Da bi zaštitio korisnike, Apple ne otkriva, ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i javno ne ponudi zakrpe ili nova izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto o sigurnosti Appleovih proizvoda.
Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite u članku Korištenje PGP ključa za sigurnost Appleovih proizvoda.
Kada je to moguće, CVE ID-ovi služe kao referenca za dodatne informacije o slabim točkama.
Da biste saznali više o sigurnosnim ažuriranjima, pročitajte članak o Appleovim sigurnosnim ažuriranjima.
iOS 8.4
- Trgovina aplikacija
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerna aplikacija s univerzalnim profilom za dodjelu resursa može onemogućiti pokretanje aplikacija
Opis: otkriven je problem u instalacijskoj logici aplikacija s univerzalnim profilom za dodjelu resursa, koji je omogućio sukob s postojećim skupom ID-ova. Taj je problem riješen poboljšanom provjerom sukoba.
CVE-ID
CVE-2015-3722: Zhaofeng Chen, Hui Xue i Tao (Lenx) Wei (FireEye, Inc.)
Pravila o pouzdanosti certifikata
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: napadač s mrežnim ovlastima može presresti mrežni promet
Opis: izdavač certifikata CNNIC nije pravilno izdao prijelazni certifikat. Taj je problem riješen dodavanjem mehanizma kojim se pouzdanima smatra samo podskup certifikata izdan prije spornog prijelaznog certifikata. Dostupne su dodatne informacije o popisu dopuštenih djelomično pouzdanih sigurnosnih certifikata.
Pravila o pouzdanosti certifikata
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: ažuriranje pravila o pouzdanosti certifikata
Opis: ažurirana su pravila o pouzdanosti certifikata. Cijeli popis certifikata možete pregledati na iOS pouzdanoj pohrani.
CFNetwork HTTPAuthentication
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzijeUčinak: praćenjem zlonamjernog URL-a može doći do izvršavanja proizvoljnog koda
Opis: pri rukovanju određenim vjerodajnicama za URL pojavio se problem s oštećenom memorijom. Taj je problem riješen poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-3684: Apple
Jezgrena grafika
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: otvaranje zlonamjerno stvorene PDF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: u načinu obrade ICC profila pojavilo se više problema s oštećenom memorijom. Ti su problemi riješeni poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-3723: chaithanya (SegFault) u suradnji s inicijativom Zero Day tvrtke HP
CVE-2015-3724: WanderingGlitch (inicijativa Zero Day tvrtke HP)
Jezgreni tekst
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: obrada zlonamjerne tekstne datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: u načinu obrade tekstnih datoteka otkriven je veći broj problema s oštećenom memorijom. Ti su problemi riješeni poboljšanom provjerom ograničenja.
CVE-ID
CVE-2015-1157
CVE-2015-3685: Apple
CVE-2015-3686: John Villamil (@day6reak), Yahoo Pentest tim
CVE-2015-3687: John Villamil (@day6reak), Yahoo Pentest tim
CVE-2015-3688: John Villamil (@day6reak), Yahoo Pentest tim
CVE-2015-3689: Apple
Jezgreni TLS
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: napadač s mrežnim ovlastima može presresti SSL/TLS veze
Opis: jezgreni TLS prihvaćao je kratke efemerne Diffie-Hellman (DH) ključeve, kakvi se koriste u izvoznim šifrirnim paketima s efemernim DH ključevima. Taj je problem, koji se naziva i "logjam", napadačima s mrežnim ovlastima omogućivao da sigurnost smanje na 512-bitni DH za poslužitelje koji podržavaju izvozne šifrirne pakete s efemernim DH ključevima. Taj je problem riješen povećanjem zadane minimalne veličine dopuštene za DH efemerne ključeve na 768 bitova.
CVE-ID
CVE-2015-4000: tim weakdh (weakdh.org), Hanno Boeck
Slike diska
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerna aplikacija mogla bi odrediti raspored elemenata kernelske memorije
Opis: u obradi diskovnih slika otkriven je problem s otkrivanjem podataka. Taj je problem riješen poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-3690: Peter Rutenbar u suradnji s inicijativom Zero Day tvrtke HP
Parser za font
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: obrada zlonamjerne datoteke s fontovima može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: u načinu obrade datoteka s fontovima otkriveno je nekoliko problema s oštećenom memorijom. Ti su problemi riješeni poboljšanom provjerom ulaza.
CVE-ID
CVE-2015-3694: John Villamil (@day6reak), Yahoo Pentest tim
CVE-2015-3719: John Villamil (@day6reak), Yahoo Pentest tim
Ulaz i izlaz slika
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: obradom zlonamjerne .tiff datoteke može doći do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: u obradi .tiff datoteka pojavilo se oštećenje memorije. Taj je problem riješen poboljšanom provjerom ograničenja.
CVE-ID
CVE-2015-3703: Apple
Ulaz i izlaz slika
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: u libtiff medijateci pojavilo se više slabih točaka, a najozbiljnija može uzrokovati izvršavanje proizvoljnog koda
Opis: u libtiff medijateci prije verzije 4.0.4 pojavilo se više slabih točaka. Ti su problemi riješeni ažuriranjem libtiff medijateke na verziju 4.0.4.
CVE-ID
CVE-2014-8127
CVE-2014-8128
CVE-2014-8129
CVE-2014-8130
- Kernel
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerna aplikacija mogla bi odrediti raspored elemenata kernelske memorije
Opis: pojavio se problem s upravljanjem memorijom u rukovanju HFS parametrima, koji je mogao rezultirati otkrivanjem rasporeda kernel memorije. Taj je problem riješen poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-3721: Ian Beer (Google Project Zero)
- Mail
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerni e-mail mogao je zamijeniti sadržaj poruke proizvoljnom web-stranicom, na kojoj je prikazana poruka
Opis: u podršci za HTML e-mail pojavio se problem koji je sadržaju poruka omogućivao da se osvježava proizvoljnom web-stranicom. Taj je problem riješen ograničenjem podrške za HTML sadržaj.
CVE-ID
CVE-2015-3710: Aaron Sigel (vtty.com), Jan Souček
Mobilna instalacija
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerna aplikacija s univerzalnim profilom za dodjelu resursa onemogućivala je pokretanje aplikacije uređaja Watch
Opis: u instalacijskoj logici aplikacija s univerzalnim profilom za dodjelu resursa na uređaju Watch otkriven je problem koji je omogućivao sukob s postojećim skupom ID-ova. Taj je problem riješen poboljšanom provjerom sukoba.
CVE-ID
CVE-2015-3725: Zhaofeng Chen, Hui Xue i Tao (Lenx) Wei (FireEye, Inc.)Safari
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjetom zlonamjernom web-mjestu mogli su se ugroziti korisnički podaci u datotečnom sustavu
Opis: u pregledniku Safari otkriven je problem vezan uz upravljanje stanjem koji je izvorima bez ovlasti dopuštao pristup sadržajima u datotečnom sustavu. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-ID
CVE-2015-1155: Joe Vennix (Rapid7 Inc.) i HP-ova inicijativa Zero Day
- Safari
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjetom zlonamjernom web-mjestu moglo se omogućiti preuzimanje računa
Opis: u pokušaju aplikacije Safari da zadrži izvorni naslov zahtjeva za unakrsno preusmjeravanje otkriven je problem te su zlonamjerna web-mjesta mogla probiti CSRF zaštitu. Taj je problem riješen poboljšanim rukovanjem preusmjeravanjima.
CVE-ID
CVE-2015-3658: Brad Hill (Facebook)
Sigurnost
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: udaljeni napadač može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: pojavilo se prekoračenje cijelog broja u sigurnosnom kodu platforme za raščlanjivanje S/MIME e-maila i ostalih potpisanih ili kriptiranih objekata. Taj je problem riješen poboljšanom provjerom provjere autentičnosti.
CVE-ID
CVE-2013-1741
SQLite
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: udaljeni napadač može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: pojavila su se višekratna prekoračenja međuspremnika u SQLite primjeni ispisa. Ti su problemi riješeni poboljšanom provjerom ograničenja.
CVE-ID
CVE-2015-3717: Peter Rutenbar u suradnji s inicijativom Zero Day tvrtke HPSQLite
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerna SQL naredba može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: u funkciji SQLite otkriven je problem s API-jem. Taj je problem riješen povećanjem ograničenja.
CVE-ID
CVE-2015-7036: Peter Rutenbar u suradnji s inicijativom Zero Day tvrtke HP
Telefonija
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: SIM kartice sa zlonamjernim kodom mogu pokrenuti izvršavanje proizvoljnog koda
Opis: u raščlanjivanju SIM/UIM podataka otkriven je veći broj problema s provjerom valjanosti ulaza. Ti su problemi riješeni poboljšanom provjerom valjanosti podataka.
CVE-ID
CVE-2015-3726: Matt Spisak (Endgame)
- WebKit
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: na zlonamjernom web-mjestu klikom na vezu moglo se krivotvoriti sučelje
Opis: problem se pojavljivao prilikom rukovanja atributom rel u elementima sidra. Ciljni objekti mogli su neovlašteno pristupati objektima veze. Taj je problem riješen boljim prepoznavanjem vrste veza.
CVE-ID
CVE-2015-1156: Zachary Durber (Moodle)
WebKit
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: u WebKitu je otkriven veći broj problema s oštećenom memorijom. Ti su problemi riješeni poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-1152: Apple
CVE-2015-1153: Apple
WebKit
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: pristup zlonamjernoj web-stranici mogao je izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: u SQLite autorizatoru pojavio se problem nedovoljne usporedbe, što je rezultiralo pozivanjem SQL funkcija. Taj je problem riješen poboljšanom provjerom autentičnosti.
CVE-ID
CVE-2015-3659: Peter Rutenbar u suradnji s inicijativom Zero Day tvrtke HP
WebKit
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerno web-mjesto može pristupiti WebSQL bazama podataka drugih web-mjesta
Opis: u provjerama autentičnosti za preimenovanje WebSQL tablica pojavio se problem koji je zlonamjernom web-mjestu mogao omogućiti pristup bazama podataka koje pripadaju drugim web-mjestima. Taj je problem riješen poboljšanim provjerama provjere autentičnosti.
CVE-ID
CVE-2015-3727: Peter Rutenbar u suradnji s inicijativom Zero Day tvrtke HP
Wi-Fi povezivost
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: iOS uređaji mogu se automatski povezati s nepouzdanim pristupnim točkama na temelju poznatog ESSID-a, ali s manjim stupnjem sigurnosti
Opis: otkriven je problem s nedovoljnom usporedbom u Wi-Fi programu za upravljanje koji procjenjuje oglašavanje na poznatim pristupnim točkama. Taj je problem riješen poboljšanim podudaranjem sigurnosnih parametara.
CVE-ID
CVE-2015-3728: Brian W. Gray (Sveučilište Carnegie Mellon), Craig Young (TripWire)