关于 iOS 13.1 和 iPadOS 13.1 的安全性内容

本文介绍了 iOS 13.1 和 iPadOS 13.1 的安全性内容。

关于 Apple 安全性更新

为保护我们的客户，在没有进行调查并推出修补程序或发行版本之前，Apple 不会透露、讨论或确认安全性问题。“Apple 安全性更新”页面上列出了近期发布的版本。

如果可能，Apple 安全性文稿会引用 CVE-ID 中列出的安全漏洞。

如果需要了解有关安全性的更多信息，请参阅“Apple 产品安全性”页面。

iOS 13.1 和 iPadOS 13.1

iOS 13.1 和 iPadOS 13.1 包含 iOS 13 的安全性内容。

AppleFirmwareUpdateKext

适用于：iPhone 6s 及更新机型、iPad Air 2 及更新机型、iPad mini 4 及更新机型，以及 iPod touch 第 7 代

影响：应用程序或许能够以内核权限执行任意代码

描述：已通过改进锁定解决内存损坏漏洞问题。

CVE-2019-8747：Mohamed Ghannam (@_simo36)

音频

适用于：iPhone 6s 及更新机型、iPad Air 2 及更新机型、iPad mini 4 及更新机型，以及 iPod touch 第 7 代

影响：处理恶意制作的音频文件可能会导致任意代码执行

描述：已通过改进状态管理解决内存损坏问题。

CVE-2019-8706：蚂蚁金服巴斯光年安全实验室的 Yu Zhou

音频

适用于：iPhone 6s 及更新机型、iPad Air 2 及更新机型、iPad mini 4 及更新机型，以及 iPod touch 第 7 代

影响：处理恶意制作的音频文件可能会泄露受限内存

描述：已通过改进输入验证解决越界读取问题。

CVE-2019-8850：匿名人员与 Trend Micro Zero Day Initiative 合作发现

图书

适用于：iPhone 6s 及更新机型、iPad Air 2 及更新机型、iPad mini 4 及更新机型，以及 iPod touch 第 7 代

影响：解析恶意制作的 iBooks 文件可能会导致服务永久遭拒

描述：已通过改进输入验证解决资源耗尽问题。

CVE-2019-8774：KU Leuven 的 Gertjan Franken imec-DistriNet

内核

适用于：iPhone 6s 及更新机型、iPad Air 2 及更新机型、iPad mini 4 及更新机型，以及 iPod touch 第 7 代

影响：应用程序或许能够以内核权限执行任意代码

描述：已通过改进锁定解决内存损坏漏洞问题。

CVE-2019-8740：Mohamed Ghannam (@_simo36)

内核

适用于：iPhone 6s 及更新机型、iPad Air 2 及更新机型、iPad mini 4 及更新机型，以及 iPod touch 第 7 代

影响：本地 App 或许能够读取永久性帐户标识符

描述：已通过改进逻辑解决验证问题。

CVE-2019-8809：Apple

内核

适用于：iPhone 6s 及更新机型、iPad Air 2 及更新机型、iPad mini 4 及更新机型，以及 iPod touch 第 7 代

影响：恶意应用程序或许能够确定内核内存布局

描述：已通过改进权限逻辑解决这个问题。

CVE-2019-8780：Siguza

libxslt

适用于：iPhone 6s 及更新机型、iPad Air 2 及更新机型、iPad mini 4 及更新机型，以及 iPod touch 第 7 代

影响：libxslt 中存在多个问题

描述：已通过改进输入验证解决多个内存损坏问题。

CVE-2019-8750：由 OSS-Fuzz 发现

mDNSResponder

适用于：iPhone 6s 及更新机型、iPad Air 2 及更新机型、iPad mini 4 及更新机型，以及 iPod touch 第 7 代

影响：物理位置比较靠近的攻击者或许能够被动地观察 AWDL 通信中的设备名称

描述：已通过使用随机标识符替换设备名称解决这个问题。

CVE-2019-8799：Technische Universität Darmstadt 的 Secure Mobile Networking Lab 的 David Kreitschmann 和 Milan Stute

快捷指令

适用于：iPhone 6s 及更新机型、iPad Air 2 及更新机型、iPad mini 4 及更新机型，以及 iPod touch 第 7 代

影响：拥有特权网络地位的攻击者或许能够拦截来自“通过 SSH 运行脚本”操作的 SSH 流量

描述：已通过在连接到之前已知的 SSH 服务器时验证主机密钥解决这个问题。

CVE-2019-8901：一位匿名研究人员

UIFoundation

适用于：iPhone 6s 及更新机型、iPad Air 2 及更新机型、iPad mini 4 及更新机型，以及 iPod touch 第 7 代

影响：应用程序或许能够以系统权限执行任意代码

描述：已通过改进内存处理解决内存损坏问题。

CVE-2019-8831：VulWar Corp 的 riusksk 与 Trend Micro 的 Zero Day Initiative 合作发现

旁白

适用于：iPhone 6s 及更新机型、iPad Air 2 及更新机型、iPad mini 4 及更新机型，以及 iPod touch 第 7 代

影响：能够实际操作 iOS 设备的人员或许能够从锁定屏幕访问通讯录

描述：已通过限制锁定设备上提供的选项解决这个问题。

CVE-2019-8775：videosdebarraquito

WebKit

适用于：iPhone 6s 及更新机型、iPad Air 2 及更新机型、iPad mini 4 及更新机型，以及 iPod touch 第 7 代

影响：访问恶意制作的网站可能会泄露浏览历史记录

描述：绘制网页元素时存在问题。已通过改进逻辑解决这个问题。

CVE-2019-8769：Piérre Reimertz (@reimertz)

WebKit

适用于：iPhone 6s 及更新机型、iPad Air 2 及更新机型、iPad mini 4 及更新机型，以及 iPod touch 第 7 代

影响：处理恶意制作的网页内容可能会导致任意代码执行

描述：已通过改进内存处理解决多个内存损坏问题。

CVE-2019-8710：由 OSS-Fuzz 发现

CVE-2019-8743：奇安信集团旗下网御神州 Codesafe Team 的 zhunki

CVE-2019-8751：Dongzhuo Zhao 与 Venustech 的 ADLab 合作发现

CVE-2019-8752：Dongzhuo Zhao 与 Venustech 的 ADLab 合作发现

CVE-2019-8763：Google Project Zero 的 Sergei Glazunov

CVE-2019-8765：Google Project Zero 的 Samuel Groß

CVE-2019-8766：由 OSS-Fuzz 发现

CVE-2019-8773：由 OSS-Fuzz 发现

WebKit

适用于：iPhone 6s 及更新机型、iPad Air 2 及更新机型、iPad mini 4 及更新机型，以及 iPod touch 第 7 代

影响：处理恶意制作的网页内容可能会导致通用跨站脚本攻击

描述：已通过改进逻辑解决验证问题。

CVE-2019-8762：Google Project Zero 的 Sergei Glazunov

WebKit

适用于：iPhone 6s 及更新机型、iPad Air 2 及更新机型、iPad mini 4 及更新机型，以及 iPod touch 第 7 代

影响：处理恶意制作的网页内容可能会导致任意代码执行

描述：已通过改进验证解决内存损坏问题。

CVE-2020-9932：Dongzhuo Zhao 与 Venustech 的 ADLab 合作发现

其他表彰

boringssl

由衷感谢特拉维夫大学的 Nimrod Aviram、波鸿鲁尔大学的 Robert Merget 和 Juraj Somorovsky 为我们提供的协助。

查找我的 iPhone

由衷感谢一位匿名研究人员为我们提供的协助。

身份服务

由衷感谢 Yiğit Can YILMAZ (@yilmazcanyigit) 为我们提供的协助。

内核

由衷感谢 Vlad Tsyrklevich 为我们提供的协助。

备注

由衷感谢一位匿名研究人员为我们提供的协助。

照片

由衷感谢澳大利亚悉尼的 Peter Scott 为我们提供的协助。

共享表单

由衷感谢达姆施塔特工业大学 Secure Mobile Networking Lab 的 Milan Stute 为我们提供的协助。

状态栏

由衷感谢 Isaiah Kahler、Mohammed Adham 以及一位匿名研究人员为我们提供的协助。

电话

由衷感谢 Yiğit Can YILMAZ (@yilmazcanyigit) 为我们提供的协助。