Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 10

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 10.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

iOS 10

Κυκλοφόρησε στις 13 Σεπτεμβρίου 2016

AppleMobileFileIntegrity

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια τοπική εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Υπήρχε θέμα επικύρωσης στην πολιτική μεταβίβασης θύρας εργασίας. Αυτό το θέμα αντιμετωπίστηκε με τη βελτίωση του ελέγχου δικαιωμάτων της διεργασίας και τη χρήση Team ID.

CVE-2016-4698: Pedro Vilaça

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2016

Πόροι

Αποτέλεσμα: Ένας εισβολέας που βρίσκεται σε προνομιακή θέση δικτύου ενδέχεται να είναι σε θέση να μην επιτρέψει σε μια συσκευή να λαμβάνει ενημερώσεις λογισμικού

Περιγραφή: Υπήρχε ένα θέμα με τις ενημερώσεις του iOS, το οποίο δεν επέτρεπε τη σωστή προστασία της επικοινωνίας με τους χρήστες. Το θέμα αντιμετωπίστηκε με τη χρήση του προτύπου HTTPS για τις ενημερώσεις λογισμικού.

CVE-2016-4741: Raul Siles της DinoSec

Ήχος

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδεχομένως να έχει τη δυνατότητα να προκαλέσει εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park και Taekyoung Kwon από το Information Security Lab του Yonsei University

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2016

Πολιτική αξιοπιστίας πιστοποιητικών

Αποτέλεσμα: Ενημέρωση στην πολιτική αξιοπιστίας πιστοποιητικών

Περιγραφή: Ενημερώθηκε η πολιτική αξιοπιστίας πιστοποιητικών. Η πλήρης λίστα πιστοποιητικών είναι διαθέσιμη στη διεύθυνση https://support.apple.com/el-gr/HT204132.

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2016

CFNetwork

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να είναι σε θέση να ανακαλύψει τους ιστότοπους που έχει επισκεφτεί ένας χρήστης

Περιγραφή: Υπήρχε ένα πρόβλημα με τη διαγραφή του τοπικού χώρου αποθήκευσης. Αυτό το θέμα αντιμετωπίστηκε με βελτιωμένη εκκαθάριση του τοπικού χώρου αποθήκευσης.

CVE-2016-4707: ένας ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2016

CFNetwork

Αποτέλεσμα: Η επεξεργασία κακόβουλα δομημένου περιεχομένου ιστού μπορεί να αποκαλύψει στοιχεία του χρήστη

Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης εισόδου στην ανάλυση της κεφαλίδας set-cookie. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2016-4708: Dawid Czagan από Silesia Security Lab

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2016

CommonCrypto

Αποτέλεσμα: Μια εφαρμογή που κάνει χρήση CCrypt μπορεί να αποκαλύψει ευαίσθητα στοιχεία σε απλό κείμενο, αν το buffer εισαγωγής είναι ίδιο με το buffer εξαγωγής

Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης εισαγωγής στη μονάδα corecrypto. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.

CVE-2016-4711: Max Lohrmann

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2016

CoreCrypto

Αποτέλεσμα: Μια εφαρμογή μπορεί να αποκτήσει δυνατότητα εκτέλεσης αυθαίρετου κώδικα

Περιγραφή: Ένα ζήτημα εγγραφής εκτός ορίων αντιμετωπίστηκε με την αφαίρεση του ευάλωτου κώδικα.

CVE-2016-4712: Gergo Koteles

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2016

FontParser

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης γραμματοσειράς μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Υπήρχε υπερχείλιση buffer στον χειρισμό αρχείων γραμματοσειρών.

Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

CVE-2016-4718: Apple

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2016

Υπηρεσίες γεωγραφικής τοποθεσίας

Αποτέλεσμα: Μια εφαρμογή μπορεί να αποκτήσει δυνατότητα πρόσβασης σε ευαίσθητα δεδομένα τοποθεσίας

Περιγραφή: Υπήρχε ένα ζήτημα με τα δικαιώματα στα δεδομένα τοποθεσίας (PlaceData). Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση δικαιωμάτων.

CVE-2016-4719: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest), Luke Deshotels, William Enck (North Carolina State University), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

IDS - Συνδεσιμότητα

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Υπήρχε θέμα πλαστογράφησης στο χειρισμό της μεταγωγής κλήσεων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.

CVE-2016-4722: Martin Vigo (@martin_vigo) από salesforce.com

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2016

IOAcceleratorFamily

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα διακοπής αναφοράς δείκτη null αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης εισαγωγής.

CVE-2016-4724: Cererdlong, Eakerqiu από Team OverSky

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2016

IOAcceleratorFamily

Αποτέλεσμα: Η επεξεργασία κακόβουλα δομημένου περιεχομένου ιστού ενδεχομένως να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.

CVE-2016-4725: Rodger Combs από Plex, Inc.

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2016

IOAcceleratorFamily

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-4726: ένας ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2016

Πυρήνας

Αποτέλεσμα: Μια τοπική εφαρμογή μπορεί να αποκτήσει πρόσβαση σε περιορισμένα αρχεία

Περιγραφή: Αντιμετωπίστηκε ένα θέμα με το χειρισμό διαδρομών καταλόγων με τη βελτίωση της επικύρωσης διαδρομών.

CVE-2016-4771: Balazs Bucsay, Research Director της MRG Effitas

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2016

Πυρήνας

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα χειρισμού κλειδώματος αντιμετωπίστηκε μέσω βελτιωμένου κλειδώματος.

CVE-2016-4772: Marc Heuse από mh-sec

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2016

Πυρήνας

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα

Περιγραφή: Υπήρχαν πολλά προβλήματα ανάγνωσης εκτός ορίων τα οποία είχαν ως αποτέλεσμα την αποκάλυψη περιεχομένου μνήμης πυρήνα. Αντιμετωπίστηκαν μέσω βελτιωμένης επικύρωσης εισόδου.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2016

Πυρήνας

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Μια αναξιόπιστη διακοπή αναφοράς δείκτη αντιμετωπίστηκε με την αφαίρεση του προβληματικού κώδικα.

CVE-2016-4777: Lufeng Li από την ομάδα Qihoo 360 Vulcan

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2016

Πυρήνας

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Πολλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-4778: CESG

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2016

Πληκτρολόγια

Αποτέλεσμα: Οι προτάσεις αυτόματης διόρθωσης πληκτρολογίου μπορούν να αποκαλύψουν ευαίσθητα δεδομένα

Περιγραφή: Το πληκτρολόγιο iOS αποθήκευε προσωρινά ευαίσθητα δεδομένα λόγω σφάλματος. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη ευρετική αναζήτηση δεδομένων.

CVE-2016-4746: Antoine M από Γαλλία

libxml2

Περιγραφή: Υπήρχαν πολλά προβλήματα στο libxml2, το πιο σημαντικό από τα οποία ενδέχεται να προκαλέσει μη αναμενόμενο τερματισμό λειτουργίας εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Πολλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2016

libxslt

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-4738: Nick Wellnhofer

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2016

Mail

Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου ενδέχεται να μπορεί να υποκλέψει διαπιστευτήρια ηλεκτρονικής αλληλογραφίας

Περιγραφή: Υπήρχε θέμα με τον χειρισμό μη αξιόπιστων πιστοποιητικών. Αυτό το θέμα αντιμετωπίστηκε με τον τερματισμό μη αξιόπιστων συνδέσεων.

CVE-2016-4747: Dave Aitel

Μηνύματα

Αποτέλεσμα: Υπήρχε η δυνατότητα να εμφανιστούν τα μηνύματα σε συσκευές που δεν είχαν συνδεθεί στα Μηνύματα

Περιγραφή: Υπήρχε ένα θέμα με τη χρήση του Handoff για τα Μηνύματα. Το θέμα λύθηκε με βελτίωσης της διαχείρισης κατάστασης.

CVE-2016-4740: Step Wallace

UIKit εκτύπωσης

Αποτέλεσμα: Είναι δυνατή η εγγραφή ενός μη κρυπτογραφημένου εγγράφου σε προσωρινό αρχείο κατά τη χρήση της προεπισκόπησης AirPrint

Περιγραφή: Υπήρχε ένα θέμα με την προεπισκόπηση AirPrint. Αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης περιβάλλοντος.

CVE-2016-4749: Scott Alexander (@gooshy)

Η καταχώριση ενημερώθηκε στις Τετάρτη, 12 Σεπτεμβρίου 2018

Κάμερα S2

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-4750: Jack Tang (@jacktang310) και Moony Li από Trend Micro σε συνεργασία με το Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2016

Safari Reader

Αποτέλεσμα: Η ενεργοποίηση της λειτουργίας Safari Reader σε κακόβουλα δομημένη ιστοσελίδα μπορεί να επιτρέπει καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Πολλά προβλήματα επικύρωσης αντιμετωπίστηκαν με τη βελτίωση της εξυγίανσης εισόδου.

CVE-2016-4618: Erling Ellingsen

Η καταχώρηση προστέθηκε στις 20 Σεπτεμβρίου 2016 και ενημερώθηκε στις 23 Σεπτεμβρίου 2016.

Προφίλ sandbox

Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορούσε να εντοπίσει τον παραλήπτη των μηνυμάτων κειμένου του χρήστη

Περιγραφή: Υπήρχε ένα θέμα ελέγχου με τους καταλόγους πρόχειρων μηνυμάτων SMS. Το θέμα αντιμετωπίστηκε με τον αποκλεισμό των συγκεκριμένων καταλόγων, ώστε να μην μπορούν να δηλωθούν από τις εφαρμογές.

CVE-2016-4620: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest), Luke Deshotels, William Enck (North Carolina State University), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Ασφάλεια

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης σε υπογεγραμμένα είδωλα δίσκου. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση μεγέθους.

CVE-2016-4753: Mark Mentovai από την Google Inc.

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2016

Αφετηρία

Αποτέλεσμα: Μπορεί να εκτεθούν ευαίσθητα δεδομένα σε στιγμιότυπα εφαρμογών τα οποία παρουσιάζονται στην Εναλλαγή εργασιών

Περιγραφή: Υπήρχε ένα θέμα στην Αφετηρία το οποίο εμφάνιζε στην Εναλλαγή εργασιών στιγμιότυπα που ήταν αποθηκευμένα στην cache και τα οποία περιείχαν ευαίσθητα δεδομένα. ο θέμα αντιμετωπίστηκε με προβολή ενημερωμένων στιγμιοτύπων.

CVE-2016-7759: Fatma Yılmaz του Ptt Genel Müdürlüğü από Ankara

Η καταχώρηση προστέθηκε στις 17 Ιανουαρίου 2017

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχε ένα ζήτημα ανάλυσης με τον χειρισμό πρωτότυπων σφαλμάτων. Αυτό αντιμετωπίστηκε με βελτιωμένη επικύρωση.

CVE-2016-4728: Daniel Divricean

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2016

WebKit

Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τη διαρροή ευαίσθητων δεδομένων

Περιγραφή: Υπήρχε ένα πρόβλημα δικαιωμάτων στον χειρισμό της μεταβλητής τοποθεσίας. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω πρόσθετων ελέγχων ιδιοκτησίας.

CVE-2016-4758: Masato Kinugawa από Cure53

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2016

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Πολλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-4611: Apple

CVE-2016-4729: Apple

CVE-2016-4730: Apple

CVE-2016-4731: Apple

CVE-2016-4734: Natalie Silvanovich από Google Project Zero

CVE-2016-4735: André Bargull

CVE-2016-4737: Apple

CVE-2016-4759: Tongbo Luo από Palo Alto Networks

CVE-2016-4762: Zheng Huang από Baidu Security Lab

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: Ανώνυμος σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2016

WebKit

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να αποκτήσει πρόσβαση σε υπηρεσίες εκτός HTTP

Περιγραφή: Η υποστήριξη HTTP/0.9 στο Safari επέτρεπε την εκμετάλλευση υπηρεσιών εκτός HTTP μεταξύ πρωτοκόλλων μέσω επαναδέσμευσης DNS. Το πρόβλημα αντιμετωπίστηκε με τον περιορισμό των αποκρίσεων HTTP/0.9 στις προεπιλεγμένες θύρες και με την ακύρωση της φόρτωσης πόρων, αν το έγγραφο φορτωθεί με διαφορετική έκδοση πρωτοκόλλου HTTP.

CVE-2016-4760: Jordan Milne

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2016

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Πολλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένης διαχείρισης κατάστασης λειτουργίας.

CVE-2016-4733: Natalie Silvanovich από Google Project Zero

CVE-2016-4765: Apple

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2016

WebKit

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να είναι σε θέση να υποκλέψει και να τροποποιήσει την κίνηση δικτύου σε εφαρμογές με χρήση WKWebView με HTTPS

Περιγραφή: Υπήρχε ένα ζήτημα επικύρωσης πιστοποιητικών στο χειρισμό του WKWebView. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση.

CVE-2016-4763: ένας ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 20 Σεπτεμβρίου 2016

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

CVE-2016-4764: Apple

Η καταχώρηση προστέθηκε στις 3 Νοεμβρίου 2016

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: Σεπτεμβρίου 28, 2018