Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 9.3.2

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 9.3.2.

H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.

Για πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple.

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.

Για να ενημερωθείτε σχετικά με άλλες ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο Ενημερώσεις ασφάλειας Apple.

iOS 9.3.2

  • Προσβασιμότητα

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες του χρήστη

    Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης εισαγωγής.

    Αναγνωριστικό CVE

    CVE-2016-1790: Rapelly Akhil

  • Διακομιστές μεσολάβησης CFNetwork

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας εισβολέας σε μια προνομιακή θέση δικτύου μπορεί να καταφέρει να διαρρεύσει ευαίσθητες πληροφορίες χρηστών

    Περιγραφή: Υπήρχε ένα θέμα διαρροής πληροφοριών κατά το χειρισμό αιτημάτων HTTP και HTTPS. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού διευθύνσεων URL.

    Αναγνωριστικό CVE

    CVE-2016-1801: Alex Chapman και Paul Stone της Context Information Security

  • CommonCrypto

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορούσε να διαρρεύσει ευαίσθητες πληροφορίες του χρήστη

    Περιγραφή: Υπήρχε ένα θέμα με το χειρισμό τιμών επιστροφής στο CCCrypt. Αυτό το ζήτημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μεγέθους κλειδιού.

    Αναγνωριστικό CVE

    CVE-2016-1802: Klaus Rodewig

  • CoreCapture

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

    Περιγραφή: Ένα πρόβλημα διακοπής αναφοράς δείκτη null αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης.

    Αναγνωριστικό CVE

    CVE-2016-1803: Ο Ian Beer του Google Project Zero σε έκτακτη συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

  • Είδωλα δίσκων

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορέσει να διαβάσει τα περιεχόμενα της μνήμης πυρήνα

    Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

    Αναγνωριστικό CVE

    CVE-2016-1807: Ian Beer από το Google Project Zero

  • Είδωλα δίσκων

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

    Περιγραφή: Υπήρχε ένα πρόβλημα αλλοίωσης μνήμης στην ανάλυση ειδώλων δίσκων. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

    Αναγνωριστικό CVE

    CVE-2016-1808: Moony Li (@Flyic) και Jack Tang (@jacktang310) της Trend Micro

  • ImageIO

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Η επεξεργασία μιας εικόνας με κακόβουλη δομή μπορεί να προκαλέσει άρνηση υπηρεσίας

    Περιγραφή: Ένα πρόβλημα διακοπής αναφοράς δείκτη null αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης.

    Αναγνωριστικό CVE

    CVE-2016-1811: Lander Brandt (@landaire)

  • IOAcceleratorFamily

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

    Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

    Αναγνωριστικό CVE

    CVE-2016-1817: Moony Li (@Flyic) και Jack Tang (@jacktang310) της Trend Micro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

    CVE-2016-1818: Juwei Lin της TrendMicro, sweetchip@GRAYHASH σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

    CVE-2016-1819: Ian Beer από το Google Project Zero

    Η καταχώρηση ενημερώθηκε στις 13 Δεκεμβρίου 2016

  • IOAcceleratorFamily

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προκαλέσει άρνηση υπηρεσίας

    Περιγραφή: Ένα πρόβλημα διακοπής αναφοράς δείκτη null αντιμετωπίστηκε μέσω βελτιωμένου κλειδώματος.

    Αναγνωριστικό CVE

    CVE-2016-1814: Juwei Lin της TrendMicro

  • IOAcceleratorFamily

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

    Περιγραφή: Ένα πρόβλημα διακοπής αναφοράς δείκτη null αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης.

    Αναγνωριστικό CVE

    CVE-2016-1813: Ian Beer από το Google Project Zero

  • IOHIDFamily

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

    Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

    Αναγνωριστικό CVE

    CVE-2016-1823: Ian Beer από το Google Project Zero

    CVE-2016-1824: Marco Grassi (@marcograss) των KeenLab (@keen_lab), Tencent

    CVE-2016-4650: Peter Pi της Trend Micro σε συνεργασία με το πρόγραμμα Zero Day Initiative της HP

  • Πυρήνας

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

    Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

    Αναγνωριστικό CVE

    CVE-2016-1827: Brandon Azad

    CVE-2016-1828: Brandon Azad

    CVE-2016-1829: CESG

    CVE-2016-1830: Brandon Azad

    CVE-2016-1831: Brandon Azad

  • libc

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.

    Αναγνωριστικό CVE

    CVE-2016-1832: Karl Williamson

  • libxml2

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Η επεξεργασία κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

    Αναγνωριστικό CVE

    CVE-2016-1833: Mateusz Jurczyk

    CVE-2016-1834: Apple

    CVE-2016-1835: Wei Lei και Liu Yang από το Nanyang Technological University

    CVE-2016-1836: Wei Lei και Liu Yang του Nanyang Technological University

    CVE-2016-1837: Wei Lei και Liu Yang από το Nanyang Technological University

    CVE-2016-1838: Mateusz Jurczyk

    CVE-2016-1839: Mateusz Jurczyk

    CVE-2016-1840: Kostya Serebryany

  • libxslt

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

    Αναγνωριστικό CVE

    CVE-2016-1841: Sebastian Apelt

  • MapKit

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας εισβολέας σε μια προνομιακή θέση δικτύου μπορεί να καταφέρει να διαρρεύσει ευαίσθητες πληροφορίες χρηστών

    Περιγραφή: Η αποστολή των κοινοποιημένων συνδέσμων αποστέλλονταν με HTTP, αντί για HTTPS. Το θέμα αντιμετωπίστηκε με την ενεργοποίηση του HTTPS για κοινοποίηση συνδέσμων.

    Αναγνωριστικό CVE

    CVE-2016-1842: Richard Shupak (https://www.linkedin.com/in/rshupak)

  • OpenGL

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου Ιστού μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

    Αναγνωριστικό CVE

    CVE-2016-1847: Tongbo Luo και Bo Qu από Palo Alto Networks

  • Safari

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας χρήστης μπορεί να μην έχει τη δυνατότητα να διαγράψει πλήρως το ιστορικό αναζήτησης

    Περιγραφή: Η επιλογή "Απαλοιφή ιστορικού και δεδομένων" δεν διέγραφε το ιστορικό. Το θέμα αντιμετωπίστηκε μέσω βελτιωμένης διαγραφής δεδομένων.

    Αναγνωριστικό CVE

    CVE-2016-1849: ένας ανώνυμος ερευνητής

  • Siri

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας χρήστης με φυσική πρόσβαση σε μια συσκευή iOS ενδέχεται να μπορεί να χρησιμοποιήσει το Siri, για να αποκτήσει πρόσβαση σε φωτογραφίες και επαφές από την οθόνη κλειδώματος

    Περιγραφή: Υπήρχε ένα θέμα διαχείρισης κατάστασης κατά την πρόσβαση στα αποτελέσματα του Siri από την οθόνη κλειδώματος. Το θέμα αντιμετωπίστηκε με την απενεργοποίηση του εντοπισμού δεδομένων στα αποτελέσματα από το Twitter, όταν η συσκευή είναι κλειδωμένη.

    Αναγνωριστικό CVE

    CVE-2016-1852: videosdebarraquito

  • WebKit

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να αποκαλύψει δεδομένα από άλλους ιστότοπους

    Περιγραφή: Ένα θέμα ανεπαρκούς παρακολούθησης μόλυνσης κατά την ανάλυση εικόνων svg αντιμετωπίστηκε με τη βελτίωση της παρακολούθησης μόλυνσης.

    Αναγνωριστικό CVE

    CVE-2016-1858: ένας ανώνυμος ερευνητής

  • WebKit

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

    Αναγνωριστικό CVE

    CVE-2016-1854: Ανώνυμος σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

    CVE-2016-1855: Tongbo Luo και Bo Qu από Palo Alto Networks

    CVE-2016-1856: lokihardt σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

    CVE-2016-1857: Jeonghoon Shin@A.D.D και Liang Chen, Zhen Feng, wushi από KeenLab, Tencent σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

  • WebKit Canvas

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

    Αναγνωριστικό CVE

    CVE-2016-1859: Liang Chen, wushi of KeenLab, Tencent σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Υπάρχουν κίνδυνοι στη χρήση του Διαδικτύου. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες. Οι επωνυμίες άλλων εταιρειών και προϊόντων ενδέχεται να είναι εμπορικά σήματα των αντίστοιχων κατόχων τους.

Published Date: