O sigurnosnom sadržaju sustava iOS 9.2

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 9.2.

Radi zaštite svojih klijenata tvrtka Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto o sigurnosti Appleovih proizvoda.

Informacije o PGP ključu za zaštitu Appleovih proizvoda potražite u članku Korištenje PGP ključa za zaštitu Appleovih proizvoda.

Kada je to moguće, CVE ID-ovi služe kao referenca za dodatne informacije o slabim točkama.

Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak o Appleovim sigurnosnim ažuriranjima.

iOS 9.2

  • AppleMobileFileIntegrity

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kôd

    Opis: problem s kontrolom pristupa riješen je onemogućivanjem promjene struktura kontrole pristupa.

    CVE-ID

    CVE-2015-7055: Apple

  • AppSandbox

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: i nakon uskraćenog pristupa zlonamjerna aplikacija može omogućiti pristup kontaktima

    Opis: u načinu na koji memorija za testiranje obrađuje veze otkriven je problem. Problem je riješen pojačanjem sigurnosti memorije za testiranje u aplikaciji.

    CVE-ID

    CVE-2015-7001: Razvan Deaconescu i Mihai Bucicoiu (Politehničko sveučilište u Bukureštu), Luke Deshotels i William Enck (državno sveučilište Sjeverne Karoline), Lucas Vincenzo Davi i Ahmad-Reza Sadeghi (TU Darmstadt)

  • CFNetwork HTTPProtocol

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač s povlaštenim mrežnim položajem može zaobići HSTS

    Opis: u obradi URL-a otkriven je problem s provjerom valjanosti unosa. Taj je problem riješen poboljšanom provjerom valjanosti URL-ova.

    CVE-ID

    CVE-2015-7094: Tsubasa Iinuma (@llamakko_cafe) (Gehirn Inc.) i Muneaki Nishimura (nishimunea)

  • Kompresija

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: posjetom zlonamjernom web-mjestu može doći do izvršavanja proizvoljnog koda

    Opis: problem s neinicijaliziranim pristupom memoriji postojao je u zlibu. Taj je problem riješen poboljšanom inicijalizacijom memorije i dodatnom provjerom valjanosti strujanja zliba.

    CVE-ID

    CVE-2015-7054: j00ru

  • Jezgrena grafika

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda

    Opis: u obradi datoteka s fontovima otkriven je problem s oštećenjem memorije. Problem je riješen poboljšanom provjerom valjanosti ulaza.

    CVE-ID

    CVE-2015-7105: John Villamil (@day6reak), Yahoo Pentest tim

  • Reprodukcija CoreMedia datoteka

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: posjetom zlonamjernom web-mjestu može doći do izvršavanja proizvoljnog koda

    Opis: u načinu obrade datoteka s loše oblikovanim medijskim sadržajima otkriveno je nekoliko problema s oštećenom memorijom. Ti su problemi riješeni poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-7074: Apple

    CVE-2015-7075

  • dyld

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kôd

    Opis: u dyld-u je otkriveno nekoliko problema s potvrdom segmenata. To je riješeno boljom sanitacijom okruženja.

    CVE-ID

    CVE-2015-7072: Apple

    CVE-2015-7079: PanguTeam

  • Radno okruženje GPUTools

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kôd

    Opis: u aplikaciji Mobile Replayer otkriveno je nekoliko problema s provjerom valjanosti staze. To je riješeno boljom sanitacijom okruženja.

    CVE-ID

    CVE-2015-7069: Luca Todesco (@qwertyoruiop)

    CVE-2015-7070: Luca Todesco (@qwertyoruiop)

  • iBooks

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: parsiranje zlonamjerne iBooks datoteke može dovesti do otkrivanja korisničkih podataka

    Opis: u parsiranju iBook datoteke otkriven je problem s XML referencom na vanjski entitet. Problem je riješen poboljšanjem parsiranja.

    CVE-ID

    CVE-2015-7081: Behrouz Sadeghipour (@Nahamsec) i Patrik Fehrenbach (@ITSecurityguard)

  • ImageIO

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda

    Opis: u komponenti ImageIO otkriven je problem s oštećenom memorijom. Taj je problem riješen poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-7053: Apple

  • IOHIDFamily

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kôd

    Opis: u API-ju za IOHIDFamily otkriven je veći broj problema s neispravnom memorijom. Ti su problemi riješeni poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-7111: beist i ABH (BoB)

    CVE-2015-7112: Ian Beer (Google Project Zero)

  • IOKit SCSI

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: uz kernelske ovlasti zlonamjerna aplikacija može izvršiti proizvoljni kôd

    Opis: u obradi određene vrste korisničkog klijenta otkrivena je dereferencija pokazivača vrijednosti null. Problem je riješen poboljšanom provjerom valjanosti.

    CVE-ID

    CVE-2015-7068: Ian Beer (Google Project Zero)

  • Kernel

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: lokalna aplikacija može uzrokovati odbijanje usluge

    Opis: veći broj problema s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-7040: Lufeng Li (tim Qihoo 360 Vulcan)

    CVE-2015-7041: Lufeng Li (tim Qihoo 360 Vulcan)

    CVE-2015-7042: Lufeng Li (tim Qihoo 360 Vulcan)

    CVE-2015-7043: Tarjei Mandt (@kernelpool)

  • Kernel

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: lokalni korisnik s ovlastima za kernel mogao je izvršiti proizvoljni programski kôd

    Opis: u kernelu je otkriveno nekoliko problema s oštećenom memorijom. Ti su problemi riješeni poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-7083: Ian Beer (Google Project Zero)

    CVE-2015-7084: Ian Beer (Google Project Zero)

  • Kernel

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: lokalni korisnik s ovlastima za kernel mogao je izvršiti proizvoljni programski kôd

    Opis: otkriven je problem s parsiranjem mach poruka. Taj je problem riješen poboljšanom provjerom mach poruka.

    CVE-ID

    CVE-2015-7047: Ian Beer (Google Project Zero)

  • LaunchServices

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kôd

    Opis: u obradi loše oblikovanih plista otkriven je problem s oštećenjem memorije. Taj je problem riješen poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-7113: Olivier Goguel (Free Tools Association)

  • libarchive

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: posjetom zlonamjernom web-mjestu može doći do izvršavanja proizvoljnog koda

    Opis: u obradi arhiva otkriven je problem s oštećenjem memorije. Taj je problem riješen poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2011-2895: @practicalswift

  • libc

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: obradom zlonamjernog paketa može doći do izvršavanja proizvoljnog koda

    Opis: u standardnoj biblioteci C otkrivena su višestruka prekoračenja međuspremnika. Ti su problemi riješeni poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2015-7038 : Brian D. Wells (E. W. Scripps),  Narayan Subramanian (Symantec Corporation/Veritas LLC)

    CVE-2015-7039: Maksymilian Arciemowicz (CXSECURITY.COM)

    Unos ažuriran 3. oOžujka 2017.

  • libxml2

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: raščlanjivanje zlonamjernog XML dokumenta može dovesti do otkrivanja korisničkih podataka

    Opis: problem oštećene memorije pojavio se prilikom parsiranja XML datoteka. Taj je problem riješen poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-7115 : Wei Lei i Liu Yang (Tehnološko sveučilište u Nanyangu)

    CVE-2015-7116 : Wei Lei i Liu Yang (Tehnološko sveučilište u Nanyangu)

  • MobileStorageMounter

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kôd

    Opis: prilikom učitavanja pouzdane predmemorije otkriven je problem s pravovremenošću. Problem je riješen provjerom sistemskog okruženja prije učitavanja pouzdane predmemorije.

    CVE-ID

    CVE-2015-7051: PanguTeam

  • OpenGL

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: posjetom zlonamjernom web-mjestu može doći do izvršavanja proizvoljnog koda

    Opis: u OpenGL-u otkriven je veći broj problema s neispravnom memorijom. Ti su problemi riješeni poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-7064: Apple

    CVE-2015-7065: Apple

    CVE-2015-7066: Tongbo Luo i Bo Qu (Palo Alto Networks)

  • Fotografije

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač je putem sustava za sigurnosno kopiranje mogao pristupiti zaštićenim područjima sustava datoteka

    Opis: otkriven je problem s provjerom staze u mobilnom sigurnosnom kopiranju. Problem je riješen poboljšanom sanitacijom okruženja.

    CVE-ID

    CVE-2015-7037: PanguTeam

  • QuickLook

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: otvaranjem zlonamjerne iWork datoteke može doći do izvršavanja proizvoljnog koda

    Opis: u upravljanju iWork datotekama otkriven je problem s oštećenom memorijom. Taj je problem riješen poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-7107

  • Safari

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: posjet zlonamjernom web-mjestu mogao je izazvati krivotvorenje korisničkog sučelja

    Opis: zbog tog je problema internetska stranica može prikazati sadržaj putem URL-a druge internetske stranice. Taj je problem riješen poboljšanim upravljanjem URL-ovima.

    CVE-ID

    CVE-2015-7093: xisigr iz tvrtke Tencent's Xuanwu LAB (www.tencent.com)

  • Memorija za testiranje

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerna aplikacija s korijenskim ovlastima može zaobići kernelski raspored nasumičnosti prostora za adresu

    Opis: u xnu-u je otkriven problem s nedovoljnim odvajanjem ovlasti. Taj je problem riješen poboljšanom provjerom autentičnosti.

    CVE-ID

    CVE-2015-7046: Apple

  • Sigurnost

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: udaljeni napadač mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: u upravljanju funkcijama SSL rukovanja otkriven je problem s oštećenom memorijom. Taj je problem riješen poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-7073: Benoit Foucher (ZeroC, Inc.)

  • Sigurnost

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerna aplikacija može steći pristup korisnikovim stavkama privjeska za ključeve

    Opis: u provjeri popisa za kontrolu pristupa stavkama privjeska za ključeve otkriven je problem. Problem je riješen poboljšanim provjerama popisa kontrole pristupa.

    CVE-ID

    CVE-2015-7058

  • Siri

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: osoba s fizičkim pristupom iOS uređaju može koristiti Siri za čitanje obavijesti o sadržaju postavljenom tako da se ne prikazuje na zaključanom zaslonu

    Opis: kad se Siri poslao zahtjev, poslužitelj nije provjeravao ograničenja na klijentskoj strani. Problem je riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2015-7080: Or Safran (www.linkedin.com/profile/view?id=33912591)

  • WebKit

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: posjetom zlonamjernom web-mjestu može doći do izvršavanja proizvoljnog koda

    Opis: u WebKitu je otkriven veći broj problema s oštećenom memorijom. Ti su problemi riješeni poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2015-7048: Apple

    CVE-2015-7095: Apple

    CVE-2015-7096: Apple

    CVE-2015-7097: Apple

    CVE-2015-7098: Apple

    CVE-2015-7099: Apple

    CVE-2015-7100: Apple

    CVE-2015-7101: Apple

    CVE-2015-7102: Apple

    CVE-2015-7103: Apple

  • WebKit

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: posjetom zlonamjernom web-mjestu može se otkriti korisnikova povijest pregledavanja

    Opis: u blokiranju sadržaja otkriven je problem s nedovoljnom provjerom ulaznog sadržaja. Problem je riješen poboljšanim parsiranjem proširenja sadržaja.

    CVE-ID

    CVE-2015-7050: Luke Li i Jonathan Metzman

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: