Відомості про проблеми системи безпеки, усунуті в оновленні iOS 12.5.5
У цьому документі описано проблеми системи безпеки, усунуті в оновленні iOS 12.5.5.
Відомості про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми та не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.
Документи про безпеку Apple класифікують вразливості за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
iOS 12.5.5
CoreGraphics
Доступно для: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 та iPod touch (6-го покоління)
Вплив: обробка шкідливого файлу PDF може призводити до виконання довільного коду. Компанії Apple відомо, що цією проблемою могли активно користуватися.
Опис: проблему цілочисельного переповнення вирішено завдяки вдосконаленню перевірки вводу.
CVE-2021-30860: фахівці The Citizen Lab
Core Telephony
Доступно для: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 та iPod touch (6-го покоління)
Вплив: певний процес в ізольованому програмному середовищі може обходити обмеження цього середовища. Компанії Apple відомо про те, що під час випуску цією проблемою могли активно користуватися.
Опис: проблему десериалізації вирішено завдяки вдосконаленню перевірки.
CVE-2021-31010: фахівці Citizen Lab і Google Project Zero
WebKit
Доступно для: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 та iPod touch (6-го покоління)
Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду. Компанії Apple відомо, що цією проблемою могли активно користуватися.
Опис: покращене керування пам’яттю усунуло проблему Use-After-Free.
CVE-2021-30858: анонімний дослідник
XNU
Доступно для: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 та iPod touch (6-го покоління)
Вплив: шкідлива програма може виконувати довільний код із привілеями ядра. Компанії Apple відомо про використання цієї вразливості зловмисниками.
Опис: проблему переплутування типів вирішено завдяки вдосконаленню обробки станів.
CVE-2021-30869: Ерьє Ернандез (Erye Hernandez) із групи Google Threat Analysis Group, Клеман Лесінь (Clément Lecigne) із групи Google Threat Analysis Group та Ян Бір (Ian Beer) із Google Project Zero
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.