Über den Sicherheitsinhalt von iOS 13.3.1 und iPadOS 13.3.1
Dieses Dokument beschreibt den Sicherheitsinhalt von iOS 13.3.1 und iPadOS 13.3.1.
Über Apple-Sicherheitsupdates
Zum Schutz unserer Kunden offenbart, diskutiert oder bestätigt Apple keine Sicherheitsprobleme, bis eine Untersuchung durchgeführt wurde und Patches oder Versionen verfügbar sind. Aktuelle Versionen sind auf der Apple-Seite für Sicherheitsupdates aufgeführt.
Apple-Sicherheitsdokumente verweisen wenn möglich auf Schwachstellen per CVE-ID .
Weitere Informationen zur Sicherheit finden Sie auf der Seite Apple-Produktsicherheit .
iOS 13.3.1 und iPadOS 13.3.1
Veröffentlicht am 28. Januar 2020
Audio
Verfügbar für: iPhone 6s und höher, iPad Air 2 und höher, iPad mini 4 und höher und iPod touch (7. Generation)
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Systemberechtigungen ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2020-3857: Zhuo Liang vom Qihoo 360 Vulcan-Team
FaceTime
Verfügbar für: iPhone 6s und höher, iPad Air 2 und höher, iPad mini 4 und höher und iPod touch (7. Generation)
Auswirkung: Ein Remote-FaceTime-Benutzer kann möglicherweise bewirken, dass die Kamera-Selbstansicht des lokalen Benutzers die falsche Kamera anzeigt
Beschreibung: Bei der Handhabung der Selbstansicht des lokalen Benutzers bestand ein Problem. Das Problem wurde mit verbesserter Logik behoben.
CVE-2020-3869: Elisa Lee
Dateien
Verfügbar für: iPhone 6s und höher, iPad Air 2 und höher, iPad mini 4 und höher und iPod touch (7. Generation)
Auswirkung: Eine bösartige Anwendung kann möglicherweise beliebige Dateien überschreiben
Beschreibung: Ein Zugriffsproblem wurde durch verbesserte Zugriffsbeschränkungen behoben.
CVE-2020-3855: Csaba Fitzl (@theevilbit)
Eintrag hinzugefügt am 19. Januar 2022
ImageIO
Verfügbar für: iPhone 6s und höher, iPad Air 2 und höher, iPad mini 4 und höher und iPod touch (7. Generation)
Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Lesevorgang außerhalb der Grenzen wurde mit einer verbesserten Eingabevalidierung behoben.
CVE-2020-3826: Samuel Groß von Google Project Zero
CVE-2020-3870
CVE-2020-3878: Samuel Groß von Google Project Zero
CVE-2020-3880: Samuel Groß von Google Project Zero
Eintrag aktualisiert am 4. April 2020
IOAcceleratorFamilie
Verfügbar für: iPhone 6s und höher, iPad Air 2 und höher, iPad mini 4 und höher und iPod touch (7. Generation)
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Privilegien ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2020-3837: Brandon Azad von Google Project Zero
IOUSBDeviceFamily
Verfügbar für: iPhone 6s und höher, iPad Air 2 und höher, iPad mini 4 und höher und iPod touch (7. Generation)
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Privilegien ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-8836: Xiaolong Bai und Min (Spark) Zheng von Alibaba Inc. und Luyi Xing von der Indiana University Bloomington
Eintrag hinzugefügt am 22. Juni 2020
IPSec
Verfügbar für: iPhone 6s und höher, iPad Air 2 und höher, iPad mini 4 und höher und iPod touch (7. Generation)
Auswirkung: Das Laden einer in böser Absicht erstellten Racoon-Konfigurationsdatei kann zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von Racoon-Konfigurationsdateien bestand ein Off-by-one-Problem. Dieses Problem wurde durch eine verbesserte Begrenzungsprüfung behoben.
CVE-2020-3840: @littlelailo
Kernel
Verfügbar für: iPhone 6s und höher, iPad Air 2 und höher, iPad mini 4 und höher und iPod touch (7. Generation)
Auswirkung: Eine Anwendung kann eingeschränkten Speicher lesen
Beschreibung: Ein Validierungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2020-3875: Brandon Azad von Google Project Zero
Kernel
Verfügbar für: iPhone 6s und höher, iPad Air 2 und höher, iPad mini 4 und höher und iPod touch (7. Generation)
Auswirkung: Eine Anwendung kann eingeschränkten Speicher lesen
Beschreibung: Ein Problem bei der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2020-3872: Haakon Garseg Mørk von Cognite und Cim Stordal von Cognite
Kernel
Verfügbar für: iPhone 6s und höher, iPad Air 2 und höher, iPad mini 4 und höher und iPod touch (7. Generation)
Auswirkung: Eine bösartige Anwendung kann möglicherweise das Kernel-Speicherlayout bestimmen
Beschreibung: Ein Zugriffsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2020-3836: Brandon Azad von Google Project Zero
Kernel
Verfügbar für: iPhone 6s und höher, iPad Air 2 und höher, iPad mini 4 und höher und iPod touch (7. Generation)
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Privilegien ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2020-3842: Ned Williamson arbeitet mit Google Project Zero
CVE-2020-3858: Xiaolong Bai und Min (Spark) Zheng von Alibaba Inc, Luyi Xing von der Indiana University Bloomington
Kernel
Verfügbar für: iPhone 6s und höher, iPad Air 2 und höher, iPad mini 4 und höher und iPod touch (7. Generation)
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Privilegien ausführen
Beschreibung: Eine Racebedingung wurde mit verbesserter Sperrung behoben.
CVE-2020-3831: Chilik Tamir von Zimperium zLabs, Corellium, Proteas vom Qihoo 360 Nirvan Team
Eintrag aktualisiert am 19. März 2020
Kernel
Verfügbar für: iPhone 6s und höher, iPad Air 2 und höher, iPad mini 4 und höher und iPod touch (7. Generation)
Auswirkung: Eine bösartige Anwendung kann möglicherweise beliebigen Code mit Systemberechtigungen ausführen
Beschreibung: Ein Typverwirrungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2020-3853: Brandon Azad von Google Project Zero
Kernel
Verfügbar für: iPhone 6s und höher, iPad Air 2 und höher, iPad mini 4 und höher und iPod touch (7. Generation)
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Privilegien ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2020-3860: Proteas des Qihoo 360 Nirvan Teams
libxml2
Verfügbar für: iPhone 6s und höher, iPad Air 2 und höher, iPad mini 4 und höher und iPod touch (7. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstelltem XML kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Pufferüberlauf wurde durch eine verbesserte Größenüberprüfung behoben.
CVE-2020-3846: Ranier Vilela
Eintrag hinzugefügt am 29. Januar 2020
libxpc
Verfügbar für: iPhone 6s und höher, iPad Air 2 und höher, iPad mini 4 und höher und iPod touch (7. Generation)
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Zeichenfolge kann zu Heap-Beschädigung führen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2020-3856: Ian Beer von Google Project Zero
libxpc
Verfügbar für: iPhone 6s und höher, iPad Air 2 und höher, iPad mini 4 und höher und iPod touch (7. Generation)
Auswirkung: Eine Anwendung kann möglicherweise erhöhte Berechtigungen erhalten
Beschreibung: Ein Lesevorgang außerhalb der Grenzen wurde durch eine verbesserte Überprüfung der Grenzen behoben.
CVE-2020-3829: Ian Beer von Google Project Zero
Post
Verfügbar für: iPhone 6s und höher, iPad Air 2 und höher, iPad mini 4 und höher und iPod touch (7. Generation)
Auswirkung: Das Deaktivieren von „Remoteinhalt in Nachrichten laden" gilt möglicherweise nicht für alle E-Mail-Vorschauen
Beschreibung: Dieses Problem wurde durch eine verbesserte Einstellungsweitergabe behoben.
CVE-2020-3873: Alexander Heinrich (@Sn0wfreeze) von der Technischen Universität Darmstadt, Hudson Pridham von Bridgeable, Stuart Chapman
Eintrag aktualisiert am 19. März 2020
Mitteilungen
Verfügbar für: iPhone 6s und höher, iPad Air 2 und höher, iPad mini 4 und höher und iPod touch (7. Generation)
Auswirkung: Eine Person mit physischem Zugriff auf ein iOS-Gerät kann möglicherweise über den Sperrbildschirm auf Kontakte zugreifen
Beschreibung: Ein Problem mit einer inkonsistenten Benutzeroberfläche wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2020-3859: Andrew Gonzalez, Simone PC
Eintrag aktualisiert am 29. Januar 2020
Mitteilungen
Verfügbar für: iPhone 6s und höher, iPad Air 2 und höher, iPad mini 4 und höher und iPod touch (7. Generation)
Auswirkung: Benutzer, die aus einer iMessage-Konversation entfernt wurden, können möglicherweise weiterhin den Status ändern
Beschreibung: Dieses Problem wurde durch verbesserte Überprüfungen behoben.
CVE-2020-3844: Ayden Panhuyzen (@aydenpanhuyzen) und Jamie Bishop (@jamiebishop123) von Dynastic, Lance Rodgers von der Oxon Hill High School
Eintrag aktualisiert am 29. Januar 2020
Telefon
Verfügbar für: iPhone 6s und höher, iPad Air 2 und höher, iPad mini 4 und höher und iPod touch (7. Generation)
Auswirkung: Eine Person mit physischem Zugriff auf ein iOS-Gerät kann möglicherweise über den Sperrbildschirm auf Kontakte zugreifen
Beschreibung: Ein Sperrbildschirmproblem ermöglichte den Zugriff auf Kontakte auf einem gesperrten Gerät. Dieses Problem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2020-3828: ein anonymer Forscher
Automatisches Ausfüllen der Safari-Anmeldung
Verfügbar für: iPhone 6s und höher, iPad Air 2 und höher, iPad mini 4 und höher und iPod touch (7. Generation)
Auswirkung: Ein lokaler Benutzer kann unwissentlich ein Kennwort unverschlüsselt über das Netzwerk senden
Beschreibung: Das Problem wurde durch eine verbesserte Handhabung der Benutzeroberfläche behoben.
CVE-2020-3841: Sebastian Bicchi (@secresDoge) von Sec-Research
Screenshots
Verfügbar für: iPhone 6s und höher, iPad Air 2 und höher, iPad mini 4 und höher und iPod touch (7. Generation)
Auswirkung: Screenshots der Nachrichten-App können zusätzliche Nachrichteninhalte offenbaren
Beschreibung: Bei der Benennung von Screenshots bestand ein Problem. Das Problem wurde durch eine verbesserte Benennung behoben.
CVE-2020-3874: Nicolas Luckie vom Durham College
WebKit
Verfügbar für: iPhone 6s und höher, iPad Air 2 und höher, iPad mini 4 und höher und iPod touch (7. Generation)
Auswirkung: Eine schädliche Website kann möglicherweise einen Denial-of-Service verursachen
Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2020-3862: Srikanth Gatta von Google Chrome
Eintrag hinzugefügt am 29. Januar 2020
WebKit
Verfügbar für: iPhone 6s und höher, iPad Air 2 und höher, iPad mini 4 und höher und iPod touch (7. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Mehrere Speicherbeschädigungsprobleme wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2020-3825: Przemysław Sporysz von Euvic
CVE-2020-3868: Marcin Towalski von Cisco Talos
Eintrag hinzugefügt am 29. Januar 2020
WebKit
Verfügbar für: iPhone 6s und höher, iPad Air 2 und höher, iPad mini 4 und höher und iPod touch (7. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2020-3867: ein anonymer Forscher
Eintrag hinzugefügt am 29. Januar 2020
Laden der WebKit-Seite
Verfügbar für: iPhone 6s und höher, iPad Air 2 und höher, iPad mini 4 und höher und iPod touch (7. Generation)
Auswirkung: Ein DOM-Objektkontext hatte möglicherweise keinen eindeutigen Sicherheitsursprung
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Validierung behoben.
CVE-2020-3864: Ryan Pickren (ryanpickren.com)
Eintrag hinzugefügt am 6. Februar 2020
Laden der WebKit-Seite
Verfügbar für: iPhone 6s und höher, iPad Air 2 und höher, iPad mini 4 und höher und iPod touch (7. Generation)
Auswirkung: Ein DOM-Objektkontext der obersten Ebene wurde möglicherweise fälschlicherweise als sicher angesehen
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Validierung behoben.
CVE-2020-3865: Ryan Pickren (ryanpickren.com)
Eintrag hinzugefügt am 29. Januar 2020, aktualisiert am 6. Februar 2020
W-lan
Verfügbar für: iPhone 6s und höher, iPad Air 2 und höher, iPad mini 4 und höher und iPod touch (7. Generation)
Auswirkung: Ein entfernter Angreifer kann möglicherweise eine unerwartete Systembeendigung oder eine Beschädigung des Kernelspeichers verursachen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2020-3843: Ian Beer von Google Project Zero
Eintrag hinzugefügt am 6. Februar 2020
WLANGeschwindigkeitd
Verfügbar für: iPhone 6s und höher, iPad Air 2 und höher, iPad mini 4 und höher und iPod touch (7. Generation)
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Systemberechtigungen ausführen
Beschreibung: Das Problem wurde durch eine verbesserte Berechtigungslogik behoben.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
Zusätzliche Anerkennung
IOSurface
Wir möchten Liang Chen (@chenliang0817) für ihre Unterstützung danken.
Fotos speichern
Wir möchten Allison Husain von der UC Berkeley für ihre Unterstützung danken.
Eintrag aktualisiert am 19. März 2020
Informationen über Produkte, die nicht von Apple hergestellt wurden, oder unabhängige Websites, die nicht von Apple kontrolliert oder getestet wurden, werden ohne Empfehlung oder Billigung bereitgestellt. Apple übernimmt keine Verantwortung in Bezug auf die Auswahl, Leistung oder Verwendung von Websites oder Produkten von Drittanbietern. Apple macht keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit von Websites Dritter. Wenden Sie sich für weitere Informationen an den Anbieter .
No comments:
Post a Comment