Informacije o sigurnosnom sadržaju sustava iOS 14.8.1 i iPadOS 14.8.1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 14.8.1 i iPadOS 14.8.1.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 14.8.1 i iPadOS 14.8.1

Audio

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: zlonamjerne aplikacije mogle su si povećati ovlasti

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-30907: Zweig (Kunlun Lab)

ColorSync

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije u obradi ICC profila riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-30926: Jeremy Brown

ColorSync

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: u obradi ICC profila pojavio se problem s oštećenjem memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-30917: Alexandru-Vlad Niculae i Mateusz Jurczyk (Google Project Zero)

Continuity Camera

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: lokalni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s nizom nekontroliranog formata riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-30903: Gongyu Ma sa Sveučilišta Hangzhou Dianzi

CoreGraphics

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: obradom zlonamjerne PDF datoteke moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-30919

GPU Drivers

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2021-30900: Yinyi Wu (@3ndy1) (Ant Security Light-Year Lab)

IOMobileFrameBuffer

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2021-30883: anonimni istraživač

Kernel

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2021-30909: Zweig (Kunlun Lab)

Kernel

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2021-30916: Zweig (Kunlun Lab)

Sidecar

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: lokalni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2021-30903: anonimni istraživač

Status Bar

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: korisnik bi mogao vidjeti ograničeni sadržaj na zaključanom zaslonu

Opis: problem sa zaključanim zaslonom riješen je poboljšanim upravljanjem stanjem.

CVE-2021-30918: videosdebarraquito

Voice Control

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: lokalni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2021-30902: 08Tc3wBB (ZecOps Mobile EDR Team)

WebKit

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: zlonamjerno web-mjesto koje koristi izvješća pravilnika o sigurnosti sadržaja moglo bi propustiti informacije putem ponašanja preusmjeravanja

Opis: riješen je problem u vezi s propuštanjem podataka.

CVE-2021-30888: Prakash (@1lastBr3ath)

Dodatna zahvala

WebKit

Željeli bismo zahvaliti·Ivanu Fratricu (Google Project Zero) na pomoći.