Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na stránce Zabezpečení produktů Apple.
Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.
Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.
Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.
iOS 8.3
- AppleKeyStore
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Škodlivá aplikace může uhádnout přístupový kód uživatele.
Popis: iOS poskytoval přístup k rozhraní, které umožňovalo pokusy o potvrzení přístupového kódu uživatele. Problém byl vyřešen vylepšením kontroly oprávnění.
CVE-ID
CVE-2015-1085: Elias Limneos
Záznam aktualizován 17. května 2017
- Zvukové ovladače
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Škodlivá aplikace může spouštět libovolný kód se systémovými oprávněními.
Popis: V objektech IOKit používaných zvukovým ovladačem docházelo k problémům s ověřováním. Problém byl vyřešen vylepšením ověřování metadat.
CVE-ID
CVE-2015-1086
- Zálohování
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Útočník může pomocí zálohovacího systému přistupovat k nepřístupným oblastem souborového systému.
Popis: V zálohovacím systému existoval problém s logikou vyhodnocování relativních cest. Problém byl vyřešen vylepšením vyhodnocování cest.
CVE-ID
CVE-2015-1087: TaiG Jailbreak Team
- Zásady důvěryhodnosti certifikátů
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Aktualizace zásad důvěryhodnosti certifikátů.
Popis: Byly aktualizovány zásady důvěryhodnosti certifikátů. Kompletní seznam certifikátů si můžete prohlédnout v článku https://support.apple.com/cs-cz/HT204132.
- CFNetwork
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Soubory cookie patřící k jednomu původu můžou být zaslány do jiného původu.
Popis: Při manipulaci s přesměrováními docházelo k problému s cookies mezi doménami. Cookies nastavené v odpovědi přesměrování mohly být poslány do cíle přesměrování, který patřil k jinému původu. Problém byl vyřešen lepším zpracováváním přesměrování.
CVE-ID
CVE-2015-1089: Niklas Keller (http://kelunik.com)
- CFNetwork
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: V některých případech nemůže uživatel úplně smazat historii procházení.
Popis: Smazání historie Safari nesmazalo uložený stav HTTP hlavičky Strict Transport Security. Problém byl vyřešen vylepšením mazání dat.
CVE-ID
CVE-2015-1090
- CFNetwork Session
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Ověřovací údaje můžou být poslány na server v jiném původu.
Popis: Ve zpracovávání přesměrování existoval problém s hlavičkami požadavků HTTP mezi doménami. Hlavičky požadavků HTTP poslané v odpovědi přesměrování bylo možné poslat do jiného původu. Problém byl vyřešen lepším zpracováváním přesměrování.
CVE-ID
CVE-2015-1091: Diego Torres (http://dtorres.me)
- CFURL
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Návštěva škodlivého webu může vést ke spuštění libovolného kódu.
Popis: Při zpracovávání URL adres docházelo k problému s ověřováním vstupu. Problém byl vyřešen lepším ověřováním URL adres.
CVE-ID
CVE-2015-1088
- Foundation
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Aplikace využívající třídu NSXMLParser může být zneužita ke zveřejnění informací.
Popis: Ve zpracovávání XML třídou NSXMLParser existoval problém s externími entitami XML. Problém byl vyřešen tím, že se nenačítají externí entity napříč zdroji.
CVE-ID
CVE-2015-1092: Ikuya Fukumoto
- FontParser
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Zpracování škodlivého souboru písma může vést ke spuštění libovolného kódu.
Popis: Ve zpracovávání souborů písem existovalo několik problémů s poškozením paměti. Problémy byly vyřešeny vylepšením kontroly rozsahu.
CVE-ID
CVE-2015-1093: Marc Schoenefeld
- IOAcceleratorFamily
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Škodlivá aplikace může být schopna rozpoznat rozvržení paměti jádra.
Popis: V součásti IOAcceleratorFamily docházelo k problému, který vedl ke zveřejnění obsahu paměti jádra. Problém byl vyřešen odebráním nepotřebného kódu.
CVE-ID
CVE-2015-1094: Cererdlong z týmu Alibaba Mobile Security Team
- IOHIDFamily
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Škodlivému HID zařízení se může podařit spustit libovolný kód.
Popis: V API rozšíření IOHIDFamily docházelo k problému s poškozením paměti. Problém byl vyřešen vylepšením správy paměti.
CVE-ID
CVE-2015-1095: Andrew Church
- IOHIDFamily
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Škodlivá aplikace může být schopna rozpoznat rozvržení paměti jádra.
Popis: V rozšíření IOHIDFamily docházelo k problému, který vedl ke zveřejnění obsahu paměti jádra. Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-ID
CVE-2015-1096: Ilja van Sprundel ze společnosti IOActive
- IOMobileFramebuffer
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Škodlivá aplikace může být schopna rozpoznat rozvržení paměti jádra.
Popis: V součásti MobileFrameBuffer docházelo k problému, který vedl ke zveřejnění obsahu paměti jádra. Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-ID
CVE-2015-1097: Barak Gabai z týmu IBM X-Force Application Security Research Team
- Prohlížeč iWork
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Otevření škodlivého souboru iWork může vést ke spuštění libovolného kódu.
Popis: Ve zpracovávání souborů iWork docházelo k problému s poškozením paměti. Problém byl vyřešen vylepšením správy paměti.
CVE-ID
CVE-2015-1098: Christopher Hickstein
- Jádro
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Škodlivá aplikace může způsobit systémové odmítnutí služby.
Popis: V systémovém volání setreuid v jádru existoval konflikt časování. Tento problém byl vyřešen vylepšením správy stavu.
CVE-ID
CVE-2015-1099: Mark Mentovai ze společnosti Google Inc.
- Jádro
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Škodlivá aplikace může za pomoci kompromitované služby, která má běžet s nižšími oprávněními, navýšit svá oprávnění.
Popis: Systémová volání setreuid a setregid neukončovala oprávnění natrvalo. Problém byl vyřešen správným ukončováním oprávnění.
CVE-ID
CVE-2015-1117: Mark Mentovai ze společnosti Google Inc.
- Jádro
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Škodlivá aplikace může způsobit neočekávané ukončení systému nebo číst paměť jádra.
Popis: V jádru existoval problém s přístupem k paměti mimo rozsah. Problém byl vyřešen vylepšením správy paměti.
CVE-ID
CVE-2015-1100: Maxime Villard (m00nbsd)
- Jádro
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Škodlivá aplikace může spouštět libovolný kód se systémovými oprávněními.
Popis: V jádru existoval problém s poškozením paměti. Problém byl vyřešen vylepšením správy paměti.
CVE-ID
CVE-2015-1101: lokihardt@ASRT spolupracující se Zero Day Initiative společnosti HP
- Jádro
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Útočník s vysokými oprávněními v síti může způsobit odmítnutí služby.
Popis: Ve zpracovávání hlaviček TCP existoval problém s nekonzistentností stavů. Problém byl vyřešen lepším zpracováváním stavů.
CVE-ID
CVE-2015-1102: Andrey Khudyakov a Maxim Zhuravlev ze společnosti Kaspersky Lab
- Jádro
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Útočník s vysokými oprávněními v síti může přesměrovávat datové přenosy uživatelů na libovolné hostitele.
Popis: Přesměrování ICMP byla v iOS ve výchozím nastavení zapnutá. Problém byl vyřešen vypnutím přesměrování ICMP.
CVE-ID
CVE-2015-1103: Zimperium Mobile Security Labs
- Jádro
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Vzdálený útočník může obejít síťové filtry.
Popis: Systém považoval některé pakety IPv6 z rozhraní vzdálených sítí za místní pakety. Problém byl vyřešen odmítnutím těchto paketů.
CVE-ID
CVE-2015-1104: Stephen Roettger z Google Security Teamu
- Jádro
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Vzdálenému útočníkovi se může podařit způsobit odmítnutí služby.
Popis: Ve zpracovávání TCP dat mimo kanál (out of band) existoval problém s nekonzistentností stavů. Tento problém byl vyřešen vylepšením správy stavu.
CVE-ID
CVE-2015-1105: Kenton Varda (Sandstorm.io)
- Klávesnice
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Funkce QuickType si mohla zapamatovat přístupové kódy uživatelů.
Popis: Při používání Bluetooth klávesnic si funkce QuickType mohla pamatovat přístupové kódy uživatelů. Problém byl vyřešen tak, že bylo zabráněno zobrazování funkce QuickType na zamčené obrazovce.
CVE-ID
CVE-2015-1106: Jarrod Dwenger, Steve Favorito, Paul Reedy ze společnosti ConocoPhillips, Pedro Tavares z katedry molekulární biofyziky na univerzitě UCIBIO/FCT/UNL, De Paul Sunny, Christian Still ze společnosti Evolve Media, Kanada
- libnetcore
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Zpracování škodlivého konfiguračního profilu může vést k neočekávanému ukončení aplikace.
Popis: Při manipulaci s konfiguračními soubory docházelo k problému s poškozením paměti. Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-ID
CVE-2015-1118: Zhaofeng Chen, Hui Xue, Yulong Zhang a Tao Wei ze společnosti FireEye, Inc.
- Zamčená obrazovka
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Útočník s přístupem k zařízení může zabránit vymazání zařízení po neúspěšných pokusech o zadání přístupového kódu.
Popis: V některých případech se zařízení po neúspěšných pokusech o zadání přístupového kódu nemusí samo vymazat. Problém byl vyřešen dalším vynucováním vymazání.
CVE-ID
CVE-2015-1107: Brent Erickson, Stuart Ryan z University of Technology, Sydney
- Zamčená obrazovka
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Útočník s přístupem k zařízení mohl překročit maximální počet neúspěšných pokusů o zadání přístupového kódu.
Popis: V některých případech nebyl uplatňován limit neúspěšných zadání kódu. Problém byl vyřešen přísnějším dohlížením na limit.
CVE-ID
CVE-2015-1108
- NetworkExtension
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Útočník s přístupem k zařízení může získat přihlašovací údaje k VPN.
Popis: Existoval problém ve zpracovávání konfiguračních protokolů VPN. Problém byl vyřešen vypnutím protokolování přihlašovacích údajů.
CVE-ID
CVE-2015-1109: Josh Tway ze společnosti IPVanish
- Podcasty
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Při stahování materiálů k podcastům můžou být na externí servery odesílány zbytečné informace.
Popis: Při stahování materiálů k podcastům, k jejichž odběru byl uživatel přihlášen, byly na externí servery odesílány jedinečné identifikátory. Problém byl vyřešen odstraněním těchto identifikátorů.
CVE-ID
CVE-2015-1110: Alex Selivanov
- Safari
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: V některých případech nemůže uživatel úplně smazat historii procházení.
Popis: Smazání historie Safari nesmazalo „Poslední zavřené panely“. Problém byl vyřešen vylepšením mazání dat.
CVE-ID
CVE-2015-1111: Frode Moe ze společnosti LastFriday.no
- Safari
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Historie procházení se někdy nemusí úplně vymazat.
Popis: V Safari existoval problém se správou stavů, kvůli kterému se ze souboru history.plist nemazala uživatelova historie procházení. Problém byl vyřešen vylepšením správy stavu.
CVE-ID
CVE-2015-1112: William Breuer, Nizozemsko
- Profily sandboxu
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Škodlivá aplikace může získat přístup k telefonním číslům nebo e-mailovým adresám posledních kontaktů.
Popis: V sandboxu aplikací jiných výrobců existoval problém s únikem informací. Problém byl vyřešen vylepšením profilu sandboxu.
CVE-ID
CVE-2015-1113: Andreas Kurtz ze společnosti NESO Security Labs a Markus Troßbach z Heilbronnské univerzity
- Profily sandboxu
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Aplikace jiných výrobců můžou získat přístup k identifikátorům hardwaru.
Popis: V sandboxu aplikací jiných výrobců existoval problém s únikem informací. Problém byl vyřešen vylepšením profilu sandboxu.
CVE-ID
CVE-2015-1114
- Zabezpečený přenos
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Zpracování škodlivého certifikátu X.509 může vést k nečekanému ukončení aplikace.
Popis: Ve zpracovávání certifikátů X.509 existoval problém s přístupem přes nulový ukazatel. Tento problém byl vyřešen vylepšením ověřování vstupů.
CVE-ID
CVE-2015-1160: Elisha Eshed, Roy Iarchy a Yair Amit z týmu Skycure Security Research
- Telefonování
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Škodlivá aplikace může získat přístup k nepřístupným funkcím telefonního subsystému.
Popis: V telefonním subsystému existoval problém s kontrolou přístupu. Aplikace v sandboxu mohly získat přístup k nepřístupným funkcím telefonního subsystému. Problém byl vyřešen vylepšením kontroly oprávnění.
CVE-ID
CVE-2015-1115: Andreas Kurtz ze společnosti NESO Security Labs a Markus Troßbach z Heilbronnské univerzity
- Zobrazení UIKit
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Snímek aplikace zobrazovaný v přepínači úloh může odhalit citlivá data.
Popis: Ve frameworku UIKit existoval problém, kvůli kterému se v přepínači úloh nerozmazávaly snímky aplikací obsahujících citlivá data. Problém byl vyřešen správným rozmazáváním snímků.
CVE-ID
CVE-2015-1116: Tým mobilních aplikací ve společnosti HP Security Voltage, Aaron Rogers ze společnosti Mint.com, David Edwards ze společnosti Tech4Tomorrow, David Zhang ze společnosti Dropbox
- WebKit
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Nekonzistentní uživatelské rozhraní může uživatelům bránit v rozpoznání phishingového útoku.
Popis: V Safari existovala nekonzistence uživatelského rozhraní, která útočníkovi umožňovala falšovat URL adresu. Problém byl vyřešen vylepšením kontroly konzistentnce uživatelského rozhraní.
CVE-ID
CVE-2015-1084: Apple
- WebKit
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Návštěva škodlivého webu může vést ke spuštění libovolného kódu.
Popis: Ve WebKitu docházelo k několika problémům s poškozením paměti. Tyto problémy byly vyřešeny vylepšením správy paměti.
CVE-ID
CVE-2015-1068: Apple
CVE-2015-1069: lokihardt@ASRT spolupracující se Zero Day Initiative společnosti HP
CVE-2015-1070: Apple
CVE-2015-1071: Apple
CVE-2015-1072
CVE-2015-1073: Apple
CVE-2015-1074: Apple
CVE-2015-1076
CVE-2015-1077: Apple
CVE-2015-1078: Apple
CVE-2015-1079: Apple
CVE-2015-1080: Apple
CVE-2015-1081: Apple
CVE-2015-1082: Apple
CVE-2015-1083: Apple
CVE-2015-1119: Renata Hodovanová ze Szegedské univerzity / Samsung Electronics
CVE-2015-1120: Apple
CVE-2015-1121: Apple
CVE-2015-1122: Apple
CVE-2015-1123: Randy Luecke a Anoop Menon ze společnosti Google Inc.
CVE-2015-1124: Apple
- WebKit
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Návštěva škodlivého webu může vést k tomu, že uživatel vyvolá kliknutí na jiném webu.
Popis: Existoval problém se zpracováváním dotykových událostí. Klepnutí se dala použít na jiný web. Problém byl vyřešen lepším zpracováváním dotykových událostí.
CVE-ID
CVE-2015-1125: Phillip Moon a Matt Weston ze společnosti www.sandfield.co.nz
- WebKit
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Návštěva škodlivého webu může způsobit, že budou načteny zdroje z jiné domény původu.
Popis: Ve WebKitu existoval problém se zpracováváním oprávnění v URL adresách FTP. Problém byl vyřešen vylepšením dekódování.
CVE-ID
CVE-2015-1126: Jouko Pynnonen ze společnosti Klikki Oy
Wi-Fi
Dopad: Uživatelovo heslo může být posláno nedůvěryhodnému Wi-Fi přístupovému bodu.
Popis: Obrazovka upozorňující na nedůvěryhodný Wi-Fi certifikát měla jenom jedno tlačítko, kterým se certifikát přijímal. Uživatel, který si tento Wi-Fi přístupový bod nepřál použít, musel z obrazovky odejít stisknutím tlačítka plochy nebo zamykacího tlačítka. Problém byl vyřešen přidáním viditelného tlačítka Zrušit.
CVE-ID
CVE-2015-5762: Michael Santos