Informace o bezpečnostním obsahu iOS 8.2

Tento dokument popisuje bezpečnostní obsah aktualizace iOS 8.2.

Apple v zájmu ochrany zákazníků nezveřejňuje, nerozebírá ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o ostatních bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

iOS 8.2

• CoreTelephony

  K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

  Dopad: Vzdálený útočník může způsobit neočekávaný restart zařízení.

  Popis: Ve způsobu, jakým součást CoreTelephony zpracovává SMS zprávy třídy 0, existoval problém s přístupem přes nulový ukazatel. Problém byl vyřešen lepším ověřováním zpráv.

  CVE-ID

  CVE-2015-1063 : Roman Digerberg, Švédsko

• Klíčenka na iCloudu

  K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

  Dopad: Útočník s vysokými oprávněními v síti může svévolně spouštět kód.

  Popis: Ve zpracovávání dat během obnovy Klíčenky na iCloudu existovalo hned několik přetečení vyrovnávací paměti. Problémy byly vyřešeny vylepšenou kontrolou rozsahu.

  CVE-ID

  CVE-2015-1065 : Andrey Belenko z týmu NowSecure

• IOSurface

  K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

  Dopad: Škodlivé aplikace může svévolně spouštět kód s oprávněním správce.

  Popis: Ve zpracovávání serializovaných objektů součástí IOSurface existoval problém se záměnou typů. Problém byl vyřešen dodatečnou kontrolou typu.

  CVE-ID

  CVE-2015-1061 : Ian Beer z týmu Google Project Zero

• MobileStorageMounter

  K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

  Dopad: Škodlivé aplikace můžou vytvářet složky v důvěryhodných umístěních souborového systému.

  Popis: V logice připojování vývojářských disků existoval problém, který vedl k tomu, že složky s neplatnými obrazy disků se nemazaly. Problém byl vyřešen lepším zpracováváním chyb.

  CVE-ID

  CVE-2015-1062 : TaiG Jailbreak Team

• Zabezpečený přenos

  K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

  Dopad: Útočník s vysokými oprávněními v síti může zachycovat připojení SSL/TLS.

  Popis: Zabezpečený přenos přijímal krátké efemérní RSA klíče, které se obvykle používají jen v šifrovacích sadách RSA silných akorát pro export, i u připojení s šifrovacími sadami RSA s plnou silou. Tento problém, označovaný jako FREAK, se týkal jen připojení k serverům, které podporují šifrovací sady RSA s plnou silou, a byl vyřešen odebráním podpory efemérních RSA klíčů.

  CVE-ID

  CVE-2015-1067 : Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti a Jean Karim Zinzindohoue z týmu Prosecco společnosti Inria Paris

• Plocha

  K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

  Dopad: Osoba s fyzickým přístupem k zařízení může zobrazit plochu, i když zařízení není aktivované.

  Popis: Nečekané ukončení aplikace v průběhu aktivace mohlo způsobit, že na zařízení se zobrazí plocha. Problém byl vyřešen lepším zpracováváním chyb při aktivaci.

  CVE-ID

  CVE-2015-1064