O sigurnosnom sadržaju sustava iOS 8.2
U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 8.2.
Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto Sigurnost Appleovih proizvoda.
Informacije o PGP ključu za zaštitu Appleovih proizvoda potražite u članku Korištenje PGP ključa za zaštitu Appleovih proizvoda.
Kada je moguće, slabe točke označene su CVE ID-ovima, pomoću kojih je moguće pronaći dodatne informacije.
Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak Appleova sigurnosna ažuriranja.
iOS 8.2
CoreTelephony
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: udaljeni napadač može uzrokovati neočekivano ponovno pokretanje uređaja
Opis: postojao je problem s dereferenciranjem NULL pokazivača u načinu na koji CoreTelephony obrađuje SMS poruke klase 0. Taj je problem riješen poboljšanom provjerom valjanosti poruka.
CVE-ID
CVE-2015-1063: Roman Digerberg, Švedska
iCloud privjesak za ključeve
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: napadač s mrežnim ovlastima može izvršiti proizvoljni kod
Opis: u načinu rukovanja podacima tijekom oporavka iCloud privjeska za ključeve dolazilo je do višestrukog prekoračenja međuspremnika. Ti se problemi rješavaju poboljšanom provjerom granica.
CVE-ID
CVE-2015-1065: Andrey Belenko, NowSecure
IOSurface
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: uz sistemske ovlasti zlonamjerna aplikacija mogla je izvršiti arbitrarni kod
Opis: u načinu na koji IOSurface obrađuje serijalizirane objekte postojao je problem s pogrešnom vrstom. Taj je problem riješen dodatnom provjerom vrste.
CVE-ID
CVE-2015-1061: Ian Beer, Google Project Zero
MobileStorageMounter
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerna aplikacija može stvoriti mape na pouzdanim lokacijama u sustavu datoteka
Opis: u načinu podizanja razvojnog diska postojao je problem zbog kojeg se nevažeće mape slike diska nisu brisale. Problem je riješen poboljšanim upravljanjem pogreškama.
CVE-ID
CVE-2015-1062: tim TaiG za jailbreaking
Sigurni prijenos
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: napadač s mrežnim ovlastima može presresti SSL/TLS veze
Opis: sigurni prijenos prihvaćao je kratke prolazne RSA ključeve koji su se obično koristili samo u izvoznim RSA kompletima za šifriranje i u vezama koje su koristile RSA komplete za šifriranje pune jačine. Taj problem, poznat i pod nazivom FREAK, utjecao je samo na veze s poslužiteljima koji podržavaju izvozne RSA komplete za šifriranje i riješen je uklanjanjem podrške za prolazne RSA ključeve.
CVE-ID
CVE-2015-1067: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti, i Jean Karim Zinzindohoue, Prosecco (Inria Paris)
Springboard
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: osoba s fizičkim pristupom uređaju mogla je vidjeti početni zaslon uređaja čak i ako uređaj nije bio aktiviran
Opis: neočekivano zatvaranje aplikacije tijekom aktivacije moglo je uzrokovati prikaz početnog zaslona uređaja. Taj je problem riješen poboljšanim upravljanjem pogreškom tijekom aktivacije.
CVE-ID
CVE-2015-1064
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.