Проблеми системи безпеки, які усунено в оновленнях iOS 14.5 та iPadOS 14.5

У цьому документі описано проблеми системи безпеки, які усунено в оновленнях iOS 14.5 та iPadOS 14.5.

Відомості про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми та не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.

Документи про безпеку Apple класифікують вразливості за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

iOS 14.5 та iPadOS 14.5

Дата випуску: 26 квітня 2021 р.

Accessibility

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: користувач із фізичним доступом до пристрою iOS може отримати доступ до нотаток із замкненого екрана.

Опис: цю проблему вирішено завдяки поліпшенню перевірок.

CVE-2021-1835: користувач videosdebarraquito

App Store

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: зловмисник із привілейованим положенням у мережі може змінювати мережевий трафік.

Опис: проблему з перевіркою сертифіката вирішено.

CVE-2021-1837: Аапо Оксман (Aapo Oksman) з Nixu Cybersecurity

Apple Neural Engine

Цільові продукти: iPhone 8 і новіші моделі, iPad Pro (3-го покоління) і новіші моделі та iPad Air (3-го покоління) і новіші моделі

Вплив: шкідлива програма може виконувати довільний код із привілеями ядра.

Опис: проблему читання за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.

CVE-2021-1867: Цзочжі Фань (Zuozhi Fan, @pattern_F_) і Віш Ву (Wish Wu, 吴潍浠) з Ant Group Tianqiong Security Lab

AppleMobileFileIntegrity

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: шкідлива програма може обходити налаштування приватності.

Опис: проблему з перевіркою підпису коду вирішено завдяки поліпшенню перевірок.

CVE-2021-1849: користувач Siguza

Assets

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: локальний користувач може створювати або змінювати привілейовані файли.

Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.

CVE-2021-1836: анонімний дослідник

Audio

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: програма може зчитувати дані з області пам’яті з обмеженим доступом.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки.

CVE-2021-1808: Цзюньдун Се (JunDong Xie) з Ant Security Light-Year Lab

Audio

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: обробка шкідливого аудіофайлу може призводити до виконання довільного коду.

Опис: проблему з використанням пам’яті вирішено шляхом поліпшення обробки звернень до пам’яті.

CVE-2021-30742: Міккі Джин (Mickey Jin) з Trend Micro, що співпрацює з компанією Trend Micro в рамках ініціативи Zero Day Initiative

Запис додано 21 липня 2021 р.

CFNetwork

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: обробка шкідливого вебвмісту може призводити до розкриття конфіденційних даних користувача.

Опис: проблему з ініціалізацією пам’яті вирішено завдяки поліпшенню обробки звернень до пам’яті.

CVE-2021-1857: анонімний дослідник

Compression

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: обробка шкідливого зображення може призводити до виконання довільного коду.

Опис: проблему читання за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.

CVE-2021-30752: Є Чжан (Ye Zhang, @co0py_Cat) з Baidu Security

Запис додано 28 травня 2021 р.

CoreAudio

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: обробка шкідливого файлу могла призводити до виконання довільного коду.

Опис: проблему записування за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2021-30664: Цзюньдун Се (JunDong Xie) з Ant Security Light-Year Lab

Запис додано 28 травня 2021 р.

CoreAudio

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: обробка шкідливого файлу могла призводити до виконання довільного коду.

Опис: проблему записування за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2021-30664: Цзюньдун Се (JunDong Xie) з Ant Security Light-Year Lab

Запис додано 6 травня 2021 р.

CoreAudio

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: обробка шкідливого аудіофайлу може розкривати область пам’яті з обмеженим доступом.

Опис: проблему читання за межами виділеної області пам’яті вирішено шляхом поліпшення перевірки вводу.

CVE-2021-1846: Цзюньдун Се (JunDong Xie) з Ant Security Light-Year Lab

CoreAudio

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: шкідлива програма може зчитувати пам’ять з обмеженим доступом.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки.

CVE-2021-1809: Цзюньдун Се (JunDong Xie) з Ant Security Light-Year Lab

CoreFoundation

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: шкідлива програма може ініціювати витік конфіденційної інформації про користувача.

Опис: проблему з перевіркою вирішено завдяки поліпшенню логіки.

CVE-2021-30659: Тійс Алкемаде (Thijs Alkemade) з Computest

Core Motion

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: зловмисна програма може виконувати довільний код із системними привілеями.

Опис: проблему з логікою вирішено завдяки поліпшенню перевірки.

CVE-2021-1812: Сіддхарт Аері (Siddharth Aeri, @b1n4r1b01)

Запис додано 28 травня 2021 р.

CoreText

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: обробка шкідливого шрифту може призводити до розкриття пам’яті процесів.

Опис: проблему з логікою вирішено завдяки поліпшенню керування станами.

CVE-2021-1811: Сінвей Лі (Xingwei Lin) з Ant Security Light-Year Lab

FaceTime

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: вимкнення звуку під час виклику CallKit могло не спрацьовувати.

Опис: проблему з логікою вирішено завдяки поліпшенню керування станами.

CVE-2021-1872: Сірадж Занір (Siraj Zaneer) з Facebook

FontParser

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: обробка шкідливого файлу шрифту може призводити до виконання довільного коду.

Опис: проблему читання за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.

CVE-2021-1881: анонімний дослідник, Сінвей Лі (Xingwei Lin) з Ant Security Light-Year Lab, Міккі Джин (Mickey Jin) з Trend Micro та Хоу Цзіньї (Hou JingYi, @hjy79425575) з Qihoo 360

Foundation

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: програма може підвищувати рівень привілеїв.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки.

CVE-2021-1882: Гейб Кіркпатрік (Gabe Kirkpatrick, @gabe_k)

Foundation

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: зловмисна програма може підвищувати рівень привілеїв до кореневого користувача.

Опис: проблему з перевіркою вирішено завдяки поліпшенню логіки.

CVE-2021-1813: Сес Елзінга (Cees Elzinga)

GPU Drivers

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: зловмисна програма може визначати схему розподілу пам’яті в ядрі.

Опис: проблему з доступом вирішено завдяки вдосконаленню керування пам’яттю.

CVE-2021-30656: Джастін Шерман (Justin Sherman) з університету Меріленду, Балтимор

Heimdal

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: обробка шкідливих серверних повідомлень може призводити до пошкодження динамічної пам’яті.

Опис: цю проблему вирішено завдяки поліпшенню перевірок.

CVE-2021-1883: Гейб Кіркпатрік (Gabe Kirkpatrick, @gabe_k)

Heimdal

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: зловмисник може віддалено спричинити відмову в обслуговуванні.

Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню блокування.

CVE-2021-1884: Гейб Кіркпатрік (Gabe Kirkpatrick, @gabe_k)

ImageIO

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: обробка шкідливого зображення може призводити до виконання довільного коду.

Опис: проблему записування за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки вводу.

CVE-2021-30743: користувач CFF із Topsec Alpha Team, Є Чжан (Ye Zhang, @co0py_Cat) з Baidu Security та Чонхун Шин (Jeonghoon Shin, @singi21a) із THEORI, що співпрацює з компанією Trend Micro в рамках ініціативи Zero Day Initiative

Запис додано 28 травня 2021 р.

ImageIO

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: обробка шкідливого зображення може призводити до виконання довільного коду.

Опис: проблему читання за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2021-1885: користувач CFF із команди Topsec Alpha

ImageIO

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: обробка шкідливого зображення може призводити до виконання довільного коду.

Опис: цю проблему вирішено завдяки поліпшенню перевірок.

CVE-2021-30653: Є Чжан (Ye Zhang) з Baidu Security

CVE-2021-1843: Є Чжан (Ye Zhang) з Baidu Security

ImageIO

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: обробка шкідливого зображення може призводити до виконання довільного коду.

Опис: проблему записування за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2021-1858: Міккі Джин (Mickey Jin) з Trend Micro

ImageIO

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: обробка шкідливого файлу могла призводити до виконання довільного коду.

Опис: цю проблему вирішено завдяки поліпшенню перевірок.

CVE-2021-30764: анонімний користувач, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

CVE-2021-30662: анонімний дослідник і користувач Jzhu, що співпрацюють із компанією Trend Micro в рамках ініціативи Zero Day Initiative

Запис додано 21 липня 2021 р.

iTunes Store

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: зловмисник може виконувати довільний код, використовуючи JavaScript.

Опис: покращене керування пам’яттю усунуло проблему Use-After-Free.

CVE-2021-1864: користувач CodeColorist з Ant-Financial LightYear Labs

Kernel

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: локальний користувач може зчитувати пам’ять ядра.

Опис: проблему читання за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.

CVE-2021-1877: Цзочжі Фань (Zuozhi Fan, @pattern_F_) з Ant Group Tianqiong Security Lab

CVE-2021-1852: Цзочжі Фань (Zuozhi Fan, @pattern_F_) з Ant Group Tianqiong Security Lab

CVE-2021-1830: Тілей Ван (Tielei Wang) з Pangu Lab

Kernel

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему з логікою вирішено завдяки поліпшенню керування станами.

CVE-2021-1874: Цзочжі Фань (Zuozhi Fan, @pattern_F_) з Ant Group Tianqiong Security Lab

CVE-2021-1851: користувач @0xalsr

Kernel

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: шкідлива програма може розкривати пам’ять ядра.

Опис: проблему з ініціалізацією пам’яті вирішено завдяки поліпшенню обробки звернень до пам’яті.

CVE-2021-1860: користувач @0xalsr

Kernel

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: шкідлива програма може виконувати довільний код із привілеями ядра.

Опис: проблему переповнення буфера вирішено завдяки вдосконаленню перевірки меж.

CVE-2021-1816: Тілей Ван (Tielei Wang) з Pangu Lab

Kernel

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: у скопійованих файлів може не бути належних дозволів на доступ до файлів.

Опис: проблему усунено завдяки поліпшенню логіки дозволів.

CVE-2021-1832: анонімний дослідник

Kernel

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: шкідлива програма може розкривати пам’ять ядра.

Опис: проблему читання за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2021-30660: Алекс Пласкетт (Alex Plaskett)

libxpc

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: зловмисна програма може підвищувати рівень привілеїв до кореневого користувача.

Опис: проблему з виникненням умови змагання вирішено завдяки додатковій перевірці.

CVE-2021-30652: Джеймс Хатчінс (James Hutchins)

libxslt

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: обробка шкідливого файлу може призводити до пошкодження динамічної пам’яті.

Опис: проблему подвійного вивільнення вирішено завдяки поліпшенню керування пам’яттю.

CVE-2021-1875: виявлено за допомогою інструмента OSS-Fuzz

MobileAccessoryUpdater

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: програма може підвищувати рівень привілеїв.

Опис: цю проблему вирішено завдяки поліпшенню перевірок.

CVE-2021-1833: Сес Елзінга (Cees Elzinga)

Запис додано 28 травня 2021 р.

MobileInstallation

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: локальний користувач може змінювати захищені частини файлової системи.

Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.

CVE-2021-1822: Бруно Вірлет із The Grizzly Labs

Password Manager

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: пароль користувача може відображатися на екрані.

Опис: проблему з приховуванням паролів на знімках екрану вирішено завдяки вдосконаленню логіки.

CVE-2021-1865: Шибін Б Шаджі (Shibin B Shaji) з UST

Preferences

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: локальний користувач може змінювати захищені частини файлової системи.

Опис: проблему аналізу під час обробки шляхів до каталогів вирішено завдяки вдосконаленню перевірки шляхів.

CVE-2021-1815: Чжипен Хо (Zhipeng Huo, @R3dF09) і Юебін Сунь (Yuebin Sun, @yuebinsun2020) з Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1739: Чжипен Хо (Zhipeng Huo, @R3dF09) і Юебін Сунь (Yuebin Sun, @yuebinsun2020) з Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1740: Чжипен Хо (Zhipeng Huo, @R3dF09) і Юебін Сунь (Yuebin Sun, @yuebinsun2020) з Tencent Security Xuanwu Lab (xlab.tencent.com)

Quick Response

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: користувач із фізичним доступом до пристрою iOS міг телефонувати на будь-який номер.

Опис: під час автентифікації дії, ініційованої NFC-тегом, виникала проблема. Цю проблему вирішено завдяки вдосконаленню автентифікації дії.

CVE-2021-1863: Рефан Озгорур (Refhan Ozgorur)

Запис додано 28 травня 2021 р.

Safari

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: локальний користувач може записувати довільні файли.

Опис: проблему з перевіркою усунено завдяки поліпшеній обробці вводу.

CVE-2021-1807: Девід Шютц (David Schütz, @xdavidhu)

Shortcuts

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: програма може отримати доступ до файлів з обмеженим доступом через швидкі команди.

Опис: проблему усунено завдяки поліпшенню логіки дозволів.

CVE-2021-1831: Бауке ван дер Бійл (Bouke van der Bijl)

Siri

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: проблему, через яку функція пошуку Siri могла отримувати доступ до інформації, вирішено завдяки вдосконаленню логіки.

Опис: користувач із фізичним доступом до пристрою може отримати доступ до контактів.

CVE-2021-1862: Аншрадж Шрівастава (Anshraj Srivastava, @AnshrajSrivas14) з UKEF

Запис додано 6 травня 2021 р., оновлено 21 липня 2021 р.

Tailspin

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: локальний зловмисник може підвищувати рівень привілеїв.

Опис: проблему з логікою вирішено завдяки поліпшенню керування станами.

CVE-2021-1868: Тім Мішо (Tim Michaud) із Zoom Communications

TCC

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: шкідлива програма може ініціювати витік конфіденційної інформації про користувача.

Опис: проблему з перевіркою вирішено завдяки поліпшенню логіки.

CVE-2021-30659: Тійс Алкемаде (Thijs Alkemade) з Computest

Запис додано 28 травня 2021 р.

Telephony

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: застаріла стільникова мережа може автоматично відповідати на вхідні виклики після завершення або скидання поточного виклику.

Опис: проблему із завершенням виклику вирішено завдяки вдосконаленню логіки.

CVE-2021-1854: Стівен Торн (Steven Thorne) з Cspire

UIKit

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: пароль користувача може відображатися на екрані.

Опис: проблему з логікою вирішено завдяки поліпшенню керування станами.

CVE-2021-30921: Максиміліан Блохбергер (Maximilian Blochberger) із Security in Distributed Systems Group університету Гамбурга

Запис додано 19 січня 2022 р.

Гаманець

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: локальний користувач міг переглядати конфіденційну інформацію в Перемикачі програм.

Опис: проблему усунено завдяки поліпшенню обробки інтерфейсу користувача.

CVE-2021-1848: Бредлі Д’Амато (Bradley D’Amato) з ActionIQ

WebKit

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: обробка шкідливого вебвмісту може призводити до атаки за допомогою міжсайтових сценаріїв.

Опис: проблему перевірки вводу усунено завдяки поліпшенню перевірки вводу.

CVE-2021-1825: Алекс Камбо (Alex Camboe) з Aber's Cyber Solutions

WebKit

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню керування станами.

CVE-2021-1817: користувач zhunki

Запис оновлено 6 травня 2021 р.

WebKit

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: обробка шкідливого вебвмісту може призводити до виконання універсальних міжсайтових сценаріїв.

Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.

CVE-2021-1826: анонімний дослідник

WebKit

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: обробка шкідливого вебвмісту може призводити до розкриття пам’яті процесів.

Опис: проблему з ініціалізацією пам’яті вирішено завдяки поліпшенню обробки звернень до пам’яті.

CVE-2021-1820: Андре Баргулл (André Bargull)

Запис оновлено 6 травня 2021 р.

WebKit Storage

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду. Компанії Apple відомо, що цією проблемою могли активно користуватися.

Опис: покращене керування пам’яттю усунуло проблему Use-After-Free.

CVE-2021-30661: користувач yangkang (@dnpushme) з 360 ATA

WebRTC

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: зловмисник може віддалено спричиняти несподіване завершення роботи системи або пошкодження пам’яті ядра.

Опис: покращене керування пам’яттю усунуло проблему Use-After-Free.

CVE-2020-7463: користувач Megan2013678

Wi-Fi

Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)

Вплив: переповнення буфера могло призводити до виконання довільного коду.

Опис: проблему з логікою вирішено завдяки поліпшенню керування станами.

CVE-2021-1770: Джиска Классен (Jiska Classen, @naehrdine) із Secure Mobile Networking Lab, Дармштадтський технічний університет

Запис додано 28 травня 2021 р.

Додаткова подяка

Accounts Framework

Дякуємо за допомогу Мухаммеду Аль-Логані (Ellougani Mohamed) з Dr.Phones Recycle Inc.

Запис додано 6 травня 2021 р.

AirDrop

Дякуємо за допомогу користувачу @maxzks.

Запис додано 6 травня 2021 р.

Assets

Дякуємо за допомогу Сес Елзінга (Cees Elzinga).

Запис додано 6 травня 2021 р.

CoreAudio

Дякуємо за допомогу анонімному досліднику.

Запис додано 6 травня 2021 р.

CoreCrypto

Дякуємо за допомогу Енді Руссону (Andy Russon) з Orange Group.

Запис додано 6 травня 2021 р.

File Bookmark

Дякуємо за допомогу анонімному досліднику.

Запис додано 6 травня 2021 р.

Файли

Дякуємо за допомогу користувачу Омару Еспіно (Omar Espino, omespino.com) за допомогу.

Запис додано 25 травня 2022 р.

Foundation

Дякуємо за допомогу користувачу CodeColorist з Ant-Financial Light-Year Lab.

Запис додано 6 травня 2021 р.

Kernel

Дякуємо за допомогу Антоніо Фрігетто (Antonio Frighetto) з Міланського політехнічного університету, користувачу GRIMM, Кіу Ману (Keyu Man), Чжіюну Цяню (Zhiyun Qian), Чжунцзє Вану (Zhongjie Wang), Сяофену Чжену (Xiaofeng Zheng), Юджуну Хуану (Youjun Huang), Хайсіну Дуаню (Haixin Duan), Мікко Кенттала (Mikko Kenttälä, @Turmio_) із SensorFu, користувачу Proteas, Тілею Вану (Tielei Wang) з Pangu Lab і Цзочжі Фань (Zuozhi Fan, @pattern_F_) з Ant Group Tianqiong Security Lab.

Запис додано 6 травня 2021 р.

Пошта

Дякуємо за допомогу Лаурицу Хольтману (Lauritz Holtmann, @_lauritz_), Мухаммеду Корані (Muhammed Korany, facebook.com/MohamedMoustafa4) та Ігіт Кан Йільмазу (Yiğit Can Yılmaz, @yilmazcanyigit).

Запис додано 6 травня 2021 р.

NetworkExtension

Дякуємо за допомогу Фабіану Гартманe (Fabian Hartmann).

Запис додано 6 травня 2021 р.

Safari Private Browsing

Дякуємо за допомогу Дору Кахана (Dor Kahana) і Гріддалур Віра Пранай Найду (Griddaluru Veera Pranay Naidu).

Запис додано 6 травня 2021 р.

Security

Дякуємо за допомогу Сінвей Лі (Xingwei Lin) з Ant Security Light-Year Lab і користувачу john (@nyan_satan).

Запис додано 6 травня 2021 р.

sysdiagnose

Дякуємо за допомогу Тіму Мішо (Tim Michaud, @TimGMichaud) з Leviathan.

Запис додано 6 травня 2021 р.

WebKit

Дякуємо за допомогу Еміліо Кобосу Альваресу (Emilio Cobos Álvarez) з Mozilla.

Запис додано 6 травня 2021 р.

WebSheet

Дякуємо за допомогу Патріку Кловеру (Patrick Clover).

Запис додано 6 травня 2021 р.

Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.

Дата опублікування: