Sigurnosni sadržaj sustava iOS 9
U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 9.
Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto o sigurnosti Appleovih proizvoda.
Informacije o PGP ključu za zaštitu Appleovih proizvoda potražite u članku Korištenje PGP ključa za zaštitu Appleovih proizvoda.
Kada je to moguće, CVE ID-ovi služe kao referenca za dodatne informacije o slabim točkama.
Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak o Appleovim sigurnosnim ažuriranjima.
iOS 9
Apple Pay
Dostupno za: iPhone 6 i iPhone 6 Plus
Učinak: neke kartice prilikom plaćanja mogu dopustiti terminalu dohvaćanje ograničenih informacija o nedavnim transakcijama
Opis: kod određenih konfiguracija bila je omogućena funkcija evidencije transakcija. Problem je riješen uklanjanjem funkcije evidencije transakcija. Problem se nije pojavljivao na iPad uređajima.
CVE-ID
CVE-2015-5916
AppleKeyStore
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: lokalni napadač mogao bi resetirati neuspjele pokušaje unosa lozinke na sigurnosnoj kopiji iOS uređaja
Opis: prilikom resetiranja neuspjelih pokušaja unosa lozinke na sigurnosnoj kopiji iOS uređaja otkriven je problem. Problem je riješen poboljšanjem logike neuspjelog unosa lozinke.
CVE-ID
CVE-2015-5850: anonimni istraživač
Trgovina aplikacija
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: klik na zlonamjernu ITMS vezu mogao bi dovesti do uskraćivanja usluge u poslovnoj aplikaciji
Opis: prilikom instalacije putem ITMS veza otkriven je problem. Problem je riješen dodatnom provjerom valjanosti instalacije.
CVE-ID
CVE-2015-5856: Zhaofeng Chen, Hui Xue i Tao (Lenx) Wei iz tvrtke FireEye, Inc.
Zvuk
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: reprodukcija zlonamjerne audiodatoteke mogla je izazvati neočekivano zatvaranje aplikacije
Opis: prilikom rukovanja audiodatotekama otkriven je problem s oštećenjem memorije. Problem je riješen poboljšanim rukovanjem memorijom.
CVE-ID
CVE-2015-5862: YoungJin Yoon (Information Security Lab). (savj.: prof. Taekyoung Kwon, Sveučilište Yonsei, Seul, Južna Koreja)
Pravilnik o pouzdanosti certifikata
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: ažuriranje pravilnika o pouzdanosti certifikata
Opis: ažuriran je pravilnik o pouzdanosti certifikata. Potpuni popis certifikata možete vidjeti na web-mjestu https://support.apple.com/hr-hr/HT204132.
CFNetwork
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerno sastavljen URL mogao bi zaobići HSTS (HTTP Strict Transport Security) i otkriti povjerljive podatke
Opis: pri rukovanju HSTS-om otkrivena je slaba točka u parsiranju URL-ova. Problem je riješen poboljšanim parsiranjem URL-ova.
CVE-ID
CVE-2015-5858: Xiaofeng Zheng (tim Blue Lotus sa Sveučilišta Tsinghua)
CFNetwork
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerne internetske stranice mogle bi pratiti korisnike u privatnom načinu pregledavanja u pregledniku Safari
Opis: otkriven je problem pri rukovanju HSTS stanjem u privatnom načinu pregledavanja u pregledniku Safari. Taj je problem riješen poboljšanim rukovanjem stanjem.
CVE-ID
CVE-2015-5860: Sam Greenhalgh (RadicalResearch Ltd.)
CFNetwork
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: osoba s fizičkim pristupom iOS uređaju mogla bi čitati predmemorirane podatke iz Appleovih aplikacija
Opis: predmemorirani podaci bili su šifrirani ključem koji štiti samo hardverski UID. Problem je riješen šifriranjem predmemoriranih podataka ključem koji je zaštićen hardverskim UID-om i korisničkom lozinkom.
CVE-ID
CVE-2015-5898: Andreas Kurtz (NESO Security Labs)
CFNetwork kolačići
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: napadač s administratorskim ovlastima mogao bi pratiti aktivnosti korisnika
Opis: pri rukovanju vršnim domenama otkriven je problem s međudomenskim kolačićima. Problem je riješen povećanjem ograničenja prilikom stvaranja kolačića.
CVE-ID
CVE-2015-5885: Xiaofeng Zheng (Blue Lotus, Sveučilište Tsinghua)
CFNetwork kolačići
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: napadač bi mogao stvarati nepotrebne kolačiće za internetsku stranicu
Opis: WebKit je prihvaćao postavljanje većeg broja kolačića u API-ju document.cookie. Problem je riješen poboljšanjem parsiranja.
CVE-ID
CVE-2015-3801: Erling Ellingsen (Facebook)
CFNetwork FTPProtocol
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerni FTP poslužitelji mogli bi uzrokovati da klijenti izviđaju druga računala
Opis: otkriven je problem u rukovanju FTP paketima prilikom korištenja naredbe PASV. Problem je riješen poboljšanom provjerom valjanosti.
CVE-ID
CVE-2015-5912: Amit Klein
CFNetwork HTTPProtocol
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: napadač s mrežnim ovlastima mogao bi presresti mrežni promet
Opis: pri rukovanju HSTS unosima na predučitanom popisu u privatnom načinu pregledavanja u pregledniku Safari otkriven je problem. Taj je problem riješen poboljšanim rukovanjem stanjem.
CVE-ID
CVE-2015-5859: Rosario Giustolisi (Luksemburško sveučilište)
CFNetwork proxyji
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: povezivanjem sa zlonamjernim web-proxyjima mogu se postaviti zlonamjerni kolačići za neku internetsku stranicu
Opis: otkriven je problem u rukovanju odzivima na povezivanje s proxyjem. Problem je riješen uklanjanjem zaglavlja set-cookie tijekom parsiranja odziva na povezivanje.
CVE-ID
CVE-2015-5841: Xiaofeng Zheng (tim Blue Lotus sa Sveučilišta Tsinghua)
CFNetwork SSL
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: napadač s mrežnim ovlastima mogao bi presresti SSL/TLS veze
Opis: u NSURL-u je prilikom njegove promjene postojao problem s provjerom valjanosti certifikata. Problem je riješen poboljšanom provjerom valjanosti certifikata.
CVE-ID
CVE-2015-5824: Timothy J. Wood (The Omni Group)
CFNetwork SSL
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: napadač bi mogao dešifrirati podatke zaštićene SSL-om
Opis: poznati su napadi povjerljivosti šifre RC4. Napadač može prisilno koristiti šifru RC4 čak i ako poslužitelj preferira bolje šifre tako da blokira TLS 1.0 i viša povezivanja dok CFNetwork ne isproba SSL 3.0, koji dopušta samo RC4. Problem je riješen onemogućivanjem odabira protokola SSL 3.0.
CoreAnimation
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerna aplikacija mogla bi otkriti povjerljive podatke o korisniku
Opis: pozadinske su aplikacije mogle pristupati međuspremniku zaslona. Problem je riješen poboljšanom kontrolom pristupa platformi IOSurfaces.
CVE-ID
CVE-2015-5880: Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li (Škola za informacijske sustave, Sveučilište za menadžment u Singapuru), Feng Bao i Jianying Zhou (Odjel za kriptografiju i sigurnost Instituta za informacijsko-komunikacijska istraživanja)
CoreCrypto
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: napadač bi mogao odrediti privatni ključ
Opis: promatranjem više pokušaja prijave ili dešifriranja napadač je mogao odrediti RSA privatni ključ. Problem je riješen poboljšanim algoritmima za šifriranje.
Jezgreni tekst
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: obradom zlonamjerne datoteke fonta moglo je doći do izvršavanja proizvoljnog koda
Opis: u obradi datoteka s fontovima otkriven je problem s oštećenjem memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-ID
CVE-2015-5874: John Villamil (@day6reak), tim Yahoo Pentest
Mehanizam detektora podataka
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: obradom zlonamjerne tekstne datoteke može doći do izvršavanja proizvoljnog programskog koda
Opis: u obradi tekstnih datoteka postojali su problemi s oštećenjem memorije. Ti su problemi riješeni poboljšanom provjerom ograničenja.
CVE-ID
CVE-2015-5829: M1x7e1 (tim Safeye, www.safeye.org)
Alati za razvojne programere
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: neke zlonamjerne aplikacije mogle bi uz sistemske ovlasti izvršiti proizvoljni kod
Opis: u aplikaciji dyld otkriven je problem s oštećenjem memorije. Problem je riješen poboljšanim rukovanjem memorijom.
CVE-ID
CVE-2015-5876: beist (grayhash)
Slike diska
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: lokalni korisnik mogao je izvršiti proizvoljni kod uz sistemske ovlasti
Opis: u aplikaciji DiskImages otkriven je problem s oštećenjem memorije. Taj je problem riješen poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-5847: Filippo Bigarella, Luca Todesco
dyld
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: aplikacija može zaobići potpisivanje programskog koda
Opis: otkriven je problem s provjerom valjanosti potpisa programskog koda izvršnih datoteka. Problem je riješen poboljšanom provjerom ograničenja.
CVE-ID
CVE-2015-5839: @PanguTeam (tim TaiG Jailbreak)
Game Center
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerna aplikacija Game Center mogla je pristupiti e-mail adresama igrača
Opis: otkriven je problem s aplikacijom Game Center i njezinim rukovanjem adresama e-pošte igrača. Problem je riješen povećanjem ograničenja pristupa.
CVE-ID
CVE-2015-5855: Nasser Alnasser
ICU
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: veći broj slabih točaka u aplikaciji ICU
Opis: u verzijama aplikacije ICU starijima od 53.1.0 otkriven je veći broj slabih točaka. Problemi su riješeni ažuriranjem na verziju 55.1.
CVE-ID
CVE-2014-8146: Marc Deslauriers
CVE-2014-8147: Marc Deslauriers
CVE-2015-5922: Mark Brand (Google Project Zero)
IOAcceleratorFamily
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerna aplikacija mogla bi odrediti raspored elemenata kernelske memorije
Opis: otkriven je problem koji je uzrokovao otkrivanje sadržaja memorije kernela. Problem je riješen poboljšanom provjerom ograničenja.
CVE-ID
CVE-2015-5834: Cererdlong (tim za sigurnost mobilnih uređaja tvrtke Alibaba)
IOAcceleratorFamily
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: lokalni korisnik mogao je izvršiti proizvoljni kod uz sistemske ovlasti
Opis: otkriven je problem s oštećenjem memorije u komponenti IOAcceleratorFamily. Taj je problem riješen poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-5848: Filippo Bigarella
IOHIDFamily
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: neke zlonamjerne aplikacije mogle bi uz sistemske ovlasti izvršiti proizvoljni kod
Opis: u komponenti IOHIDFamily otkriven je problem s oštećenjem memorije. Taj je problem riješen poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-5867: moony li (Trend Micro)
IOKit
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: neke zlonamjerne aplikacije mogle bi uz sistemske ovlasti izvršiti proizvoljni kod
Opis: u kernelu je postojao problem s oštećenom memorijom. Taj je problem riješen poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-5844: Filippo Bigarella
CVE-2015-5845: Filippo Bigarella
CVE-2015-5846: Filippo Bigarella
IOMobileFrameBuffer
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: lokalni korisnik mogao je izvršiti proizvoljni kod uz sistemske ovlasti
Opis: u komponenti IOMobileFrameBuffer otkriven je problem s oštećenjem memorije. Taj je problem riješen poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-5843: Filippo Bigarella
IOStorageFamily
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: lokalni napadač mogao je čitati kernelsku memoriju
Opis: u kernelu je postojao problem s inicijalizacijom memorije. Taj je problem riješen poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-5863: Ilja van Sprundel (IOActive)
iTunes Store
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: AppleID vjerodajnice nakon odjave mogu ostati u privjesku za ključeve
Opis: otkriven je problem s brisanjem privjeska za ključeve. Problem je riješen poboljšanim čišćenjem računa.
CVE-ID
CVE-2015-5832: Kasif Dekel (Check Point Software Technologies)
JavaScriptCore
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjetom zlonamjernom web-mjestu moglo je doći do izvršavanja proizvoljnog koda
Opis: u komponenti WebKit otkriveni su problemi s oštećenjem memorije. Ti su problemi riješeni poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-5791: Apple
CVE-2015-5793: Apple
CVE-2015-5814: Apple
CVE-2015-5816: Apple
CVE-2015-5822: Mark S. Miller (Google)
CVE-2015-5823: Apple
Kernel
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: lokalni korisnik s ovlastima za kernel mogao je izvršiti proizvoljni programski kod
Opis: u kernelu je postojao problem s oštećenom memorijom. Taj je problem riješen poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-5868: Cererdlong (tim za sigurnost mobilnih uređaja tvrtke Alibaba)
CVE-2015-5896: Maxime Villard (m00nbsd)
CVE-2015-5903: CESG
Unos je ažuriran 21. prosinca 2016.
Kernel
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: lokalni napadač mogao je dobiti nadzor nad vrijednošću kolačića stoga
Opis: u generiranju kolačića stoga u korisničkom prostoru otkriven je veći broj slabih točaka. Problem je riješen poboljšanim generiranjem kolačića stoga.
CVE-ID
CVE-2013-3951: Stefan Esser
Kernel
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: lokalni proces može mijenjati druge procese bez provjera ovlasti
Opis: otkriven je problem pri kojem je korijenskim procesima koji koriste API processor_set_tasks bilo dopušteno dohvaćanje priključaka za zadatke drugih procesa. Problem je riješen dodatnim provjerama ovlasti.
CVE-ID
CVE-2015-5882: Pedro Vilaça (na temelju izvornog istraživanja koje su proveli Ming-chieh Pan i Sung-ting Tsai), Jonathan Levin
Kernel
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: napadač je mogao izvesti napad uskraćivanjem usluge na ciljne TCP veze, a da pritom ne mora znati točan broj niza
Opis: otkriven je problem u provjeri valjanosti zaglavlja TCP paketa od strane komponente xnu. Problem je riješen poboljšanjem provjere valjanosti zaglavlja TCP paketa.
CVE-ID
CVE-2015-5879: Jonathan Looney
Kernel
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: napadač u lokalnom dijelu LAN-a može onemogućiti IPv6 usmjeravanje
Opis: u rukovanju oglasima IPv6 usmjerivača otkriven je problem s nedostatnom provjerom valjanosti, što je omogućavalo napadačima da postave ograničenje skoka na proizvoljnu vrijednost. Problem je riješen nametanjem minimalnog ograničenja skoka.
CVE-ID
CVE-2015-5869: Dennis Spindel Ljungmark
Kernel
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: lokalni korisnik mogao je otkriti raspored elemenata kernelske memorije
Opis: u komponenti XNU otkriven je problem koji je dovodio do otkrivanja kernelske memorije. Problem je riješen poboljšanom inicijalizacijom struktura kernelske memorije.
CVE-ID
CVE-2015-5842: beist (grayhash)
Kernel
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: lokalni korisnici mogli su izazvati odbijanje usluge na razini sustava
Opis: otkriven je problem s postavljanjem HFS pogona. Problem je riješen dodatnim provjerama valjanosti.
CVE-ID
CVE-2015-5748: Maxime Villard (m00nbsd)
libc
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: udaljeni napadač mogao je pokrenuti izvršavanje proizvoljnog koda
Opis: u funkciji fflush otkriven je problem s oštećenom memorijom. Taj je problem riješen poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2014-8611: Adrian Chadd i Alfred Perlstein (Norse Corporation)
libpthread
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: lokalni korisnik s ovlastima za kernel mogao je izvršiti proizvoljni programski kod
Opis: u kernelu je postojao problem s oštećenom memorijom. Taj je problem riješen poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-5899: Lufeng Li (tim Qihoo 360 Vulcan)
Mail
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: napadač je mogao poslati e-mail poruku za koju se činilo da dolazi od nekog kontakta iz primateljeva adresara
Opis: u rukovanju pošiljateljevom adresom otkriven je problem. Problem je riješen poboljšanom provjerom valjanosti.
CVE-ID
CVE-2015-5857: Emre Saglam (salesforce.com)
Povezivanje s više čvorova
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: lokalni napadač mogao bi vidjeti nezaštićene podatke većeg broja čvorova
Opis: u rukovanjem praktičnim inicijalizatorom otkriven je problem zbog kojeg se šifriranje moglo aktivno svesti na nešifriranu sesiju. Problem je riješen promjenom praktičnog inicijalizatora tako da traži šifriranje.
CVE-ID
CVE-2015-5851: Alban Diquet (@nabla_c0d3, Data Theorem)
NetworkExtension
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerna aplikacija mogla bi odrediti raspored elemenata kernelske memorije
Opis: problem s neinicijaliziranom memorijom u kernelu uzrokovao je otkrivanje sadržaja kernelske memorije. Problem je riješen inicijalizacijom memorije.
CVE-ID
CVE-2015-5831: Maxime Villard (m00nbsd)
OpenSSL
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: veći broj slabih točaka u OpenSSL-u
Opis: otkriven je veći broj slabih točaka u verzijama OpenSSL-a starijima od 0.9.8zg. Problem je riješen ažuriranjem OpenSSL-a na verziju 0.9.8zg.
CVE-ID
CVE-2015-0286
CVE-2015-0287
Komplet plugina
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerna poslovna aplikacija može instalirati proširenja prije no što se označi kao pouzdana
Opis: otkriven je problem s provjerom valjanosti proširenja tijekom instalacije. To je riješeno poboljšanom provjerom aplikacija.
CVE-ID
CVE-2015-5837: Zhaofeng Chen, Hui Xue i Tao (Lenx) Wei (FireEye, Inc.)
removefile
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: obradom zlonamjernih podataka može doći do neočekivanog rušenja aplikacije
Opis: otkrivena je pogreška prekoračenja u rutinama dijeljenja checkint. Problem je riješen poboljšanim rutinama dijeljenja.
CVE-ID
CVE-2015-5840: anonimni istraživač
Safari
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: lokalni korisnik može bez lozinke čitati knjižne oznake u pregledniku Safari na zaključanom iOS uređaju
Opis: podaci o knjižnim oznakama u pregledniku Safari šifrirani su ključem koji je zaštićen samo UID-om hardvera. Problem je riješen šifriranjem podataka o knjižnim oznakama preglednika Safari ključem zaštićenim UID-om hardvera i korisničkom lozinkom.
CVE-ID
CVE-2015-7118: Jonathan Zdziarski
Unos je ažuriran 21. prosinca 2016.
Safari
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje korisničkog sučelja
Opis: zbog tog je problema internetska stranica mogla prikazati sadržaj putem URL-a druge internetske stranice. Taj je problem riješen poboljšanim rukovanjem URL-ovima.
CVE-ID
CVE-2015-5904: Erling Ellingsen (Facebook), Łukasz Pilorz
Safari
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje korisničkog sučelja
Opis: posjetom zlonamjernoj internetskoj stranici sa zlonamjerno izrađenim otvaračem prozora možete omogućiti prikaz proizvoljnih URL-ova. Problem je riješen poboljšanim rukovanjem otvaračima prozora.
CVE-ID
CVE-2015-5905: Keita Haga (keitahaga.com)
Safari
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerne internetske stranice mogu pratiti korisnike pomoću klijentskih certifikata
Opis: otkriven je problem s klijentskom provjerom valjanosti certifikata preglednika Safari radi SSL autorizacije. Problem je riješen poboljšanom provjerom valjanosti klijentskih certifikata.
CVE-ID
CVE-2015-1129: Stefan Kraus (Fluid Operations AG), Sylvain Munaut (Whatever s.a.)
Safari
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje korisničkog sučelja
Opis: veći broj nedosljednosti u korisničkom sučelju može omogućiti zlonamjernoj internetskoj stranici prikaz proizvoljnog URL-a. Problemi su riješeni poboljšanjem logike prikaza URL-ova.
CVE-ID
CVE-2015-5764: Antonio Sanso (@asanso, Adobe)
CVE-2015-5765: Ron Masas
CVE-2015-5767: Krystian Kloskowski (preko tvrtke Secunia), Masato Kinugawa
Sigurno pregledavanje u pregledniku Safari
iPhone 4s i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: otvaranjem IP adrese poznate zlonamjerne internetske stranice možda se neće pokrenuti sigurnosno upozorenje
Opis: značajka sigurnog pregledavanja u pregledniku Safari nije upozoravala korisnike prilikom odlaska na poznate zlonamjerne internetske stranice putem njihovih IP adresa. Problem je riješen poboljšanjem otkrivanja zlonamjernih internetskih stranica.
Rahul M iz tvrtke TagsDock
Sigurnost
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerna aplikacija mogla bi presresti međusobnu komunikaciju drugih aplikacija
Opis: otkriven je problem koji je zlonamjernoj aplikaciji omogućavao presretanje međusobne komunikacije putem URL sheme. Problem je riješen prikazom dijaloškog okvira prilikom prvog korištenja URL sheme.
CVE-ID
CVE-2015-5835: Teun van Run (FiftyTwoDegreesNorth B.V.), XiaoFeng Wang (Sveučilište u Indiani), Luyi Xing (Sveučilište u Indiani), Tongxin Li (Pekinško sveučilište), Tongxin Li (Pekinško sveučilište), Xiaolong Bai (Sveučilište Tsinghua)
Siri
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: osoba s fizičkim pristupom iOS uređaju mogla bi koristiti Siri za čitanje obavijesti o sadržaju postavljenom tako da se ne prikazuje na zaključanom zaslonu
Opis: kad se Siri poslao zahtjev, poslužitelj nije provjeravao ograničenja na klijentskoj strani. Problem je riješen poboljšanom provjerom ograničenja.
CVE-ID
CVE-2015-5892: Robert S Mozayeni, Joshua Donvito
SpringBoard
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: dok su pregledi poruka na zaključanom zaslonu bili onemogućeni, osoba s fizičkim pristupom iOS uređaju mogla je odgovoriti na audioporuku sa zaključanog zaslona
Opis: problem sa zaključanim zaslonom omogućavao je korisnicima da odgovaraju na audioporuke dok su pregledi poruka bili onemogućeni. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-ID
CVE-2015-5861: Daniel Miedema (Meridian Apps)
SpringBoard
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerna aplikacija mogla je lažirati prozore dijaloških okvira druge aplikacije
Opis: otkriven je problem s pristupom prilikom API poziva s ovlastima. Problem je riješen dodatnim ograničenjima.
CVE-ID
CVE-2015-5838: Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei, John C.S. Lui
SQLite
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: veći broj slabih točaka u programu SQLite v3.8.5
Opis: otkriven je veći broj slabih točaka u programu SQLite v3.8.5. Problemi su riješeni ažuriranjem na verziju 3.8.10.2.
CVE-ID
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
tidy
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjetom zlonamjernom web-mjestu moglo je doći do izvršavanja proizvoljnog koda
Opis: u komponenti Tidy otkriven je problem s oštećenjem memorije. Problem je riješen poboljšanim rukovanjem memorijom.
CVE-ID
CVE-2015-5522: Fernando Muñoz (NULLGroup.com)
CVE-2015-5523: Fernando Muñoz (NULLGroup.com)
WebKit
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: reference objekata mogle su se otkriti između izoliranih izvora prilagođenih događaja, događaja poruka i događaja skočnih stanja
Opis: problem s otkrivanjem objekata probio je izolacijsku granicu između izvora. Problem je riješen poboljšanom izolacijom između izvora.
CVE-ID
CVE-2015-5827: Gildas
WebKit
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjetom zlonamjernom web-mjestu moglo je doći do izvršavanja proizvoljnog koda
Opis: u komponenti WebKit otkriveni su problemi s oštećenjem memorije. Ti su problemi riješeni poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-5789: Apple
CVE-2015-5790: Apple
CVE-2015-5792: Apple
CVE-2015-5794: Apple
CVE-2015-5795: Apple
CVE-2015-5796: Apple
CVE-2015-5797: Apple
CVE-2015-5799: Apple
CVE-2015-5800: Apple
CVE-2015-5801: Apple
CVE-2015-5802: Apple
CVE-2015-5803: Apple
CVE-2015-5804: Apple
CVE-2015-5805
CVE-2015-5806: Apple
CVE-2015-5807: Apple
CVE-2015-5809: Apple
CVE-2015-5810: Apple
CVE-2015-5811: Apple
CVE-2015-5812: Apple
CVE-2015-5813: Apple
CVE-2015-5817: Apple
CVE-2015-5818: Apple
CVE-2015-5819: Apple
CVE-2015-5821: Apple
WebKit
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjet zlonamjernoj internetskoj stranici mogao je dovesti do nenamjernog biranja
Opis: otkriven je problem s rukovanjem URL-ovima tel://, facetime:// i facetime-audio://. Taj je problem riješen poboljšanim rukovanjem URL-ovima.
CVE-ID
CVE-2015-5820: Andrei Neculaesei, Guillaume Ross
WebKit
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: QuickType mogao je naučiti posljednji znak lozinke u ispunjenom web-obrascu
Opis: otkriven je problem s rukovanjem kontekstom unosa lozinke od strane komponente WebKit. Problem je riješen poboljšanim rukovanjem kontekstom unosa.
CVE-ID
CVE-2015-5906: Louis Romero (Google Inc.)
WebKit
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: napadač s administratorskim mrežnim ovlastima mogao je usmjeriti sadržaj na zlonamjernu domenu
Opis: otkriven je problem u rukovanju predmemorijama resursa na internetskim stranicama s certifikatima koji nisu valjani. Problem je riješen odbacivanjem predmemorije aplikacija s domena s certifikatima koji nisu valjani.
CVE-ID
CVE-2015-5907: Yaoqi Jia (Singapursko nacionalno sveučilište (NUS))
WebKit
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore podataka
Opis: Safari je dopuštao učitavanje listova sa stilovima sa svim izvorima podataka i komponentama MIME koje nisu vrste CSS, što se može koristiti za eksfiltriranje međuizvora podataka. Problem je riješen ograničavanjem MIME vrsta za stilske predloške sa svim izvorima podataka.
CVE-ID
CVE-2015-5826: filedescriptor, Chris Evans
WebKit
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: API za performanse mogao je omogućiti zlonamjernoj internetskoj stranici da otkrije povijest pregledavanja, mrežne aktivnosti i pokrete mišem
Opis: API za performanse komponente WebKit mogao je omogućiti zlonamjernoj internetskoj stranici da mjerenjem vremena otkrije povijest pregledavanja, mrežne aktivnosti i pokrete mišem. Problem je riješen ograničavanjem vremenske razlučivosti.
CVE-ID
CVE-2015-5825: Yossi Oren i drugi (Laboratorij za mrežnu sigurnost Sveučilišta Columbia)
WebKit
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: napadač s administratorskim mrežnim ovlastima mogao je otkriti povjerljive korisničke podatke
Opis: otkriven je problem sa zaglavljima Content-Disposition koja sadrže vrstu privitka. Problem je riješen onemogućivanjem nekih funkcija stranica s privicima vrste.
CVE-ID
CVE-2015-5921: Mickey Shkatov (tim Intel(r) Advanced Threat Research), Daoyuan Wu (Sveučilište za menadžment u Singapuru), Rocky K. C. Chang (Politehničko sveučilište u Hong Kongu), Łukasz Pilorz, superhei (www.knownsec.com)
Područje za WebKit
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjetom zlonamjernom web-mjestu mogli su se otkriti slikovni podaci s drugog web-mjesta
Opis: u komponenti WebKit otkriven je problem s više izvora u slikama elemenata "područja". Problem je riješen poboljšanim praćenjem izvora sigurnosti.
CVE-ID
CVE-2015-5788: Apple
Učitavanje stranice WebKita
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: WebSockets mogao je zaobići provedbu pravilnika za mješovite sadržaje
Opis: problem s nedovoljno strogim provođenjem pravilnika omogućio je komponenti WebSockets da učitava mješovite sadržaje. Problem je riješen proširenjem provedbe pravilnika o mješovitim sadržajima na WebSockets.
Kevin G. Jones (Higher Logic)
FaceTime nije dostupan u svim zemljama ili regijama.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.