Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 13.2 και του iPadOS 13.2
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 13.2 και του iPadOS 13.2.
Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
iOS 13.2 και iPadOS 13.2
Λογαριασμοί
Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να διαρρεύσει μνήμη
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2019-8787: Steffen Klee του Secure Mobile Networking Lab στο Technische Universität Darmstadt
AirDrop
Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς
Αποτέλεσμα: Οι μεταφορές του AirDrop ενδέχεται να γίνουν απροσδόκητα αποδεκτές στη λειτουργία «Όλοι»
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2019-8796: Allison Husain του UC Berkeley
App Store
Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς
Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να συνδεθεί στον λογαριασμό ενός χρήστη που είχε συνδεθεί προηγουμένως χωρίς έγκυρα διαπιστευτήρια.
Περιγραφή: Ένα πρόβλημα ελέγχου ταυτότητας αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
Συσχετισμένοι τομείς
Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς
Αποτέλεσμα: Η λανθασμένη επεξεργασία URL ενδέχεται να οδηγήσει σε εξαγωγή δεδομένων
Περιγραφή: Υπήρχε ένα πρόβλημα στην ανάλυση διευθύνσεων URL. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2019-8788: Juha Lindstedt του Pakastin, Mirko Tanania και Rauli Rikama της Zero Keyboard Ltd
Ήχος
Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8785: Ian Beer του Google Project Zero
CVE-2019-8797: 08Tc3wBB σε συνεργασία με την SSD Secure Disclosure
AVEVideoEncoder
Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8795: 08Tc3wBB σε συνεργασία με την SSD Secure Disclosure
Βιβλία
Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς
Αποτέλεσμα: Η ανάλυση ενός κακόβουλου αρχείου iBooks ενδέχεται να οδηγήσει σε αποκάλυψη των πληροφοριών του χρήστη
Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό symlinks. Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επαλήθευση symlinks.
CVE-2019-8789: Gertjan Franken από την ομάδα imec-DistriNet του KU Leuven
Επαφές
Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης επαφής μπορεί να προκαλέσει πλαστογράφηση του περιβάλλοντος χρήστη
Περιγραφή: Ένα πρόβλημα μη συνεπούς περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2017-7152: Oliver Paukstadt της Thinking Objects GmbH (to.com)
Συμβάντα συστήματος αρχείων
Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8798: ABC Research s.r.o. σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
Πρόγραμμα οδήγησης γραφικών
Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8784: Vasiliy Vasilyev και Ilya Finogeev της Webinar, LLC
Πυρήνας
Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2019-8794: 08Tc3wBB σε συνεργασία με την SSD Secure Disclosure
Πυρήνας
Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8786: Wen Xu του Georgia Tech, Microsoft Offensive Security Research Intern
Πυρήνας
Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Μια ευπάθεια αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο κλείδωμα.
CVE-2019-8829: Jann Horn του Google Project Zero
Βοηθός διαμόρφωσης
Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς
Αποτέλεσμα: Ένας εισβολέας που βρίσκεται σε κοντινή απόσταση ενδέχεται να έχει τη δυνατότητα να εξαναγκάσει έναν χρήστη να συνδεθεί σε ένα κακόβουλο δίκτυο Wi-Fi κατά τη διάρκεια διαμόρφωσης συσκευής
Περιγραφή: Αντιμετωπίστηκε μια ασυνέπεια στις ρυθμίσεις διαμόρφωσης δικτύου Wi-Fi.
CVE-2019-8804: Christy Philip Mathew της Zimperium, Inc
Εγγραφή οθόνης
Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να πραγματοποιεί εγγραφή της οθόνης χωρίς ορατή ένδειξη εγγραφής οθόνης
Περιγραφή: Υπήρξε ένα πρόβλημα συνέπειας κατά τον καθορισμό της εμφάνισης της ένδειξης εγγραφής οθόνης. Το πρόβλημα επιλύθηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2019-8793: Ryan Jenkins του Lake Forrest Prep School
WebKit
Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2019-8813: ανώνυμος ερευνητής
WebKit
Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8782: Cheolung Lee από την ομάδα LINE+ Security Team
CVE-2019-8783: Cheolung Lee από την ομάδα LINE+ Graylab Security Team
CVE-2019-8808: εντοπίστηκε από το OSS-Fuzz
CVE-2019-8811: Soyeon Park του SSLab στο Georgia Tech
CVE-2019-8812: JunDong Xie του Ant-financial Light-Year Security Lab
CVE-2019-8814: Cheolung Lee από την ομάδα LINE+ Security Team
CVE-2019-8816: Soyeon Park του SSLab στο Georgia Tech
CVE-2019-8819: Cheolung Lee από την ομάδα LINE+ Security Team
CVE-2019-8820: Samuel Groß του Google Project Zero
CVE-2019-8821: Sergei Glazunov του Google Project Zero
CVE-2019-8822: Sergei Glazunov του Google Project Zero
CVE-2019-8823: Sergei Glazunov του Google Project Zero
WebKit
Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς
Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο μπορεί να αποκαλύψει τις τοποθεσίες που έχει επισκεφτεί ένας χρήστης
Περιγραφή: Η κεφαλίδα HTTP Referer μπορεί να χρησιμοποιηθεί για την αποκάλυψη του ιστορικού περιήγησης. Το πρόβλημα επιλύθηκε μέσω υποβάθμισης όλων των Referer τρίτων στην πηγή προέλευσής τους.
CVE-2019-8827: Artur Janc, Krzysztof Kotowicz, Lukas Weichselbaum και Roberto Clapis της ομάδας Google Security Team
Μοντέλο διεργασίας WebKit
Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8815: Apple
Wi-Fi
Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Air 2 και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch 7ης γενιάς
Αποτέλεσμα: Ένας εισβολέας στην εμβέλεια του Wi-Fi ενδέχεται να μπορεί να δει μικρή ποσότητα της κίνησης δικτύου
Περιγραφή: Υπήρχε ένα σφάλμα λογικής στον χειρισμό των μεταβάσεων κατάστασης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2019-15126: Milos Cermak στην ESET
Επιπλέον αναγνώριση
CFNetwork
Θα θέλαμε να ευχαριστήσουμε τον Lily Chen της Google για τη βοήθειά του.
Πυρήνας
Θα θέλαμε να ευχαριστήσουμε τους Daniel Roethlisberger της Swisscom CSIRT και Jann Horn του Google Project Zero για τη βοήθειά τους.
WebKit
Θα θέλαμε να ευχαριστήσουμε τους Dlive από το Xuanwu Lab της Tencent και Zhiyi Zhang από την ομάδα Codesafe της Legendsec στην Qi'anxin Group για τη βοήθειά τους.
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.