Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
iOS 9.3.3
Objavljeno 18. srpnja 2016.
Kalendar
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerna pozivnica za kalendar mogla je uzrokovati neočekivano ponovno pokretanje uređaja
Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanim rukovanjem memorijom.
CVE-2016-4605: dr. Henry Feldman (Beth Israel Deaconess Medical Center)
Vjerodajnice za CFNetwork
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: napadač s administratorskim mrežnim ovlastima mogao je otkriti povjerljive korisničke podatke
Opis: otkriven je problem s HTTP vjerodajnicama za autorizaciju spremljenima u privjesku za ključeve koje nisu podržavale starije verzije. Problem je riješen spremanjem vrsta autorizacija zajedno s vjerodajnicama.
CVE-2016-4644: Jerry Decime (putem CERT-a)
CFNetwork proxyji
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: napadač s administratorskim mrežnim ovlastima mogao je otkriti povjerljive korisničke podatke
Opis: otkriven je problem s provjerom valjanosti u raščlanjivanju 407 odgovora. Problem je riješen poboljšanom provjerom valjanosti odgovora.
CVE-2016-4643: Xiaofeng Zheng (tim Plavi lotus, Sveučilište Tsinghua), Jerry Decime (putem CERT-a)
CFNetwork proxyji
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: aplikacije su nehotice mogle slati nešifrirane lozinke putem mreže
Opis: autorizacija proxyja netočno je izvješćivala da su HTTP proxyji vjerodajnice primili sigurno. Problem je riješen poboljšanim upozorenjima.
CVE-2016-4642: Jerry Decime (putem CERT-a)
Jezgrena grafika
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: udaljeni napadač mogao je pokrenuti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2016-4637: Tyler Bohan (Cisco Talos (talosintel.com/vulnerability-reports))
FaceTime
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: napadač s mrežnim ovlastima može uzrokovati nastavak prijenosa zvuka putem preusmjerenog poziva premda izgleda kao da je poziv prekinut
Opis: u obradi preusmjerenih poziva postojale su nedosljednosti korisničkog sučelja. Problemi su riješeni poboljšanjem logike prikaza značajke FaceTime.
CVE-2016-4635: Martin Vigo
GasGauge
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: uz kernelske ovlasti zlonamjerna aplikacija mogla je izvršiti proizvoljni kod
Opis: u kernelu je postojao problem s oštećenom memorijom. Taj je problem riješen poboljšanim upravljanjem memorijom.
CVE-2016-7576: qwertyoruiop
Unos dodan 27. rujna 2016.
Ulaz i izlaz slika
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: udaljeni napadač mogao je uzrokovati odbijanje servisa
Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2016-4632: Evgeny Sidorov (Yandex)
Ulaz i izlaz slika
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: udaljeni napadač mogao je pokrenuti proizvoljni kod
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2016-4631: Tyler Bohan (Cisco Talos (talosintel.com/vulnerability-reports))
Ulaz i izlaz slika
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2016-7705: Craig Young (Tripwire VERT)
Unos dodan 30. studenog 2017.
IOAcceleratorFamily
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: lokalni korisnici mogli su čitati kernelsku memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2016-4628: Ju Zhu (Trend Micro)
IOAcceleratorFamily
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: lokalni korisnik s ovlastima za kernel mogao je izvršiti proizvoljni programski kod
Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom provjerom valjanosti.
CVE-2016-4627: Ju Zhu (Trend Micro)
IOHIDFamily
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: lokalni korisnik s ovlastima za kernel mogao je izvršiti proizvoljni programski kod
Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom ulaznom provjerom valjanosti.
CVE-2016-4626: Stefan Esser (SektionEins)
Kernel
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: lokalni korisnik s ovlastima za kernel mogao je izvršiti proizvoljni programski kod
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2016-1863: Ian Beer (Google Project Zero)
CVE-2016-4653: Ju Zhu (Trend Micro)
CVE-2016-4582: Shrek_wzw i Proteas (tim Qihoo 360 Nirvan)
Kernel
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: lokalni korisnici mogli su izazvati odbijanje usluge na razini sustava
Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom ulaznom provjerom valjanosti.
CVE-2016-1865: CESG, Marco Grassi (@marcograss) (KeenLab (@keen_lab), Tencent)
Libc
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: udaljeni napadač mogao je izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: u funkciji "link_ntoa()" unutar linkaddr.c otkriveno je prekoračenje međumemorije. Taj je problem riješen dodatnim provjerama ograničenja.
CVE-2016-6559: Apple
Unos dodan 10. siječnja 2017.
libxml2
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: veći broj slabih točaka u libxml2-u
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2015-8317: Hanno Boeck
CVE-2016-1836: Wei Lei i Liu Yang (Tehnološko sveučilište u Nanjangu)
CVE-2016-4447: Wei Lei i Liu Yang (Tehnološko sveučilište u Nanjangu)
CVE-2016-4448: Apple
CVE-2016-4483: Gustavo Grieco
CVE-2016-4614: Nick Wellnhofer
CVE-2016-4615: Nick Wellnhofer
CVE-2016-4616: Michael Paddon
Unos ažuriran 4. lipnja 2017.
libxml2
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: raščlanjivanje zlonamjernog XML dokumenta moglo je dovesti do otkrivanja korisničkih podataka
Opis: prilikom raščlanjivanja zlonamjerno sastavljenih XML datoteka pojavio se problem povezan s pristupom. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2016-4449: Kostya Serebryany
libxslt
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: veći broj slabih točaka u biblioteci libxslt
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2016-1683: Nicolas Grégoire
CVE-2016-1684: Nicolas Grégoire
CVE-2016-4607: Nick Wellnhofer
CVE-2016-4608: Nicolas Grégoire
CVE-2016-4609: Nick Wellnhofer
CVE-2016-4610: Nick Wellnhofer
Unos ažuriran 11. travnja 2017.
Safari
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjet zlonamjernom web-mjestu mogao je izazvati krivotvorenje korisničkog sučelja
Opis: odgovori s preusmjeravanjem na priključke koji nisu valjani mogu zlonamjernim web-mjestima omogućiti da prikazuju proizvoljnu domenu i sadržaj. Problem je riješen poboljšanom logikom prikaza URL-ova.
CVE-2016-4604: xisigr (Xuanwu Lab, Tencent (www.tencent.com))
Profili s memorijom za testiranje
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: lokalna aplikacija mogla je pristupiti popisu procesa
Opis: otkriven je problem s pristupom prilikom API poziva s ovlastima. Problem je riješen dodatnim ograničenjima.
CVE-2016-4594: Stefan Esser (SektionEins)
Kontakti za Siri
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: osoba s fizičkim pristupom uređaju mogla je vidjeti privatne podatke za kontakt
Opis: u postupku obrade kartica kontakata otkriven je problem sa zaštitom privatnosti. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2016-4593: Pedro Pinheiro (facebook.com/pedro.pinheiro.1996)
Web-mediji
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: prilikom gledanja videozapisa u pregledniku Safari uz privatno pretraživanje URL videozapisa prikazuje se izvan privatnog pretraživanja
Opis: u načinu na koji kontroler za prikaz preglednika Safari obrađuje korisničke podatke otkriven je problem sa zaštitom privatnosti. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2016-4603: Brian Porter (@portex33)
WebKit
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjet zlonamjernom web-mjestu mogao je dovesti do otkrivanja procesne memorije
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2016-4587: Apple
WebKit
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjetom zlonamjernom web-mjestu mogli su se otkriti slikovni podaci s drugog web-mjesta
Opis: u načinu obrade SVG-a otkriven je problem s određivanjem vremena. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2016-4583: Roeland Krak
WebKit
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjetom zlonamjernom web-mjestu mogli su se otkriti osjetljivi podaci
Opis: u načinu obrade varijable lokacije otkriven je problem s dozvolama. Riješen je putem dodatnih provjera vlasništva.
CVE-2016-4591: ma.la (LINE Corporation)
WebKit
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjetom zlonamjernom web-mjestu moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2016-4589: Tongbo Luo i Bo Qu (Palo Alto Networks)
CVE-2016-4622: Samuel Gross i inicijativa Zero Day (Trend Micro)
CVE-2016-4623: Apple
CVE-2016-4624: Apple
WebKit
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjet zlonamjernom web-mjestu mogao je izazvati krivotvorenje korisničkog sučelja
Opis: u raščlanjivanju URL-ova s oznakom about: otkriven je problem s nasljeđivanjem izvora. Riješen je poboljšanom provjerom valjanosti izvora sigurnosti.
CVE-2016-4590: xisigr (Xuanwu Lab, Tencent (www.tencent.com))
WebKit
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjetom zlonamjernoj web-stranici moglo se izazvati uskraćivanje usluge
Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2016-4592: Mikhail
Veze za JavaScript u web-kompletu
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjet zlonamjernom web-mjestu mogao je uzrokovati izvršavanje skripte u kontekstu servisa koji nije HTTP
Opis: u pregledniku Safari otkriven je problem sa skriptiranjem za više protokola i više stranica (XPXSS) prilikom slanja obrazaca servisima koji ne koriste HTTP, a kompatibilni su s protokolom HTTP/0.9. Problem je riješen onemogućivanjem skripti i dodataka za resurse učitane putem protokola HTTP/0.9.
CVE-2016-4651: Obscure
Učitavanje stranice WebKita
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore podataka
Opis: prilikom preusmjeravanja URL-ova u pregledniku Safari otkriven je problem sa skriptiranjem na više web-stranica. Problem je riješen poboljšanom provjerom valjanosti URL-ova prilikom preusmjeravanja.
CVE-2016-4585: Takeshi Terada (Mitsui Bussan Secure Directions, Inc. (www.mbsd.jp))
Učitavanje stranice WebKita
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: posjetom zlonamjernom web-mjestu moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2016-4584: Chris Vienneau