Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 9
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 9.
H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.
Για πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple.
Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.
Για να ενημερωθείτε σχετικά με άλλες ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο Ενημερώσεις ασφάλειας Apple.
iOS 9
Apple Pay
Διαθέσιμο για: iPhone 6 και iPhone 6 Plus
Αποτέλεσμα: Ορισμένες κάρτες ενδέχεται να επιτρέψουν σε ένα τερματικό την ανάκτηση περιορισμένων πληροφοριών σχετικά με τις πρόσφατες συναλλαγές κατά την πραγματοποίηση πληρωμής
Περιγραφή: Η λειτουργία καταγραφής συναλλαγών ήταν ενεργοποιημένη σε ορισμένες περιπτώσεις διαμόρφωσης. Το πρόβλημα αντιμετωπίστηκε με την κατάργηση της λειτουργίας καταγραφής συναλλαγών. Αυτό το πρόβλημα δεν επηρέαζε συσκευές iPad.
Αναγνωριστικό CVE
CVE-2015-5916
AppleKeyStore
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να έχει τη δυνατότητα να επαναφέρει τις αποτυχημένες απόπειρες εισαγωγής συνθηματικού με ένα εφεδρικό αντίγραφο του iOS
Περιγραφή: Υπήρχε ένα πρόβλημα που επέτρεπε την επαναφορά των αποτυχημένων προσπαθειών εισαγωγής συνθηματικού με ένα εφεδρικό αντίγραφο της συσκευής iOS. Το πρόβλημα αντιμετωπίστηκε με τη βελτίωση της λογικής διαχείρισης των αποτυχημένων προσπαθειών εισαγωγής συνθηματικού.
Αναγνωριστικό CVE
CVE-2015-5850 : ένας ανώνυμος ερευνητής
Κατάστημα Εφαρμογών
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Η επιλογή ενός κακόβουλου συνδέσμου ITMS ενδέχεται να προκαλέσει επίθεση τύπου άρνησης υπηρεσίας σε μια εφαρμογή με εταιρική υπογραφή
Περιγραφή: Υπήρχε ένα πρόβλημα με την εγκατάσταση μέσω συνδέσμων ITMS. Αντιμετωπίστηκε με την εφαρμογή επιπλέον μέτρων επαλήθευσης εγκατάστασης.
Αναγνωριστικό CVE
CVE-2015-5856 : Zhaofeng Chen, Hui Xue και Tao (Lenx) Wei από FireEye, Inc.
Ήχος
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Η αναπαραγωγή ενός κακόβουλου αρχείου ήχου ενδέχεται να προκαλέσει απρόσμενο τερματισμό λειτουργίας της εφαρμογής
Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης μνήμης κατά τον χειρισμό αρχείων ήχου. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
Αναγνωριστικό CVE
CVE-2015-5862 : YoungJin Yoon από Information Security Lab. (Σύμβ.: καθ. Taekyoung Kwon, Yonsei University, Σεούλ, Κορέα)
Πολιτική αξιοπιστίας πιστοποιητικών
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ενημέρωση στην πολιτική αξιοπιστίας πιστοποιητικών
Περιγραφή: Ενημερώθηκε η πολιτική αξιοπιστίας πιστοποιητικών. Η πλήρης λίστα πιστοποιητικών είναι διαθέσιμη στη διεύθυνση https://support.apple.com/el-gr/HT204132.
CFNetwork
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Μια διεύθυνση URL με κακόβουλη δομή ενδέχεται να έχει τη δυνατότητα να παρακάμψει το πρωτόκολλο HTTP Strict Transport Security (HSTS) και να διαρρεύσει ευαίσθητα δεδομένα
Περιγραφή: Υπήρχε μια ευπάθεια ανάλυσης διευθύνσεων URL στον χειρισμό του πρωτοκόλλου HSTS. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη ανάλυση διευθύνσεων URL.
Αναγνωριστικό CVE
CVE-2015-5858 : Xiaofeng Zheng της Blue Lotus Team, Tsinghua University
CFNetwork
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να μπορεί να παρακολουθεί τους επισκέπτες όταν χρησιμοποιούν την ιδιωτική περιήγηση στο Safari
Περιγραφή: Υπήρχε ένα πρόβλημα με τον χειρισμό της κατάστασης HSTS στη λειτουργία ιδιωτικής περιήγησης του Safari. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού κατάστασης.
Αναγνωριστικό CVE
CVE-2015-5860 : Sam Greenhalgh της RadicalResearch Ltd
CFNetwork
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένα άτομο που έχει υλική πρόσβαση στην ίδια τη συσκευή iOS μπορεί να διαβάσει δεδομένα cache από τις εφαρμογές της Apple
Περιγραφή: Τα δεδομένα cache ήταν κρυπτογραφημένα με ένα κλειδί που προστατεύεται μόνο από το UID υλικού. Αυτό το πρόβλημα αντιμετωπίστηκε με την κρυπτογράφηση των δεδομένων cache με ένα κλειδί που προστατεύεται από το UID υλικού και το συνθηματικό του χρήστη.
Αναγνωριστικό CVE
CVE-2015-5898 : Andreas Kurtz της NESO Security Labs
Cookie CFNetwork
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας που έχει αποκτήσει προνομιακή θέση στο δίκτυο μπορεί να παρακολουθήσει τη δραστηριότητα κάποιου χρήστη
Περιγραφή: Υπήρχε ένα πρόβλημα με τα κοινά cookie για διάφορους τομείς κατά τον χειρισμό τομέων ανώτατου επιπέδου. Το πρόβλημα αντιμετωπίστηκε με τη βελτίωση των περιορισμών δημιουργίας cookie.
Αναγνωριστικό CVE
CVE-2015-5885 : Xiaofeng Zheng της Blue Lotus Team, Tsinghua University
Cookie CFNetwork
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας μπορεί να έχει τη δυνατότητα να δημιουργήσει cookie που δεν σχετίζονται με τη λειτουργία ενός ιστότοπου
Περιγραφή: Το WebKit επέτρεπε τη ρύθμιση πολλαπλών cookie στο API document.cookie. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης ανάλυσης.
Αναγνωριστικό CVE
CVE-2015-3801 : Erling Ellingsen του Facebook
CFNetwork FTPProtocol
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Κακόβουλοι διακομιστές FTP ενδέχεται να μπορούν να αναγκάσουν τον υπολογιστή-πελάτη να ανιχνεύσει άλλους κεντρικούς υπολογιστές
Περιγραφή: Υπήρχε ένα πρόβλημα με τον χειρισμό των πακέτων FTP κατά τη χρήση της εντολής PASV. Αυτό το πρόβλημα επιλύθηκε με βελτιωμένη επικύρωση.
Αναγνωριστικό CVE
CVE-2015-5912 : Amit Klein
CFNetwork HTTPProtocol
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου ενδέχεται να μπορεί να υποκλέψει τη δικτυακή κίνηση
Περιγραφή: Υπήρχε ένα πρόβλημα στον χειρισμό των καταχωρίσεων της προφορτωμένης λίστας HSTS στην ιδιωτική λειτουργία περιήγησης στο Safari. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού κατάστασης.
Αναγνωριστικό CVE
CVE-2015-5859 : Rosario Giustolisi του Πανεπιστημίου του Λουξεμβούργου
Διακομιστές μεσολάβησης CFNetwork
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Η σύνδεση σε έναν κακόβουλο διακομιστή μεσολάβησης διαδικτύου ενδέχεται να επιτρέψει την προσθήκη κακόβουλων cookie σε έναν ιστότοπο
Περιγραφή: Υπήρχε ένα πρόβλημα με τον χειρισμό των αποκρίσεων σύνδεσης σε διακομιστές μεσολάβησης. Το πρόβλημα αντιμετωπίστηκε με την κατάργηση της κεφαλίδας set-cookie κατά την ανάλυση της απόκρισης σύνδεσης.
Αναγνωριστικό CVE
CVE-2015-5841 : Xiaofeng Zheng της Blue Lotus Team, Tsinghua University
SSL CFNetwork
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου μπορεί να υποκλέψει συνδέσεις SSL/TLS
Περιγραφή: Υπήρχε ένα πρόβλημα με την επικύρωση πιστοποιητικών στο NSURL όταν γινόταν αλλαγή σε κάποιο πιστοποιητικό. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση πιστοποιητικών.
Αναγνωριστικό CVE
CVE-2015-5824 : Timothy J. Wood του The Omni Group
SSL CFNetwork
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορέσει να αποκρυπτογραφήσει δεδομένα που προστατεύονται από SSL
Περιγραφή: Υπάρχουν ορισμένες γνωστές επιθέσεις που στοχεύουν την εμπιστευτικότητα του RC4. Ένας εισβολέας θα μπορούσε να επιβάλει τη χρήση του RC4, ακόμη και αν ο διακομιστής προτιμά τη χρήση άλλης κρυπτογράφησης, μπλοκάροντας τις συνδέσεις TLS 1.0 ή ανώτερες και αναγκάζοντας το CFNetwork να δοκιμάσει το πρότυπο SSL 3.0, το οποίο επιτρέπει μόνο RC4. Αυτό το πρόβλημα αντιμετωπίστηκε με την κατάργηση της δυνατότητας χρήσης SSL 3.0 ως εναλλακτικής λύσης.
CoreAnimation
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορούσε να διαρρεύσει ευαίσθητες πληροφορίες του χρήστη
Περιγραφή: Οι εφαρμογές μπορούσαν να αποκτήσουν πρόσβαση στην προσωρινή αποθήκευση καρέ της οθόνης όσο λειτουργούσαν στο παρασκήνιο. Το πρόβλημα διορθώθηκε με βελτιωμένο έλεγχο πρόσβασης στο IOSurfaces.
Αναγνωριστικό CVE
CVE-2015-5880 : Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li του School of Information Systems Singapore Management University, Feng Bao και Jianying Zhou του Cryptography and Security Department Institute for Infocomm Research
CoreCrypto
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας είχε τη δυνατότητα να βρει ένα ιδιωτικό κλειδί
Περιγραφή: Μετά από παρατήρηση πολλών προσπαθειών σύνδεσης ή αποκρυπτογράφησης, ένας εισβολέας είχε τη δυνατότητα να ανακαλύψει το ιδιωτικό κλειδί RSA. Το πρόβλημα αντιμετωπίστηκε με τη χρήση βελτιωμένων αλγορίθμων κρυπτογράφησης.
CoreText
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης μνήμης στην επεξεργασία αρχείων γραμματοσειρών. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.
Αναγνωριστικό CVE
CVE-2015-5874 : John Villamil (@day6reak), Ομάδα Yahoo Pentest
Μηχανή εντοπισμού δεδομένων
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου κειμένου μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Υπήρχαν προβλήματα αλλοίωσης μνήμης στην επεξεργασία αρχείων κειμένου. Αυτά τα προβλήματα αντιμετωπίστηκαν μέσω βελτιωμένου ελέγχου ορίων.
Αναγνωριστικό CVE
CVE-2015-5829 : M1x7e1 της Safeye Team (www.safeye.org)
Εργαλεία ανάπτυξης
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης μνήμης στο dyld. Αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
Αναγνωριστικό CVE
CVE-2015-5876 : beist της grayhash
Είδωλα δίσκων
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός χρήστης ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης μνήμης στο DiskImages. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2015-5847 : Filippo Bigarella, Luca Todesco
dyld
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή μπορεί να έχει τη δυνατότητα να παρακάμψει τη διαδικασία υπογραφής κώδικα
Περιγραφή: Υπήρχε ένα πρόβλημα με την επικύρωση της υπογραφής κώδικα των εκτελέσιμων αρχείων. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.
Αναγνωριστικό CVE
CVE-2015-5839 : @PanguTeam, TaiG Jailbreak Team
Game Center
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή του Game Center ενδέχεται να αποκτήσει πρόσβαση στη διεύθυνση email ενός παίκτη
Περιγραφή: Υπήρχε ένα πρόβλημα στο Game Center με τη διαχείριση των email των παικτών. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους περιορισμούς πρόσβασης.
Αναγνωριστικό CVE
CVE-2015-5855 : Nasser Alnasser
ICU
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Πολλές ευπάθειες στο ICU
Περιγραφή: Υπήρχαν πολλές ευπάθειες σε εκδόσεις του ICU παλαιότερες της 53.1.0. Αντιμετωπίστηκαν με την ενημέρωση του ICU στην έκδοση 55.1.
Αναγνωριστικό CVE
CVE-2014-8146 : Marc Deslauriers
CVE-2014-8147 : Marc Deslauriers
CVE-2015-5922 : Mark Brand του Google Project Zero
IOAcceleratorFamily
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα
Περιγραφή: Υπήρχε ένα πρόβλημα που επέτρεπε την αποκάλυψη περιεχομένου μνήμης πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.
Αναγνωριστικό CVE
CVE-2015-5834 : Cererdlong από την Ομάδα Alibaba Mobile Security
IOAcceleratorFamily
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός χρήστης ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης μνήμης στο IOAcceleratorFamily. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2015-5848 : Filippo Bigarella
IOHIDFamily
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης μνήμης στο IOHIDFamily. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2015-5867 : moony li της Trend Micro
IOKit
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης μνήμης στον πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2015-5844 : Filippo Bigarella
CVE-2015-5845 : Filippo Bigarella
CVE-2015-5846 : Filippo Bigarella
IOMobileFrameBuffer
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός χρήστης ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης μνήμης στο IOMobileFrameBuffer. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2015-5843 : Filippo Bigarella
IOStorageFamily
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορέσει να διαβάσει το περιεχόμενο της μνήμης πυρήνα
Περιγραφή: Υπήρχε πρόβλημα αρχικοποίησης μνήμης στον πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2015-5863 : Ilja van Sprundel από IOActive
iTunes Store
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Τα διαπιστευτήρια του AppleID ενδέχεται να παραμένουν στην κλειδοθήκη μετά την αποσύνδεση
Περιγραφή: Υπήρχε ένα πρόβλημα με τη διαγραφή της κλειδοθήκης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη εκκαθάριση λογαριασμού.
Αναγνωριστικό CVE
CVE-2015-5832 : Kasif Dekel από Check Point Software Technologies
JavaScriptCore
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπήρχαν προβλήματα αλλοίωσης της μνήμης στο WebKit. Αυτά τα προβλήματα αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2015-5791 : Apple
CVE-2015-5793 : Apple
CVE-2015-5814 : Apple
CVE-2015-5816 : Apple
CVE-2015-5822 : Mark S. Miller της Google
CVE-2015-5823 : Apple
Πυρήνας
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός χρήστης ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης μνήμης στον πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2015-5868 : Cererdlong από την Ομάδα Alibaba Mobile Security
CVE-2015-5896 : Maxime Villard της m00nbsd
CVE-2015-5903 : CESG
Η καταχώριση ενημερώθηκε στις 21 Δεκεμβρίου 2016
Πυρήνας
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός εισβολέας μπορεί να ελέγξει την τιμή των cookie στοίβας
Περιγραφή: Υπήρχαν πολλές αδυναμίες στη δημιουργία cookie στοίβας στο χώρο του χρήστη. Αντιμετωπίστηκαν με τη βελτιωμένη δημιουργία cookie στοίβας.
Αναγνωριστικό CVE
CVE-2013-3951 : Stefan Esser
Πυρήνας
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Μια τοπική διεργασία μπορεί να τροποποιήσει άλλες διεργασίες, χωρίς έλεγχο δικαιωμάτων
Περιγραφή: Υπήρχε ένα πρόβλημα που επέτρεπε στις διεργασίες ρίζας που χρησιμοποιούσαν το API processor_set_tasks να ανακτούν τις θύρες εργασιών άλλων διεργασιών. Αυτό το πρόβλημα αντιμετωπίστηκε με την προσθήκη επιπλέον ελέγχων δικαιωμάτων.
Αναγνωριστικό CVE
CVE-2015-5882 : Pedro Vilaça, με βάση την αρχική έρευνα των Ming-chieh Pan και Sung-ting Tsai, Jonathan Levin
Πυρήνας
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας ενδέχεται να έχει τη δυνατότητα να προκαλέσει μια επίθεση άρνησης υπηρεσίας σε στοχευμένες συνδέσεις TCP, χωρίς να γνωρίζει το σωστό αριθμό ακολουθίας
Περιγραφή: Υπήρχε ένα πρόβλημα με την επικύρωση κεφαλίδων πακέτων TCP από το xnu. Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επικύρωση των κεφαλίδων πακέτων TCP.
Αναγνωριστικό CVE
CVE-2015-5879 : Jonathan Looney
Πυρήνας
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας σε ένα τοπικό τμήμα LAN μπορεί να απενεργοποιήσει τη δρομολόγηση IPv6
Περιγραφή: Υπήρχε ένα πρόβλημα ανεπαρκούς επικύρωσης στον χειρισμό διαφημίσεων δρομολογητών IPv6 που επέτρεπε σε κάποιον εισβολέα να ορίσει αυθαίρετα την τιμή ορίου μεταπηδήσεων. Αυτό το πρόβλημα αντιμετωπίστηκε με την επιβολή ελάχιστου ορίου μεταπηδήσεων.
Αναγνωριστικό CVE
CVE-2015-5869 : Dennis Spindel Ljungmark
Πυρήνας
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός χρήστης ενδεχομένως να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα
Περιγραφή: Υπήρχε πρόβλημα στο XNU το οποίο οδηγούσε στην αποκάλυψη της μνήμης πυρήνα. Αντιμετωπίστηκε με τη βελτιωμένη αρχικοποίηση των δομών μνήμης πυρήνα.
Αναγνωριστικό CVE
CVE-2015-5842 : beist της grayhash
Πυρήνας
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας συστήματος
Περιγραφή: Υπήρχε ένα πρόβλημα με την προσάρτηση μονάδων δίσκου HFS. Αντιμετωπίστηκε με την προσθήκη επιπλέον ελέγχων επικύρωσης.
Αναγνωριστικό CVE
CVE-2015-5748 : Maxime Villard από m00nbsd
libc
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδεχομένως να έχει τη δυνατότητα να προκαλέσει αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης μνήμης στη λειτουργία fflush. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2014-8611 : Adrian Chadd και Alfred Perlstein από Norse Corporation
libpthread
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός χρήστης ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης μνήμης στον πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2015-5899 : Lufeng Li της ομάδας Qihoo 360 Vulcan
Mail
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας μπορεί να στείλει κάποιο email που δίνει την εντύπωση ότι προέρχεται από μια επαφή στο βιβλίο διευθύνσεων του παραλήπτη
Περιγραφή: Υπήρχε ένα πρόβλημα με τον χειρισμό της διεύθυνσης αποστολέα. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση.
Αναγνωριστικό CVE
CVE-2015-5857 : Emre Saglam από salesforce.com
Συνδεσιμότητα μεταξύ πολλών ομότιμων χρηστών
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να έχει τη δυνατότητα να παρατηρήσει απροστάτευτα δεδομένα μεταξύ πολλών ομότιμων χρηστών
Περιγραφή: Υπήρχε ένα πρόβλημα με τον χειρισμό μιας λειτουργίας αρχικοποίησης διευκόλυνσης, το οποίο επέτρεπε την ενεργή υποβάθμιση της κρυπτογράφησης σε μη κρυπτογραφημένη περίοδο λειτουργίας. Αυτό το πρόβλημα αντιμετωπίστηκε με την αλλαγή της λειτουργίας αρχικοποίησης διευκόλυνσης ώστε να απαιτεί κρυπτογράφηση.
Αναγνωριστικό CVE
CVE-2015-5851 : Alban Diquet (@nabla_c0d3) της Data Theorem
NetworkExtension
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα μη αρχικοποιημένης μνήμης στον πυρήνα προκαλούσε την αποκάλυψη του περιεχομένου της μνήμης πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη αρχικοποίηση μνήμης.
Αναγνωριστικό CVE
CVE-2015-5831 : Maxime Villard από m00nbsd
OpenSSL
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Πολλές ευπάθειες στο OpenSSL
Περιγραφή: Υπήρχαν πολλές ευπάθειες στις εκδόσεις του OpenSSL που είναι παλαιότερες από την έκδοση 0.9.8zg. Αντιμετωπίστηκαν με την ενημέρωση του OpenSSL στην έκδοση 0.9.8zg.
Αναγνωριστικό CVE
CVE-2015-0286
CVE-2015-0287
PluginKit
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εταιρική εφαρμογή μπορεί να εγκαταστήσει επεκτάσεις προτού ελεγχθεί η αξιοπιστία της
Περιγραφή: Υπήρχε ένα πρόβλημα με την επικύρωση επεκτάσεων κατά την εγκατάσταση. Αντιμετωπίστηκε με τη βελτιωμένη επαλήθευση εφαρμογών.
Αναγνωριστικό CVE
CVE-2015-5837 : Zhaofeng Chen, Hui Xue και Tao (Lenx) Wei της FireEye, Inc.
removefile
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλων δεδομένων ενδέχεται να προκαλέσει την απρόσμενη διακοπή λειτουργίας της εφαρμογής
Περιγραφή: Υπήρχε ένα σφάλμα υπερχείλισης στις ρουτίνες διαίρεσης checkint. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένες ρουτίνες διαίρεσης.
Αναγνωριστικό CVE
CVE-2015-5840 : ένας ανώνυμος ερευνητής
Safari
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να έχει τη δυνατότητα να διαβάσει τους σελιδοδείκτες του Safari σε μια κλειδωμένη συσκευή iOS, χωρίς να εισαγάγει συνθηματικό
Περιγραφή: Τα δεδομένα σελιδοδεικτών του Safari ήταν κρυπτογραφημένα με ένα κλειδί που προστατεύεται μόνο από το UID υλικού. Αυτό το πρόβλημα αντιμετωπίστηκε με την κρυπτογράφηση των σελιδοδεικτών του Safari με ένα κλειδί που προστατεύεται από το UID υλικού και το συνθηματικό του χρήστη.
Αναγνωριστικό CVE
CVE-2015-7118 : Jonathan Zdziarski
Η καταχώριση ενημερώθηκε στις 21 Δεκεμβρίου 2016
Safari
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση του περιβάλλοντος εργασίας χρήστη
Περιγραφή: Ένα πρόβλημα ενδέχεται να επέτρεπε σε κάποιον ιστότοπο να εμφανίζει περιεχόμενο με διεύθυνση URL από άλλον ιστότοπο. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού διευθύνσεων URL.
Αναγνωριστικό CVE
CVE-2015-5904 : Erling Ellingsen από Facebook, Łukasz Pilorz
Safari
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση του περιβάλλοντος εργασίας χρήστη
Περιγραφή: Η περιήγηση σε έναν κακόβουλο ιστότοπο με ακατάλληλα διαμορφωμένη λειτουργία ανοίγματος παραθύρων ενδέχεται να επέτρεπε την εμφάνιση αυθαίρετων διευθύνσεων URL. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των λειτουργιών ανοίγματος παραθύρων.
Αναγνωριστικό CVE
CVE-2015-5905 : Keita Haga από keitahaga.com
Safari
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Οι χρήστες ενδέχεται να παρακολουθούνται από κακόβουλους ιστότοπους που χρησιμοποιούν πιστοποιητικά πελάτη
Περιγραφή: Υπήρχε ένα πρόβλημα με την αντιστοίχιση των πιστοποιητικών πελάτη από το Safari για έλεγχο ταυτότητας SSL. Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη αντιστοίχιση έγκυρων πιστοποιητικών πελάτη.
Αναγνωριστικό CVE
CVE-2015-1129 : Stefan Kraus της fluid Operations AG, Sylvain Munaut της Whatever s.a.
Safari
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση του περιβάλλοντος εργασίας χρήστη
Περιγραφή: Διάφορες ασυνέπειες στο περιβάλλον εργασίας χρήστη ενδέχεται να επέτρεπαν σε έναν κακόβουλο ιστότοπο να εμφανίζει μια αυθαίρετη διεύθυνση URL. Αυτά τα προβλήματα αντιμετωπίστηκαν με βελτιωμένη λογική εμφάνισης διευθύνσεων URL.
Αναγνωριστικό CVE
CVE-2015-5764 : Antonio Sanso (@asanso) της Adobe
CVE-2015-5765 : Ron Masas
CVE-2015-5767 : Krystian Kloskowski μέσω Secunia, Masato Kinugawa
Ασφαλής περιήγηση Safari
iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Η περιήγηση στη διεύθυνση IP ενός γνωστού κακόβουλου ιστότοπου ενδέχεται να μην ενεργοποιήσει μια ειδοποίηση ασφαλείας, όπως θα έπρεπε
Περιγραφή: Η λειτουργία Ασφαλούς περιήγησης του Safari δεν προειδοποιούσε τους χρήστες όταν επισκέπτονταν γνωστούς κακόβουλους ιστότοπους μέσω της διεύθυνσης IP τους. Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο εντοπισμό κακόβουλων ιστότοπων.
Rahul M της TagsDock
Ασφάλεια
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να υποκλέψει την επικοινωνία μεταξύ εφαρμογών
Περιγραφή: Υπήρχε ένα πρόβλημα που επέτρεπε σε μια κακόβουλη εφαρμογή να υποκλέπτει την επικοινωνία σχεδίου URL μεταξύ εφαρμογών. Ο κίνδυνος περιορίστηκε με την εμφάνιση ενός παραθύρου διαλόγου την πρώτη φορά που χρησιμοποιείται ένα σχέδιο URL.
Αναγνωριστικό CVE
CVE-2015-5835 : Teun van Run της FiftyTwoDegreesNorth B.V., XiaoFeng Wang του Indiana University, Luyi Xing του Indiana University, Tongxin Li του Peking University, Tongxin Li του Peking University, Xiaolong Bai του Tsinghua University
Siri
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας χρήστης με φυσική πρόσβαση σε μια συσκευή iOS ενδέχεται να έχει τη δυνατότητα να χρησιμοποιήσει το Siri, για να διαβάσει γνωστοποιήσεις που σχετίζονται με περιεχόμενο που δεν εμφανίζεται κανονικά στην οθόνη κλειδώματος
Περιγραφή: Όταν το Siri λάμβανε ένα αίτημα, ο διακομιστής δεν έλεγχε τους περιορισμούς από την πλευρά του υπολογιστή-πελάτη. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο έλεγχο περιορισμών.
Αναγνωριστικό CVE
CVE-2015-5892 : Robert S Mozayeni, Joshua Donvito
Αφετηρία
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένα άτομο με υλική πρόσβαση σε μια συσκευή iOS μπορεί να απαντήσει σε ένα μήνυμα ήχου από την οθόνη κλειδώματος, όταν είναι απενεργοποιημένη η προεπισκόπηση μηνυμάτων από την οθόνη κλειδώματος
Περιγραφή: Ένα πρόβλημα με την οθόνη κλειδώματος επέτρεπε στους χρήστες να απαντούν σε μηνύματα ήχου όταν η προεπισκόπηση μηνυμάτων ήταν απενεργοποιημένη. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
Αναγνωριστικό CVE
CVE-2015-5861 : Daniel Miedema της Meridian Apps
Αφετηρία
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να έχει τη δυνατότητα να μιμηθεί τα παράθυρα διαλόγου μιας άλλης εφαρμογής
Περιγραφή: Υπήρχε ένα πρόβλημα πρόσβασης με προνομιακές κλήσεις API. Αυτό το πρόβλημα αντιμετωπίστηκε με πρόσθετους περιορισμούς.
Αναγνωριστικό CVE
CVE-2015-5838 : Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei, John C.S. Lui
SQLite
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Πολλές ευπάθειες στο SQLite v3.8.5
Περιγραφή: Υπήρχαν πολλές ευπάθειες στο SQLite v3.8.5. Αυτά τα προβλήματα αντιμετωπίστηκαν με την ενημέρωση του SQLite στην έκδοση 3.8.10.2.
Αναγνωριστικό CVE
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
tidy
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης μνήμης στο Tidy. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
Αναγνωριστικό CVE
CVE-2015-5522 : Fernando Muñoz της NULLGroup.com
CVE-2015-5523 : Fernando Muñoz της NULLGroup.com
WebKit
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ενδέχεται να γίνεται διαρροή αναφορών αντικειμένων μεταξύ απομονωμένων προελεύσεων σε προσαρμοσμένα συμβάντα, συμβάντα μηνυμάτων και αναδυόμενα συμβάντα κατάστασης
Περιγραφή: Ένα πρόβλημα διαρροής αντικειμένων παραβίαζε το όριο απομόνωσης μεταξύ προελεύσεων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη απομόνωση μεταξύ προελεύσεων.
Αναγνωριστικό CVE
CVE-2015-5827 : Gildas
WebKit
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπήρχαν προβλήματα αλλοίωσης της μνήμης στο WebKit. Αυτά τα προβλήματα αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2015-5789 : Apple
CVE-2015-5790 : Apple
CVE-2015-5792 : Apple
CVE-2015-5794 : Apple
CVE-2015-5795 : Apple
CVE-2015-5796 : Apple
CVE-2015-5797 : Apple
CVE-2015-5799 : Apple
CVE-2015-5800 : Apple
CVE-2015-5801 : Apple
CVE-2015-5802 : Apple
CVE-2015-5803 : Apple
CVE-2015-5804 : Apple
CVE-2015-5805
CVE-2015-5806 : Apple
CVE-2015-5807 : Apple
CVE-2015-5809 : Apple
CVE-2015-5810 : Apple
CVE-2015-5811 : Apple
CVE-2015-5812 : Apple
CVE-2015-5813 : Apple
CVE-2015-5817 : Apple
CVE-2015-5818 : Apple
CVE-2015-5819 : Apple
CVE-2015-5821 : Apple
WebKit
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο μπορεί να έχει ως αποτέλεσμα την πραγματοποίηση ανεπιθύμητων κλήσεων
Περιγραφή: Υπήρχε ένα πρόβλημα με τον χειρισμό των διευθύνσεων URL tel://, facetime:// και facetime-audio://. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού διευθύνσεων URL.
Αναγνωριστικό CVE
CVE-2015-5820 : Andrei Neculaesei, Guillaume Ross
WebKit
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Το QuickType μπορεί να μάθει τον τελευταίο χαρακτήρα ενός συνθηματικού σε μια συμπληρωμένη διαδικτυακή φόρμα
Περιγραφή: Υπήρχε ένα πρόβλημα με τον χειρισμό του περιβάλλοντος εισαγωγής συνθηματικού από το WebKit. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού περιβάλλοντος εισαγωγής.
Αναγνωριστικό CVE
CVE-2015-5906 : Louis Romero της Google Inc.
WebKit
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας σε μια προνομιακή θέση δικτύου μπορεί να καταφέρει να κάνει ανακατεύθυνση σε κακόβουλο τομέα
Περιγραφή: Υπήρχε ένα πρόβλημα με τον χειρισμό των cache πόρων στους ιστότοπους με μη έγκυρα πιστοποιητικά. Το πρόβλημα αντιμετωπίστηκε με την απόρριψη του cache εφαρμογών των τομέων με μη έγκυρα πιστοποιητικά.
Αναγνωριστικό CVE
CVE-2015-5907 : Yaoqi Jia από το National University of Singapore (NUS)
WebKit
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να αποσπάσει δεδομένα μεταξύ προελεύσεων
Περιγραφή: Το Safari επέτρεπε στα φύλλα στυλ μεταξύ προελεύσεων να φορτώνονται με τύπους MIME εκτός CSS MIME οι οποίοι μπορούσαν να χρησιμοποιηθούν για εξαγωγή δεδομένων μεταξύ προελεύσεων. Αυτό το πρόβλημα αντιμετωπίστηκε με τον περιορισμό των τύπων MIME για φύλλα στυλ μεταξύ προελεύσεων.
Αναγνωριστικό CVE
CVE-2015-5826 : filedescriptor, Chris Evans
WebKit
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Το API Performance ενδέχεται να επιτρέψει σε έναν κακόβουλο ιστότοπο να διαρρεύσει το ιστορικό περιήγησης, τη δραστηριότητα δικτύου και τις κινήσεις του ποντικιού
Περιγραφή: Το API Performance του WebKit μπορούσε να επιτρέψει σε έναν κακόβουλο ιστότοπο να διαρρεύσει το ιστορικό περιήγησης, τη δραστηριότητα δικτύου και τις κινήσεις του ποντικιού με τη μέτρηση του χρόνου. Το πρόβλημα αντιμετωπίστηκε με τον περιορισμό της ανάλυσης του χρόνου.
Αναγνωριστικό CVE
CVE-2015-5825 : Yossi Oren και συνεργάτες από το Network Security Lab του Columbia University
WebKit
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας σε μια προνομιακή θέση δικτύου μπορεί να καταφέρει να διαρρεύσει ευαίσθητες πληροφορίες χρηστών
Περιγραφή: Υπήρχε ένα πρόβλημα με τις κεφαλίδες Content-Disposition που περιείχαν συνημμένους τύπους. Αυτό το πρόβλημα αντιμετωπίστηκε με τον αποκλεισμό ορισμένων λειτουργιών για τις σελίδες συνημμένων τύπων.
Αναγνωριστικό CVE
CVE-2015-5921 : Mickey Shkatov της ομάδας Intel(r) Advanced Threat Research, Daoyuan Wu από το Singapore Management University, Rocky K. C. Chang από το Hong Kong Polytechnic University, Łukasz Pilorz, superhei από το www.knownsec.com
WebKit Canvas
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να αποκαλύψει δεδομένα εικόνων από άλλους ιστότοπους
Περιγραφή: Υπήρχε ένα πρόβλημα μεταξύ προελεύσεων με τις εικόνες στοιχείων «canvas» στο WebKit. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη παρακολούθηση των προελεύσεων ασφάλειας.
Αναγνωριστικό CVE
CVE-2015-5788 : Apple
Φόρτωση σελίδων WebKit
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Το WebSockets μπορεί να παρακάμψει την επιβολή πολιτικών μικτού περιεχομένου
Περιγραφή: Ένα πρόβλημα ανεπαρκούς επιβολής πολιτικών επέτρεπε τη φόρτωση μικτού περιεχομένου από το WebSockets. Αυτό το πρόβλημα αντιμετωπίστηκε με την επέκταση της επιβολής πολιτικών μικτού περιεχομένου και στο WebSockets.
Kevin G. Jones της Higher Logic
Το FaceTime δεν είναι διαθέσιμο σε όλες τις χώρες ή περιοχές.
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.