

ImageIO

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2021-1858: Mickey Jin på Trend Micro

ImageIO

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: problemet åtgärdades med förbättrade kontroller.

CVE-2021-30764: Anonym i samarbete med Trend Micro Zero Day Initiative

CVE-2021-30662: Anonym i samarbete med Trend Micro Zero Day Initiative, Jzhu i samarbete med Trend Micro Zero Day Initiative

iTunes Store

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En angripare kan använda JavaScript-körning för att köra opålitlig kod

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2021-1864: CodeColorist på Ant-Financial LightYear Labs

Kernel

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En lokal användare kan läsa kernelminne

Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2021-1877: Zuozhi Fan (@pattern_F_) på Ant Group Tianqiong Security Lab

CVE-2021-1852: Zuozhi Fan (@pattern_F_) på Ant Group Tianqiong Security Lab

CVE-2021-1830: Tielei Wang på Pangu Lab

Kernel

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: en app kan köra opålitlig kod med kernelbehörighet

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-1874: Zuozhi Fan (@pattern_F_) på Ant Group Tianqiong Security Lab

CVE-2021-1851: @0xalsr

Kernel

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: en app med skadligt innehåll kan komma åt kernelminnet

Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.

CVE-2021-1860: @0xalsr

Kernel

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: en skadlig app kan köra opålitlig kod med kernelbehörighet

Beskrivning: ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2021-1816: Tielei Wang på Pangu Lab

Kernel

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Kopierade filer har inte alltid de förväntade filbehörigheterna

Beskrivning: problemet har åtgärdats genom förbättrad behörighetslogik.

CVE-2021-1832: En anonym forskare

Kernel

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: en app med skadligt innehåll kan komma åt kernelminnet

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2021-30660: Alex Plaskett

libxpc

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En skadlig app kan tillskansa sig rotbehörighet

Beskrivning: Ett konkurrenstillstånd åtgärdades genom ytterligare validering.

CVE-2021-30652: James Hutchins

libxslt

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Bearbetning av en skadlig fil kan leda till heap-fel

Beskrivning: Ett dubbelt fritt fel åtgärdades genom förbättrad minneshantering.

CVE-2021-1875: hittades av OSS-Fuzz

MobileAccessoryUpdater

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En app kan få högre behörighet

Beskrivning: problemet åtgärdades med förbättrade kontroller.

CVE-2021-1833: Cees Elzinga

MobileInstallation

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En lokal användare kan ändra skyddade delar av filsystemet

Beskrivning: ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2021-1822: Bruno Virlet på The Grizzly Labs

Password Manager

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En användares lösenord kan visas på skärmen

Beskrivning: Ett problem med att dölja lösenord i skärmbilder åtgärdades med förbättrad logik.

CVE-2021-1865: Shibin B Shaji på UST

Preferences

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: en lokal användare kan ändra skyddade delar av filsystemet

Beskrivning: Ett tolkningsfel i hanteringen av katalogsökvägar åtgärdades med förbättrad sökvägsvalidering.

CVE-2021-1815: Zhipeng Huo (@R3dF09) och Yuebin Sun (@yuebinsun2020) på Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1739: Zhipeng Huo (@R3dF09) och Yuebin Sun (@yuebinsun2020) på Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1740: Zhipeng Huo (@R3dF09) och Yuebin Sun (@yuebinsun2020) på Tencent Security Xuanwu Lab (xlab.tencent.com)

Quick Response

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En person med fysisk åtkomst till en iOS-enhet kan ringa till alla telefonnummer

Beskrivning: Ett problem förekom med att autentisera åtgärden som aktiveras av en NFC-tagg. Problemet har åtgärdats genom förbättrad autentiseringsåtgärd.

CVE-2021-1863: REFHAN OZGORUR

Safari

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En lokal användare kan skriva opålitliga filer

Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.

CVE-2021-1807: David Schütz (@xdavidhu)

Shortcuts

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En app kan tillåta att genvägar får tillgång till begränsade filer

Beskrivning: problemet har åtgärdats genom förbättrad behörighetslogik.

CVE-2021-1831: Bouke van der Bijl

Siri

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Ett problem med åtkomst till information från Siri-sökningar åtgärdades med förbättrad logik

Beskrivning: En person med fysisk åtkomst kan ha tillgång till kontakter.

CVE-2021-1862: Anshraj Srivastava (@AnshrajSrivas14) på UKEF

Tailspin

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: en lokal angripare kan höja sin behörighet

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-1868: Tim Michaud på Zoom Communications

TCC

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Ett skadligt program kan läcka känslig användarinformation

Beskrivning: Ett valideringsproblem hanterades genom förbättrad logik.

CVE-2021-30659: Thijs Alkemade på Computest

Telephony

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Ett äldre mobilnät kan automatiskt svara på inkommande samtal när ett utgående samtal avslutas eller avbryts.

Beskrivning: Ett problem med att avsluta samtal hanterades genom förbättrad logik.

CVE-2021-1854: Steven Thorne på Cspire

UIKit

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En användares lösenord kan visas på skärmen

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-30921: Maximilian Blochberger på Security in Distributed Systems Group, Hamburgs universitet

Wallet

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En lokal användare kan visa känslig information i appväxlaren

Beskrivning: Problemet hanterades med förbättrad hantering av användargränssnittet.

CVE-2021-1848: Bradley D’Amato på ActionIQ

WebKit

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en attack med skriptkörning över flera sajter

Beskrivning: Ett indatavalideringsfel åtgärdades genom förbättrad indatavalidering.

CVE-2021-1825: Alex Camboe på Aon’s Cyber Solutions

WebKit

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-1817: zhunki

WebKit

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till universell skriptkörning över flera sajter

Beskrivning: ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2021-1826: En anonym forskare

WebKit

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att processminnet visas

Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.

CVE-2021-1820: André Bargull

WebKit Storage

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt.

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2021-30661: yangkang (@dnpushme) på 360 ATA

WebRTC

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En fjärrangripare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet blir korrupt

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2020-7463: Megan2013678

Wi-Fi

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Ett buffertspill kan leda till körning av opålitlig kod

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-1770: Jiska Classen (@naehrdine) på Secure Mobile Networking Lab, TU Darmstadt

Ytterligare tack

Accounts Framework

Vi vill tacka Ellougani Mohamed på Dr.Phones Recycle Inc. för hjälpen.

AirDrop

Vi vill tacka @maxzks för hjälpen.

Assets

Vi vill tacka Cees Elzinga för hjälpen.

CoreAudio

Vi vill tacka en anonym forskare för hjälpen.

CoreCrypto

Vi vill tacka Andy Russon på Orange Group för hjälpen.

File Bookmark

Vi vill tacka en anonym forskare för hjälpen.

Files

Vi vill tacka Omar Espino (omespino.com) för hjälpen.

Foundation

Vi vill tacka CodeColorist på Ant-Financial LightYear Labs för hjälpen.

Kernel

Vi vill tacka Antonio Frighetto på Politecnico di Milano, GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä (@Turmio_) på SensorFu, Proteas, Tielei Wang på Pangu Lab, och Zuozhi Fan (@pattern_F_) på Ant Group Tianqiong Security Lab för hjälpen.

Mail

Vi vill tacka Lauritz Holtmann (@_lauritz_), Muhammed Korany (facebook.com/MohamedMoustafa4), och Yiğit Can YILMAZ (@yilmazcanyigit) för hjälpen.

NetworkExtension

Vi vill tacka Fabian Hartmann för hjälpen.

Safari Private Browsing

Vi vill tacka Dor Kahana och Griddaluru Veera Pranay Naidu för hjälpen.

Security

Vi vill tacka Xingwei Lin på Ant Security Light-Year Lab och john (@nyan_satan) för hjälpen.

sysdiagnose

Vi vill tacka Tim Michaud (@TimGMichaud) på Leviathan för hjälpen.

WebKit

Vi vill tacka Emilio Cobos Álvarez på Mozilla för hjälpen.

WebSheet

Vi vill tacka Patrick Clover för hjälpen.