Om sikkerhetsinnholdet i iOS 14.8.1 og iPadOS 14.8.1

I dette dokumentet beskrives sikkerhetsinnholdet i iOS 14.8.1 og iPadOS 14.8.1.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

iOS 14.8.1 og iPadOS 14.8.1

Utgitt 26. oktober 2021

Audio

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: Et skadelig program kan være i stand til å utvide rettigheter

Beskrivelse: Et problem med heltallsoverflyt ble løst gjennom forbedret validering av inndata.

CVE-2021-30907: Zweig fra Kunlun Lab

ColorSync

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med skadet minne i behandlingen av ICC-profiler ble løst gjennom forbedret inndatavalidering.

CVE-2021-30926: Jeremy Brown

Oppføring lagt til 25. mai 2022

ColorSync

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: Det var et problem med skadet minne i behandlingen av ICC-profiler. Problemet ble løst gjennom forbedret validering av inndata.

CVE-2021-30917: Alexandru-Vlad Niculae og Mateusz Jurczyk fra Google Project Zero

Continuity Camera

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: En lokal angriper kan forårsake uventet avslutning av et program eller utføring av vilkårlig kode

Beskrivelse: Et problem med ukontrollert formatstreng ble løst med forbedret validering av inndata.

CVE-2021-30903: Gongyu Ma fra Hangzhou Dianzi University

Oppføring oppdatert 25. mai 2022

CoreGraphics

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: Behandling av en skadelig PDF-fil kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2021-30919

GPU Drivers

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2021-30900: Yinyi Wu (@3ndy1) fra Ant Security Light-Year Lab

IOMobileFrameBuffer

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet aktivt.

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret minnehåndtering.

CVE-2021-30883: en anonym forsker

Kernel

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret minnehåndtering.

CVE-2021-30909: Zweig fra Kunlun Lab

Kernel

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret minnehåndtering.

CVE-2021-30916: Zweig fra Kunlun Lab

Sidecar

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: En lokal angriper kan forårsake uventet avslutning av et program eller utføring av vilkårlig kode

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2021-30903: en anonym forsker

Status Bar

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: En bruker kan være i stand til å se begrenset innhold på låst skjerm

Beskrivelse: Et problem med låst skjerm ble løst gjennom forbedret tilstandhåndtering.

CVE-2021-30918: videosdebarraquito

Voice Control

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: En lokal angriper kan forårsake uventet avslutning av et program eller utføring av vilkårlig kode

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2021-30902: 08Tc3wBB fra ZecOps Mobile EDR-teamet

WebKit

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: Et skadelig nettsted som bruker Content Security Policy-rapporter, kan lekke informasjon via omdirigeringsatferd

Beskrivelse: Et problem med lekking av informasjon ble løst.

CVE-2021-30888: Prakash (@1lastBr3ath)

Ytterligere anerkjennelser

WebKit

Vi vil gjerne takke Ivan Fratic fra Google Project Zero for hjelpen.

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: