Om sikkerhetsinnholdet i iOS 13.1 og iPadOS 13.1
I dette dokumentet beskrives sikkerhetsinnholdet i iOS 13.1 og iPadOS 13.1.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
iOS 13.1 og iPadOS 13.1
iOS 13.1 og iPadOS 13.1 inkluderer sikkerhetsinnholdet i iOS 13.
AppleFirmwareUpdateKext
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et sårbarhetsproblem med skadet minne ble løst gjennom forbedret låsing.
CVE-2019-8747: Mohamed Ghannam (@_simo36)
Lyd
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Behandling av en skadelig lydfil kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret tilstandshåndtering.
CVE-2019-8706: Yu Zhou fra Ant-financial Light-Year Security Lab
Lyd
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Behandling av en skadelig lydfil kan avdekke begrenset minne
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2019-8850: Anonym i samarbeid med Trend Micro Zero Day Initiative
Bøker
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Parsing av en skadelig iBooks-fil kan føre til vedvarende tjenestenekt
Beskrivelse: Et problem med tømming av ressurser ble løst gjennom forbedret validering av inndata.
CVE-2019-8774: Gertjan Franken fra imec-DistriNet, KU Leuven
Kjerne
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et sårbarhetsproblem med skadet minne ble løst gjennom forbedret låsing.
CVE-2019-8740: Mohamed Ghannam (@_simo36)
Kjerne
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: En lokal app kan være i stand til å lese en vedvarende kontoidentifikator
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret logikk.
CVE-2019-8809: Apple
Kjerne
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet
Beskrivelse: Problemet ble løst gjennom forbedret tillatelseslogikk.
CVE-2019-8780: Siguza
libxslt
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Flere problemer i libxslt
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2019-8750: funnet av OSS-Fuzz
mDNSResponder
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: En angriper i fysisk nærhet kan passivt se enhetsnavn i AWDL-kommunikasjoner
Beskrivelse: Dette problemet ble løst ved å erstatte enhetsnavn med en tilfeldig identifikator.
CVE-2019-8799: David Kreitschmann og Milan Stute fra Technische Universität Darmstadts Secure Mobile Networking Lab
Snarveier
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å avskjære SSH-trafikk fra «Kjør skript via SSH»-handlingen
Beskrivelse: Problemet ble løst ved å verifisere vertsnøkler ved tilkobling til en tidligere kjent SSH-server.
CVE-2019-8901: en anonym forsker
UIFoundation
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Et program kan utføre vilkårlig kode med systemrettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2019-8831: riusksk fra VulWar Corp i samarbeid med Trend Micros Zero Day Initiative
VoiceOver
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: En person med fysisk tilgang til en iOS-enhet kan få tilgang til kontakter fra låst skjerm
Beskrivelse: Problemet ble løst ved å begrense valgene som vises på en låst enhet.
CVE-2019-8775: videosdebarraquito
WebKit
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Besøk på et skadelig nettsted kan føre til at nettlesingsloggen avsløres
Beskrivelse: Det var et problem med opptegningen av nettsideelementer. Problemet ble løst med forbedret logikk.
CVE-2019-8769: Piérre Reimertz (@reimertz)
WebKit
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2019-8710: funnet av OSS-Fuzz
CVE-2019-8743: zhunki fra Codesafe Team ved Legendsec i Qi'anxin Group
CVE-2019-8751: Dongzhuo Zhao i samarbeid med ADLab hos Venustech
CVE-2019-8752: Dongzhuo Zhao i samarbeid med ADLab hos Venustech
CVE-2019-8763: Sergei Glazunov fra Google Project Zero
CVE-2019-8765: Samuel Groß fra Google Project Zero
CVE-2019-8766: funnet av OSS-Fuzz
CVE-2019-8773: funnet av OSS-Fuzz
WebKit
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret logikk.
CVE-2019-8762: Sergei Glazunov fra Google Project Zero
WebKit
Tilgjengelig for: iPhone 6s og nyere, iPad Air 2 og nyere, iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2020-9932: Dongzhuo Zhao i samarbeid med ADLab hos Venustech
Ytterligere anerkjennelse
boringssl
Vi vil gjerne takke Nimrod Aviram ved universitetet i Tel Aviv, Robert Merget ved Ruhr-universitetet i Bochum og Juraj Somorovsky ved Ruhr-universitetet i Bochum for hjelpen.
Finn iPhone
Vi vil gjerne takke en anonym forsker for hjelpen.
Identitetstjeneste
Vi vil gjerne takke Yiğit Can YILMAZ (@yilmazcanyigit) for hjelpen.
Kjerne
Vi vil gjerne takke Vlad Tsyrklevich for hjelpen.
Merknader
Vi vil gjerne takke en anonym forsker for hjelpen.
Bilder
Vi vil gjerne takke Peter Scott fra Sydney i Australia for hjelpen.
Deleark
Vi vil gjerne takke Milan Stute fra Secure Mobile Networking Lab ved Technische Universität Darmstadt for hjelpen.
Statuslinje
Vi vil gjerne takke Isaiah Kahler, Mohammed Adham og en anonym forsker for hjelpen.
Telefoni
Vi vil gjerne takke Yiğit Can YILMAZ (@yilmazcanyigit) for hjelpen.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.