Sobre o conteúdo de segurança do iOS 14.5 e iPadOS 14.5

Este documento descreve o conteúdo de segurança do iOS 14.5 e iPadOS 14.5.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple.

iOS 14.5 e iPadOS 14.5

Accessibility

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: uma pessoa com acesso físico a um dispositivo iOS pode acessar as notas por meio da tela bloqueada

Descrição: esse problema foi resolvido por meio de melhorias nas verificações.

CVE-2021-1835: videosdebarraquito

App Store

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: um invasor em uma posição de rede privilegiada pode alterar o tráfego de rede

Descrição: um problema de validação de certificado foi resolvido.

CVE-2021-1837: Aapo Oksman da Nixu Cybersecurity

Apple Neural Engine

Disponível para: iPhone 8 e posterior, iPad Pro (3ª geração) e posterior, iPad Air (3ª geração) e posterior

Impacto: um aplicativo malicioso pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2021-1867: Zuozhi Fan (@pattern_F_) e Wish Wu (吴潍浠) do Ant Group Tianqiong Security Lab

AppleMobileFileIntegrity

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: um aplicativo malicioso pode conseguir ignorar as preferências de privacidade

Descrição: um problema na validação da assinatura de códigos foi resolvido por meio de melhorias nas verificações.

CVE-2021-1849: Siguza

Assets

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: um usuário local pode criar ou modificar arquivos com privilégios

Descrição: um problema de lógica foi resolvido por meio de melhorias nas restrições.

CVE-2021-1836: pesquisador anônimo

Audio

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: um aplicativo pode conseguir ler a memória restrita

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação.

CVE-2021-1808: JunDong Xie do Ant Security Light-Year Lab

Audio

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: processar um arquivo de áudio criado com códigos maliciosos pode levar à execução arbitrária de códigos

Descrição: um problema de consumo de memória foi resolvido por meio de melhorias no processamento da memória.

CVE-2021-30742: Mickey Jin da Trend Micro em parceria com a Zero Day Initiative da Trend Micro

CFNetwork

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: processar conteúdo da web criado com códigos maliciosos pode divulgar informações confidenciais do usuário

Descrição: um problema na inicialização da memória foi resolvido por meio de melhorias no processamento da memória.

CVE-2021-1857: pesquisador anônimo

Compression

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: processar uma imagem criada com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2021-30752: Ye Zhang (@co0py_Cat) da Baidu Security

CoreAudio

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: processar um arquivo criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2021-30664: JunDong Xie do Ant Security Light-Year Lab

CoreAudio

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: processar um arquivo criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2021-30664: JunDong Xie do Ant Security Light-Year Lab

CoreAudio

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: processar um arquivo de áudio criado com códigos maliciosos pode divulgar memória restrita

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2021-1846: JunDong Xie do Ant Security Light-Year Lab

CoreAudio

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: um aplicativo malicioso pode ler a memória restrita

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação.

CVE-2021-1809: JunDong Xie do Ant Security Light-Year Lab

CoreFoundation

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: um aplicativo malicioso pode causar vazamento de informações confidenciais do usuário

Descrição: um problema de validação foi resolvido por meio de melhorias na lógica.

CVE-2021-30659: Thijs Alkemade da Computest

Core Motion

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema

Descrição: um problema de lógica foi resolvido por meio de melhorias na validação.

CVE-2021-1812: Siddharth Aeri (@b1n4r1b01)

CoreText

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: processar uma fonte criada com códigos maliciosos pode causar a divulgação da memória de processo

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estado.

CVE-2021-1811: Xingwei Lin do Ant Security Light-Year Lab

FaceTime

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: colocar uma chamada do CallKit no mudo enquanto está chamando pode não silenciar a chamada

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estado.

CVE-2021-1872: Siraj Zaneer do Facebook

FontParser

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2021-1881: pesquisador anônimo, Xingwei Lin do Ant Security Light-Year Lab, Mickey Jin da Trend Micro e Hou JingYi (@hjy79425575) da Qihoo 360

Foundation

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: um aplicativo pode obter privilégios elevados

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação.

CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)

Foundation

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: um aplicativo malicioso pode obter privilégios raiz

Descrição: um problema de validação foi resolvido por meio de melhorias na lógica.

CVE-2021-1813: Cees Elzinga

GPU Drivers

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: um aplicativo malicioso pode determinar o layout de memória do kernel

Descrição: um problema de acesso foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2021-30656: Justin Sherman da University of Maryland, Baltimore County

Heimdal

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: processar mensagens de servidor criadas com códigos maliciosos pode causar o corrompimento do heap

Descrição: esse problema foi resolvido por meio de melhorias nas verificações.

CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)

Heimdal

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: um invasor remoto pode causar uma negação de serviço

Descrição: uma condição de corrida foi resolvida por meio de melhorias no bloqueio.

CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)

ImageIO

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: processar uma imagem criada com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2021-30743: CFF da Topsec Alpha Team, Ye Zhang (@co0py_Cat) da Baidu Security e Jeonghoon Shin (@singi21a) da THEORI em parceria com a Zero Day Initiative da Trend Micro

ImageIO

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: processar uma imagem criada com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2021-1885: CFF da Topsec Alpha Team

ImageIO

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: processar uma imagem criada com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: esse problema foi resolvido por meio de melhorias nas verificações.

CVE-2021-30653: Ye Zhang da Baidu Security

CVE-2021-1843: Ye Zhang da Baidu Security

ImageIO

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: processar uma imagem criada com códigos maliciosos pode levar à execução arbitrária de códigos

Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2021-1858: Mickey Jin da Trend Micro

ImageIO

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: processar um arquivo criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: esse problema foi resolvido por meio de melhorias nas verificações.

CVE-2021-30764: anônimo em parceria com a Zero Day Initiative da Trend Micro

CVE-2021-30662: anônimo em parceria com a Zero Day Initiative da Trend Micro, Jzhu em parceria com a Zero Day Initiative da Trend Micro

iTunes Store

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: um invasor com execução de JavaScript pode causar a execução arbitrária de códigos

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2021-1864: CodeColorist do Ant-Financial LightYear Labs

Kernel

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: um usuário local pode ler a memória do kernel

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2021-1877: Zuozhi Fan (@pattern_F_) do Ant Group Tianqiong Security Lab

CVE-2021-1852: Zuozhi Fan (@pattern_F_) do Ant Group Tianqiong Security Lab

CVE-2021-1830: Tielei Wang do Pangu Lab

Kernel

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estado.

CVE-2021-1874: Zuozhi Fan (@pattern_F_) do Ant Group Tianqiong Security Lab

CVE-2021-1851: @0xalsr

Kernel

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: um aplicativo malicioso pode divulgar a memória do kernel

Descrição: um problema na inicialização da memória foi resolvido por meio de melhorias no processamento da memória.

CVE-2021-1860: @0xalsr

Kernel

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de kernel

Descrição: um estouro de buffer foi resolvido por meio de melhorias na verificação de limites.

CVE-2021-1816: Tielei Wang do Pangu Lab

Kernel

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: arquivos copiados podem não ter as permissões de arquivo esperadas

Descrição: o problema foi resolvido por meio de melhorias na lógica de permissões.

CVE-2021-1832: pesquisador anônimo

Kernel

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: um aplicativo malicioso pode divulgar a memória do kernel

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2021-30660: Alex Plaskett

libxpc

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: um aplicativo malicioso pode obter privilégios raiz

Descrição: uma condição de corrida foi resolvida por meio de validação adicional.

CVE-2021-30652: James Hutchins

libxslt

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: processar um arquivo criado com códigos maliciosos pode causar o corrompimento do heap

Descrição: um problema do tipo "double free" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2021-1875: descoberto por OSS-Fuzz

MobileAccessoryUpdater

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: um aplicativo pode obter privilégios elevados

Descrição: esse problema foi resolvido por meio de melhorias nas verificações.

CVE-2021-1833: Cees Elzinga

MobileInstallation

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: um usuário local pode conseguir modificar partes protegidas do sistema de arquivos

Descrição: um problema de lógica foi resolvido por meio de melhorias nas restrições.

CVE-2021-1822: Bruno Virlet do The Grizzly Labs

Password Manager

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: uma senha de usuário pode ficar visível na tela

Descrição: um problema de ocultação de senhas em capturas de tela foi resolvido por meio de melhorias na lógica.

CVE-2021-1865: Shibin B Shaji da UST

Preferences

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: um usuário local pode conseguir modificar partes protegidas do sistema de arquivos

Descrição: um problema de análise no processamento de caminhos de diretório foi resolvido por meio de melhorias na validação de caminhos.

CVE-2021-1815: Zhipeng Huo (@R3dF09) e Yuebin Sun (@yuebinsun2020) do Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1739: Zhipeng Huo (@R3dF09) e Yuebin Sun (@yuebinsun2020) do Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1740: Zhipeng Huo (@R3dF09) e Yuebin Sun (@yuebinsun2020) do Tencent Security Xuanwu Lab (xlab.tencent.com)

Quick Response

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: uma pessoa com acesso físico a um dispositivo iOS talvez possa fazer ligações para qualquer número de telefone

Descrição: havia um problema na autenticação da ação acionado por uma etiqueta NFC. Esse problema foi resolvido por meio de melhorias na autenticação da ação.

CVE-2021-1863: REFHAN OZGORUR

Safari

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: um usuário local pode gravar arquivos arbitrários

Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.

CVE-2021-1807: David Schütz (@xdavidhu)

Shortcuts

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: um aplicativo pode permitir que atalhos acessem arquivos restritos

Descrição: o problema foi resolvido por meio de melhorias na lógica de permissões.

CVE-2021-1831: Bouke van der Bijl

Siri

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: um problema no acesso da busca da Siri a informações foi resolvido por meio de melhorias na lógica

Descrição: uma pessoa com acesso físico pode acessar os contatos.

CVE-2021-1862: Anshraj Srivastava (@AnshrajSrivas14) da UKEF

Tailspin

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: um invasor local pode conseguir elevar os próprios privilégios

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2021-1868: Tim Michaud da Zoom Communications

TCC

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: um aplicativo malicioso pode causar vazamento de informações confidenciais do usuário

Descrição: um problema de validação foi resolvido por meio de melhorias na lógica.

CVE-2021-30659: Thijs Alkemade da Computest

Telephony

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: uma rede celular antiga pode atender automaticamente uma chamada recebida quando uma chamada em andamento termina ou cai.

Descrição: um problema de término de chamada foi resolvido por meio de melhorias na lógica.

CVE-2021-1854: Steven Thorne da Cspire

UIKit

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: uma senha de usuário pode ficar visível na tela

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2021-30921: Maximilian Blochberger do Security in Distributed Systems Group da University of Hamburg

Wallet

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: um usuário local pode ver informações confidenciais no seletor de apps

Descrição: o problema foi resolvido por meio de melhorias no processamento da interface do usuário.

CVE-2021-1848: Bradley D’Amato da ActionIQ

WebKit

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: processar conteúdo da web criado com códigos maliciosos podia resultar em um ataque de transmissão de script entre sites

Descrição: um problema de validação de entrada foi resolvido por meio de melhorias na validação de entradas.

CVE-2021-1825: Alex Camboe da Aon’s Cyber Solutions

WebKit

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: processar conteúdo da web criado com códigos maliciosos pode levar à execução arbitrária de códigos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2021-1817: zhunki

WebKit

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução universal de scripts entre sites

Descrição: um problema de lógica foi resolvido por meio de melhorias nas restrições.

CVE-2021-1826: pesquisador anônimo

WebKit

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a divulgação da memória de processo

Descrição: um problema na inicialização da memória foi resolvido por meio de melhorias no processamento da memória.

CVE-2021-1820: André Bargull

WebKit Storage

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos. A Apple está ciente de um relato de que esse problema pode ter sido explorado ativamente.

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2021-30661: yangkang (@dnpushme) da 360 ATA

WebRTC

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: um invasor remoto pode causar o encerramento inesperado do sistema ou corromper a memória do kernel

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2020-7463: Megan2013678

Wi-Fi

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad (5ª geração) e posterior, iPad mini 4 e posterior, iPod touch (7ª geração)

Impacto: um estouro de buffer pode causar a execução arbitrária de códigos

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2021-1770: Jiska Classen (@naehrdine) do Secure Mobile Networking Lab, TU Darmstadt

Outros reconhecimentos

Accounts Framework

Gostaríamos de agradecer a Ellougani Mohamed da Dr.Phones Recycle Inc. pela ajuda.

AirDrop

Gostaríamos de agradecer a @maxzks pela ajuda.

Assets

Gostaríamos de agradecer a Cees Elzinga pela ajuda.

CoreAudio

Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.

CoreCrypto

Gostaríamos de agradecer a Andy Russon do Orange Group pela ajuda.

File Bookmark

Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.

Files

Gostaríamos de agradecer a Omar Espino (omespino.com) pela ajuda.

Foundation

Gostaríamos de agradecer a CodeColorist do Ant-Financial LightYear Labs pela ajuda.

Kernel

Gostaríamos de agradecer a Antonio Frighetto do Politecnico di Milano, GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä (@Turmio_) do SensorFu, Proteas, Tielei Wang do Pangu Lab e Zuozhi Fan (@pattern_F_) do Ant Group Tianqiong Security Lab pela ajuda.

Mail

Gostaríamos de agradecer a Lauritz Holtmann (@_lauritz_), Muhammed Korany (facebook.com/MohamedMoustafa4) e Yiğit Can YILMAZ (@yilmazcanyigit) pela ajuda.

NetworkExtension

Gostaríamos de agradecer a Fabian Hartmann pela ajuda.

Safari Private Browsing

Gostaríamos de agradecer a Dor Kahana e Griddaluru Veera Pranay Naidu pela ajuda.

Security

Gostaríamos de agradecer a Xingwei Lin do Ant Security Light-Year Lab e john (@nyan_satan) pela ajuda.

sysdiagnose

Gostaríamos de agradecer a Tim Michaud (@TimGMichaud) da Leviathan pela ajuda.

WebKit

Gostaríamos de agradecer a Emilio Cobos Álvarez da Mozilla pela ajuda.

WebSheet

Gostaríamos de agradecer a Patrick Clover pela ajuda.