O sigurnosnom sadržaju sustava iOS 9.2
U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 9.2.
Radi zaštite svojih klijenata tvrtka Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto o sigurnosti Appleovih proizvoda.
Informacije o PGP ključu za zaštitu Appleovih proizvoda potražite u članku Korištenje PGP ključa za zaštitu Appleovih proizvoda.
Kada je to moguće, CVE ID-ovi služe kao referenca za dodatne informacije o slabim točkama.
Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak o Appleovim sigurnosnim ažuriranjima.
iOS 9.2
AppleMobileFileIntegrity
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kôd
Opis: problem s kontrolom pristupa riješen je onemogućivanjem promjene struktura kontrole pristupa.
CVE-ID
CVE-2015-7055: Apple
AppSandbox
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: i nakon uskraćenog pristupa zlonamjerna aplikacija može omogućiti pristup kontaktima
Opis: u načinu na koji memorija za testiranje obrađuje veze otkriven je problem. Problem je riješen pojačanjem sigurnosti memorije za testiranje u aplikaciji.
CVE-ID
CVE-2015-7001: Razvan Deaconescu i Mihai Bucicoiu (Politehničko sveučilište u Bukureštu), Luke Deshotels i William Enck (državno sveučilište Sjeverne Karoline), Lucas Vincenzo Davi i Ahmad-Reza Sadeghi (TU Darmstadt)
CFNetwork HTTPProtocol
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: napadač s povlaštenim mrežnim položajem može zaobići HSTS
Opis: u obradi URL-a otkriven je problem s provjerom valjanosti unosa. Taj je problem riješen poboljšanom provjerom valjanosti URL-ova.
CVE-ID
CVE-2015-7094: Tsubasa Iinuma (@llamakko_cafe) (Gehirn Inc.) i Muneaki Nishimura (nishimunea)
Kompresija
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjetom zlonamjernom web-mjestu može doći do izvršavanja proizvoljnog koda
Opis: problem s neinicijaliziranim pristupom memoriji postojao je u zlibu. Taj je problem riješen poboljšanom inicijalizacijom memorije i dodatnom provjerom valjanosti strujanja zliba.
CVE-ID
CVE-2015-7054: j00ru
Jezgrena grafika
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda
Opis: u obradi datoteka s fontovima otkriven je problem s oštećenjem memorije. Problem je riješen poboljšanom provjerom valjanosti ulaza.
CVE-ID
CVE-2015-7105: John Villamil (@day6reak), Yahoo Pentest tim
Reprodukcija CoreMedia datoteka
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjetom zlonamjernom web-mjestu može doći do izvršavanja proizvoljnog koda
Opis: u načinu obrade datoteka s loše oblikovanim medijskim sadržajima otkriveno je nekoliko problema s oštećenom memorijom. Ti su problemi riješeni poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-7074: Apple
CVE-2015-7075
dyld
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kôd
Opis: u dyld-u je otkriveno nekoliko problema s potvrdom segmenata. To je riješeno boljom sanitacijom okruženja.
CVE-ID
CVE-2015-7072: Apple
CVE-2015-7079: PanguTeam
Radno okruženje GPUTools
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kôd
Opis: u aplikaciji Mobile Replayer otkriveno je nekoliko problema s provjerom valjanosti staze. To je riješeno boljom sanitacijom okruženja.
CVE-ID
CVE-2015-7069: Luca Todesco (@qwertyoruiop)
CVE-2015-7070: Luca Todesco (@qwertyoruiop)
iBooks
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: parsiranje zlonamjerne iBooks datoteke može dovesti do otkrivanja korisničkih podataka
Opis: u parsiranju iBook datoteke otkriven je problem s XML referencom na vanjski entitet. Problem je riješen poboljšanjem parsiranja.
CVE-ID
CVE-2015-7081: Behrouz Sadeghipour (@Nahamsec) i Patrik Fehrenbach (@ITSecurityguard)
ImageIO
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda
Opis: u komponenti ImageIO otkriven je problem s oštećenom memorijom. Taj je problem riješen poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-7053: Apple
IOHIDFamily
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kôd
Opis: u API-ju za IOHIDFamily otkriven je veći broj problema s neispravnom memorijom. Ti su problemi riješeni poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-7111: beist i ABH (BoB)
CVE-2015-7112: Ian Beer (Google Project Zero)
IOKit SCSI
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: uz kernelske ovlasti zlonamjerna aplikacija može izvršiti proizvoljni kôd
Opis: u obradi određene vrste korisničkog klijenta otkrivena je dereferencija pokazivača vrijednosti null. Problem je riješen poboljšanom provjerom valjanosti.
CVE-ID
CVE-2015-7068: Ian Beer (Google Project Zero)
Kernel
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: lokalna aplikacija može uzrokovati odbijanje usluge
Opis: veći broj problema s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-7040: Lufeng Li (tim Qihoo 360 Vulcan)
CVE-2015-7041: Lufeng Li (tim Qihoo 360 Vulcan)
CVE-2015-7042: Lufeng Li (tim Qihoo 360 Vulcan)
CVE-2015-7043: Tarjei Mandt (@kernelpool)
Kernel
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: lokalni korisnik s ovlastima za kernel mogao je izvršiti proizvoljni programski kôd
Opis: u kernelu je otkriveno nekoliko problema s oštećenom memorijom. Ti su problemi riješeni poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-7083: Ian Beer (Google Project Zero)
CVE-2015-7084: Ian Beer (Google Project Zero)
Kernel
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: lokalni korisnik s ovlastima za kernel mogao je izvršiti proizvoljni programski kôd
Opis: otkriven je problem s parsiranjem mach poruka. Taj je problem riješen poboljšanom provjerom mach poruka.
CVE-ID
CVE-2015-7047: Ian Beer (Google Project Zero)
LaunchServices
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kôd
Opis: u obradi loše oblikovanih plista otkriven je problem s oštećenjem memorije. Taj je problem riješen poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-7113: Olivier Goguel (Free Tools Association)
libarchive
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjetom zlonamjernom web-mjestu može doći do izvršavanja proizvoljnog koda
Opis: u obradi arhiva otkriven je problem s oštećenjem memorije. Taj je problem riješen poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2011-2895: @practicalswift
libc
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: obradom zlonamjernog paketa može doći do izvršavanja proizvoljnog koda
Opis: u standardnoj biblioteci C otkrivena su višestruka prekoračenja međuspremnika. Ti su problemi riješeni poboljšanom provjerom ograničenja.
CVE-ID
CVE-2015-7038 : Brian D. Wells (E. W. Scripps), Narayan Subramanian (Symantec Corporation/Veritas LLC)
CVE-2015-7039: Maksymilian Arciemowicz (CXSECURITY.COM)
Unos ažuriran 3. oOžujka 2017.
libxml2
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: raščlanjivanje zlonamjernog XML dokumenta može dovesti do otkrivanja korisničkih podataka
Opis: problem oštećene memorije pojavio se prilikom parsiranja XML datoteka. Taj je problem riješen poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-7115 : Wei Lei i Liu Yang (Tehnološko sveučilište u Nanyangu)
CVE-2015-7116 : Wei Lei i Liu Yang (Tehnološko sveučilište u Nanyangu)
MobileStorageMounter
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kôd
Opis: prilikom učitavanja pouzdane predmemorije otkriven je problem s pravovremenošću. Problem je riješen provjerom sistemskog okruženja prije učitavanja pouzdane predmemorije.
CVE-ID
CVE-2015-7051: PanguTeam
OpenGL
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjetom zlonamjernom web-mjestu može doći do izvršavanja proizvoljnog koda
Opis: u OpenGL-u otkriven je veći broj problema s neispravnom memorijom. Ti su problemi riješeni poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-7064: Apple
CVE-2015-7065: Apple
CVE-2015-7066: Tongbo Luo i Bo Qu (Palo Alto Networks)
Fotografije
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: napadač je putem sustava za sigurnosno kopiranje mogao pristupiti zaštićenim područjima sustava datoteka
Opis: otkriven je problem s provjerom staze u mobilnom sigurnosnom kopiranju. Problem je riješen poboljšanom sanitacijom okruženja.
CVE-ID
CVE-2015-7037: PanguTeam
QuickLook
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: otvaranjem zlonamjerne iWork datoteke može doći do izvršavanja proizvoljnog koda
Opis: u upravljanju iWork datotekama otkriven je problem s oštećenom memorijom. Taj je problem riješen poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-7107
Safari
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjet zlonamjernom web-mjestu mogao je izazvati krivotvorenje korisničkog sučelja
Opis: zbog tog je problema internetska stranica može prikazati sadržaj putem URL-a druge internetske stranice. Taj je problem riješen poboljšanim upravljanjem URL-ovima.
CVE-ID
CVE-2015-7093: xisigr iz tvrtke Tencent's Xuanwu LAB (www.tencent.com)
Memorija za testiranje
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerna aplikacija s korijenskim ovlastima može zaobići kernelski raspored nasumičnosti prostora za adresu
Opis: u xnu-u je otkriven problem s nedovoljnim odvajanjem ovlasti. Taj je problem riješen poboljšanom provjerom autentičnosti.
CVE-ID
CVE-2015-7046: Apple
Sigurnost
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: udaljeni napadač mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: u upravljanju funkcijama SSL rukovanja otkriven je problem s oštećenom memorijom. Taj je problem riješen poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-7073: Benoit Foucher (ZeroC, Inc.)
Sigurnost
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerna aplikacija može steći pristup korisnikovim stavkama privjeska za ključeve
Opis: u provjeri popisa za kontrolu pristupa stavkama privjeska za ključeve otkriven je problem. Problem je riješen poboljšanim provjerama popisa kontrole pristupa.
CVE-ID
CVE-2015-7058
Siri
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: osoba s fizičkim pristupom iOS uređaju može koristiti Siri za čitanje obavijesti o sadržaju postavljenom tako da se ne prikazuje na zaključanom zaslonu
Opis: kad se Siri poslao zahtjev, poslužitelj nije provjeravao ograničenja na klijentskoj strani. Problem je riješen poboljšanom provjerom ograničenja.
CVE-ID
CVE-2015-7080: Or Safran (www.linkedin.com/profile/view?id=33912591)
WebKit
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjetom zlonamjernom web-mjestu može doći do izvršavanja proizvoljnog koda
Opis: u WebKitu je otkriven veći broj problema s oštećenom memorijom. Ti su problemi riješeni poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2015-7048: Apple
CVE-2015-7095: Apple
CVE-2015-7096: Apple
CVE-2015-7097: Apple
CVE-2015-7098: Apple
CVE-2015-7099: Apple
CVE-2015-7100: Apple
CVE-2015-7101: Apple
CVE-2015-7102: Apple
CVE-2015-7103: Apple
WebKit
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjetom zlonamjernom web-mjestu može se otkriti korisnikova povijest pregledavanja
Opis: u blokiranju sadržaja otkriven je problem s nedovoljnom provjerom ulaznog sadržaja. Problem je riješen poboljšanim parsiranjem proširenja sadržaja.
CVE-ID
CVE-2015-7050: Luke Li i Jonathan Metzman
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.