Despre conținutul de securitate din iOS 14.5 și din iPadOS 14.5

Acest document descrie conținutul de securitate din iOS 14.5 și din iPadOS 14.5.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.

iOS 14.5 și iPadOS 14.5

Lansare: 26 aprilie 2021

Accessibility

Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)

Impact: o persoană cu acces fizic la un dispozitiv iOS poate accesa notițe din ecranul de blocare

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2021-1835: videosdebarraquito

App Store

Impact: este posibil ca un atacator dintr-o poziție privilegiată în rețea să poată modifica traficul de rețea

Descriere: a fost rezolvată o problemă de validare a certificatelor.

CVE-2021-1837: Aapo Oksman (Nixu Cybersecurity)

Apple Neural Engine

Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (a 3-a generație) și modelele ulterioare și iPad Air (a 3-a generație) și modelele ulterioare

Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2021-1867: Zuozhi Fan (@pattern_F_) și Wish Wu (吴潍浠) (Ant Group Tianqiong Security Lab)

AppleMobileFileIntegrity

Impact: este posibil ca o aplicație rău intenționată să poată ocoli preferințele de confidențialitate

Descriere: a fost rezolvată o problemă la validarea semnăturii codului prin verificări îmbunătățite.

CVE-2021-1849: Siguza

Assets

Impact: este posibil ca un utilizator local să poată să creeze sau să modifice fișiere privilegiate

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2021-1836: un cercetător anonim

Audio

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.

CVE-2021-1808: JunDong Xie (Ant Security Light-Year Lab)

Audio

Impact: procesarea unui fișier audio creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de consumare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2021-30742: Mickey Jin (Trend Micro) în colaborare cu Zero Day Initiative (Trend Micro)

Intrare adăugată pe 21 iulie 2021

CFNetwork

Impact: procesarea conținutului unui site web rău intenționat poate dezvălui informații sensibile ale utilizatorului

Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2021-1857: un cercetător anonim

Compression

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2021-30752: Ye Zhang(@co0py_Cat) din cadrul Baidu Security

Intrare adăugată pe 28 mai 2021

CoreAudio

Impact: procesarea unui fișier creat cu rea intenție poate duce la executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2021-30664: JunDong Xie (Ant Security Light-Year Lab)

Intrare adăugată pe 28 mai 2021

CoreAudio

Impact: procesarea unui fișier creat cu rea intenție poate duce la executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2021-30664: JunDong Xie (Ant Security Light-Year Lab)

Intrare adăugată pe 6 mai 2021

CoreAudio

Impact: procesarea unui fișier audio creat cu rea intenție poate cauza divulgarea memoriei restricționate

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2021-1846: JunDong Xie (Ant Security Light-Year Lab)

CoreAudio

Impact: o aplicație rău intenționată poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.

CVE-2021-1809: JunDong Xie (Ant Security Light-Year Lab)

CoreFoundation

Impact: o aplicație rău intenționată poate scurge informații sensibile ale utilizatorilor

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea logicii.

CVE-2021-30659: Thijs Alkemade (Computest)

Core Motion

Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.

CVE-2021-1812: Siddharth Aeri (@b1n4r1b01)

Intrare adăugată pe 28 mai 2021

CoreText

Impact: procesarea unui font creat cu rea intenție poate cauza divulgarea memoriei procesului

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2021-1811: Xingwei Lin (Ant Security Light-Year Lab)

FaceTime

Impact: anularea sunetului unui apel CallKit în timp ce sună soneria poate provoca activarea anulării sunetului

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2021-1872: Siraj Zaneer (Facebook)

FontParser

Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2021-1881: un cercetător anonim, Xingwei Lin (Ant Security Light-Year Lab), Mickey Jin (Trend Micro) și Hou JingYi (@hjy79425575) (Qihoo 360)

Foundation

Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.

CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)

Foundation

Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea logicii.

CVE-2021-1813: Cees Elzinga

GPU Drivers

Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să determine aspectul memoriei kernel

Descriere: a fost rezolvată o problemă de acces prin îmbunătățirea gestionării memoriei.

CVE-2021-30656: Justin Sherman (University of Maryland, Baltimore County)

Heimdal

Impact: procesarea unor mesaje de server create cu rea intenție poate provoca alterarea segmentului

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)

Heimdal

Impact: un atacator la distanță poate provoca un refuz al serviciului

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.

CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)

ImageIO

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.

CVE-2021-30743: CFF de la Topsec Alpha Team, Ye Zhang(@co0py_Cat) din cadrul Baidu Security și Jeonghoon Shin(@singi21a) de la THEORI în colaborare cu Trend Micro Zero Day Initiative

Intrare adăugată pe 28 mai 2021

ImageIO

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2021-1885: CFF (Topsec Alpha Team)

ImageIO

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2021-30653: Ye Zhang (Baidu Security)

CVE-2021-1843: Ye Zhang (Baidu Security)

ImageIO

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2021-1858: Mickey Jin (Trend Micro)

ImageIO

Impact: procesarea unui fișier creat cu rea intenție poate duce la executarea unui cod arbitrar

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2021-30764: anonim, în colaborare cu Zero Day Initiative (Trend Micro)

CVE-2021-30662: anonim, în colaborare cu Zero Day Initiative (Trend Micro), Jzhu în colaborare cu Zero Day Initiative (Trend Micro)

Intrare adăugată pe 21 iulie 2021

iTunes Store

Impact: este posibil ca un atacator cu executare de cod JavaScript să poată executa cod arbitrar

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2021-1864: CodeColorist (Ant-Financial LightYear Labs)

Kernel

Impact: un utilizator local poate citi memoria kernel

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2021-1877: Zuozhi Fan (@pattern_F_) de la Ant Group Tianqiong Security Lab

CVE-2021-1852: Zuozhi Fan (@pattern_F_) de la Ant Group Tianqiong Security Lab

CVE-2021-1830: Tielei Wang (Pangu Lab)

Kernel

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2021-1874: Zuozhi Fan (@pattern_F_) de la Ant Group Tianqiong Security Lab

CVE-2021-1851: @0xalsr

Kernel

Impact: o aplicație rău intenționată poate dezvălui conținutul memoriei nucleului

Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2021-1860: @0xalsr

Kernel

Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel

Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.

CVE-2021-1816: Tielei Wang (Pangu Lab)

Kernel

Impact: este posibil ca fișiere copiate să nu aibă permisiunile de fișier așteptate

Descriere: problema a fost remediată prin îmbunătățirea logicii pentru permisiuni.

CVE-2021-1832: un cercetător anonim

Kernel

Impact: o aplicație rău intenționată poate dezvălui conținutul memoriei nucleului

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2021-30660: Alex Plaskett

libxpc

Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină

Descriere: a fost rezolvată o condiție de rulare prin validare suplimentară.

CVE-2021-30652: James Hutchins

libxslt

Impact: este posibil ca procesarea unei fișier creat cu rea intenție să poată provoca alterarea segmentului

Descriere: o problemă de eliberare dublă a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2021-1875: problemă găsită de OSS-Fuzz

MobileAccessoryUpdater

Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2021-1833: Cees Elzinga

Intrare adăugată pe 28 mai 2021

MobileInstallation

Impact: un utilizator local poate modifica unele componente protejate ale sistemului de fișiere

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2021-1822: Bruno Virlet (The Grizzly Labs)

Password Manager

Impact: se poate ca parola unui utilizator să devină vizibilă pe ecran

Descriere: a fost rezolvată o problemă de ascundere a parolelor în capturi de ecran prin îmbunătățirea logicii.

CVE-2021-1865: Shibin B Shaji (UST)

Preferences

Impact: un utilizator local poate modifica unele componente protejate ale sistemului de fișiere

Descriere: o problemă de autorizare la gestionarea căilor directoarelor a fost rezolvată prin îmbunătățirea validării căilor.

CVE-2021-1815: Zhipeng Huo (@R3dF09) și Yuebin Sun (@yuebinsun2020) (Tencent Security Xuanwu Lab) (xlab.tencent.com)

CVE-2021-1739: Zhipeng Huo (@R3dF09) și Yuebin Sun (@yuebinsun2020) (Tencent Security Xuanwu Lab) (xlab.tencent.com)

CVE-2021-1740: Zhipeng Huo (@R3dF09) și Yuebin Sun (@yuebinsun2020) (Tencent Security Xuanwu Lab) (xlab.tencent.com)

Quick Response

Impact: o persoană cu acces fizic la un dispozitiv iOS poate efectua apeluri telefonice către orice număr de telefon

Descriere: a existat o problemă la autentificarea acțiunii declanșate de o etichetă NFC. Problema a fost rezolvată prin îmbunătățirea autentificării acțiunilor.

CVE-2021-1863: REFHAN OZGORUR

Intrare adăugată pe 28 mai 2021

Safari

Impact: este posibil ca un utilizator local să poată scrie fișiere arbitrare

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.

CVE-2021-1807: David Schütz (@xdavidhu)

Scurtături

Impact: este posibil ca o aplicație să permită scurtăturilor să acceseze fișiere restricționate

Descriere: problema a fost remediată prin îmbunătățirea logicii pentru permisiuni.

CVE-2021-1831: Bouke van der Bijl

Siri

Impact: o problemă legată de accesul Siri la căutarea informațiilor a fost abordată cu o logică îmbunătățită

Descriere: o persoană cu acces fizic poate accesa contacte.

CVE-2021-1862: Anshraj Srivastava (@AnshrajSrivas14) (UKEF)

Intrare adăugată pe 6 mai 2021, actualizată pe 21 iulie 2021

Tailspin

Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2021-1868: Tim Michaud (Zoom Communications)

TCC

Impact: o aplicație rău intenționată poate scurge informații sensibile ale utilizatorilor

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea logicii.

CVE-2021-30659: Thijs Alkemade (Computest)

Intrare adăugată pe 28 mai 2021

Telephony

Impact: o rețea celulară veche poate răspunde automat un apel primit atunci când un apel în desfășurare se încheie sau este abandonat.

Descriere: a fost rezolvată o problemă de terminare a apelurilor prin îmbunătățirea logicii.

CVE-2021-1854: Steven Thorne (Cspire)

UIKit

Impact: se poate ca parola unui utilizator să devină vizibilă pe ecran

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2021-30921: Maximilian Blochberger (Security in Distributed Systems Group – University of Hamburg)

Adăugare intrare: 19 ianuarie 2022

Wallet

Impact: este posibil ca un utilizator local să poată vizualiza informații sensibile în comutatorul de aplicații

Descriere: problema a fost remediată prin îmbunătățirea gestionării interfeței cu utilizatorul.

CVE-2021-1848: Bradley D’Amato (ActionIQ)

WebKit

Impact: procesarea unui conținut web creat cu rea intenție poate cauza un atac cu scripting între site-uri

Descriere: o problemă de validare a intrării a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2021-1825: Alex Camboe (Aon’s Cyber Solutions)

WebKit

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2021-1817: zhunki

Actualizare intrare: 6 mai 2021

WebKit

Impact: procesarea unui conținut web creat cu rea intenție poate cauza crearea de scripturi universale între site-uri

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2021-1826: un cercetător anonim

WebKit

Impact: procesarea conținutului unui site web creat cu rea intenție poate cauza divulgarea memoriei procesului

Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2021-1820: André Bargull

Actualizare intrare: 6 mai 2021

WebKit Storage

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar. Apple are cunoștință de un raport conform căruia această problemă ar fi putut fi exploatată în mod activ.

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2021-30661: yangkang (@dnpushme) (360 ATA)

WebRTC

Impact: un atacator la distanță ar putea cauza închiderea neașteptată a sistemului sau ar putea corupe memoria kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2020-7463: Megan2013678

Wi-Fi

Impact: depășirea memoriei tampon poate avea ca rezutlat executarea de cod arbitrar

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2021-1770: Jiska Classen (@naehrdine) (Secure Mobile Networking Lab, TU Darmstadt)

Intrare adăugată pe 28 mai 2021

Alte mențiuni

Accounts Framework

Dorim să-i mulțumim lui Ellougani Mohamed (Dr.Phones Recycle Inc.) pentru asistența acordată.

Intrare adăugată pe 6 mai 2021

AirDrop

Dorim să îi mulțumim lui @maxzks pentru asistență.

Intrare adăugată pe 6 mai 2021

Assets

Dorim să îi mulțumim lui Cees Elzinga pentru asistența acordată.

Intrare adăugată pe 6 mai 2021

CoreAudio

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

Intrare adăugată pe 6 mai 2021

CoreCrypto

Dorim să îi mulțumim lui Andy Davis (Orange Group) pentru asistența acordată.

Intrare adăugată pe 6 mai 2021

File Bookmark

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

Intrare adăugată pe 6 mai 2021

Fișiere

Dorim să îi mulțumim lui Omar Espino (omespino.com) pentru asistența acordată.

Intrare adăugată pe 25 mai 2022

Foundation

Dorim să îi mulțumim lui CodeColorist (Ant-Financial LightYear Labs) pentru asistența acordată.

Intrare adăugată pe 6 mai 2021

Kernel

Dorim să le mulțumim următoarelor persoane: Antonio Frighetto (Politecnico di Milano), GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä ( @Turmio_ ) (SensorFu), Proteas, Tielei Wang (Pangu Lab) și Zuozhi Fan (@pattern_F_) (Ant Group Tianqiong Security Lab) pentru asistența acordată.

Intrare adăugată pe 6 mai 2021

Mail

Dorim să le mulțumim lui Lauritz Holtmann (@_lauritz_), lui Muhammed Korany (facebook.com/MohamedMoustafa4) și lui Yiğit Can YILMAZ (@yilmazcanyigit) pentru asistența acordată.

Intrare adăugată pe 6 mai 2021

NetworkExtension

Dorim să îi mulțumim lui Fabian Hartmann pentru asistența acordată.

Intrare adăugată pe 6 mai 2021

Safari Private Browsing

Dorim să le mulțumim lui Dor Kahana și lui Griddaluru Veera Pranay Naidu pentru asistența acordată.

Intrare adăugată pe 6 mai 2021

Security

Dorim să le mulțumim lui Xingwei Lin (Ant Security Light-Year Lab) și lui john (@nyan_satan) pentru asistența acordată.

Intrare adăugată pe 6 mai 2021

sysdiagnose

Dorim să îi mulțumim lui Tim Michaud (@TimGMichaud) de la Leviathan pentru asistența acordată.

Intrare adăugată pe 6 mai 2021

WebKit

Dorim să îi mulțumim lui Emilio Cobos Álvarez de la Mozilla pentru asistența acordată.

Intrare adăugată pe 6 mai 2021

WebSheet

Dorim să-i mulțumim lui Patrick Clover pentru asistența acordată.

Intrare adăugată pe 6 mai 2021

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: 03 noiembrie 2023