Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 10.2.1
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 10.2.1.
Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
iOS 10.2.1
Διακομιστής APN
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας που έχει αποκτήσει προνομιακή θέση στο δίκτυο μπορεί να παρακολουθήσει τη δραστηριότητα κάποιου χρήστη
Περιγραφή: Ένα πιστοποιητικό υπολογιστή-πελάτη αποστελλόταν σε μορφή απλού κειμένου. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού πιστοποιητικών.
CVE-2017-2383: Matthias Wachs και Quirin Scheitle του Technical University Munich (TUM)
Ιστορικό κλήσεων
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Οι ενημερώσεις για το ιστορικό κλήσεων CallKit αποστέλλονται στο iCloud
Περιγραφή: Υπήρχε ένα πρόβλημα που εμπόδιζε την αποστολή του ιστορικού κλήσεων CallKit στο iCloud. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη λογική.
CVE-2017-2375: Elcomsoft
Επαφές
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης κάρτας επαφής μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής
Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης δεδομένων εισόδου κατά την ανάλυση των καρτών επαφών. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2017-2368: Vincent Desmurs (vincedes3)
Πυρήνας
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2017-2370: Ian Beer από το Google Project Zero
Πυρήνας
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.
CVE-2017-2360: Ian Beer από το Google Project Zero
libarchive
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Η αποσυμπίεση μιας κακόβουλης αρχειοθήκης μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2016-8687: Agostino Sarubbo από το Gentoo
Ξεκλείδωμα με iPhone
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Το Apple Watch μπορεί να ξεκλειδωθεί, όταν δεν βρίσκεται στον καρπό του χρήστη
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2017-2352: Ashley Fernandez από τη raptAware Pty Ltd
WebKit
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού ενδέχεται να αποσπάσει δεδομένα μεταξύ προελεύσεων
Περιγραφή: Ένα πρόβλημα πρόσβασης σε πρωτότυπο αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού εξαιρέσεων.
CVE-2017-2350: Gareth Heyes της Portswigger Web Security
WebKit
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Πολλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2017-2354: Neymar από το εργαστήριο της Tencent στο Xuanwu (tencent.com) σε συνεργασία με το Zero Day Initiative της Trend Micro
CVE-2017-2362: Ivan Fratric από το Google Project Zero
CVE-2017-2373: Ivan Fratric από το Google Project Zero
WebKit
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2017-2355: Ομάδα Pangu και lokihardt στο PwnFest 2016
WebKit
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένης επαλήθευσης εισόδου.
CVE-2017-2356: Ομάδα Pangu και lokihardt στο PwnFest 2016
CVE-2017-2369: Ivan Fratric από το Google Project Zero
CVE-2017-2366: Kai Kang από το εργαστήριο της Tencent στο Xuanwu (tencent.com)
WebKit
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού ενδέχεται να αποσπάσει δεδομένα μεταξύ προελεύσεων
Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης στον χειρισμό της φόρτωσης σελίδων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη λογική.
CVE-2017-2363: lokihardt από το Google Project Zero
CVE-2017-2364: lokihardt του Google Project Zero
WebKit
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Ένας κακόβουλος ιστότοπος μπορεί να ανοίγει αναδυόμενα στοιχεία
Περιγραφή: Υπήρχε ένα πρόβλημα στον χειρισμό του αποκλεισμού αναδυόμενων στοιχείων. Αυτό αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.
CVE-2017-2371: lokihardt από το Google Project Zero
WebKit
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού ενδέχεται να αποσπάσει δεδομένα μεταξύ προελεύσεων
Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης στον χειρισμό του χειρισμού μεταβλητών. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2017-2365: lokihardt από το Google Project Zero
Wi-Fi
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Μια συσκευή με κλείδωμα ενεργοποίησης μπορεί να τροποποιηθεί, ώστε να εμφανίζει στιγμιαία την οθόνη Αφετηρίας
Περιγραφή: Υπήρχε ένα πρόβλημα στον χειρισμό της εισαγωγής από τον χρήστη το οποίο προκαλούσε την εμφάνιση της οθόνης Αφετηρίας σε μια συσκευή, ακόμα και όταν η ενεργοποίηση ήταν κλειδωμένη. Αυτό αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.
CVE-2017-2351: Hemanth Joseph, Sriram (@Sri_Hxor) της Primefort Pvt. Ltd., Mohamd Imran
Επιπλέον αναγνώριση
Ενίσχυση WebKit
Θα θέλαμε να αναγνωρίσουμε τη βοήθεια που μας παρείχαν οι Ben Gras, Kaveh Razavi, Erik Bosman, Herbert Bos και Cristiano Giuffrida από την ομάδα vusec στο Vrije Universiteit Amsterdam.
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.