Sigurnosni sadržaj sustava iOS 9.3.2
U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 9.3.2
Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto o sigurnosti Appleovih proizvoda.
Informacije o PGP ključu za zaštitu Appleovih proizvoda potražite u članku Korištenje PGP ključa za zaštitu Appleovih proizvoda.
Kada je to moguće, CVE ID-ovi služe kao referenca za dodatne informacije o slabim točkama.
Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak o Appleovim sigurnosnim ažuriranjima.
iOS 9.3.2
Pristupačnost
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerna aplikacija mogla je otkriti povjerljive podatke o korisniku
Opis: problem s čitanjem izvan granica riješen je putem poboljšane provjere valjanosti ulaznih podataka.
CVE-ID
CVE-2016-1790: Rapelly Akhil
CFNetwork proxyji
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: napadač s administratorskim mrežnim ovlastima mogao je otkriti povjerljive korisničke podatke
Opis: prilikom rukovanja HTTP i HTTPS zahtjevima došlo je do propuštanja podataka. Taj je problem riješen poboljšanim rukovanjem URL-ovima.
CVE-ID
CVE-2016-1801: Alex Chapman i Paul Stone (Context Information Security)
CommonCrypto
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerna aplikacija mogla je otkriti povjerljive podatke o korisniku
Opis: otkriven je problem s rukovanjem povratnim vrijednostima u funkciji CCCrypt. Taj je problem riješen poboljšanim upravljanjem duljinom ključa.
CVE-ID
CVE-2016-1802: Klaus Rodewig
CoreCapture
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom provjerom valjanosti.
CVE-ID
CVE-2016-1803: Ian Beer (Google Project Zero) i inicijativa Zero Day (Trend Micro)
Slike diska
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: lokalni napadač mogao je čitati memoriju kernela
Opis: uvjet nadvladavanja riješen je poboljšanim zaključavanjem.
CVE-ID
CVE-2016-1807: Ian Beer (Google Project Zero)
Slike diska
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: u raščlanjivanju slika diska otkriven je problem s oštećenom memorijom. Taj je problem riješen poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2016-1808: Moony Li (@Flyic) i Jack Tang (@jacktang310) (Trend Micro)
ImageIO
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: obradom zlonamjerne slike moglo se uzrokovati odbijanje usluge
Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom provjerom valjanosti.
CVE-ID
CVE-2016-1811: Lander Brandt (@landaire)
IOAcceleratorFamily
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-ID
CVE-2016-1817: Moony Li (@Flyic) i Jack Tang (@jacktang310) (Trend Micro) i inicijativa Zero Day (Trend Micro)
CVE-2016-1818: Juwei Lin (TrendMicro), sweetchip@GRAYHASH i inicijativa Zero Day (Trend Micro)
CVE-2016-1819: Ian Beer (Google Project Zero)
Unos je ažuriran 13. prosinca 2016.
IOAcceleratorFamily
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: aplikacije su mogle uzrokovati odbijanje usluge
Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanim zaključavanjem.
CVE-ID
CVE-2016-1814: Juwei Lin (TrendMicro)
IOAcceleratorFamily
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom provjerom valjanosti.
CVE-ID
CVE-2016-1813: Ian Beer (Google Project Zero)
IOHIDFamily
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2016-1823: Ian Beer (Google Project Zero)
CVE-2016-1824: Marco Grassi (@marcograss) (KeenLab @keen_lab), Tencent
CVE-2016-4650: Peter Pi (Trend Micro) i HP-ova inicijativa Zero Day
Kernel
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-ID
CVE-2016-1827: Brandon Azad
CVE-2016-1828: Brandon Azad
CVE-2016-1829: CESG
CVE-2016-1830: Brandon Azad
CVE-2016-1831: Brandon Azad
libc
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: lokalni napadač mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-ID
CVE-2016-1832: Karl Williamson
libxml2
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: obradom zlonamjerne XML datoteke moglo se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-ID
CVE-2016-1833: Mateusz Jurczyk
CVE-2016-1834: Apple
CVE-2016-1835: Wei Lei i Liu Yang (Tehnološko sveučilište u Nanjangu)
CVE-2016-1836: Wei Lei i Liu Yang (Tehnološko sveučilište u Nanjangu)
CVE-2016-1837: Wei Lei i Liu Yang (Tehnološko sveučilište u Nanjangu)
CVE-2016-1838: Mateusz Jurczyk
CVE-2016-1839: Mateusz Jurczyk
CVE-2016-1840: Kostya Serebryany
libxslt
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjetom zlonamjernom web-mjestu moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2016-1841: Sebastian Apelt
MapKit
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: napadač s administratorskim mrežnim ovlastima mogao je otkriti povjerljive korisničke podatke
Opis: dijeljene veze slale su se putem HTTP protokola umjesto HTTPS protokola. Taj je problem riješen omogućivanjem HTTPS protokola za dijeljene veze.
CVE-ID
CVE-2016-1842: Richard Shupak (https://www.linkedin.com/in/rshupak)
OpenGL
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-ID
CVE-2016-1847: Tongbo Luo i Bo Qu (Palo Alto Networks)
Safari
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: korisnik nije mogao potpuno izbrisati povijest pretraživanja
Opis: odabirom opcije "Očisti povijest i podatke stranica" povijest se nije očistila. Taj je problem riješen poboljšanim brisanjem podataka.
CVE-ID
CVE-2016-1849: anonimni istraživač
Siri
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: osoba s fizičkim pristupom iOS uređaju mogla je pomoću Siri pristupati kontaktima i fotografijama putem zaključanog zaslona
Opis: prilikom pristupa rezultatima koje je dala Siri putem zaključanog zaslona došlo je do problema s upravljanjem stanjem. Taj je problem riješen onemogućivanjem detektora podataka u rezultatima s Twittera kada je uređaj zaključan.
CVE-ID
CVE-2016-1852: videosdebarraquito
WebKit
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjetom zlonamjernoj internetskoj stranici mogli su se otkriti podaci s druge internetske stranice
Opis: problem s nedovoljnim praćenjem unosa prilikom parsiranja svg slika riješen je poboljšanim praćenjem unosa.
CVE-ID
CVE-2016-1858: anonimni istraživač
WebKit
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjetom zlonamjernom web-mjestu moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-ID
CVE-2016-1854: anonimni istraživač i inicijativa Zero Day (Trend Micro)
CVE-2016-1855: Tongbo Luo i Bo Qu (Palo Alto Networks)
CVE-2016-1856: lokihardt i inicijativa Zero Day (Trend Micro)
CVE-2016-1857: Jeonghoon Shin@A.D.D i Liang Chen, Zhen Feng, wushi (KeenLab, Tencent) i inicijativa Zero Day (Trend Micro)
Područje za WebKit
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjetom zlonamjernom web-mjestu moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-ID
CVE-2016-1859: Liang Chen, wushi (KeenLab, Tencent) i inicijativa Zero Day (Trend Micro)
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.