O sigurnosnom sadržaju sustava iOS 8.4

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 8.4.

Radi zaštite svojih klijenata tvrtka Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do provođenja cjelovite istrage te dok potrebne zakrpe i izdanja ne postanu dostupni. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto o sigurnosti Appleovih proizvoda.

Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite u članku Korištenje PGP ključa za sigurnost Appleovih proizvoda.

Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.

Da biste saznali više o sigurnosnim ažuriranjima, pročitajte članak o Appleovim sigurnosnim ažuriranjima.

iOS 8.4

  • Application Store

    Dostupno za: iPhone 4s i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: zlonamjerna aplikacija s univerzalnim profilom za dodjelu resursa mogla bi onemogućiti pokretanje aplikacija

    Opis: postojao je problem u logici instalacije aplikacija s univerzalnim profilom za dodjelu resursa koji je omogućavao sukob s postojećim ID-ovima paketa. Taj je problem riješen poboljšanom provjerom sukoba.

    CVE-ID

    CVE-2015-3722: Zhaofeng Chen, Hui Xue i Tao (Lenx) Wei (FireEye, Inc.)

  • Certificate Trust Policy

    Dostupno za: iPhone 4s i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: napadač u privilegiranom položaju na mreži možda će moći presresti mrežni promet

    Opis: izdavač certifikata CNNIC nije pravilno izdao prijelazni certifikat. Taj je problem riješen dodavanjem mehanizma kojim se pouzdanima smatra samo podskup certifikata izdan prije spornog prijelaznog certifikata. Dostupne su dodatne informacije o popisu dopuštenih djelomično pouzdanih sigurnosnih certifikata.

  • Certificate Trust Policy

    Dostupno za: iPhone 4s i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: ažuriranje pravilnika o pouzdanosti certifikata

    Opis: ažurirao se pravilnik o pouzdanosti certifikata. Cijeli popis certifikata možete pregledati na spremištu pouzdanih certifikata u sustavu iOS.

  • CFNetwork HTTPAuthentication

    Dostupno za: iPhone 4s i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: posjet zlonamjerno formiranom URL-u može dovesti do izvršavanja proizvoljnog koda

    Opis: postojao je problem s oštećenjem sadržaja memorije pri rukovanju određenim URL vjerodajnicama. Taj je problem riješen poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-3684: Apple

  • CoreGraphics

    Dostupno za: iPhone 4s i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: otvaranje zlonamjerno formirane PDF datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: u rukovanju ICC profilima postojalo je više problema s oštećenjem sadržaja memorije. Ti su problemi riješeni poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-3723: chaithanya (SegFault) u suradnji s HP-ovom inicijativom Zero Day

    CVE-2015-3724: WanderingGlitch iz HP-ove inicijative Zero Day

  • CoreText

    Dostupno za: iPhone 4s i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: obrada zlonamjerno formirane tekstne datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: u obradi tekstnih datoteka postojalo je više problema s oštećenjem sadržaja memorije. Ti su problemi riješeni poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2015-1157

    CVE-2015-3685: Apple

    CVE-2015-3686: John Villamil (@day6reak), Yahoo Pentest tim

    CVE-2015-3687: John Villamil (@day6reak), Yahoo Pentest tim

    CVE-2015-3688: John Villamil (@day6reak), Yahoo Pentest tim

    CVE-2015-3689: Apple

  • coreTLS

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač u privilegiranom položaju na mreži mogao bi presresti SSL/TLS veze

    Opis: coreTLS prihvaćao je kratke efemerne Diffie-Hellman (DH) ključeve koji se koriste u paketima snage namijenjene izvozu s efemernim DH ključevima. Taj je problem, koji se naziva i „Logjam”, napadačima s mrežnim ovlastima omogućavao da sigurnost smanje na 512-bitni DH za poslužitelje koji podržavaju izvozne šifrirne pakete s efemernim DH ključevima. Taj je problem riješen povećanjem zadane minimalne veličine dopuštene za DH efemerne ključeve na 768 bitova.

    CVE-ID

    CVE-2015-4000: tim weakdh (weakdh.org), Hanno Boeck

  • DiskImages

    Dostupno za: iPhone 4s i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: zlonamjerna aplikacija možda će moći otkriti raspored elemenata u memoriji jezgre

    Opis: u obradi slika diska postojao je problem s otkrivanjem informacija. Taj je problem riješen poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-3690: Peter Rutenbar u suradnji s inicijativom Zero Day tvrtke HP

  • FontParser

    Dostupno za: iPhone 4s i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: obrada zlonamjerno formiranih fontova može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: u obradi datoteka fontova postojalo je više problema s oštećenjem sadržaja memorije. Ti su problemi riješeni poboljšanom provjerom ulaza.

    CVE-ID

    CVE-2015-3694: John Villamil (@day6reak), Yahoo Pentest tim

    CVE-2015-3719: John Villamil (@day6reak), Yahoo Pentest tim

  • ImageIO

    Dostupno za: iPhone 4s i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: obrada zlonamjerno stvorene .tiff datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: u obradi .tiff datoteka postojao je problem s oštećenjem sadržaja memorije. Taj je problem riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2015-3703: Apple

  • ImageIO

    Dostupno za iPhone 4s i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: u libtiff biblioteci postoji više slabih točaka, a najozbiljnija od njih može dovesti do izvršavanja proizvoljnog koda

    Opis: u libtiff biblioteci prije verzije 4.0.4 postojalo je više slabih točaka. To je riješeno ažuriranjem libtiff biblioteke na verziju 4.0.4.

    CVE-ID

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130

  • Kernel

    Dostupno za: iPhone 4s i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: zlonamjerna aplikacija možda će moći otkriti raspored elemenata u memoriji jezgre

    Opis: u rukovanju parametrima HFS-a postojao je problem s upravljanjem memorijom koji je mogao dovesti do otkrivanja rasporeda elemenata u memoriji jezgre. Taj je problem riješen poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-3721: Ian Beer (Google Project Zero)

  • Mail

    Dostupno za: iPhone 4s i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: zlonamjerno formiran e-mail može prilikom pregledavanja poruke zamijeniti njezin sadržaj proizvoljnom web-stranicom

    Opis: u podršci za HTML e-mail postojao je problem koji je sadržaju poruka dopuštao da se osvježi proizvoljnom web-stranicom. Taj je problem riješen ograničenjem podrške za HTML sadržaj.

    CVE-ID

    CVE-2015-3710: Aaron Sigel (vtty.com), Jan Souček

  • MobileInstallation

    Dostupno za: iPhone 4s i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: zlonamjerna aplikacija s univerzalnim profilom za dodjelu resursa može onemogućiti pokretanje aplikacije Watch

    Opis: postojao je problem u logici instalacije aplikacija s univerzalnim profilom za dodjelu resursa na Watch uređaju koji je omogućavao sukob s postojećim ID-ovima paketa. Taj je problem riješen poboljšanom provjerom sukoba.

    CVE-ID

    CVE-2015-3725: Zhaofeng Chen, Hui Xue i Tao (Lenx) Wei (FireEye, Inc.)

  • Safari

    CVE-2015-1155: Joe Vennix (Rapid7 Inc.) i HP-ova inicijativa Zero Day

    Impact: Visiting a maliciously crafted website may compromise user information on the filesystem

    Description: A state management issue existed in Safari that allowed unprivileged origins to access contents on the filesystem. This issue was addressed through improved state management.

    CVE-ID

    CVE-2015-1155 : Joe Vennix of Rapid7 Inc. working with HP's Zero Day Initiative

  • Safari

    Dostupno za: iPhone 4s i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: posjet zlonamjernom web-mjestu može dovesti do preuzimanja računa

    Opis: postojao je problem pri kojem je Safari čuvao zaglavlje zahtjeva s izvora radi unakrsnog preusmjeravanja omogućujući zlonamjernim web-mjestima zaobilaženje CSRF zaštita. Taj je problem riješen poboljšanim rukovanjem preusmjeravanjima.

    CVE-ID

    CVE-2015-3658: Brad Hill (Facebook)

  • Security

    Dostupno za: iPhone 4s i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: u kodu sigurnosnog okvira za raščlanjivanje S/MIME e-maila i nekih drugih potpisanih ili šifriranih objekata postojalo je cjelobrojno prekoračenje. Taj je problem riješen poboljšanom provjerom provjere autentičnosti.

    CVE-ID

    CVE-2013-1741

  • SQLite

    Dostupno za: iPhone 4s i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: u implementaciji naredbe printf u jeziku SQLite postojalo je više prekoračenja međuspremnika. Ti su problemi riješeni poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2015-3717: Peter Rutenbar u suradnji s inicijativom Zero Day tvrtke HP

  • SQLite

    Dostupno za: iPhone 4s i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: zlonamjerno formirane SQL naredbe mogle bi omogućiti neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: u SQLite funkcionalnosti postojao je problem s API-jem. Taj je problem riješen povećanjem ograničenja.

    CVE-ID

    CVE-2015-7036: Peter Rutenbar u suradnji s inicijativom Zero Day tvrtke HP

  • Telefonija

    Dostupno za: iPhone 4s i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: zlonamjerno formirane SIM kartice mogu dovesti do izvršavanja proizvoljnog koda

    Opis: u raščlanjivanju SIM/UIM informacija postojalo je više problema s provjerom valjanosti ulaza. Ti su problemi riješeni poboljšanom provjerom valjanosti podataka.

    CVE-ID

    CVE-2015-3726: Matt Spisak (Endgame)

  • WebKit

    Dostupno za: iPhone 4s i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: posjet zlonamjernom web-mjestu klikom na vezu mogao bi dovesti do krivotvorenja korisničkog sučelja

    Opis: postojao je problem pri rukovanju atributom rel u sidrenim elementima. Ciljni objekti mogli su neovlašteno pristupati objektima veze. Taj je problem riješen boljim prepoznavanjem vrste veza.

    CVE-ID

    CVE-2015-1156: Zachary Durber (Moodle)

  • WebKit

    Dostupno za: iPhone 4s i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: posjet zlonamjerno izrađenom web-mjestu može dovesti do neočekivanog prekida rada aplikacije ili izvršavanja proizvoljnog koda

    Opis: u programu WebKit postojalo je više problema s oštećenjem memorije. Ti su problemi riješeni poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-1152: Apple

    CVE-2015-1153: Apple

  • WebKit

    Dostupno za: iPhone 4s i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: pristupanje zlonamjerno formiranoj web-stranici moglo bi dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: postojao je problem nedovoljne usporedbe u SQLite autorizatoru, što je omogućavalo pozivanje proizvoljnih SQL funkcija. Taj je problem riješen poboljšanom provjerom autentičnosti.

    CVE-ID

    CVE-2015-3659: Peter Rutenbar u suradnji s inicijativom Zero Day tvrtke HP

  • WebKit

    Dostupno za: iPhone 4s i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: zlonamjerno formirano web-mjesto može pristupiti WebSQL bazama podataka drugih web-mjesta

    Opis: u provjerama autorizacije za preimenovanje WebSQL tablica postojao je problem koji je mogao dopustiti zlonamjernom web-mjestu da pristupi bazama podataka koje pripadaju drugim web-mjestima. Taj je problem riješen poboljšanim provjerama provjere autentičnosti.

    CVE-ID

    CVE-2015-3727: Peter Rutenbar u suradnji s inicijativom Zero Day tvrtke HP

  • Wi-Fi povezivanje

    Dostupno za: iPhone 4s i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: iOS uređaji mogli su se automatski, ali s nižim stupnjem sigurnosti, povezivati s nepouzdanim pristupnim točkama koje oglašavaju poznat ESSID

    Opis: postojao je problem s nedovoljnom usporedbom u procjeni oglašavanja poznate pristupne točke u programu za upravljanje Wi-Fi-jem. Taj je problem riješen poboljšanim podudaranjem sigurnosnih parametara.

    CVE-ID

    CVE-2015-3728: Brian W. Gray (Sveučilište Carnegie Mellon), Craig Young (TripWire)

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: