Sigurnosni sadržaj sustava iOS 9

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 9.

Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto o sigurnosti Appleovih proizvoda.

Informacije o PGP ključu za zaštitu Appleovih proizvoda potražite u članku Korištenje PGP ključa za zaštitu Appleovih proizvoda.

Kada je to moguće, CVE ID-ovi služe kao referenca za dodatne informacije o slabim točkama.

Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak o Appleovim sigurnosnim ažuriranjima.

iOS 9

  • Apple Pay

    Dostupno za: iPhone 6 i iPhone 6 Plus

    Učinak: neke kartice prilikom plaćanja mogu dopustiti terminalu dohvaćanje ograničenih informacija o nedavnim transakcijama

    Opis: kod određenih konfiguracija bila je omogućena funkcija evidencije transakcija. Problem je riješen uklanjanjem funkcije evidencije transakcija. Problem se nije pojavljivao na iPad uređajima.

    CVE-ID

    CVE-2015-5916

  • AppleKeyStore

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: lokalni napadač mogao bi resetirati neuspjele pokušaje unosa lozinke na sigurnosnoj kopiji iOS uređaja

    Opis: prilikom resetiranja neuspjelih pokušaja unosa lozinke na sigurnosnoj kopiji iOS uređaja otkriven je problem. Problem je riješen poboljšanjem logike neuspjelog unosa lozinke.

    CVE-ID

    CVE-2015-5850: anonimni istraživač

  • Trgovina aplikacija

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: klik na zlonamjernu ITMS vezu mogao bi dovesti do uskraćivanja usluge u poslovnoj aplikaciji

    Opis: prilikom instalacije putem ITMS veza otkriven je problem. Problem je riješen dodatnom provjerom valjanosti instalacije.

    CVE-ID

    CVE-2015-5856: Zhaofeng Chen, Hui Xue i Tao (Lenx) Wei iz tvrtke FireEye, Inc.

  • Zvuk

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: reprodukcija zlonamjerne audiodatoteke mogla je izazvati neočekivano zatvaranje aplikacije

    Opis: prilikom rukovanja audiodatotekama otkriven je problem s oštećenjem memorije. Problem je riješen poboljšanim rukovanjem memorijom.

    CVE-ID

    CVE-2015-5862: YoungJin Yoon (Information Security Lab). (savj.: prof. Taekyoung Kwon, Sveučilište Yonsei, Seul, Južna Koreja)

  • Pravilnik o pouzdanosti certifikata

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: ažuriranje pravilnika o pouzdanosti certifikata

    Opis: ažuriran je pravilnik o pouzdanosti certifikata. Potpuni popis certifikata možete vidjeti na web-mjestu https://support.apple.com/hr-hr/HT204132.

  • CFNetwork

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerno sastavljen URL mogao bi zaobići HSTS (HTTP Strict Transport Security) i otkriti povjerljive podatke

    Opis: pri rukovanju HSTS-om otkrivena je slaba točka u parsiranju URL-ova. Problem je riješen poboljšanim parsiranjem URL-ova.

    CVE-ID

    CVE-2015-5858: Xiaofeng Zheng (tim Blue Lotus sa Sveučilišta Tsinghua)

  • CFNetwork

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerne internetske stranice mogle bi pratiti korisnike u privatnom načinu pregledavanja u pregledniku Safari

    Opis: otkriven je problem pri rukovanju HSTS stanjem u privatnom načinu pregledavanja u pregledniku Safari. Taj je problem riješen poboljšanim rukovanjem stanjem.

    CVE-ID

    CVE-2015-5860: Sam Greenhalgh (RadicalResearch Ltd.)

  • CFNetwork

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: osoba s fizičkim pristupom iOS uređaju mogla bi čitati predmemorirane podatke iz Appleovih aplikacija

    Opis: predmemorirani podaci bili su šifrirani ključem koji štiti samo hardverski UID. Problem je riješen šifriranjem predmemoriranih podataka ključem koji je zaštićen hardverskim UID-om i korisničkom lozinkom.

    CVE-ID

    CVE-2015-5898: Andreas Kurtz (NESO Security Labs)

  • CFNetwork kolačići

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač s administratorskim ovlastima mogao bi pratiti aktivnosti korisnika

    Opis: pri rukovanju vršnim domenama otkriven je problem s međudomenskim kolačićima. Problem je riješen povećanjem ograničenja prilikom stvaranja kolačića.

    CVE-ID

    CVE-2015-5885: Xiaofeng Zheng (Blue Lotus, Sveučilište Tsinghua)

  • CFNetwork kolačići

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač bi mogao stvarati nepotrebne kolačiće za internetsku stranicu

    Opis: WebKit je prihvaćao postavljanje većeg broja kolačića u API-ju document.cookie. Problem je riješen poboljšanjem parsiranja.

    CVE-ID

    CVE-2015-3801: Erling Ellingsen (Facebook)

  • CFNetwork FTPProtocol

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerni FTP poslužitelji mogli bi uzrokovati da klijenti izviđaju druga računala

    Opis: otkriven je problem u rukovanju FTP paketima prilikom korištenja naredbe PASV. Problem je riješen poboljšanom provjerom valjanosti.

    CVE-ID

    CVE-2015-5912: Amit Klein

  • CFNetwork HTTPProtocol

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač s mrežnim ovlastima mogao bi presresti mrežni promet

    Opis: pri rukovanju HSTS unosima na predučitanom popisu u privatnom načinu pregledavanja u pregledniku Safari otkriven je problem. Taj je problem riješen poboljšanim rukovanjem stanjem.

    CVE-ID

    CVE-2015-5859: Rosario Giustolisi (Luksemburško sveučilište)

  • CFNetwork proxyji

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: povezivanjem sa zlonamjernim web-proxyjima mogu se postaviti zlonamjerni kolačići za neku internetsku stranicu

    Opis: otkriven je problem u rukovanju odzivima na povezivanje s proxyjem. Problem je riješen uklanjanjem zaglavlja set-cookie tijekom parsiranja odziva na povezivanje.

    CVE-ID

    CVE-2015-5841: Xiaofeng Zheng (tim Blue Lotus sa Sveučilišta Tsinghua)

  • CFNetwork SSL

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač s mrežnim ovlastima mogao bi presresti SSL/TLS veze

    Opis: u NSURL-u je prilikom njegove promjene postojao problem s provjerom valjanosti certifikata. Problem je riješen poboljšanom provjerom valjanosti certifikata.

    CVE-ID

    CVE-2015-5824: Timothy J. Wood (The Omni Group)

  • CFNetwork SSL

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač bi mogao dešifrirati podatke zaštićene SSL-om

    Opis: poznati su napadi povjerljivosti šifre RC4. Napadač može prisilno koristiti šifru RC4 čak i ako poslužitelj preferira bolje šifre tako da blokira TLS 1.0 i viša povezivanja dok CFNetwork ne isproba SSL 3.0, koji dopušta samo RC4. Problem je riješen onemogućivanjem odabira protokola SSL 3.0.

  • CoreAnimation

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerna aplikacija mogla bi otkriti povjerljive podatke o korisniku

    Opis: pozadinske su aplikacije mogle pristupati međuspremniku zaslona. Problem je riješen poboljšanom kontrolom pristupa platformi IOSurfaces.

    CVE-ID

    CVE-2015-5880: Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li (Škola za informacijske sustave, Sveučilište za menadžment u Singapuru), Feng Bao i Jianying Zhou (Odjel za kriptografiju i sigurnost Instituta za informacijsko-komunikacijska istraživanja)

  • CoreCrypto

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač bi mogao odrediti privatni ključ

    Opis: promatranjem više pokušaja prijave ili dešifriranja napadač je mogao odrediti RSA privatni ključ. Problem je riješen poboljšanim algoritmima za šifriranje.

  • Jezgreni tekst

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: obradom zlonamjerne datoteke fonta moglo je doći do izvršavanja proizvoljnog koda

    Opis: u obradi datoteka s fontovima otkriven je problem s oštećenjem memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

    CVE-ID

    CVE-2015-5874: John Villamil (@day6reak), tim Yahoo Pentest

  • Mehanizam detektora podataka

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: obradom zlonamjerne tekstne datoteke može doći do izvršavanja proizvoljnog programskog koda

    Opis: u obradi tekstnih datoteka postojali su problemi s oštećenjem memorije. Ti su problemi riješeni poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2015-5829: M1x7e1 (tim Safeye, www.safeye.org)

  • Alati za razvojne programere

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: neke zlonamjerne aplikacije mogle bi uz sistemske ovlasti izvršiti proizvoljni kod

    Opis: u aplikaciji dyld otkriven je problem s oštećenjem memorije. Problem je riješen poboljšanim rukovanjem memorijom.

    CVE-ID

    CVE-2015-5876: beist (grayhash)

  • Slike diska

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: lokalni korisnik mogao je izvršiti proizvoljni kod uz sistemske ovlasti

    Opis: u aplikaciji DiskImages otkriven je problem s oštećenjem memorije. Taj je problem riješen poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: aplikacija može zaobići potpisivanje programskog koda

    Opis: otkriven je problem s provjerom valjanosti potpisa programskog koda izvršnih datoteka. Problem je riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2015-5839: @PanguTeam (tim TaiG Jailbreak)

  • Game Center

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerna aplikacija Game Center mogla je pristupiti e-mail adresama igrača

    Opis: otkriven je problem s aplikacijom Game Center i njezinim rukovanjem adresama e-pošte igrača. Problem je riješen povećanjem ograničenja pristupa.

    CVE-ID

    CVE-2015-5855: Nasser Alnasser

  • ICU

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: veći broj slabih točaka u aplikaciji ICU

    Opis: u verzijama aplikacije ICU starijima od 53.1.0 otkriven je veći broj slabih točaka. Problemi su riješeni ažuriranjem na verziju 55.1.

    CVE-ID

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922: Mark Brand (Google Project Zero)

  • IOAcceleratorFamily

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerna aplikacija mogla bi odrediti raspored elemenata kernelske memorije

    Opis: otkriven je problem koji je uzrokovao otkrivanje sadržaja memorije kernela. Problem je riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2015-5834: Cererdlong (tim za sigurnost mobilnih uređaja tvrtke Alibaba)

  • IOAcceleratorFamily

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: lokalni korisnik mogao je izvršiti proizvoljni kod uz sistemske ovlasti

    Opis: otkriven je problem s oštećenjem memorije u komponenti IOAcceleratorFamily. Taj je problem riješen poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-5848: Filippo Bigarella

  • IOHIDFamily

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: neke zlonamjerne aplikacije mogle bi uz sistemske ovlasti izvršiti proizvoljni kod

    Opis: u komponenti IOHIDFamily otkriven je problem s oštećenjem memorije. Taj je problem riješen poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-5867: moony li (Trend Micro)

  • IOKit

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: neke zlonamjerne aplikacije mogle bi uz sistemske ovlasti izvršiti proizvoljni kod

    Opis: u kernelu je postojao problem s oštećenom memorijom. Taj je problem riješen poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: lokalni korisnik mogao je izvršiti proizvoljni kod uz sistemske ovlasti

    Opis: u komponenti IOMobileFrameBuffer otkriven je problem s oštećenjem memorije. Taj je problem riješen poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: lokalni napadač mogao je čitati kernelsku memoriju

    Opis: u kernelu je postojao problem s inicijalizacijom memorije. Taj je problem riješen poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-5863: Ilja van Sprundel (IOActive)

  • iTunes Store

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: AppleID vjerodajnice nakon odjave mogu ostati u privjesku za ključeve

    Opis: otkriven je problem s brisanjem privjeska za ključeve. Problem je riješen poboljšanim čišćenjem računa.

    CVE-ID

    CVE-2015-5832: Kasif Dekel (Check Point Software Technologies)

  • JavaScriptCore

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: posjetom zlonamjernom web-mjestu moglo je doći do izvršavanja proizvoljnog koda

    Opis: u komponenti WebKit otkriveni su problemi s oštećenjem memorije. Ti su problemi riješeni poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-5791: Apple

    CVE-2015-5793: Apple

    CVE-2015-5814: Apple

    CVE-2015-5816: Apple

    CVE-2015-5822: Mark S. Miller (Google)

    CVE-2015-5823: Apple

  • Kernel

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: lokalni korisnik s ovlastima za kernel mogao je izvršiti proizvoljni programski kod

    Opis: u kernelu je postojao problem s oštećenom memorijom. Taj je problem riješen poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-5868: Cererdlong (tim za sigurnost mobilnih uređaja tvrtke Alibaba)

    CVE-2015-5896: Maxime Villard (m00nbsd)

    CVE-2015-5903: CESG

    Unos je ažuriran 21. prosinca 2016.

  • Kernel

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: lokalni napadač mogao je dobiti nadzor nad vrijednošću kolačića stoga

    Opis: u generiranju kolačića stoga u korisničkom prostoru otkriven je veći broj slabih točaka. Problem je riješen poboljšanim generiranjem kolačića stoga.

    CVE-ID

    CVE-2013-3951: Stefan Esser

  • Kernel

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: lokalni proces može mijenjati druge procese bez provjera ovlasti

    Opis: otkriven je problem pri kojem je korijenskim procesima koji koriste API processor_set_tasks bilo dopušteno dohvaćanje priključaka za zadatke drugih procesa. Problem je riješen dodatnim provjerama ovlasti.

    CVE-ID

    CVE-2015-5882: Pedro Vilaça (na temelju izvornog istraživanja koje su proveli Ming-chieh Pan i Sung-ting Tsai), Jonathan Levin

  • Kernel

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač je mogao izvesti napad uskraćivanjem usluge na ciljne TCP veze, a da pritom ne mora znati točan broj niza

    Opis: otkriven je problem u provjeri valjanosti zaglavlja TCP paketa od strane komponente xnu. Problem je riješen poboljšanjem provjere valjanosti zaglavlja TCP paketa.

    CVE-ID

    CVE-2015-5879: Jonathan Looney

  • Kernel

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač u lokalnom dijelu LAN-a može onemogućiti IPv6 usmjeravanje

    Opis: u rukovanju oglasima IPv6 usmjerivača otkriven je problem s nedostatnom provjerom valjanosti, što je omogućavalo napadačima da postave ograničenje skoka na proizvoljnu vrijednost. Problem je riješen nametanjem minimalnog ograničenja skoka.

    CVE-ID

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: lokalni korisnik mogao je otkriti raspored elemenata kernelske memorije

    Opis: u komponenti XNU otkriven je problem koji je dovodio do otkrivanja kernelske memorije. Problem je riješen poboljšanom inicijalizacijom struktura kernelske memorije.

    CVE-ID

    CVE-2015-5842: beist (grayhash)

  • Kernel

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: lokalni korisnici mogli su izazvati odbijanje usluge na razini sustava

    Opis: otkriven je problem s postavljanjem HFS pogona. Problem je riješen dodatnim provjerama valjanosti.

    CVE-ID

    CVE-2015-5748: Maxime Villard (m00nbsd)

  • libc

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: udaljeni napadač mogao je pokrenuti izvršavanje proizvoljnog koda

    Opis: u funkciji fflush otkriven je problem s oštećenom memorijom. Taj je problem riješen poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2014-8611: Adrian Chadd i Alfred Perlstein (Norse Corporation)

  • libpthread

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: lokalni korisnik s ovlastima za kernel mogao je izvršiti proizvoljni programski kod

    Opis: u kernelu je postojao problem s oštećenom memorijom. Taj je problem riješen poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-5899: Lufeng Li (tim Qihoo 360 Vulcan)

  • Mail

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač je mogao poslati e-mail poruku za koju se činilo da dolazi od nekog kontakta iz primateljeva adresara

    Opis: u rukovanju pošiljateljevom adresom otkriven je problem. Problem je riješen poboljšanom provjerom valjanosti.

    CVE-ID

    CVE-2015-5857: Emre Saglam (salesforce.com)

  • Povezivanje s više čvorova

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: lokalni napadač mogao bi vidjeti nezaštićene podatke većeg broja čvorova

    Opis: u rukovanjem praktičnim inicijalizatorom otkriven je problem zbog kojeg se šifriranje moglo aktivno svesti na nešifriranu sesiju. Problem je riješen promjenom praktičnog inicijalizatora tako da traži šifriranje.

    CVE-ID

    CVE-2015-5851: Alban Diquet (@nabla_c0d3, Data Theorem)

  • NetworkExtension

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerna aplikacija mogla bi odrediti raspored elemenata kernelske memorije

    Opis: problem s neinicijaliziranom memorijom u kernelu uzrokovao je otkrivanje sadržaja kernelske memorije. Problem je riješen inicijalizacijom memorije.

    CVE-ID

    CVE-2015-5831: Maxime Villard (m00nbsd)

  • OpenSSL

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: veći broj slabih točaka u OpenSSL-u

    Opis: otkriven je veći broj slabih točaka u verzijama OpenSSL-a starijima od 0.9.8zg. Problem je riješen ažuriranjem OpenSSL-a na verziju 0.9.8zg.

    CVE-ID

    CVE-2015-0286

    CVE-2015-0287

  • Komplet plugina

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerna poslovna aplikacija može instalirati proširenja prije no što se označi kao pouzdana

    Opis: otkriven je problem s provjerom valjanosti proširenja tijekom instalacije. To je riješeno poboljšanom provjerom aplikacija.

    CVE-ID

    CVE-2015-5837: Zhaofeng Chen, Hui Xue i Tao (Lenx) Wei (FireEye, Inc.)

  • removefile

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: obradom zlonamjernih podataka može doći do neočekivanog rušenja aplikacije

    Opis: otkrivena je pogreška prekoračenja u rutinama dijeljenja checkint. Problem je riješen poboljšanim rutinama dijeljenja.

    CVE-ID

    CVE-2015-5840: anonimni istraživač

  • Safari

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: lokalni korisnik može bez lozinke čitati knjižne oznake u pregledniku Safari na zaključanom iOS uređaju

    Opis: podaci o knjižnim oznakama u pregledniku Safari šifrirani su ključem koji je zaštićen samo UID-om hardvera. Problem je riješen šifriranjem podataka o knjižnim oznakama preglednika Safari ključem zaštićenim UID-om hardvera i korisničkom lozinkom.

    CVE-ID

    CVE-2015-7118: Jonathan Zdziarski

    Unos je ažuriran 21. prosinca 2016.

  • Safari

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje korisničkog sučelja

    Opis: zbog tog je problema internetska stranica mogla prikazati sadržaj putem URL-a druge internetske stranice. Taj je problem riješen poboljšanim rukovanjem URL-ovima.

    CVE-ID

    CVE-2015-5904: Erling Ellingsen (Facebook), Łukasz Pilorz

  • Safari

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje korisničkog sučelja

    Opis: posjetom zlonamjernoj internetskoj stranici sa zlonamjerno izrađenim otvaračem prozora možete omogućiti prikaz proizvoljnih URL-ova. Problem je riješen poboljšanim rukovanjem otvaračima prozora.

    CVE-ID

    CVE-2015-5905: Keita Haga (keitahaga.com)

  • Safari

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerne internetske stranice mogu pratiti korisnike pomoću klijentskih certifikata

    Opis: otkriven je problem s klijentskom provjerom valjanosti certifikata preglednika Safari radi SSL autorizacije. Problem je riješen poboljšanom provjerom valjanosti klijentskih certifikata.

    CVE-ID

    CVE-2015-1129: Stefan Kraus (Fluid Operations AG), Sylvain Munaut (Whatever s.a.)

  • Safari

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje korisničkog sučelja

    Opis: veći broj nedosljednosti u korisničkom sučelju može omogućiti zlonamjernoj internetskoj stranici prikaz proizvoljnog URL-a. Problemi su riješeni poboljšanjem logike prikaza URL-ova.

    CVE-ID

    CVE-2015-5764: Antonio Sanso (@asanso, Adobe)

    CVE-2015-5765: Ron Masas

    CVE-2015-5767: Krystian Kloskowski (preko tvrtke Secunia), Masato Kinugawa

  • Sigurno pregledavanje u pregledniku Safari

    iPhone 4s i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: otvaranjem IP adrese poznate zlonamjerne internetske stranice možda se neće pokrenuti sigurnosno upozorenje

    Opis: značajka sigurnog pregledavanja u pregledniku Safari nije upozoravala korisnike prilikom odlaska na poznate zlonamjerne internetske stranice putem njihovih IP adresa. Problem je riješen poboljšanjem otkrivanja zlonamjernih internetskih stranica.

    Rahul M iz tvrtke TagsDock

  • Sigurnost

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerna aplikacija mogla bi presresti međusobnu komunikaciju drugih aplikacija

    Opis: otkriven je problem koji je zlonamjernoj aplikaciji omogućavao presretanje međusobne komunikacije putem URL sheme. Problem je riješen prikazom dijaloškog okvira prilikom prvog korištenja URL sheme.

    CVE-ID

    CVE-2015-5835: Teun van Run (FiftyTwoDegreesNorth B.V.), XiaoFeng Wang (Sveučilište u Indiani), Luyi Xing (Sveučilište u Indiani), Tongxin Li (Pekinško sveučilište), Tongxin Li (Pekinško sveučilište), Xiaolong Bai (Sveučilište Tsinghua)

  • Siri

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: osoba s fizičkim pristupom iOS uređaju mogla bi koristiti Siri za čitanje obavijesti o sadržaju postavljenom tako da se ne prikazuje na zaključanom zaslonu

    Opis: kad se Siri poslao zahtjev, poslužitelj nije provjeravao ograničenja na klijentskoj strani. Problem je riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2015-5892: Robert S Mozayeni, Joshua Donvito

  • SpringBoard

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: dok su pregledi poruka na zaključanom zaslonu bili onemogućeni, osoba s fizičkim pristupom iOS uređaju mogla je odgovoriti na audioporuku sa zaključanog zaslona

    Opis: problem sa zaključanim zaslonom omogućavao je korisnicima da odgovaraju na audioporuke dok su pregledi poruka bili onemogućeni. Problem je riješen poboljšanim upravljanjem stanjem.

    CVE-ID

    CVE-2015-5861: Daniel Miedema (Meridian Apps)

  • SpringBoard

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerna aplikacija mogla je lažirati prozore dijaloških okvira druge aplikacije

    Opis: otkriven je problem s pristupom prilikom API poziva s ovlastima. Problem je riješen dodatnim ograničenjima.

    CVE-ID

    CVE-2015-5838: Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei, John C.S. Lui

  • SQLite

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: veći broj slabih točaka u programu SQLite v3.8.5

    Opis: otkriven je veći broj slabih točaka u programu SQLite v3.8.5. Problemi su riješeni ažuriranjem na verziju 3.8.10.2.

    CVE-ID

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • tidy

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: posjetom zlonamjernom web-mjestu moglo je doći do izvršavanja proizvoljnog koda

    Opis: u komponenti Tidy otkriven je problem s oštećenjem memorije. Problem je riješen poboljšanim rukovanjem memorijom.

    CVE-ID

    CVE-2015-5522: Fernando Muñoz (NULLGroup.com)

    CVE-2015-5523: Fernando Muñoz (NULLGroup.com)

  • WebKit

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: reference objekata mogle su se otkriti između izoliranih izvora prilagođenih događaja, događaja poruka i događaja skočnih stanja

    Opis: problem s otkrivanjem objekata probio je izolacijsku granicu između izvora. Problem je riješen poboljšanom izolacijom između izvora.

    CVE-ID

    CVE-2015-5827: Gildas

  • WebKit

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: posjetom zlonamjernom web-mjestu moglo je doći do izvršavanja proizvoljnog koda

    Opis: u komponenti WebKit otkriveni su problemi s oštećenjem memorije. Ti su problemi riješeni poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-5789: Apple

    CVE-2015-5790: Apple

    CVE-2015-5792: Apple

    CVE-2015-5794: Apple

    CVE-2015-5795: Apple

    CVE-2015-5796: Apple

    CVE-2015-5797: Apple

    CVE-2015-5799: Apple

    CVE-2015-5800: Apple

    CVE-2015-5801: Apple

    CVE-2015-5802: Apple

    CVE-2015-5803: Apple

    CVE-2015-5804: Apple

    CVE-2015-5805

    CVE-2015-5806: Apple

    CVE-2015-5807: Apple

    CVE-2015-5809: Apple

    CVE-2015-5810: Apple

    CVE-2015-5811: Apple

    CVE-2015-5812: Apple

    CVE-2015-5813: Apple

    CVE-2015-5817: Apple

    CVE-2015-5818: Apple

    CVE-2015-5819: Apple

    CVE-2015-5821: Apple

  • WebKit

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: posjet zlonamjernoj internetskoj stranici mogao je dovesti do nenamjernog biranja

    Opis: otkriven je problem s rukovanjem URL-ovima tel://, facetime:// i facetime-audio://. Taj je problem riješen poboljšanim rukovanjem URL-ovima.

    CVE-ID

    CVE-2015-5820: Andrei Neculaesei, Guillaume Ross

  • WebKit

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: QuickType mogao je naučiti posljednji znak lozinke u ispunjenom web-obrascu

    Opis: otkriven je problem s rukovanjem kontekstom unosa lozinke od strane komponente WebKit. Problem je riješen poboljšanim rukovanjem kontekstom unosa.

    CVE-ID

    CVE-2015-5906: Louis Romero (Google Inc.)

  • WebKit

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač s administratorskim mrežnim ovlastima mogao je usmjeriti sadržaj na zlonamjernu domenu

    Opis: otkriven je problem u rukovanju predmemorijama resursa na internetskim stranicama s certifikatima koji nisu valjani. Problem je riješen odbacivanjem predmemorije aplikacija s domena s certifikatima koji nisu valjani.

    CVE-ID

    CVE-2015-5907: Yaoqi Jia (Singapursko nacionalno sveučilište (NUS))

  • WebKit

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore podataka

    Opis: Safari je dopuštao učitavanje listova sa stilovima sa svim izvorima podataka i komponentama MIME koje nisu vrste CSS, što se može koristiti za eksfiltriranje međuizvora podataka. Problem je riješen ograničavanjem MIME vrsta za stilske predloške sa svim izvorima podataka.

    CVE-ID

    CVE-2015-5826: filedescriptor, Chris Evans

  • WebKit

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: API za performanse mogao je omogućiti zlonamjernoj internetskoj stranici da otkrije povijest pregledavanja, mrežne aktivnosti i pokrete mišem

    Opis: API za performanse komponente WebKit mogao je omogućiti zlonamjernoj internetskoj stranici da mjerenjem vremena otkrije povijest pregledavanja, mrežne aktivnosti i pokrete mišem. Problem je riješen ograničavanjem vremenske razlučivosti.

    CVE-ID

    CVE-2015-5825: Yossi Oren i drugi (Laboratorij za mrežnu sigurnost Sveučilišta Columbia)

  • WebKit

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač s administratorskim mrežnim ovlastima mogao je otkriti povjerljive korisničke podatke

    Opis: otkriven je problem sa zaglavljima Content-Disposition koja sadrže vrstu privitka. Problem je riješen onemogućivanjem nekih funkcija stranica s privicima vrste.

    CVE-ID

    CVE-2015-5921: Mickey Shkatov (tim Intel(r) Advanced Threat Research), Daoyuan Wu (Sveučilište za menadžment u Singapuru), Rocky K. C. Chang (Politehničko sveučilište u Hong Kongu), Łukasz Pilorz, superhei (www.knownsec.com)

  • Područje za WebKit

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: posjetom zlonamjernom web-mjestu mogli su se otkriti slikovni podaci s drugog web-mjesta

    Opis: u komponenti WebKit otkriven je problem s više izvora u slikama elemenata "područja". Problem je riješen poboljšanim praćenjem izvora sigurnosti.

    CVE-ID

    CVE-2015-5788: Apple

  • Učitavanje stranice WebKita

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: WebSockets mogao je zaobići provedbu pravilnika za mješovite sadržaje

    Opis: problem s nedovoljno strogim provođenjem pravilnika omogućio je komponenti WebSockets da učitava mješovite sadržaje. Problem je riješen proširenjem provedbe pravilnika o mješovitim sadržajima na WebSockets.

    Kevin G. Jones (Higher Logic)

FaceTime nije dostupan u svim zemljama ili regijama.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: