Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλειας προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
iOS 10.1
Κυκλοφόρησε στις 24 Οκτωβρίου 2016
AppleMobileFileIntegrity
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Ένα υπογεγραμμένο εκτελέσιμο αρχείο μπορεί να αντικαταστήσει κώδικα με το ίδιο αναγνωριστικό ομάδας
Περιγραφή: Υπήρχε πρόβλημα επικύρωσης στο χειρισμό των υπογραφών κώδικα. Αυτό το πρόβλημα αντιμετωπίστηκε με πρόσθετη επικύρωση.
CVE-2016-7584: Mark Mentovai και Boris Vidolov της Google Inc.
Η καταχώρηση προστέθηκε στις 6 Δεκεμβρίου 2016
Διακομιστές μεσολάβησης CFNetwork
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας σε μια προνομιακή θέση δικτύου μπορεί να καταφέρει να διαρρεύσει ευαίσθητες πληροφορίες χρηστών
Περιγραφή: Υπήρχε ζήτημα ηλεκτρονικού ψαρέματος (phishing) στο χειρισμό των διαπιστευτηρίων του διακομιστή μεσολάβησης. Το ζήτημα αντιμετωπίστηκε με την κατάργηση των αυτόκλητων μηνυμάτων ελέγχου ταυτότητας για τον κωδικό πρόσβασης του διακομιστή μεσολάβησης.
CVE-2016-7579: Jerry Decime
Επαφές
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή μπορεί να διατηρήσει την πρόσβασή της στο Βιβλίο διευθύνσεων μετά την ανάκληση της πρόσβασης από τις Ρυθμίσεις
Περιγραφή: Ένα ζήτημα ελέγχου πρόσβασης στο Βιβλίο διευθύνσεων αντιμετωπίστηκε μέσω της βελτιωμένης επικύρωσης σύνδεσης αρχείων.
CVE-2016-4686: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest), Luke Deshotels, William Enck (North Carolina State University), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
CoreGraphics
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου JPEG μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2016-4673: Marco Grassi (@marcograss) του KeenLab (@keen_lab), Tencent
FaceTime
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση στο δίκτυο θα μπορούσε να προκαλέσει τη συνέχιση της μετάδοσης του ήχου μιας μεταβιβασμένης κλήσης η οποία θα φαινόταν ότι έχει τερματιστεί
Περιγραφή: Υπήρχαν ασυνέπειες στο περιβάλλον χρήσης για το χειρισμό των μεταβιβασμένων κλήσεων. Αυτά τα θέματα αντιμετωπίστηκαν με βελτιωμένη λογική πρωτοκόλλου.
CVE-2016-7577: Martin Vigo (@martin_vigo) της salesforce.com
Η καταχώρηση προστέθηκε στις 27 Οκτωβρίου 2016
FontParser
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Η ανάλυση μιας κακόβουλης γραμματοσειράς μπορεί να οδηγήσει στην αποκάλυψη ευαίσθητων πληροφοριών χρήστη
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.
CVE-2016-4660: Ke Liu του Xuanwu Lab της Tencent
FontParser
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπήρχε υπερχείλιση buffer στον χειρισμό αρχείων γραμματοσειρών. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.
CVE-2016-4688: Simon Huang από την εταιρεία Alipay, thelongestusernameofall@gmail.com
Η καταχώρηση προστέθηκε στις 27 Νοεμβρίου 2016
IDS - Συνδεσιμότητα
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση στο δίκτυο θα μπορούσε να ξεγελάσει ένα χρήστη σε μια κλήση με πολλούς συμμετέχοντες και να τον κάνει να πιστέψει ότι μιλάει στον άλλο συμμετέχοντα
Περιγραφή: Υπήρχε ένα ζήτημα πλαστοπροσωπίας στο χειρισμό της εναλλαγής κλήσεων. Αυτό το ζήτημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού των ειδοποιήσεων "εναλλαγή καλούντος".
CVE-2016-4721: Martin Vigo (@martin_vigo) της salesforce.com
Η καταχώρηση προστέθηκε στις 27 Οκτωβρίου 2016
Εφεδρικό αντίγραφο iTunes
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας με πρόσβαση σε ένα κρυπτογραφημένο εφεδρικό αντίγραφο iTunes μπορεί να είναι σε θέση να προσδιορίσει το συνθηματικό του εφεδρικού αντιγράφου
Περιγραφή: Υπήρχε μια αδυναμία κατακερματισμού συνθηματικού στο χειρισμό των κρυπτογραφημένων εφεδρικών αντιγράφων iTunes. Αυτό το ζήτημα αντιμετωπίστηκε με την κατάργηση του αδύναμου κατακερματισμού.
CVE-2016-4685: Elcomsoft
Η καταχώρηση προστέθηκε στις 14 Νοεμβρίου 2016
Πυρήνας
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να έχει τη δυνατότητα να προκαλέσει μη αναμενόμενο τερματισμό του συστήματος ή αυθαίρετη εκτέλεση κώδικα στον πυρήνα
Περιγραφή: Υπήρχαν πολλά ζητήματα επικύρωσης εισόδου στον δημιουργημένο κώδικα MIG. Αυτά τα ζητήματα αντιμετωπίστηκαν μέσω βελτιωμένης επικύρωσης.
CVE-2016-4669: Ian Beer του Google Project Zero
Η καταχώρηση ενημερώθηκε στις 2 Νοεμβρίου 2016
Πυρήνας
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να είναι σε θέση να αποκαλύψει περιεχόμενο της μνήμης πυρήνα
Περιγραφή: Ένα ζήτημα επικύρωσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2016-4680: Max Bazaliy των Lookout και in7egral
Πυρήνας
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Μια τοπική εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Υπήρχαν πολλά ζητήματα διάρκειας ζωής αντικειμένων κατά την εκκίνηση νέων διεργασιών. Τα ζητήματα αντιμετωπίστηκαν μέσω βελτιωμένης επικύρωσης.
CVE-2016-7613: Ian Beer από το Google Project Zero
Η καταχώρηση προστέθηκε την 1η Νοεμβρίου 2016
libarchive
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη αρχειοθήκη ενδέχεται να μπορεί να αντικαταστήσει αυθαίρετα αρχεία
Περιγραφή: Υπήρχε πρόβλημα στη λογική επικύρωσης διαδρομών για τους συμβολικούς συνδέσμους. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης διαδρομών.
CVE-2016-4679: Omer Medan της enSilo Ltd
libxpc
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια ρίζας
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με πρόσθετους περιορισμούς.
CVE-2016-4675: Ian Beer του Google Project Zero
Safari
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Ένας κακόβουλος ιστότοπος μπορεί να είναι σε θέση να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού διευθύνσεων URL.
CVE-2016-7581: Sabri Haddouche (@pwnsdx)
Η καταχώρηση ενημερώθηκε την 1η Δεκεμβρίου 2016
Προφίλ sandbox
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να ανακτήσει μεταδεδομένα καταλόγων φωτογραφιών
Περιγραφή: Αντιμετωπίστηκε ένα ζήτημα πρόσβασης μέσω πρόσθετων περιορισμών sandbox σε εφαρμογές τρίτων.
CVE-2016-4664: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest), Luke Deshotels, William Enck (North Carolina State University), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
Προφίλ sandbox
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να ανακτήσει μεταδεδομένα καταλόγων ήχου
Περιγραφή: Αντιμετωπίστηκε ένα ζήτημα πρόσβασης μέσω πρόσθετων περιορισμών sandbox σε εφαρμογές τρίτων.
CVE-2016-4665: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest), Luke Deshotels, William Enck (North Carolina State University), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
Ασφάλεια
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός εισβολέας μπορεί να παρατηρήσει το μήκος ενός κωδικού πρόσβασης σύνδεσης όταν ο χρήστης πραγματοποιεί είσοδο
Περιγραφή: Υπήρχε ζήτημα καταγραφής στο χειρισμό των κωδικών πρόσβασης. Αυτό το ζήτημα αντιμετωπίστηκε με την κατάργηση της καταγραφής του μήκους του κωδικού πρόσβασης.
CVE-2016-4670: Daniel Jalkut της Red Sweater Software
WebKit
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου Ιστού μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2016-4666: Apple
CVE-2016-4677: Ένας ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
WebKit
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου Ιστού μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2016-7578: Apple
Η καταχώρηση προστέθηκε στις 27 Οκτωβρίου 2016