Az iOS 14.5 és az iPadOS 14.5 biztonsági változásjegyzéke

Ez a dokumentum az iOS 14.5 és az iPadOS 14.5 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 14.5 és iPadOS 14.5

Accessibility

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező személyek a zárolt képernyőről hozzá tudtak férni a jegyzetekhez.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-1835: videosdebarraquito

App Store

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A kiváltságos hálózati pozícióban lévő támadók adott esetben módosítani tudták a hálózati forgalmat.

Leírás: Elhárult egy tanúsítványhitelesítéssel kapcsolatos probléma.

CVE-2021-1837: Aapo Oksman (Nixu Cybersecurity)

Apple Neural Engine

A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (3. generációs és újabb), iPad Air (3. generációs és újabb).

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2021-1867: Zuozhi Fan (@pattern_F_) és Wish Wu (吴潍浠, Ant Group Tianqiong Security Lab)

AppleMobileFileIntegrity

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások meg tudták kerülni az adatvédelmi beállításokat.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy kódaláírások hitelesítésével kapcsolatos problémát.

CVE-2021-1849: Siguza

Assets

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A helyi felhasználók magas jogosultságú fájlokat tudtak létrehozni vagy módosítani.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2021-1836: anonim kutató

Audio

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-1808: JunDong Xie (Ant Security Light-Year Lab)

Audio

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.

CVE-2021-30742: Mickey Jin (Trend Micro), a Trend Micro Zero Day Initiative közreműködőjeként

CFNetwork

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor adott esetben felfedhetők voltak a bizalmas felhasználói adatok.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2021-1857: anonim kutató

Compression

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2021-30752: Ye Zhang (@co0py_Cat), Baidu Security

CoreAudio

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2021-30664: JunDong Xie (Ant Security Light-Year Lab)

CoreAudio

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2021-30664: JunDong Xie (Ant Security Light-Year Lab)

CoreAudio

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor felfedhető volt a korlátozott memória.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2021-1846: JunDong Xie (Ant Security Light-Year Lab)

CoreAudio

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-1809: JunDong Xie (Ant Security Light-Year Lab)

CoreFoundation

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2021-30659: Thijs Alkemade (Computest)

Core Motion

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani rendszerszintű jogosultsággal.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.

CVE-2021-1812: Siddharth Aeri (@b1n4r1b01)

CoreText

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-1811: Xingwei Lin (Ant Security Light-Year Lab)

FaceTime

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy csengő CallKit-hívás elnémításakor a némítás nem aktiválódott.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-1872: Siraj Zaneer (Facebook)

FontParser

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2021-1881: anonim kutató, Xingwei Lin (Ant Security Light-Year Lab), Mickey Jin (Trend Micro) és Hou JingYi (@hjy79425575, Qihoo 360)

Foundation

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)

Foundation

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások gyökérszintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2021-1813: Cees Elzinga

GPU Drivers

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások meg tudták állapítani a kernelmemória felépítését.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy hozzáférési problémát.

CVE-2021-30656: Justin Sherman (University of Maryland, Baltimore County)

Heimdal

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott szerverüzenet feldolgozásakor sérült a halommemória.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)

Heimdal

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.

CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2021-30743: CFF (Topsec Alpha Team), Ye Zhang (@co0py_Cat, Baidu Security) és Jeonghoon Shin (@singi21a, THEORI) a Trend Micro Zero Day Initiative kezdeményezés keretében

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2021-1885: CFF (Topsec Alpha Team)

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30653: Ye Zhang (Baidu Security)

CVE-2021-1843: Ye Zhang (Baidu Security)

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2021-1858: Mickey Jin (Trend Micro)

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-30764: anonim kutató, a Trend Micro Zero Day Initiative közreműködőjeként

CVE-2021-30662: anonim kutató, a Trend Micro Zero Day Initiative közreműködőjeként, Jzhu, a Trend Micro Zero Day Initiative közreműködőjeként

iTunes Store

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A JavaScript-végrehajtással rendelkező támadók tetszőleges programkódot tudtak futtatni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2021-1864: CodeColorist (Ant-Financial LightYear Labs)

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy a helyi felhasználók olvasni tudták a kernelmemóriát.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2021-1877: Zuozhi Fan (@pattern_F_, Ant Group Tianqiong Security Lab)

CVE-2021-1852: Zuozhi Fan (@pattern_F_, Ant Group Tianqiong Security Lab)

CVE-2021-1830: Tielei Wang (Pangu Lab)

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-1874: Zuozhi Fan (@pattern_F_, Ant Group Tianqiong Security Lab)

CVE-2021-1851: @0xalsr

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások fel tudták fedni a kernelmemória tartalmát.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2021-1860: @0xalsr

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2021-1816: Tielei Wang (Pangu Lab)

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az átmásolt fájlok nem a várt fájlengedélyekkel rendelkeztek.

Leírás: Hatékonyabb engedélyezési logikával küszöböltük ki a problémát.

CVE-2021-1832: anonim kutató

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások fel tudták fedni a kernelmemória tartalmát.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2021-30660: Alex Plaskett

libxpc

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások gyökérszintű jogosultságokat tudtak szerezni.

Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.

CVE-2021-30652: James Hutchins

libxslt

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor sérült a halommemória.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2021-1875: megtaláló: OSS-Fuzz

MobileAccessoryUpdater

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-1833: Cees Elzinga

MobileInstallation

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A helyi felhasználók módosítani tudták a fájlrendszer védett részeit.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2021-1822: Bruno Virlet (The Grizzly Labs)

Password Manager

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy a felhasználói jelszó láthatóvá vált a képernyőn.

Leírás: Továbbfejlesztett logikával elhárítottuk azt a problémát, amely miatt a jelszavak megjelentek a képernyőképeken.

CVE-2021-1865: Shibin B Shaji (UST)

Preferences

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A helyi felhasználók módosítani tudták a fájlrendszer védett részeit.

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.

CVE-2021-1815: Zhipeng Huo (@R3dF09) és Yuebin Sun (@yuebinsun2020, Tencent Security Xuanwu Lab, xlab.tencent.com)

CVE-2021-1739: Zhipeng Huo (@R3dF09) és Yuebin Sun (@yuebinsun2020, Tencent Security Xuanwu Lab, xlab.tencent.com)

CVE-2021-1740: Zhipeng Huo (@R3dF09) és Yuebin Sun (@yuebinsun2020, Tencent Security Xuanwu Lab, xlab.tencent.com)

Quick Response

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az iOS rendszerű készülékhez fizikai hozzáféréssel rendelkező személy bármilyen számot fel tudott hívni.

Leírás: Az NFC-címke által kiváltott művelet hitelesítésével kapcsolatos probléma. A műveletek hatékonyabb hitelesítésével elhárítottuk a problémát.

CVE-2021-1863: REFHAN OZGORUR

Safari

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A helyi felhasználók írni tudtak tetszőleges fájlokat

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2021-1807: David Schütz (@xdavidhu)

Parancsok

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy alkalmazások parancsikont tudtak létrehozni korlátozott fájlok eléréséhez.

Leírás: Hatékonyabb engedélyezési logikával küszöböltük ki a problémát.

CVE-2021-1831: Bouke van der Bijl

Siri

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A logika továbbfejlesztésével elhárítottuk annak a lehetőségét, hogy a Sirivel végzett keresések során információkhoz lehessen hozzáférni

Leírás: A fizikai hozzáféréssel rendelkező személyek hozzá tudnak férni a névjegyekhez.

CVE-2021-1862: Anshraj Srivastava (@AnshrajSrivas14, UKEF)

Tailspin

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-1868: Tim Michaud (Zoom Communications)

TCC

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2021-30659: Thijs Alkemade (Computest)

Telefonálás

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A régi mobilhálózatok automatikusan fogadni tudtak bejövő hívást egy folyamatban lévő hívás befejezésekor vagy megszakadásakor.

Leírás: Továbbfejlesztett logikával elhárítottunk egy hívásbefejezéssel kapcsolatos problémát.

CVE-2021-1854: Steven Thorne (Cspire)

UIKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy a felhasználói jelszó láthatóvá vált a képernyőn.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-30921: Maximilian Blochberger (Security in Distributed Systems Group, University of Hamburg)

Wallet

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A helyi felhasználók meg tudtak tekinteni bizalmas jellegű információkat az alkalmazásváltóban.

Leírás: A probléma a felhasználói felület hatékonyabb kezelésével hárult el.

CVE-2021-1848: Bradley D’Amato (ActionIQ)

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.

CVE-2021-1825: Alex Camboe (Aon’s Cyber Solutions)

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2021-1817: zhunki

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2021-1826: anonim kutató

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a folyamatmemória közzététele.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2021-1820: André Bargull

WebKit Storage

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség. Az Apple tud egy jelentésről, mely szerint lehet, hogy ezt a problémát aktívan kihasználták.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2021-30661: yangkang(@dnpushme, 360 ATA)

WebRTC

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: A távoli támadók váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2020-7463: Megan2013678

Wi-Fi

A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.

Érintett terület: Előfordult, hogy puffertúlcsordulás következtében tetszőleges kód végrehajtására került sor.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2021-1770: Jiska Classen (@naehrdine), Secure Mobile Networking Lab, Darmstadti Műszaki Egyetem

További köszönetnyilvánítás

Accounts Framework

Köszönjük Ellougani Mohamed (Dr.Phones Recycle Inc.) segítségét.

AirDrop

Köszönjük @maxzks segítségét.

Assets

Köszönjük Cees Elzinga segítségét.

CoreAudio

Köszönjük egy anonim kutató segítségét.

CoreCrypto

Köszönjük Andy Russon (Orange Group) segítségét.

File Bookmark

Köszönjük egy anonim kutató segítségét.

Fájlok

Köszönjük Omar Espino (omespino.com) segítségét.

Foundation

Köszönjük CodeColorist (Ant-Financial LightYear Labs) segítségét.

Kernel

Köszönjük a következők segítségét: Antonio Frighetto (Politecnico di Milano), GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä (@Turmio_, SensorFu), Proteas, Tielei Wang (Pangu Lab) és Zuozhi Fan (@pattern_F_, Ant Group Tianqiong Security Lab).

Mail

Köszönjük Lauritz Holtmann (@_lauritz_), Muhammed Korany (facebook.com/MohamedMoustafa4) és Yiğit Can YILMAZ (@yilmazcanyigit) segítségét.

NetworkExtension

Köszönjük Fabian Hartmann segítségét.

Safari Private Browsing

Köszönjük Dor Kahana és Griddaluru Veera Pranay Naidu segítségét.

Security

Köszönjük Xingwei Lin (Ant Security Light-Year Lab) és john (@nyan_satan) segítségét.

sysdiagnose

Köszönjük Tim Michaud (@TimGMichaud; Leviathan) segítségét.

WebKit

Köszönjük Emilio Cobos Álvarez (Mozilla) segítségét.

WebSheet

Köszönjük Patrick Clover segítségét.