Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 10.1

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 10.1.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλειας προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

iOS 10.1

Κυκλοφόρησε στις 24 Οκτωβρίου 2016

AppleMobileFileIntegrity

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Ένα υπογεγραμμένο εκτελέσιμο αρχείο μπορεί να αντικαταστήσει κώδικα με το ίδιο αναγνωριστικό ομάδας

Περιγραφή: Υπήρχε πρόβλημα επικύρωσης στο χειρισμό των υπογραφών κώδικα. Αυτό το πρόβλημα αντιμετωπίστηκε με πρόσθετη επικύρωση.

CVE-2016-7584: Mark Mentovai και Boris Vidolov της Google Inc.

Η καταχώρηση προστέθηκε στις 6 Δεκεμβρίου 2016

Διακομιστές μεσολάβησης CFNetwork

Αποτέλεσμα: Ένας εισβολέας σε μια προνομιακή θέση δικτύου μπορεί να καταφέρει να διαρρεύσει ευαίσθητες πληροφορίες χρηστών

Περιγραφή: Υπήρχε ζήτημα ηλεκτρονικού ψαρέματος (phishing) στο χειρισμό των διαπιστευτηρίων του διακομιστή μεσολάβησης. Το ζήτημα αντιμετωπίστηκε με την κατάργηση των αυτόκλητων μηνυμάτων ελέγχου ταυτότητας για τον κωδικό πρόσβασης του διακομιστή μεσολάβησης.

CVE-2016-7579: Jerry Decime

Επαφές

Αποτέλεσμα: Μια εφαρμογή μπορεί να διατηρήσει την πρόσβασή της στο Βιβλίο διευθύνσεων μετά την ανάκληση της πρόσβασης από τις Ρυθμίσεις

Περιγραφή: Ένα ζήτημα ελέγχου πρόσβασης στο Βιβλίο διευθύνσεων αντιμετωπίστηκε μέσω της βελτιωμένης επικύρωσης σύνδεσης αρχείων.

CVE-2016-4686: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest), Luke Deshotels, William Enck (North Carolina State University), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

CoreGraphics

Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου JPEG μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-4673: Marco Grassi (@marcograss) του KeenLab (@keen_lab), Tencent

FaceTime

Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση στο δίκτυο θα μπορούσε να προκαλέσει τη συνέχιση της μετάδοσης του ήχου μιας μεταβιβασμένης κλήσης η οποία θα φαινόταν ότι έχει τερματιστεί

Περιγραφή: Υπήρχαν ασυνέπειες στο περιβάλλον χρήσης για το χειρισμό των μεταβιβασμένων κλήσεων. Αυτά τα θέματα αντιμετωπίστηκαν με βελτιωμένη λογική πρωτοκόλλου.

CVE-2016-7577: Martin Vigo (@martin_vigo) της salesforce.com

Η καταχώρηση προστέθηκε στις 27 Οκτωβρίου 2016

FontParser

Αποτέλεσμα: Η ανάλυση μιας κακόβουλης γραμματοσειράς μπορεί να οδηγήσει στην αποκάλυψη ευαίσθητων πληροφοριών χρήστη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

CVE-2016-4660: Ke Liu του Xuanwu Lab της Tencent

FontParser

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχε υπερχείλιση buffer στον χειρισμό αρχείων γραμματοσειρών. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

CVE-2016-4688: Simon Huang από την εταιρεία Alipay, thelongestusernameofall@gmail.com

Η καταχώρηση προστέθηκε στις 27 Νοεμβρίου 2016

IDS - Συνδεσιμότητα

Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση στο δίκτυο θα μπορούσε να ξεγελάσει ένα χρήστη σε μια κλήση με πολλούς συμμετέχοντες και να τον κάνει να πιστέψει ότι μιλάει στον άλλο συμμετέχοντα

Περιγραφή: Υπήρχε ένα ζήτημα πλαστοπροσωπίας στο χειρισμό της εναλλαγής κλήσεων. Αυτό το ζήτημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού των ειδοποιήσεων "εναλλαγή καλούντος".

CVE-2016-4721: Martin Vigo (@martin_vigo) της salesforce.com

Η καταχώρηση προστέθηκε στις 27 Οκτωβρίου 2016

Εφεδρικό αντίγραφο iTunes

Αποτέλεσμα: Ένας εισβολέας με πρόσβαση σε ένα κρυπτογραφημένο εφεδρικό αντίγραφο iTunes μπορεί να είναι σε θέση να προσδιορίσει το συνθηματικό του εφεδρικού αντιγράφου

Περιγραφή: Υπήρχε μια αδυναμία κατακερματισμού συνθηματικού στο χειρισμό των κρυπτογραφημένων εφεδρικών αντιγράφων iTunes. Αυτό το ζήτημα αντιμετωπίστηκε με την κατάργηση του αδύναμου κατακερματισμού.

CVE-2016-4685: Elcomsoft

Η καταχώρηση προστέθηκε στις 14 Νοεμβρίου 2016

Πυρήνας

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να έχει τη δυνατότητα να προκαλέσει μη αναμενόμενο τερματισμό του συστήματος ή αυθαίρετη εκτέλεση κώδικα στον πυρήνα

Περιγραφή: Υπήρχαν πολλά ζητήματα επικύρωσης εισόδου στον δημιουργημένο κώδικα MIG. Αυτά τα ζητήματα αντιμετωπίστηκαν μέσω βελτιωμένης επικύρωσης.

CVE-2016-4669: Ian Beer του Google Project Zero

Η καταχώρηση ενημερώθηκε στις 2 Νοεμβρίου 2016

Πυρήνας

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να είναι σε θέση να αποκαλύψει περιεχόμενο της μνήμης πυρήνα

Περιγραφή: Ένα ζήτημα επικύρωσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2016-4680: Max Bazaliy των Lookout και in7egral

Πυρήνας

Αποτέλεσμα: Μια τοπική εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Υπήρχαν πολλά ζητήματα διάρκειας ζωής αντικειμένων κατά την εκκίνηση νέων διεργασιών. Τα ζητήματα αντιμετωπίστηκαν μέσω βελτιωμένης επικύρωσης.

CVE-2016-7613: Ian Beer από το Google Project Zero

Η καταχώρηση προστέθηκε την 1η Νοεμβρίου 2016

libarchive

Αποτέλεσμα: Μια κακόβουλη αρχειοθήκη ενδέχεται να μπορεί να αντικαταστήσει αυθαίρετα αρχεία

Περιγραφή: Υπήρχε πρόβλημα στη λογική επικύρωσης διαδρομών για τους συμβολικούς συνδέσμους. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης διαδρομών.

CVE-2016-4679: Omer Medan της enSilo Ltd

libxpc

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια ρίζας

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2016-4675: Ian Beer του Google Project Zero

Safari

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος μπορεί να είναι σε θέση να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού διευθύνσεων URL.

CVE-2016-7581: Sabri Haddouche (@pwnsdx)

Η καταχώρηση ενημερώθηκε την 1η Δεκεμβρίου 2016

Προφίλ sandbox

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να ανακτήσει μεταδεδομένα καταλόγων φωτογραφιών

Περιγραφή: Αντιμετωπίστηκε ένα ζήτημα πρόσβασης μέσω πρόσθετων περιορισμών sandbox σε εφαρμογές τρίτων.

CVE-2016-4664: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest), Luke Deshotels, William Enck (North Carolina State University), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Προφίλ sandbox

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να ανακτήσει μεταδεδομένα καταλόγων ήχου

Περιγραφή: Αντιμετωπίστηκε ένα ζήτημα πρόσβασης μέσω πρόσθετων περιορισμών sandbox σε εφαρμογές τρίτων.

CVE-2016-4665: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest), Luke Deshotels, William Enck (North Carolina State University), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Ασφάλεια

Αποτέλεσμα: Ένας τοπικός εισβολέας μπορεί να παρατηρήσει το μήκος ενός κωδικού πρόσβασης σύνδεσης όταν ο χρήστης πραγματοποιεί είσοδο

Περιγραφή: Υπήρχε ζήτημα καταγραφής στο χειρισμό των κωδικών πρόσβασης. Αυτό το ζήτημα αντιμετωπίστηκε με την κατάργηση της καταγραφής του μήκους του κωδικού πρόσβασης.

CVE-2016-4670: Daniel Jalkut της Red Sweater Software

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου Ιστού μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-4666: Apple

CVE-2016-4677: Ένας ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου Ιστού μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-7578: Apple

Η καταχώρηση προστέθηκε στις 27 Οκτωβρίου 2016

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: Νοεμβρίου 03, 2023