Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 10.2.1

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 10.2.1.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλειας προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

iOS 10.2.1

Κυκλοφόρησε στις 23 Ιανουαρίου 2017

Διακομιστής APN

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Ένας εισβολέας που έχει αποκτήσει προνομιακή θέση στο δίκτυο μπορεί να παρακολουθήσει τη δραστηριότητα κάποιου χρήστη

Περιγραφή: Ένα πιστοποιητικό υπολογιστή-πελάτη απεστάλη σε μορφή απλού κειμένου. Αυτό το θέμα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού πιστοποιητικών.

CVE-2017-2383: Matthias Wachs και Quirin Scheitle του Technical University Munich (TUM)

Η καταχώριση προστέθηκε στις 28 Μαρτίου 2017

Ιστορικό κλήσεων

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Οι ενημερώσεις για το ιστορικό κλήσεων CallKit αποστέλλονται στο iCloud

Περιγραφή: Υπήρχε ένα πρόβλημα που εμπόδιζε την αποστολή του ιστορικού κλήσεων CallKit στο iCloud.  Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη λογική.

CVE-2017-2375: Elcomsoft

Η καταχώρηση προστέθηκε στις 21 Φεβρουαρίου 2017

Επαφές

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης κάρτας επαφής μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής

Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης δεδομένων εισόδου κατά την ανάλυση των καρτών επαφών. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.

CVE-2017-2368: Vincent Desmurs (vincedes3)

Πυρήνας

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-2370: Ian Beer από το Google Project Zero

Πυρήνας

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου "use after free" αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.

CVE-2017-2360: Ian Beer από το Google Project Zero

libarchive

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η αποσυσκευασία μιας κακόβουλης αρχειοθήκης μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-8687: Agostino Sarubbo από το Gentoo

Ξεκλείδωμα με iPhone

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Το Apple Watch μπορεί να ξεκλειδωθεί, όταν δεν βρίσκεται στον καρπό του χρήστη

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2017-2352: Ashley Fernandez από τη raptAware Pty Ltd

Η καταχώρηση ενημερώθηκε στις 25 Ιανουαρίου 2017

WebKit

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου Ιστού ενδέχεται να αποσπάσει δεδομένα μεταξύ προελεύσεων

Περιγραφή: Ένα πρόβλημα πρόσβασης σε πρωτότυπο αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού εξαιρέσεων.

CVE-2017-2350: Gareth Heyes της Portswigger Web Security

WebKit

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου Ιστού μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-2354: Neymar από το εργαστήριο της Tencent στο Xuanwu (tencent.com) σε συνεργασία με το Zero Day Initiative της Trend Micro

CVE-2017-2362: Ivan Fratric από το Google Project Zero

CVE-2017-2373: Ivan Fratric από το Google Project Zero

WebKit

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου Ιστού μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-2355: Ομάδα Pangu και lokihardt στο PwnFest 2016

WebKit

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου Ιστού μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένης επικύρωσης εισόδου.

CVE-2017-2356: Ομάδα Pangu και lokihardt στο PwnFest 2016

CVE-2017-2369: Ivan Fratric από το Google Project Zero

CVE-2017-2366: Kai Kang από το εργαστήριο της Tencent στο Xuanwu (tencent.com)

WebKit

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου Ιστού ενδέχεται να αποσπάσει δεδομένα μεταξύ προελεύσεων

Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης στον χειρισμό της φόρτωσης σελίδων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη λογική.

CVE-2017-2363: lokihardt από το Google Project Zero

CVE-2017-2364: lokihardt από το Google Project Zero

WebKit

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος μπορεί να ανοίγει αναδυόμενα στοιχεία

Περιγραφή: Υπήρχε ένα πρόβλημα στον χειρισμό του αποκλεισμού αναδυόμενων στοιχείων. Αυτό αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης εισαγωγής.

CVE-2017-2371: lokihardt από το Google Project Zero

WebKit

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου Ιστού ενδέχεται να αποσπάσει δεδομένα μεταξύ προελεύσεων

Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης στον χειρισμό του χειρισμού μεταβλητών. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση.

CVE-2017-2365: lokihardt από το Google Project Zero

WiFi

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια συσκευή με κλείδωμα ενεργοποίησης μπορεί να τροποποιηθεί, ώστε να εμφανίζει στιγμιαία την οθόνη Αφετηρίας

Περιγραφή: Υπήρχε ένα πρόβλημα στον χειρισμό της εισαγωγής από τον χρήστη το οποίο προκαλούσε την εμφάνιση της οθόνης Αφετηρίας σε μια συσκευή, ακόμα και όταν η ενεργοποίηση ήταν κλειδωμένη. Αυτό αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης εισαγωγής.

CVE-2017-2351: Hemanth Joseph, Sriram (@Sri_Hxor) της Primefort Pvt. Ltd., Mohamd Imran

Η καταχώρηση ενημερώθηκε στις 21 Φεβρουαρίου 2017

Επιπλέον αναγνώριση

Ενίσχυση WebKit

Θα θέλαμε να αναγνωρίσουμε τη βοήθεια που μας παρείχαν οι Ben Gras, Kaveh Razavi, Erik Bosman, Herbert Bos και Cristiano Giuffrida από την ομάδα vusec στο Ελεύθερο Πανεπιστήμιο του Άμστερνταμ.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Υπάρχουν κίνδυνοι στη χρήση του Διαδικτύου. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες. Οι επωνυμίες άλλων εταιρειών και προϊόντων ενδέχεται να είναι εμπορικά σήματα των αντίστοιχων κατόχων τους.

Published Date: