O varnostni vsebini sistemov iOS 13.2 in iPadOS 13.2

Ta dokument opisuje varnostno vsebino sistemov iOS 13.2 in iPadOS 13.2.

O varnostnih posodobitvah družbe Apple

Apple zaradi zaščite svojih uporabnikov varnostne težave razkrije, opiše ali potrdi šele, ko je izvedena preiskava in so na voljo popravki ali izdaje. Najnovejše izdaje so navedene na strani z varnostnimi posodobitvami družbe Apple.

Če je mogoče, so za poimenovanje ranljivosti v varnostnih dokumentih družbe Apple uporabljeni identifikatorji CVE.

Za več informacij o varnosti obišči stran Varnost izdelkov Apple.

iOS 13.2 in iPadOS 13.2

Računi

Na voljo za: iPhone 6s in novejše različice, iPad Air 2 in novejše različice, iPad mini 4 in novejše različice ter iPod touch 7. generacije

Vpliv: oddaljeni napadalec lahko povzroči puščanje pomnilnika

Opis: odpravljena je težava z branjem zunaj omejitev, in sicer z izboljšanim preverjanjem vnosa.

CVE-2019-8787: Steffen Klee iz skupine Secure Mobile Networking Lab na univerzi Technische Universität Darmstadt

AirDrop,

Na voljo za: iPhone 6s in novejše različice, iPad Air 2 in novejše različice, iPad mini 4 in novejše različice ter iPod touch 7. generacije

Vpliv: prenosi v storitvi AirDrop so lahko nepričakovano sprejeti v načinu »Everyone« (Vsi)

Opis: odpravljena je težava z logiko, in sicer z izboljšanim preverjanjem.

CVE-2019-8796: Allison Husain z univerze UC Berkeley

App Store

Na voljo za: iPhone 6s in novejše različice, iPad Air 2 in novejše različice, iPad mini 4 in novejše različice ter iPod touch 7. generacije

Vpliv: lokalni napadalec se lahko prijavi v račun že prijavljenega uporabnika brez veljavnih poverilnic.

Opis: odpravljena je težava s preverjanjem pristnosti, in sicer z izboljšanim upravljanjem stanja.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

Povezane domene

Na voljo za: iPhone 6s in novejše različice, iPad Air 2 in novejše različice, iPad mini 4 in novejše različice ter iPod touch 7. generacije

Vpliv: nepravilna obdelava naslova URL lahko povzroči nepooblaščeno filtriranje podatkov

Opis: prihajalo je do težave pri razčlenjevanju naslovov URL. Ta težava je odpravljena z izboljšanim preverjanjem veljavnosti vnosa.

CVE-2019-8788: Juha Lindstedt iz podjetja Pakastin ter Mirko Tanania in Rauli Rikama iz podjetja Zero Keyboard Ltd

Zvok

Na voljo za: iPhone 6s in novejše različice, iPad Air 2 in novejše različice, iPad mini 4 in novejše različice ter iPod touch 7. generacije

Vpliv: aplikacija morda lahko izvede poljubno kodo s sistemskimi pravicami

Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.

CVE-2019-8785: Ian Beer iz podjetja Google Project Zero

CVE-2019-8797: 08Tc3wBB v sodelovanju s SSD Secure Disclosure

AVEVideoEncoder

Na voljo za: iPhone 6s in novejše različice, iPad Air 2 in novejše različice, iPad mini 4 in novejše različice ter iPod touch 7. generacije

Vpliv: aplikacija morda lahko izvede poljubno kodo s sistemskimi pravicami

Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.

CVE-2019-8795: 08Tc3wBB v sodelovanju s SSD Secure Disclosure

Knjige

Na voljo za: iPhone 6s in novejše različice, iPad Air 2 in novejše različice, iPad mini 4 in novejše različice ter iPod touch 7. generacije

Vpliv: razčlenitev zlonamerno ustvarjene datoteke aplikacije iBooks lahko povzroči razkritje podatkov uporabnika

Opis: pri obdelavi simboličnih povezav je prihajalo do težave s preverjanjem veljavnosti. Ta težava je odpravljena z izboljšanim preverjanjem veljavnosti simboličnih povezav.

CVE-2019-8789: Gertjan Franken iz podjetja imec-DistriNet, KU Leuven

Contacts (Stiki)

Na voljo za: iPhone 6s in novejše različice, iPad Air 2 in novejše različice, iPad mini 4 in novejše različice ter iPod touch 7. generacije

Vpliv: obdelava zlonamernega stika lahko povzroči uporabo lažnega uporabniškega vmesnika

Opis: odpravljena je težava z nedoslednim uporabniškim vmesnikom, in sicer z izboljšanim upravljanjem stanja.

CVE-2017-7152: Oliver Paukstadt iz podjetja Thinking Objects GmbH (to.com)

Dogodki datotečnega sistema

Na voljo za: iPhone 6s in novejše različice, iPad Air 2 in novejše različice, iPad mini 4 in novejše različice ter iPod touch 7. generacije

Vpliv: aplikacija morda lahko izvede poljubno kodo s sistemskimi pravicami

Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.

CVE-2019-8798: ABC Research s.r.o. v sodelovanju s člani programa Trend Micro's Zero Day Initiative

Grafični gonilnik

Na voljo za: iPhone 6s in novejše različice, iPad Air 2 in novejše različice, iPad mini 4 in novejše različice ter iPod touch 7. generacije

Vpliv: aplikacija morda lahko izvede poljubno kodo s sistemskimi pravicami

Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.

CVE-2019-8784: Vasiliy Vasilyev in Ilya Finogeev iz podjetja Webinar, LLC

Jedro

Na voljo za: iPhone 6s in novejše različice, iPad Air 2 in novejše različice, iPad mini 4 in novejše različice ter iPod touch 7. generacije

Vpliv: aplikacija morda lahko prebere omejeni pomnilnik

Opis: odpravljena je težava s preverjanjem veljavnosti, in sicer z izboljšanim čiščenjem vnosa.

CVE-2019-8794: 08Tc3wBB v sodelovanju s SSD Secure Disclosure

Jedro

Na voljo za: iPhone 6s in novejše različice, iPad Air 2 in novejše različice, iPad mini 4 in novejše različice ter iPod touch 7. generacije

Vpliv: aplikacija morda lahko izvede poljubno kodo s pravicami jedra

Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.

CVE-2019-8786: Wen Xu z inštituta Georgia Tech, pripravnik v programu Microsoft Offensive Security Research

Jedro

Na voljo za: iPhone 6s in novejše različice, iPad Air 2 in novejše različice, iPad mini 4 in novejše različice ter iPod touch 7. generacije

Vpliv: aplikacija morda lahko izvede poljubno kodo s pravicami jedra

Opis: odpravljena je ranljivost zaradi poškodbe pomnilnika, in sicer z izboljšanim zaklepanjem.

CVE-2019-8829: Jann Horn iz podjetja Google Project Zero

Pomočnik za nastavitev

Na voljo za: iPhone 6s in novejše različice, iPad Air 2 in novejše različice, iPad mini 4 in novejše različice ter iPod touch 7. generacije

Vpliv: napadalec v fizični bližini morda lahko prisili uporabnika, da pri nastavitvi naprave vzpostavi povezavo z zlonamernim omrežjem Wi-Fi

Opis: odpravljene so težave, povezane z nedoslednostjo v nastavitvah konfiguracije omrežja Wi-Fi.

CVE-2019-8804: Christy Philip Mathew iz podjetja Zimperium, Inc

Snemanje zaslona

Na voljo za: iPhone 6s in novejše različice, iPad Air 2 in novejše različice, iPad mini 4 in novejše različice ter iPod touch 7. generacije

Vpliv: lokalni uporabnik morda lahko posname zaslona brez vidnega indikatorja za snemanje

Opis: pri odločanju, kdaj je treba prikazati indikator za snemanje zaslona, je prihajalo do težave z doslednostjo. Ta težava je odpravljena z izboljšanim upravljanjem stanja.

CVE-2019-8793: Ryan Jenkins s šole Lake Forrest Prep School

WebKit

Na voljo za: iPhone 6s in novejše različice, iPad Air 2 in novejše različice, iPad mini 4 in novejše različice ter iPod touch 7. generacije

Vpliv: obdelava zlonamerno oblikovane spletne vsebine lahko povzroči splošno križno izvajanje skriptov

Opis: odpravljena je težava z logiko, in sicer z izboljšanim upravljanjem stanja.

CVE-2019-8813: anonimni raziskovalec

WebKit

Na voljo za: iPhone 6s in novejše različice, iPad Air 2 in novejše različice, iPad mini 4 in novejše različice ter iPod touch 7. generacije

Vpliv: obdelava zlonamerno oblikovane spletne vsebine lahko povzroči izvedbo poljubne kode

Opis: odpravljenih je več težav s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.

CVE-2019-8782: Cheolung Lee iz skupine LINE+ Security

CVE-2019-8783: Cheolung Lee iz skupine LINE+ Graylab Security

CVE-2019-8808: našel OSS-Fuzz

CVE-2019-8811: Soyeon Park iz skupine SSLab na inštitutu Georgia Tech

CVE-2019-8812: JunDong Xie iz podjetja Ant-financial Light-Year Security Lab

CVE-2019-8814: Cheolung Lee iz skupine LINE+ Security

CVE-2019-8816: Soyeon Park iz skupine SSLab na inštitutu Georgia Tech

CVE-2019-8819: Cheolung Lee iz skupine LINE+ Security

CVE-2019-8820: Samuel Groß iz podjetja Google Project Zero

CVE-2019-8821: Sergei Glazunov iz podjetja Google Project Zero

CVE-2019-8822: Sergei Glazunov iz podjetja Google Project Zero

CVE-2019-8823: Sergei Glazunov iz podjetja Google Project Zero

WebKit

Na voljo za: iPhone 6s in novejše različice, iPad Air 2 in novejše različice, iPad mini 4 in novejše različice ter iPod touch 7. generacije

Vpliv: pri obisku zlonamerno ustvarjenega spletnega mesta so lahko razkrita spletna mesta, ki jih je uporabnik obiskal

Opis: naslov klicatelja v glavi HTTP je morda lahko uporabljen za razkritje zgodovine brskanja. Težava je odpravljena z zamenjavo vseh naslovov klicateljev neodvisnih ponudnikov z izvorno različico.

CVE-2019-8827: Artur Janc, Krzysztof Kotowicz, Lukas Weichselbaum in Roberto Clapis iz podjetja Google Security Team

Procesni model WebKit

Na voljo za: iPhone 6s in novejše različice, iPad Air 2 in novejše različice, iPad mini 4 in novejše različice ter iPod touch 7. generacije

Vpliv: obdelava zlonamerno oblikovane spletne vsebine lahko povzroči izvedbo poljubne kode

Opis: odpravljenih je več težav s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.

CVE-2019-8815: Apple

Wi-Fi

Na voljo za: iPhone 6s in novejše različice, iPad Air 2 in novejše različice, iPad mini 4 in novejše različice ter iPod touch 7. generacije

Vpliv: napadalec v dosegu omrežja Wi-Fi si morda lahko ogleda majhno količino omrežnega prometa

Opis: pri obdelavi prehodov stanj je prihajalo do težave z logiko. Ta težava je odpravljena z izboljšanim upravljanjem stanja.

CVE-2019-15126: Milos Cermak iz podjetja ESET

Dodatne zahvale

CFNetwork

Za pomoč se zahvaljujemo Lily Chen iz Googla.

Jedro

Za pomoč se zahvaljujemo Danielu Roethlisbergerju iz podjetja Swisscom CSIRT in Jannu Hornu iz podjetja Google Project Zero.

WebKit

Za pomoč se zahvaljujemo uporabniku Dlive iz podjetja Tencent's Xuanwu Lab in Zhiyi Zhang iz skupine Codesafe Team podjetja Legendsec, at Qi'anxin Group.