O sigurnosnom sadržaju sustava iOS 8.4

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 8.4.

Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto o sigurnosti Appleovih proizvoda.

Informacije o PGP ključu za zaštitu Appleovih proizvoda potražite u članku Korištenje PGP ključa za zaštitu Appleovih proizvoda.

Kada je to moguće, CVE ID-ovi služe kao referenca za dodatne informacije o slabim točkama.

Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak o Appleovim sigurnosnim ažuriranjima.

iOS 8.4

  • Trgovina aplikacija

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerna aplikacija s univerzalnim profilom za dodjelu resursa mogla je onemogućiti pokretanje aplikacija

    Opis: otkriven je problem u instalacijskoj logici aplikacija s univerzalnim profilom za dodjelu resursa, koji je omogućivao sukob s postojećim skupom ID-ova. Taj je problem riješen poboljšanom provjerom sukoba.

    CVE-ID

    CVE-2015-3722: Zhaofeng Chen, Hui Xue i Tao (Lenx) Wei (FireEye, Inc.)
  • Pravilnik o pouzdanosti certifikata

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač s mrežnim ovlastima mogao je presresti mrežni promet

    Opis: izdavač certifikata CNNIC nije pravilno izdao prijelazni certifikat. Taj je problem riješen dodavanjem mehanizma kojim se pouzdanima smatra samo podskup certifikata izdan prije spornog prijelaznog certifikata. Dostupne su dodatne informacije o popisu dopuštenih djelomično pouzdanih sigurnosnih certifikata.

  • Pravilnik o pouzdanosti certifikata

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: ažuriranje pravilnika o pouzdanosti certifikata

    Opis: ažuriran je pravilnik o pouzdanosti certifikata. Cijeli popis certifikata možete pogledati na iOS pouzdanoj pohrani.

  • CFNetwork HTTPAuthentication

    Dostupno za: iPhone 4s i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji Učinak: zlonamjerni URL mogao je potaknuti izvršavanje proizvoljnog koda

    Opis: pri rukovanju određenim vjerodajnicama za URL pojavio se problem s oštećenom memorijom. Taj je problem riješen poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-3684: Apple

  • Jezgrena grafika

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: otvaranjem zlonamjerno stvorene PDF datoteke aplikacija se mogla neočekivano zatvoriti ili se mogao pokrenuti proizvoljni kod

    Opis: u načinu obrade ICC profila pojavilo se više problema s oštećenom memorijom. Ti su problemi riješeni poboljšanim rukovanjem memorijom.

    CVE-ID

    CVE-2015-3723: chaithanya (SegFault) u suradnji s HP-ovom inicijativom Zero Day

    CVE-2015-3724: WanderingGlitch (HP-ova inicijativa Zero Day)

  • Jezgreni tekst

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: obrada zlonamjerne tekstne datoteke mogla je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: u načinu obrade tekstnih datoteka otkriven je veći broj problema s oštećenom memorijom. Ti su problemi riješeni poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2015-1157

    CVE-2015-3685: Apple

    CVE-2015-3686: John Villamil (@day6reak), Yahoo Pentest tim

    CVE-2015-3687: John Villamil (@day6reak), Yahoo Pentest tim

    CVE-2015-3688: John Villamil (@day6reak), Yahoo Pentest tim

    CVE-2015-3689: Apple

  • Jezgreni TLS

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač s mrežnim ovlastima mogao je presresti SSL/TLS veze

    Opis: jezgreni TLS prihvaćao je kratke efemerne Diffie-Hellman (DH) ključeve, kakvi se koriste u izvoznim šifrirnim paketima s efemernim DH ključevima. Taj je problem, koji se naziva i "logjam", napadačima s mrežnim ovlastima omogućivao da sigurnost smanje na 512-bitni DH za poslužitelje koji podržavaju izvozne šifrirne pakete s efemernim DH ključevima. Taj je problem riješen povećanjem zadane minimalne veličine dopuštene za DH efemerne ključeve na 768 bitova.

    CVE-ID

    CVE-2015-4000: tim weakdh (weakdh.org), Hanno Boeck

  • Diskovne slike

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerna aplikacija mogla je odrediti raspored elemenata kernelske memorije

    Opis: u obradi diskovnih slika otkriven je problem s otkrivanjem podataka. Taj je problem riješen poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-3690: Peter Rutenbar u suradnji s HP-ovom inicijativom Zero Day

  • Raščlanjivanje fonta

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: obrada zlonamjerne datoteke s fontovima mogla je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: u načinu obrade datoteka s fontovima otkriveno je nekoliko problema s oštećenom memorijom. Ti su problemi riješeni poboljšanom provjerom ulaza.

    CVE-ID

    CVE-2015-3694: John Villamil (@day6reak), Yahoo Pentest tim

    CVE-2015-3719: John Villamil (@day6reak), Yahoo Pentest tim

  • Ulaz i izlaz slike

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: obradom zlonamjerne .tiff datoteke može doći do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: u obradi .tiff datoteka pojavilo se oštećenje memorije. Taj je problem riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2015-3703: Apple

  • Ulaz i izlaz slike

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: u libtiff biblioteci pojavilo se više slabih točaka, a najozbiljnija može uzrokovati izvršavanje proizvoljnog koda

    Opis: u libtiff biblioteci prije verzije 4.0.4 pojavilo se više slabih točaka. Ti su problemi riješeni ažuriranjem libtiff biblioteke na verziju 4.0.4.

    CVE-ID

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130
     

  • Kernel

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerna aplikacija mogla je odrediti raspored elemenata kernelske memorije

    Opis: pojavio se problem s upravljanjem memorijom u rukovanju HFS parametrima, koji je mogao rezultirati otkrivanjem rasporeda kernel memorije. Taj je problem riješen poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-3721: Ian Beer (Google Project Zero)
  • E-mail

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerni e-mail mogao je zamijeniti sadržaj poruke proizvoljnom web-stranicom, na kojoj je prikazana poruka.

    Opis: u podršci za HTML e-mail pojavio se problem koji je sadržaju poruka omogućivao da se osvježava proizvoljnom web-stranicom. Taj je problem riješen ograničenjem podrške za HTML sadržaj.

    CVE-ID

    CVE-2015-3710: Aaron Sigel (vtty.com), Jan Souček
  • Mobilna instalacija

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerna aplikacija s univerzalnim profilom za dodjelu resursa onemogućivala je pokretanje aplikacije uređaja Watch

    Opis: u instalacijskoj logici aplikacija s univerzalnim profilom za dodjelu resursa na uređaju Watch otkriven je problem koji je omogućivao sukob s postojećim skupom ID-ova. Taj je problem riješen poboljšanom provjerom sukoba.

    CVE-ID

    CVE-2015-3725: Zhaofeng Chen, Hui Xue i Tao (Lenx) Wei (FireEye, Inc.)

  • Safari

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: posjetom zlonamjernom web-mjestu mogli su se ugroziti korisnički podaci u datotečnom sustavu

    Opis: u pregledniku Safari otkriven je problem vezan uz upravljanje stanjem koji je izvorima bez ovlasti dopuštao pristup sadržajima u datotečnom sustavu. Taj je problem riješen poboljšanim upravljanjem stanjem.

    CVE-ID

    CVE-2015-1155: Joe Vennix (Rapid7 Inc.) i HP-ova inicijativa Zero Day
     

  • Safari

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: posjetom zlonamjernom web-mjestu moglo se omogućiti preuzimanje računa

    Opis: u pokušaju aplikacije Safari da zadrži izvorni naslov zahtjeva za unakrsno preusmjeravanje otkriven je problem te su zlonamjerna web-mjesta mogla probiti CSRF zaštitu. Taj je problem riješen poboljšanim rukovanjem preusmjeravanjima.

    CVE-ID

    CVE-2015-3658: Brad Hill (Facebook)
  • Sigurnost

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: udaljeni napadač mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: pojavilo se prekoračenje cijelog broja u sigurnosnom kodu platforme za raščlanjivanje S/MIME e-maila i ostalih potpisanih ili kriptiranih objekata. Taj je problem riješen poboljšanom provjerom provjere autentičnosti.

    CVE-ID

    CVE-2013-1741

  • SQLite

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: udaljeni napadač mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: pojavila su se višekratna prekoračenja međuspremnika u SQLite primjeni ispisa. Ti su problemi riješeni poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2015-3717: Peter Rutenbar i HP-ova inicijativa Zero Day

  • SQLite

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerna SQL naredba mogla je izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: u funkciji SQLite otkriven je problem s API-jem. Taj je problem riješen povećanjem ograničenja.

    CVE-ID

    CVE-2015-7036: Peter Rutenbar i HP-ova inicijativa Zero Day

  • Telefonija

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: SIM kartice sa zlonamjernim kodom mogle su pokrenuti izvršavanje proizvoljnog koda

    Opis: u raščlanjivanju SIM/UIM podataka otkriven je veći broj problema s provjerom valjanosti ulaza. Ti su problemi riješeni poboljšanom provjerom valjanosti podataka.

    CVE-ID

    CVE-2015-3726: Matt Spisak (Endgame)

  • WebKit

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: na zlonamjernom web-mjestu klikom na vezu moglo se lažirati sučelje

    Opis: problem se pojavljivao prilikom rukovanja atributom rel u elementima sidra. Ciljni objekti mogli su neovlašteno pristupati objektima veze. Taj je problem riješen boljim prepoznavanjem vrste veza.

    CVE-ID

    CVE-2015-1156: Zachary Durber (Moodle)
  • WebKit

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: u WebKitu je otkriven veći broj problema s neispravnom memorijom. Ti su problemi riješeni poboljšanim rukovanjem memorijom.

    CVE-ID

    CVE-2015-1152: Apple

    CVE-2015-1153: Apple

  • WebKit

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: pristup zlonamjernoj web-stranici mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: u SQLite autorizatoru pojavio se problem nedovoljne usporedbe, što je rezultiralo pozivanjem SQL funkcija. Taj je problem riješen poboljšanom provjerom autentičnosti.

    CVE-ID

    CVE-2015-3659: Peter Rutenbar i HP-ova inicijativa Zero Day

  • WebKit

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerno je web-mjesto moglo pristupiti WebSQL bazama podataka drugih web-mjesta

    Opis: u provjerama provjere autentičnosti za preimenovanje WebSQL tablica pojavio se problem koji je zlonamjernom web-mjestu mogao omogućiti da pristupi bazama podataka na drugim web-mjestima. Taj je problem riješen poboljšanim provjerama provjere autentičnosti.

    CVE-ID

    CVE-2015-3727: Peter Rutenbar i HP-ova inicijativa Zero Day

  • Wi-Fi povezivost

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: iOS uređaji mogli su se automatski povezati s nepouzdanim pristupnim točkama na temelju poznatog ESSID-a, ali s manjim stupnjem sigurnosti

    Opis: u Wi-Fi programu za upravljanje koji procjenjuje oglašavanje na poznatim pristupnim točkama otkriven je problem nedovoljne usporedbe. Taj je problem riješen poboljšanim podudaranjem sigurnosnih parametara.

    CVE-ID

    CVE-2015-3728: Brian W. Gray (Sveučilište Carnegie Mellon), Craig Young (TripWire)

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: