O sigurnosnom sadržaju sustava iOS 8.2

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 8.2.

Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za zaštitu Appleovih proizvoda potražite u članku Korištenje PGP ključa za zaštitu Appleovih proizvoda.

Kada je moguće, slabe točke označene su CVE ID-ovima, pomoću kojih je moguće pronaći dodatne informacije.

Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak Appleova sigurnosna ažuriranja.

iOS 8.2

• CoreTelephony

  Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

  Učinak: udaljeni napadač može uzrokovati neočekivano ponovno pokretanje uređaja

  Opis: postojao je problem s dereferenciranjem NULL pokazivača u načinu na koji CoreTelephony obrađuje SMS poruke klase 0. Taj je problem riješen poboljšanom provjerom valjanosti poruka.

  CVE-ID

  CVE-2015-1063: Roman Digerberg, Švedska

• iCloud privjesak za ključeve

  Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

  Učinak: napadač s mrežnim ovlastima može izvršiti proizvoljni kod

  Opis: u načinu rukovanja podacima tijekom oporavka iCloud privjeska za ključeve dolazilo je do višestrukog prekoračenja međuspremnika. Ti se problemi rješavaju poboljšanom provjerom granica.

  CVE-ID

  CVE-2015-1065: Andrey Belenko, NowSecure

• IOSurface

  Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

  Učinak: uz sistemske ovlasti zlonamjerna aplikacija mogla je izvršiti arbitrarni kod

  Opis: u načinu na koji IOSurface obrađuje serijalizirane objekte postojao je problem s pogrešnom vrstom. Taj je problem riješen dodatnom provjerom vrste.

  CVE-ID

  CVE-2015-1061: Ian Beer, Google Project Zero

• MobileStorageMounter

  Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

  Učinak: zlonamjerna aplikacija može stvoriti mape na pouzdanim lokacijama u sustavu datoteka

  Opis: u načinu podizanja razvojnog diska postojao je problem zbog kojeg se nevažeće mape slike diska nisu brisale. Problem je riješen poboljšanim upravljanjem pogreškama.

  CVE-ID

  CVE-2015-1062: tim TaiG za jailbreaking

• Sigurni prijenos

  Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

  Učinak: napadač s mrežnim ovlastima može presresti SSL/TLS veze

  Opis: sigurni prijenos prihvaćao je kratke prolazne RSA ključeve koji su se obično koristili samo u izvoznim RSA kompletima za šifriranje i u vezama koje su koristile RSA komplete za šifriranje pune jačine. Taj problem, poznat i pod nazivom FREAK, utjecao je samo na veze s poslužiteljima koji podržavaju izvozne RSA komplete za šifriranje i riješen je uklanjanjem podrške za prolazne RSA ključeve.

  CVE-ID

  CVE-2015-1067: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti, i Jean Karim Zinzindohoue, Prosecco (Inria Paris)

• Springboard

  Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

  Učinak: osoba s fizičkim pristupom uređaju mogla je vidjeti početni zaslon uređaja čak i ako uređaj nije bio aktiviran

  Opis: neočekivano zatvaranje aplikacije tijekom aktivacije moglo je uzrokovati prikaz početnog zaslona uređaja. Taj je problem riješen poboljšanim upravljanjem pogreškom tijekom aktivacije.

  CVE-ID

  CVE-2015-1064