Sigurnosni sadržaj sustava iOS 9.1
U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 9.1.
Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto o sigurnosti Appleovih proizvoda.
Informacije o PGP ključu za zaštitu Appleovih proizvoda potražite u članku Korištenje PGP ključa za zaštitu Appleovih proizvoda.
Kada je to moguće, CVE ID-ovi služe kao referenca za dodatne informacije o slabim točkama.
Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak o Appleovim sigurnosnim ažuriranjima.
iOS 9.1
Ubrzavanje radnog okruženja
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjetom zlonamjernom web-mjestu moglo je doći do izvršavanja proizvoljnog koda
Opis: u ubrzavanju radnog okruženja u načinu rada s više niti otkriven je problem s oštećenom memorijom. Taj je problem riješen poboljšanom provjerom valjanosti pristupnog elementa i poboljšanim zaključavanjem objekta.
CVE-ID
CVE-2015-5940: Apple
Bom
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: raspakiravanjem zlonamjerne arhive moglo je doći do izvršavanja proizvoljnog koda
Opis: u rukovanju CPIO arhivama otkrivena je slaba točka u putu datoteka. Taj je problem riješen poboljšanom provjerom metapodataka.
CVE-ID
CVE-2015-7006: Mark Dowd (Azimuth Security)
CFNetwork
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjetom zlonamjernom web-mjestu moglo je doći do prebrisivanja kolačića
Opis: u rukovanju upotrebom velikih i malih slova otkriven je problem. Problem je riješen poboljšanjem parsiranja.
CVE-ID
CVE-2015-7023: Marvin Scholz i Michael Lutonsky, Xiaofeng Zheng i Jinjin Liang (Sveučilište Tsinghua), Jian Jiang (Kalifornijsko sveučilište, Berkeley), Haixin Duan (Sveučilište Tsinghua i Međunarodni institut za znanost o računalima), Shuo Chen (Microsoft Research Redmond), Tao Wan (Huawei Canada), Nicholas Weaver (Međunarodni institut za znanost o računalima i Kalifornijsko sveučilište, Berkeley, via CERT/CC)
configd
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja
Opis: u medijateci DNS klijenta otkriven je problem s prekoračenjem međuspremnika zbog nagomilavanja. Zlonamjerne aplikacije s mogućnošću krivotvorenja odgovora lokalnog configd servisa mogle su uzrokovati izvršavanje arbitrarnog koda u DNS klijentima.
CVE-ID
CVE-2015-7015: PanguTeam
Jezgrena grafika
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjetom zlonamjernom web-mjestu moglo je doći do izvršavanja proizvoljnog koda
Opis: u jezgrenoj grafici otkriven je veći broj problema s oštećenom memorijom. Ti su problemi riješeni poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-5925: Apple
CVE-2015-5926: Apple
Jezgreni tekst
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: obradom zlonamjernih datoteka s fontovima moglo je doći do izvršavanja proizvoljnog koda
Opis: u načinu rukovanja datotekama s fontovima otkriveno je nekoliko problema s oštećenom memorijom. Ti su problemi riješeni poboljšanom provjerom ograničenja.
CVE-ID
CVE-2015-6975: John Villamil (@day6reak), Yahoo Pentest tim
CVE-2015-6992: John Villamil (@day6reak), Yahoo Pentest tim
CVE-2015-7017: John Villamil (@day6reak), Yahoo Pentest tim
Slike diska
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: uz sistemske ovlasti zlonamjerna aplikacija mogla je izvršiti proizvoljni kod
Opis: u raščlanjivanju slika diska otkriven je problem s oštećenom memorijom. Taj je problem riješen poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-6995: Ian Beer (Google Project Zero)
Parsiranje fonta
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: obradom zlonamjernih datoteka s fontovima moglo je doći do izvršavanja proizvoljnog koda
Opis: u načinu rukovanja datotekama s fontovima otkriveno je nekoliko problema s oštećenom memorijom. Ti su problemi riješeni poboljšanom provjerom ograničenja.
CVE-ID
CVE-2015-5927: Apple
CVE-2015-5942
CVE-2015-6976: John Villamil (@day6reak), Yahoo Pentest tim
CVE-2015-6977: John Villamil (@day6reak), Yahoo Pentest tim
CVE-2015-6978: Jaanus Kp (Clarified Security i HP-ova inicijativa Zero Day)
CVE-2015-6990: John Villamil (@day6reak), Yahoo Pentest tim
CVE-2015-6991: John Villamil (@day6reak), Yahoo Pentest tim
CVE-2015-6993: John Villamil (@day6reak), Yahoo Pentest tim
CVE-2015-7008: John Villamil (@day6reak), Yahoo Pentest tim
CVE-2015-7009: John Villamil (@day6reak), Yahoo Pentest tim
CVE-2015-7010: John Villamil (@day6reak), Yahoo Pentest tim
CVE-2015-7018: John Villamil (@day6reak), Yahoo Pentest tim
GasGauge
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: uz kernelske ovlasti zlonamjerna aplikacija mogla je izvršiti proizvoljni kod
Opis: u kernelu je postojao problem s oštećenom memorijom. Taj je problem riješen poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-6979: PanguTeam
Središnji dispečerski centar
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: obradom zlonamjernog paketa moglo je doći do izvršavanja proizvoljnog koda
Opis: u rukovanju dispečerskim pozivima otkriveno je oštećenje memorije. Taj je problem riješen poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-6989: Apple
Upravljački program za grafiku
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: pokretanjem zlonamjerne aplikacije moglo je doći do izvršavanja proizvoljnog koda unutar jezgre
Opis: u programu AppleVXD393 otkriven je problem s prepoznavanjem vrsta. Taj je problem riješen poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-6986: Proteas (Qihoo 360, tim za Nirvan)
ImageIO
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: prikazom zlonamjerne slikovne datoteke moglo je doći do izvršavanja proizvoljnog koda
Opis: u parsiranju metapodataka slika otkriveni su problemi s oštećenom memorijom. Ti su problemi riješeni poboljšanom provjerom valjanosti metapodataka.
CVE-ID
CVE-2015-5935: Apple
CVE-2015-5936: Apple
CVE-2015-5937: Apple
CVE-2015-5939: Apple
IOAcceleratorFamily
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: uz sistemske ovlasti zlonamjerna aplikacija mogla je izvršiti proizvoljni kod
Opis: otkriven je problem s oštećenjem memorije u komponenti IOAcceleratorFamily. Taj je problem riješen poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-6996: Ian Beer (Google Project Zero)
IOHIDFamily
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: uz kernelske ovlasti zlonamjerna aplikacija mogla je izvršiti proizvoljni kod
Opis: u kernelu je postojao problem s oštećenom memorijom. Taj je problem riješen poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-6974: Luca Todesco (@qwertyoruiop)
Kernel
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: lokalna aplikacija mogla je uzrokovati odbijanje usluge
Opis: u kernelu je otkriven problem s provjerom valjanosti ulaza. Taj je problem riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-ID
CVE-2015-7004: Sergi Alvarez (Pancake) (istraživački tim tvrtke NowSecure)
Kernel
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: napadači s mrežnim ovlastima mogli su izvršiti proizvoljni kod
Opis: u kernelu je otkriven problem s memorijom koja se ne inicijalizira. Problem je riješen poboljšanom inicijalizacijom memorije.
CVE-ID
CVE-2015-6988: The Brainy Code Scanner (m00nbsd)
Kernel
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: lokalna aplikacija mogla je uzrokovati odbijanje usluge
Opis: pri ponovnoj upotrebi virtualne memorije otkriven je problem. Taj je problem riješen poboljšanom provjerom valjanosti.
CVE-ID
CVE-2015-6994: Mark Mentovai (Google Inc.)
mDNSResponder
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: udaljeni napadač mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda
Opis: više problema s oštećenjem memorije u parsiranju podataka DNS-a. Ti su problemi riješeni poboljšanom provjerom ograničenja.
CVE-ID
CVE-2015-7987 : Alexandre Helie
mDNSResponder
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: lokalna aplikacija mogla je uzrokovati odbijanje usluge
Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanim rukovanjem memorijom.
CVE-ID
CVE-2015-7988 : Alexandre Helie
Centar za obavijesti
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: obavijesti aplikacija Telefon i Poruke pojavljivale su se na zaključanom zaslonu čak i kad su bile onemogućene
Opis: ako je opcija "Prikaži na zaključanom zaslonu" bila isključena za aplikacije Telefon i Poruke, konfiguracijske promjene nisu se odmah primjenjivale. Taj je problem riješen poboljšanim upravljanjem stanjem.
CVE-ID
CVE-2015-7000: William Redwood (Škola Hampton)
OpenGL
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjetom zlonamjernom web-mjestu moglo je doći do izvršavanja proizvoljnog koda
Opis: u komponenti OpenGL otkriven je problem s oštećenom memorijom. Problem je riješen poboljšanim rukovanjem memorijom.
CVE-ID
CVE-2015-5924: Apple
Sigurnost
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: obradom zlonamjernog certifikata moglo je doći do pokretanja proizvoljnog koda
Opis: u ASN.1 dekoderu otkriveno je nekoliko problema s oštećenom memorijom. Ti su problemi riješeni poboljšanom provjerom ulaza.
CVE-ID
CVE-2015-7059: David Keeler (Mozilla)
CVE-2015-7060: Tyson Smith (Mozilla)
CVE-2015-7061: Ryan Sleevi (Google)
Sigurnost
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerne aplikacije mogle su prebrisati proizvoljne datoteke
Opis: u rukovanju deskriptorima za AtomicBufferedFile otkriven je problem dvostrukog oslobađanja. Taj je problem riješen poboljšanom provjerom deskriptora za AtomicBufferedFile.
CVE-ID
CVE-2015-6983: David Benjamin, Greg Kerr, Mark Mentovai i Sergey Ulanov (Chromeov tim)
Sigurnost
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: opozvane certifikate napadači su mogli prividno učiniti valjanima
Opis: u OCSP klijentu otkriven je problem s provjerom valjanosti. Taj je problem riješen provjerom isteka vremena za OCSP certifikat.
CVE-ID
CVE-2015-6999: Apple
Sigurnost
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: procjena pouzdanosti konfigurirana da zatraži provjeru opoziva mogla je biti pozitivna čak i ako provjera opoziva nije uspjela
Opis: oznaka kSecRevocationRequirePositiveResponse bila je navedena, ali se nije primjenjivala. Taj je problem riješen primjenom te oznake.
CVE-ID
CVE-2015-6997: Apple
Telefonija
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerna aplikacija mogla je otkriti povjerljive korisničke podatke
Opis: u provjerama autorizacije upita o statusu telefonskih poziva otkriven je problem. Taj je problem riješen dodatnim upitima o statusu pri autorizaciji.
CVE-ID
CVE-2015-7022: Andreas Kurtz (NESO Security Labs)
WebKit
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjetom zlonamjernom web-mjestu moglo je doći do izvršavanja proizvoljnog koda
Opis: u WebKitu je otkriven veći broj problema s oštećenom memorijom. Ti su problemi riješeni poboljšanim rukovanjem memorijom.
CVE-ID
CVE-2015-5928: Apple
CVE-2015-5929: Apple
CVE-2015-5930: Apple
CVE-2015-6981
CVE-2015-6982
CVE-2015-7002: Apple
CVE-2015-7005: Apple
CVE-2015-7012: Apple
CVE-2015-7014
CVE-2015-7104: Apple
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.