Sigurnosni sadržaj sustava iOS 9.1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 9.1.

Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto o sigurnosti Appleovih proizvoda.

Informacije o PGP ključu za zaštitu Appleovih proizvoda potražite u članku Korištenje PGP ključa za zaštitu Appleovih proizvoda.

Kada je to moguće, CVE ID-ovi služe kao referenca za dodatne informacije o slabim točkama.

Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak o Appleovim sigurnosnim ažuriranjima.

iOS 9.1

  • Ubrzavanje radnog okruženja

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: posjetom zlonamjernom web-mjestu moglo je doći do izvršavanja proizvoljnog koda

    Opis: u ubrzavanju radnog okruženja u načinu rada s više niti otkriven je problem s oštećenom memorijom. Taj je problem riješen poboljšanom provjerom valjanosti pristupnog elementa i poboljšanim zaključavanjem objekta.

    CVE-ID

    CVE-2015-5940: Apple

  • Bom

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: raspakiravanjem zlonamjerne arhive moglo je doći do izvršavanja proizvoljnog koda

    Opis: u rukovanju CPIO arhivama otkrivena je slaba točka u putu datoteka. Taj je problem riješen poboljšanom provjerom metapodataka.

    CVE-ID

    CVE-2015-7006: Mark Dowd (Azimuth Security)

  • CFNetwork

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: posjetom zlonamjernom web-mjestu moglo je doći do prebrisivanja kolačića

    Opis: u rukovanju upotrebom velikih i malih slova otkriven je problem. Problem je riješen poboljšanjem parsiranja.

    CVE-ID

    CVE-2015-7023: Marvin Scholz i Michael Lutonsky, Xiaofeng Zheng i Jinjin Liang (Sveučilište Tsinghua), Jian Jiang (Kalifornijsko sveučilište, Berkeley), Haixin Duan (Sveučilište Tsinghua i Međunarodni institut za znanost o računalima), Shuo Chen (Microsoft Research Redmond), Tao Wan (Huawei Canada), Nicholas Weaver (Međunarodni institut za znanost o računalima i Kalifornijsko sveučilište, Berkeley, via CERT/CC)

  • configd

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja

    Opis: u medijateci DNS klijenta otkriven je problem s prekoračenjem međuspremnika zbog nagomilavanja. Zlonamjerne aplikacije s mogućnošću krivotvorenja odgovora lokalnog configd servisa mogle su uzrokovati izvršavanje arbitrarnog koda u DNS klijentima.

    CVE-ID

    CVE-2015-7015: PanguTeam

  • Jezgrena grafika

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: posjetom zlonamjernom web-mjestu moglo je doći do izvršavanja proizvoljnog koda

    Opis: u jezgrenoj grafici otkriven je veći broj problema s oštećenom memorijom. Ti su problemi riješeni poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-5925: Apple

    CVE-2015-5926: Apple

  • Jezgreni tekst

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: obradom zlonamjernih datoteka s fontovima moglo je doći do izvršavanja proizvoljnog koda

    Opis: u načinu rukovanja datotekama s fontovima otkriveno je nekoliko problema s oštećenom memorijom. Ti su problemi riješeni poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2015-6975: John Villamil (@day6reak), Yahoo Pentest tim

    CVE-2015-6992: John Villamil (@day6reak), Yahoo Pentest tim

    CVE-2015-7017: John Villamil (@day6reak), Yahoo Pentest tim

  • Slike diska

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: uz sistemske ovlasti zlonamjerna aplikacija mogla je izvršiti proizvoljni kod

    Opis: u raščlanjivanju slika diska otkriven je problem s oštećenom memorijom. Taj je problem riješen poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-6995: Ian Beer (Google Project Zero)

  • Parsiranje fonta

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: obradom zlonamjernih datoteka s fontovima moglo je doći do izvršavanja proizvoljnog koda

    Opis: u načinu rukovanja datotekama s fontovima otkriveno je nekoliko problema s oštećenom memorijom. Ti su problemi riješeni poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2015-5927: Apple

    CVE-2015-5942

    CVE-2015-6976: John Villamil (@day6reak), Yahoo Pentest tim

    CVE-2015-6977: John Villamil (@day6reak), Yahoo Pentest tim

    CVE-2015-6978: Jaanus Kp (Clarified Security i HP-ova inicijativa Zero Day)

    CVE-2015-6990: John Villamil (@day6reak), Yahoo Pentest tim

    CVE-2015-6991: John Villamil (@day6reak), Yahoo Pentest tim

    CVE-2015-6993: John Villamil (@day6reak), Yahoo Pentest tim

    CVE-2015-7008: John Villamil (@day6reak), Yahoo Pentest tim

    CVE-2015-7009: John Villamil (@day6reak), Yahoo Pentest tim

    CVE-2015-7010: John Villamil (@day6reak), Yahoo Pentest tim

    CVE-2015-7018: John Villamil (@day6reak), Yahoo Pentest tim

  • GasGauge

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: uz kernelske ovlasti zlonamjerna aplikacija mogla je izvršiti proizvoljni kod

    Opis: u kernelu je postojao problem s oštećenom memorijom. Taj je problem riješen poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-6979: PanguTeam

  • Središnji dispečerski centar

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: obradom zlonamjernog paketa moglo je doći do izvršavanja proizvoljnog koda

    Opis: u rukovanju dispečerskim pozivima otkriveno je oštećenje memorije. Taj je problem riješen poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-6989: Apple

  • Upravljački program za grafiku

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: pokretanjem zlonamjerne aplikacije moglo je doći do izvršavanja proizvoljnog koda unutar jezgre

    Opis: u programu AppleVXD393 otkriven je problem s prepoznavanjem vrsta. Taj je problem riješen poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-6986: Proteas (Qihoo 360, tim za Nirvan)

  • ImageIO

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: prikazom zlonamjerne slikovne datoteke moglo je doći do izvršavanja proizvoljnog koda

    Opis: u parsiranju metapodataka slika otkriveni su problemi s oštećenom memorijom. Ti su problemi riješeni poboljšanom provjerom valjanosti metapodataka.

    CVE-ID

    CVE-2015-5935: Apple

    CVE-2015-5936: Apple

    CVE-2015-5937: Apple

    CVE-2015-5939: Apple

  • IOAcceleratorFamily

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: uz sistemske ovlasti zlonamjerna aplikacija mogla je izvršiti proizvoljni kod

    Opis: otkriven je problem s oštećenjem memorije u komponenti IOAcceleratorFamily. Taj je problem riješen poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-6996: Ian Beer (Google Project Zero)

  • IOHIDFamily

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: uz kernelske ovlasti zlonamjerna aplikacija mogla je izvršiti proizvoljni kod

    Opis: u kernelu je postojao problem s oštećenom memorijom. Taj je problem riješen poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-6974: Luca Todesco (@qwertyoruiop)

  • Kernel

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: lokalna aplikacija mogla je uzrokovati odbijanje usluge

    Opis: u kernelu je otkriven problem s provjerom valjanosti ulaza. Taj je problem riješen poboljšanom provjerom valjanosti ulaznih podataka.

    CVE-ID

    CVE-2015-7004: Sergi Alvarez (Pancake) (istraživački tim tvrtke NowSecure)

  • Kernel

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadači s mrežnim ovlastima mogli su izvršiti proizvoljni kod

    Opis: u kernelu je otkriven problem s memorijom koja se ne inicijalizira. Problem je riješen poboljšanom inicijalizacijom memorije.

    CVE-ID

    CVE-2015-6988: The Brainy Code Scanner (m00nbsd)

  • Kernel

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: lokalna aplikacija mogla je uzrokovati odbijanje usluge

    Opis: pri ponovnoj upotrebi virtualne memorije otkriven je problem. Taj je problem riješen poboljšanom provjerom valjanosti.

    CVE-ID

    CVE-2015-6994: Mark Mentovai (Google Inc.)

  • mDNSResponder

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: udaljeni napadač mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda

    Opis: više problema s oštećenjem memorije u parsiranju podataka DNS-a. Ti su problemi riješeni poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2015-7987 : Alexandre Helie

  • mDNSResponder

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: lokalna aplikacija mogla je uzrokovati odbijanje usluge

    Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanim rukovanjem memorijom.

    CVE-ID

    CVE-2015-7988 : Alexandre Helie

  • Centar za obavijesti

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: obavijesti aplikacija Telefon i Poruke pojavljivale su se na zaključanom zaslonu čak i kad su bile onemogućene

    Opis: ako je opcija "Prikaži na zaključanom zaslonu" bila isključena za aplikacije Telefon i Poruke, konfiguracijske promjene nisu se odmah primjenjivale. Taj je problem riješen poboljšanim upravljanjem stanjem.

    CVE-ID

    CVE-2015-7000: William Redwood (Škola Hampton)

  • OpenGL

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: posjetom zlonamjernom web-mjestu moglo je doći do izvršavanja proizvoljnog koda

    Opis: u komponenti OpenGL otkriven je problem s oštećenom memorijom. Problem je riješen poboljšanim rukovanjem memorijom.

    CVE-ID

    CVE-2015-5924: Apple

  • Sigurnost

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: obradom zlonamjernog certifikata moglo je doći do pokretanja proizvoljnog koda

    Opis: u ASN.1 dekoderu otkriveno je nekoliko problema s oštećenom memorijom. Ti su problemi riješeni poboljšanom provjerom ulaza.

    CVE-ID

    CVE-2015-7059: David Keeler (Mozilla)

    CVE-2015-7060: Tyson Smith (Mozilla)

    CVE-2015-7061: Ryan Sleevi (Google)

  • Sigurnost

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerne aplikacije mogle su prebrisati proizvoljne datoteke

    Opis: u rukovanju deskriptorima za AtomicBufferedFile otkriven je problem dvostrukog oslobađanja. Taj je problem riješen poboljšanom provjerom deskriptora za AtomicBufferedFile.

    CVE-ID

    CVE-2015-6983: David Benjamin, Greg Kerr, Mark Mentovai i Sergey Ulanov (Chromeov tim)

  • Sigurnost

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: opozvane certifikate napadači su mogli prividno učiniti valjanima

    Opis: u OCSP klijentu otkriven je problem s provjerom valjanosti. Taj je problem riješen provjerom isteka vremena za OCSP certifikat.

    CVE-ID

    CVE-2015-6999: Apple

  • Sigurnost

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: procjena pouzdanosti konfigurirana da zatraži provjeru opoziva mogla je biti pozitivna čak i ako provjera opoziva nije uspjela

    Opis: oznaka kSecRevocationRequirePositiveResponse bila je navedena, ali se nije primjenjivala. Taj je problem riješen primjenom te oznake.

    CVE-ID

    CVE-2015-6997: Apple

  • Telefonija

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerna aplikacija mogla je otkriti povjerljive korisničke podatke

    Opis: u provjerama autorizacije upita o statusu telefonskih poziva otkriven je problem. Taj je problem riješen dodatnim upitima o statusu pri autorizaciji.

    CVE-ID

    CVE-2015-7022: Andreas Kurtz (NESO Security Labs)

  • WebKit

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: posjetom zlonamjernom web-mjestu moglo je doći do izvršavanja proizvoljnog koda

    Opis: u WebKitu je otkriven veći broj problema s oštećenom memorijom. Ti su problemi riješeni poboljšanim rukovanjem memorijom.

    CVE-ID

    CVE-2015-5928: Apple

    CVE-2015-5929: Apple

    CVE-2015-5930: Apple

    CVE-2015-6981

    CVE-2015-6982

    CVE-2015-7002: Apple

    CVE-2015-7005: Apple

    CVE-2015-7012: Apple

    CVE-2015-7014

    CVE-2015-7104: Apple

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: