Om säkerhetsinnehållet i iOS 14.7 och iPadOS 14.7

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

iOS 14.7 släpptes 19 juli 2021; iPadOS 14.7 släpptes 21 juli 2021

ActionKit

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En genväg kan kringgå internetbehörighetskrav

Beskrivning: Ett indatavalideringsfel åtgärdades genom förbättrad indatavalidering.

CVE-2021-30763: Zachary Keffaber (@QuickUpdate5)

Analytics

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En lokal angripare kan få tillgång till analysdata

Beskrivning: Problemet hanterades med en ny behörighet.

CVE-2021-30871: Denis Tokarev (@illusionofcha0s)

Lades till 25 oktober 2021

Audio

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En lokal angripare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2021-30781: tr3e

AVEVideoEncoder

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-30748: George Nosenko

CoreAudio

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Bearbetning av en ljudfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-30775: JunDong Xie på Ant Security Light-Year Lab

CoreAudio

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Uppspelning av en skadlig ljudfil kan leda till oväntat programavslut

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.

CVE-2021-30776: JunDong Xie på Ant Security Light-Year Lab

CoreGraphics

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Öppnande av en PDF-fil med skadligt innehåll kan leda till att appen oväntat avslutas eller att opålitlig kod körs

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad tillståndshantering.

CVE-2021-30786: ryuzaki

CoreText

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2021-30789: Mickey Jin (@patch1t) på Trend Micro, Sunglin på Knownsec 404 team

Crash Reporter

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En skadlig app kan tillskansa sig rotbehörighet

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.

CVE-2021-30774: Yizhuo Wang på Group of Software Security In Progress (G.O.S.S.I.P) på Shanghai Jiao Tong University

CVMS

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En skadlig app kan tillskansa sig rotbehörighet

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2021-30780: Tim Michaud(@TimGMichaud) på Zoom Video Communications

dyld

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En process i sandlådeläge kan kringgå sandlådebegränsningarna

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.

CVE-2021-30768: Linus Henze (pinauten.de)

Find My

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Ett skadligt program kan få tillgång till Hitta-data

Beskrivning: Ett tillståndsproblem åtgärdades med hjälp av förbättrad validering.

CVE-2021-30804: Csaba Fitzl (@theevilbit) på Offensive Security

FontParser

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.

CVE-2021-30760: Sunglin på Knownsec 404 team

FontParser

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Behandling av en TIFF-fil med skadligt innehåll kan leda till ett dos-angrepp eller möjligen avslöja innehåll från minnet

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2021-30788: tr3e i samarbete med Trend Micro Zero Day Initiative

FontParser

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett stackspill åtgärdades genom förbättrad indatavalidering.

CVE-2021-30759: hjy79425575 i samarbete med Trend Micro Zero Day Initiative

Identity Service

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Ett skadligt program kan kringgå kodsigneringskontroller

Beskrivning: Ett problem med validering av kodsignaturer åtgärdades med förbättrade kontroller.

CVE-2021-30773: Linus Henze (pinauten.de)

Image Processing

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2021-30802: Matthew Denton på Google Chrome Security

ImageIO

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2021-30779: Jzhu, Ye Zhang(@co0py_Cat) på Baidu Security

ImageIO

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2021-30785: CFF på Topsec Alpha Team, Mickey Jin (@patch1t) på Trend Micro

Kernel

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En angripare med godtycklig läs- och skrivkapacitet kan kringgå pekarautentisering

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-30769: Linus Henze (pinauten.de)

Kernel

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En angripare som redan har uppnått körning av kernel-kod kan kringgå kärnminnesbegränsningar

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.

CVE-2021-30770: Linus Henze (pinauten.de)

libxml2

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En fjärrangripare kan orsaka körning av opålitlig kod

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2021-3518

Measure

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Flera problem i libwebp

Beskrivning: Flera problem åtgärdades med hjälp av en uppdatering till version 1.2.0.

CVE-2018-25010

CVE-2018-25011

CVE-2018-25014

CVE-2020-36328

CVE-2020-36329

CVE-2020-36330

CVE-2020-36331

Model I/O

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Bearbetning av en bild med skadligt innehåll kan leda till ett dos-angrepp

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.

CVE-2021-30796: Mickey Jin (@patch1t) på Trend Micro

Model I/O

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med skrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2021-30792: Anonym i samarbete med Trend Micro Zero Day Initiative

Model I/O

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Bearbetning av en skadligt utformad fil kan leda till att användarinformation avslöjas

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2021-30791: Anonym i samarbete med Trend Micro Zero Day Initiative

TCC

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En skadlig app kan kringgå vissa integritetsinställningar

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-30798: Mickey Jin (@patch1t) på Trend Micro

WebKit

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad lägeshantering.

CVE-2021-30758: Christoph Guttandin på Media Codings

WebKit

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2021-30795: Sergei Glazunov på Google Project Zero

WebKit

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av kod

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2021-30797: Ivan Fratric på Google Project Zero

WebKit

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2021-30799: Sergei Glazunov på Google Project Zero

Wi-Fi

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: Anslutning till ett bedrägligt wifi-nätverk kan leda till dos-angrepp eller körning av opålitlig kod

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2021-30800: vm_call, Nozhdar Abdulkhaleq Shukri

Assets

Vi vill tacka Cees Elzinga för hjälpen.

CoreText

Vi vill tacka Mickey Jin (@patch1t) på Trend Micro för hjälpen.

Safari

Vi vill tacka en anonym forskare för hjälpen.

Sandbox

Vi vill tacka Csaba Fitzl (@theevilbit) på Offensive Security för hjälpen.