Despre conținutul de securitate din iOS 14.8.1 și iPadOS 14.8.1
Acest document descrie conținutul de securitate din iOS 14.8.1 și iPadOS 14.8.1.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
iOS 14.8.1 și iPadOS 14.8.1
Audio
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: o aplicație rău intenționată poate să acorde privilegii superioare
Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.
CVE-2021-30907: Zweig (Kunlun Lab)
ColorSync
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de alterare a memoriei în procesarea profilurilor ICC a fost rezolvată prin îmbunătățirea validării intrărilor.
CVE-2021-30926: Jeremy Brown
ColorSync
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a existat o problemă de alterare a memoriei la procesarea profilurilor ICC. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2021-30917: Alexandru-Vlad Niculae și Mateusz Jurczyk (Google Project Zero)
Continuity Camera
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: un atacator local poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de șir de formatare necontrolat prin îmbunătățirea validării intrării.
CVE-2021-30903: Gongyu Ma de la Hangzhou Dianzi University
CoreGraphics
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: procesarea unui PDF creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.
CVE-2021-30919
GPU Drivers
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2021-30900: Yinyi Wu (@3ndy1) de la Ant Security Light-Year Lab
IOMobileFrameBuffer
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel. Apple are cunoștință de un raport conform căruia această problemă ar fi putut fi exploatată în mod activ.
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2021-30883: un cercetător anonim
Kernel
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2021-30909: Zweig (Kunlun Lab)
Kernel
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2021-30916: Zweig (Kunlun Lab)
Sidecar
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: un atacator local poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2021-30903: un cercetător anonim
Status Bar
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: un utilizator poate vizualiza conținut restricționat din ecranul de blocare
Descriere: a fost rezolvată o problemă legată de ecranul de blocare prin gestionarea îmbunătățită a stării.
CVE-2021-30918: videosdebarraquito
Voice Control
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: un atacator local poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2021-30902: 08Tc3wBB (ZecOps Mobile EDR Team)
WebKit
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: un site web rău-intenționat care folosește rapoarte CSP (Content Security Policy – Politica privind securitatea conținutului) ar putea dezvălui informații printr-un comportament de redirecționare
Descriere: a fost remediată o problemă referitoare la scurgerea de informații.
CVE-2021-30888: Prakash (@1lastBr3ath)
Alte mențiuni
WebKit
Dorim să îi mulțumim lui Ivan Fratric (Google Project Zero) pentru asistența acordată.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.