Sigurnosni sadržaj sustava iOS 9.3

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 9.3.

Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto o sigurnosti Appleovih proizvoda.

Informacije o PGP ključu za zaštitu Appleovih proizvoda potražite u članku Korištenje PGP ključa za zaštitu Appleovih proizvoda.

Kada je to moguće, CVE ID-ovi služe kao referenca za dodatne informacije o slabim točkama.

Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak o Appleovim sigurnosnim ažuriranjima.

iOS 9.3

  • AppleUSBNetworking

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: USB uređaj mogao je uzrokovati odbijanje usluge

    Opis: u provjeri valjanosti paketa otkriven je problem s rukovanjem pogreškama. Problem je riješen poboljšanim upravljanjem pogreškama.

    CVE-ID

    CVE-2016-1734: Andrea Barisani i Andrej Rosano (Inverse Path)

  • FontParser

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: otvaranjem zlonamjerno stvorene PDF datoteke aplikacija se mogla neočekivano zatvoriti ili se mogao pokrenuti proizvoljni kod

    Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2016-1740: HappilyCoded (ant4g0nist i r3dsm0k3) i inicijativa Zero Day Initiative (ZDI) (Trend Micro)

  • HTTPProtocol

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: udaljeni napadač mogao je pokrenuti proizvoljni kod

    Opis: u verzijama paketa nghttp2 prije verzije 1.6.0 otkriveno je više slabih točaka, od kojih je najozbiljnija mogla dovesti do pokretanja proizvoljnog koda. Taj je problem riješen ažuriranjem paketa nghttp2 na verziju 1.6.0.

    CVE-ID

    CVE-2015-8659

  • IOHIDFamily

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: aplikacije su mogle odrediti raspored elemenata kernelske memorije

    Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2016-1748: Brandon Azad

  • Kernel

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: aplikacije su mogle uzrokovati odbijanje usluge

    Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti.

    CVE-ID

    CVE-2016-1752: CESG

  • Kernel

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: uz kernelske ovlasti aplikacije su mogle izvršiti proizvoljni kod

    Opis: problem je riješen poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2016-1750: CESG

  • Kernel

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: uz kernelske ovlasti aplikacije su mogle izvršiti proizvoljni kod

    Opis: problem višestrukog prekoračenja cijelog broja riješen je poboljšanom provjerom valjanosti ulaznih podataka.

    CVE-ID

    CVE-2016-1753: Juwei Lin (Trend Micro) i inicijativa Zero Day Initiative (ZDI) (Trend Micro)

  • Kernel

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: aplikacije su mogle zaobići potpisivanje programskog koda

    Opis: otkriven je problem s nepravilnom dodjelom izvršnih dozvola. Taj je problem riješen poboljšanom provjerom valjanosti dozvola.

    CVE-ID

    CVE-2016-1751: Eric Monti (Square Mobile Security)

  • Kernel

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: uz kernelske ovlasti aplikacije su mogle izvršiti proizvoljni kod

    Opis: tijekom stvaranja novih procesa otkriven je uvjet nadjačavanja. Taj je problem riješen poboljšanim rukovanjem stanjem.

    CVE-ID

    CVE-2016-1757: Ian Beer (Google Project Zero) i Pedro Vilaça

  • Kernel

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: uz kernelske ovlasti aplikacije su mogle izvršiti proizvoljni kod

    Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom ulaznom provjerom valjanosti.

    CVE-ID

    CVE-2016-1756: Lufeng Li (Qihoo 360 Vulcan Team)

  • Kernel

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: uz kernelske ovlasti aplikacije su mogle izvršiti proizvoljni kod

    Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

    CVE-ID

    CVE-2016-1754: Lufeng Li (Qihoo 360 Vulcan Team)

    CVE-2016-1755: Ian Beer (Google Project Zero)

  • Kernel

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: aplikacije su mogle odrediti raspored elemenata kernelske memorije

    Opis: otkriven je problem s prekoračenjem čitanja koji je uzrokovao otkrivanje sadržaja kernelske memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

    CVE-ID

    CVE-2016-1758: Brandon Azad

  • LaunchServices

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: neke su aplikacije mogle modificirati događaje iz drugih aplikacija

    Opis: u API-ju komponente XPC Services otkriven je problem s provjerom valjanosti za rukovatelja događaja. Taj je problem riješen poboljšanom provjerom valjanosti poruka.

    CVE-ID

    CVE-2016-1760: Proteas (Qihoo 360, tim za Nirvan)

  • libxml2

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: obradom zlonamjerne XML datoteke moglo se uzrokovati neočekivano zatvaranje aplikacije ili pokretanje proizvoljnog koda

    Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

    CVE-ID

    CVE-2015-1819

    CVE-2015-5312: David Drysdale (Google)

    CVE-2015-7499

    CVE-2015-7500: Kostya Serebryany (Google)

    CVE-2015-7942: Kostya Serebryany (Google)

    CVE-2015-8035: gustavo.grieco

    CVE-2015-8242: Hugh Davenport

    CVE-2016-1761: wol0xff i inicijativa Zero Day Initiative (ZDI) (Trend Micro)

    CVE-2016-1762

  • Poruke

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: otvaranje zlonamjernih web-stranica moglo je rezultirati automatskim unosom teksta u niti aplikacije Poruke

    Opis: otkriven je problem s parsiranjem URL-ova u SMS porukama. Taj je problem riješen poboljšanom provjerom valjanosti URL-ova.

    CVE-ID

    CVE-2016-1763: CityTog

  • Poruke

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadači koji su zaobišli Appleovu provjeru certifikata, presreli TLS veze, umetnuli poruke i snimili poruke s privicima mogli su privitke čitati

    Opis: problem s kriptografijom riješen je odbacivanjem dupliciranih poruka na klijentu.

    CVE-ID

    CVE-2016-1788: Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers i Michael Rushanan (Sveučilište Johns Hopkins)

  • Profili

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: pri provjeri valjanosti nepouzdani MDM profil mogao se nepravilno prikazati

    Opis: u MDM profilima otkriven je problem s provjerom valjanosti certifikata. Problem je riješen dodatnim provjerama.

    CVE-ID

    CVE-2016-1766: Taylor Boyko i inicijativa Zero Day Initiative (ZDI) (Trend Micro)

  • Sigurnost

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: obradom zlonamjernog certifikata moglo je doći do pokretanja proizvoljnog koda

    Opis: u ASN.1 dekoderu otkriven je problem s oštećenom memorijom. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

    CVE-ID

    CVE-2016-1950: Francis Gabriel (Quarkslab)

  • TrueTypeScaler

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: obradom zlonamjerne datoteke s fontovima moglo je doći do izvršavanja proizvoljnog koda

    Opis: u obradi datoteka s fontovima otkriven je problem s oštećenjem memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

    CVE-ID

    CVE-2016-1775: 0x1byte i inicijativa Zero Day Initiative (ZDI) (Trend Micro)

  • WebKit

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

    Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

    CVE-ID

    CVE-2016-1778: 0x1byte i Zero Day Initiative (ZDI) (Trend Micro) te Yang Zhao (CM Security)

    CVE-2016-1783: Mihai Parparita (Google)

  • WebKit

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: web-stranice mogle su zabilježiti povjerljive korisničke podatke

    Opis: u rukovanju URL-ovima u privicima otkriven je problem. Taj je problem riješen poboljšanim rukovanjem URL-ovima.

    CVE-ID

    CVE-2016-1781: Devdatta Akhawe (Dropbox, Inc.)

  • WebKit

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: web-stranice mogle su zabilježiti povjerljive korisničke podatke

    Opis: skrivena web-stranica mogla je pristupiti podacima s uređaja za orijentaciju i kretanje. Taj je problem riješen onemogućivanjem dostupnosti tih podataka skrivenim web-stranicama.

    CVE-ID

    CVE-2016-1780: Maryam Mehrnezhad, Ehsan Toreini, Siamak F. Shahandashti i Feng Hao (Fakultet računalstva Sveučilišta u Newcastleu, Velika Britanija)

  • WebKit

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: otvaranjem zlonamjernih web-stranica mogla se otkriti korisnikova trenutna lokacija

    Opis: otkriven je problem s parsiranjem geolokacijskih zahtjeva. Problem je riješen poboljšanom sigurnosnom provjerom valjanosti geolokacijskih zahtjeva.

    CVE-ID

    CVE-2016-1779: xisigr (Xuanwu Lab, Tencent (http://www.tencent.com))

  • WebKit

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerne web-stranice mogle su pristupiti ograničenim ulazima na proizvoljnim poslužiteljima

    Opis: problem s preusmjeravanjem ulaza riješen je dodatnom provjerom valjanosti ulaza.

    CVE-ID

    CVE-2016-1782: Muneaki Nishimura (nishimunea) (Recruit Technologies Co., Ltd.)

  • WebKit

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: otvaranje zlonamjernog URL-a može uzrokovati otkrivanje osjetljivih korisničkih podataka

    Opis: postojao je problem prilikom preumjeravanja URL-a kada se funkcija XSS auditor koristila u načinu blokiranja. Problem je riješen poboljšanom navigacijom URL-a.

    CVE-ID

    CVE-2016-1864 : Takeshi Terada of Mitsui Bussan Secure Directions, Inc.

  • Povijest WebKita

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

    Opis: problem iscrpljivanja resursa riješen je poboljšanom provjerom valjanosti ulaznih podataka.

    CVE-ID

    CVE-2016-1784: Moony Li i Jack Tang (Trend Micro) te 李普君 (无声信息技术PKAV Team (PKAV.net))

  • Učitavanje stranice WebKita

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: posjet zlonamjernom web-mjestu mogao je uzrokovati krivotvorenje korisničkog sučelja

    Opis: odaziv za preusmjeravanje omogućivao je prikaz proizvoljnog URL-a na zlonamjernim web-stranicama i čitanje predmemoriranog sadržaja odredišnih stranica. Taj je problem riješen poboljšanom logikom prikaza URL-ova.

    CVE-ID

    CVE-2016-1786: ma.la (LINE Corporation)

  • Učitavanje stranice WebKita

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerna internetska stranica mogla je doznati sve izvore podataka

    Opis: otkriven je problem s kodiranjem znakova u predmemoriji. Taj je problem riješen dodatnom provjerom zahtjeva.

    CVE-ID

    CVE-2016-1785: anonimni istraživač

  • Wi-Fi

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadači s mrežnim ovlastima mogli su izvršiti proizvoljni kod

    Opis: otkriven je problem s provjerom valjanosti okvira i oštećenjem memorije za dani ethertype. Taj je problem riješen dodatnom provjerom valjanosti za ethertype i poboljšanim rukovanjem memorijom.

    CVE-ID

    CVE-2016-0801: anonimni istraživač

    CVE-2016-0802: anonimni istraživač

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: