Informacije o sigurnosnom sadržaju sustava iOS 15.1 i iPadOS 15.1
U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 15.1 i iPadOS 15.1.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
iOS 15.1 i iPadOS 15.1
Audio
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: zlonamjerne aplikacije mogle su si povećati ovlasti
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30907: Zweig (Kunlun Lab)
ColorSync
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: u obradi ICC profila pojavio se problem s oštećenjem memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30917: Alexandru-Vlad Niculae i Mateusz Jurczyk (Google Project Zero)
Continuity Camera
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: lokalni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s nizom nekontroliranog formata riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30903: Gongyu Ma sa Sveučilišta Hangzhou Dianzi
CoreAudio
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjerno stvorene datoteke mogli su se otkriti korisnički podaci
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30905: Mickey Jin (@patch1t) (Trend Micro)
CoreGraphics
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjerne PDF datoteke moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30919
Davatelj datoteka
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: zlonamjerna aplikacija mogla bi zaobići postavke privatnosti
Opis: problem s dozvolama riješen je poboljšanom provjerom valjanosti.
CVE-2021-31007: Csaba Fitzl (@theevilbit) (Offensive Security)
FileProvider
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: raspakiravanjem zlonamjerne arhive moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanim rukovanjem memorijom.
CVE-2021-30881: Simon Huang (@HuangShaomang) i pjf (IceSword Lab, Qihoo 360)
File System
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod
Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.
CVE-2021-30923: Pan ZhenPeng (@Peterpan0927) (Alibaba Security Pandora Lab)
Game Center
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: zlonamjerna aplikacija mogla bi pristupiti podacima o korisnikovim kontaktima
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2021-30895: Denis Tokarev (@illusionofcha0s)
GPU Drivers
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30900: Yinyi Wu (@3ndy1) (Ant Security Light-Year Lab)
GPU Drivers
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30914: Zuozhi Fan (@pattern_F_) (Ant Security TianQiong Lab)
iCloud
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: lokalni napadač mogao bi povećati svoje ovlasti
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30906: Cees Elzinga
Image Processing
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30894: Pan ZhenPeng (@Peterpan0927) (Alibaba Security Pandora Lab)
Kernel
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: udaljeni napadač mogao je izazvati neočekivano ponovno pokretanje uređaja
Opis: problem s odbijanjem pružanja usluge riješen je poboljšanim rukovanjem stanjem.
CVE-2021-30924: Elaman Iskakov (@darling_x0r) (Effective) i Alexey Katkov (@watman27)
Kernel
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-30886: @0xalsr
Kernel
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2021-30909: Zweig (Kunlun Lab)
Kernel
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2021-30916: Zweig (Kunlun Lab)
Model I/O
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjerno stvorene datoteke mogli su se otkriti korisnički podaci
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30910: Mickey Jin (@patch1t) (Trend Micro)
Model I/O
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjerne USD datoteke moglo je doći do otkrivanja sadržaja memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30911: Rui Yang i Xingwei Lin (Ant Security Light-Year Lab)
Siri
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: lokalni napadač mogao bi na zaključanom zaslonu vidjeti kontakte
Opis: problem sa zaključanim zaslonom omogućio je pristup kontaktima na zaključanom uređaju. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2021-30875: Abhay Kailasia (@abhay_kailasia) (Lakshmi Narain College of Technology)
UIKit
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: osobe s fizičkim pristupom uređaju mogle su otkriti karakteristike korisnikove lozinke u polju za unos sigurnog teksta
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30915: Kostas Angelopoulos
Voice Control
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: lokalni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-30902: 08Tc3wBB (ZecOps Mobile EDR Team)
WebKit
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjernog web-sadržaja mogao bi se potaknuti neočekivani nenametnuti pravilnik o sigurnosti sadržaja
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2021-30887: Narendra Bhati (@imnarendrabhati) Suma Soft Pvt. Ltd.)
WebKit
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: zlonamjerno web-mjesto koje koristi izvješća pravilnika o sigurnosti sadržaja moglo bi propustiti informacije putem ponašanja preusmjeravanja
Opis: riješen je problem u vezi s propuštanjem podataka.
CVE-2021-30888: Prakash (@1lastBr3ath)
WebKit
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2021-30889: Chijin Zhou (ShuiMuYuLin Ltd) i Tsinghua wingtecher lab
WebKit
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30890: anonimni istraživač
Dodatna zahvala
iCloud
Na pomoći zahvaljujemo Ryanu Pickrenu (ryanpickren.com).
Na pomoći zahvaljujemo Fabianu Isingu i Damianu Poddebniaku (Sveučilište primijenjenih znanosti u Münsteru).
NetworkExtension
Željeli bismo zahvaliti Alexu Baueru (Branch) na pomoći.
Siri
Željeli bismo zahvaliti Abhayu Kailasiji (@abhay_kailasia) (Lakshmi Narain College of Technology) za njegovu pomoć.
WebKit
Na pomoći zahvaljujemo Ivanu Fratricu (Google Project Zero), Pavelu Gromadchuku i anonimnom istraživaču.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.