O sigurnosnom sadržaju sustava iOS 10

U ovom se dokumentu opisuje sigurnosni sadržaj sustav iOS 10.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

iOS 10

Izdano 13. rujna 2016.

AppleMobileFileIntegrity

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: lokalna aplikacija mogla je uz sistemske ovlasti izvršiti proizvoljni kod

Opis: u pravilniku o nasljeđivanju priključka zadatka otkriven je problem s provjerom valjanosti. Taj je problem riješen poboljšanjem provjere valjanosti ovlasti za procedure i ID-a tima.

CVE-2016-4698: Pedro Vilaça

Unos je dodan 20. rujna 2016.

Imovina

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: napadač s mrežnim ovlastima mogao je blokirati primanje softverskih ažuriranja na uređaj

Opis: otkriven je problem u ažuriranjima sustava iOS, koja nisu štitila korisničke komunikacije na odgovarajući način. Problem je riješen uvođenjem protokola HTTPS za softverska ažuriranja.

CVE-2016-4741: Raul Siles (DinoSec)

Zvuk

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: udaljeni napadač mogao je pokrenuti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park i Taekyoung Kwon (Information Security Lab, sveučilište Yonsei)

Unos je dodan 20. rujna 2016.

Pravilnik o pouzdanosti certifikata

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: ažuriranje pravilnika o pouzdanosti certifikata

Opis: ažuriran je pravilnik o pouzdanosti certifikata. Potpuni popis certifikata pogledajte na web-mjestu https://support.apple.com/hr-hr/HT204132.

Unos je dodan 20. rujna 2016.

CFNetwork

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: lokalni korisnik može otkriti web-mjesta koja je neki korisnik posjetio

Opis: otkriven je problem s brisanjem lokalne pohrane. Taj je problem riješen poboljšanjem čišćenja lokalne pohrane.

CVE-2016-4707: anonimni istraživač

Unos je dodan 20. rujna 2016.

CFNetwork

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja mogli su se ugroziti korisnički podaci

Opis: u parsiranju zaglavlja Set-Cookie otkriven je problem s provjerom valjanosti. Problem je riješen boljom provjerom valjanosti.

CVE-2016-4708: Dawid Czagan (Silesia Security Lab)

Unos je dodan 20. rujna 2016.

CommonCrypto

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: aplikacija koja koristi CCrypt mogla je otkriti osjetljiv obični tekst ako su ulazni i izlazni međuspremnik isti

Opis: u modulu corecrypto otkriven je problem s provjerom valjanosti unosa. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2016-4711: Max Lohrmann

Unos je dodan 20. rujna 2016.

CoreCrypto

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s prekoračenjem pri zapisivanju riješen je uklanjanjem koda sa slabim točkama.

CVE-2016-4712: Gergo Koteles

Unos je dodan 20. rujna 2016.

Parser za font

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog fonta mogla se otkriti procesna memorija

Opis: u obradi datoteka fontova dolazilo je do prekoračenja međuspremnika.

Problem je riješen poboljšanom provjerom ograničenja.

CVE-2016-4718: Apple

Unos je dodan 20. rujna 2016.

GeoServices

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: neke aplikacije mogle su čitati osjetljive podatke o lokaciji

Opis: u aplikaciji PlaceData otkriven je problem s dozvolama. Taj je problem riješen poboljšanom provjerom valjanosti dozvola.

CVE-2016-4719: Razvan Deaconescu, Mihai Chiroiu (Politehničko sveučilište iz Bukurešta), Luke Deshotels, William Enck (Državno sveučilište u Sjevernoj Karolini), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

IDS – povezivost

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: napadači s mrežnim ovlastima mogli su izazvati odbijanje usluge

Opis: u rukovanju relejem poziva otkriven je problem lažiranja. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2016-4722: Martin Vigo ((@martin_vigo), salesforce.com)

Unos je dodan 20. rujna 2016.

IOAcceleratorFamily

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom ulaznom provjerom valjanosti.

CVE-2016-4724: Cererdlong, Eakerqiu (tim OverSky)

Unos je dodan 20. rujna 2016.

IOAcceleratorFamily

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja mogla se otkriti procesna memorija

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2016-4725: Rodger Combs (Plex, Inc.)

Unos je dodan 20. rujna 2016.

IOAcceleratorFamily

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2016-4726: anonimni istraživač

Unos je dodan 20. rujna 2016.

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: neke lokalne aplikacije mogle su pristupiti datotekama s ograničenjima

Opis: problem parsiranja prilikom rukovanja putovima direktorija riješen je boljom provjerom puta.

CVE-2016-4771: Balazs Bucsay, direktor odjela za istraživanja (MRG Effitas)

Unos je dodan 20. rujna 2016.

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: udaljeni napadač mogao je uzrokovati odbijanje servisa

Opis: problem rukovanja blokadom riješen je boljim rukovanjem blokadom.

CVE-2016-4772: Marc Heuse (mh-sec)

Unos je dodan 20. rujna 2016.

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: aplikacije su mogle odrediti raspored elemenata kernelske memorije

Opis: otkriveni su višestruki problemi s prekoračenjem čitanja, koji su uzrokovali otkrivanje kernelske memorije. Ti su problemi riješeni boljom provjerom unosa.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Unos je dodan 20. rujna 2016.

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: dereferenca pokazivača koji se ne smatra pouzdanim riješena je uklanjanjem zahvaćenog koda.

CVE-2016-4777: Lufeng Li (Qihoo 360 Vulcan Team)

Unos je dodan 20. rujna 2016.

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2016-4778: CESG

Unos je dodan 20. rujna 2016.

Tipkovnice

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: prijedlozi samoispravka na tipkovnici mogli su otkriti osjetljive podatke

Opis: tipkovnica sustava iOS nenamjerno je predmemorirala osjetljive podatke. Problem je riješen poboljšanom heuristikom.

CVE-2016-4746: Antoine M (Francuska)

libxml2

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Opis: u komponenti libxml2 otkriveni su višestruki problemi, od kojih je najveći mogao uzrokovati neočekivani prekid rada aplikacije ili izvršavanje proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

Unos je dodan 20. rujna 2016.

libxslt

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2016-4738: Nick Wellnhofer

Unos je dodan 20. rujna 2016.

Mail

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: napadač s mrežnim ovlastima mogao je presresti vjerodajnice za e-poštu

Opis: u rukovanju nepouzdanim certifikatima otkriven je problem. To je riješeno ukidanjem nepouzdanih veza.

CVE-2016-4747: Dave Aitel

Poruke

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: poruke su mogle biti vidljive na uređaju koji nije prijavljen u aplikaciju Poruke

Opis: pri korištenju značajke Handoff za Poruke otkriven je problem. Problem je riješen boljim upravljanjem stanjem.

CVE-2016-4740: Step Wallace

Printing UIKit

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: kada se koristio pregled za AirPrint, nešifrirani se dokument mogao zapisati u privremenu datoteku

Opis: problem je bio u pregledu za AirPrint. Problem je riješen poboljšanom sanitacijom okruženja.

CVE-2016-4749: Scott Alexander (@gooshy)

Unos ažuriran 12. rujna 2018.

Fotoaparat S2

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2016-4750: Jack Tang (@jacktang310) i Moony Li (Trend Micro i inicijativa Zero Day (Trend Micro))

Unos je dodan 20. rujna 2016.

Čitač za Safari

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: omogućivanjem značajke čitača za Safari na zlonamjernoj web-stranici moglo se izazvati unakrsno skriptiranje

Opis: problemi s višestrukom provjerom riješeni su boljim čišćenjem unosa.

CVE-2016-4618: Erling Ellingsen

Unos je dodan 20. rujna 2016. i ažuriran 23. rujna 2016.

Profili s memorijom za testiranje

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: zlonamjerna aplikacija mogla je utvrditi kome korisnik šalje tekstne poruke

Opis: u direktorijima skica SMS-ova otkriven je problem s kontrolom pristupa. Problem je riješen tako što je aplikacijama onemogućeno pozivanje zahvaćenih direktorija.

CVE-2016-4620: Razvan Deaconescu, Mihai Chiroiu (Politehničko sveučilište iz Bukurešta), Luke Deshotels, William Enck (Državno sveučilište u Sjevernoj Karolini), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Sigurnost

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: neke zlonamjerne aplikacije mogle bi uz sistemske ovlasti izvršiti proizvoljni kod

Opis: na potpisanim slikama diska otkriven je problem s provjerom valjanosti. Taj je problem riješen poboljšanom provjerom valjanosti veličina.

CVE-2016-4753: Mark Mentovai, Google Inc.

Unos je dodan 20. rujna 2016.

Springboard

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: snimke aplikacija u značajci Task Switcher mogle bi otkriti osjetljive podatke

Opis: pojavio se problem u programu Springboard koji prikazuje predmemorirane snimke s osjetljivim podacima u značajci Task Switcher. Problem je riješen prikazom ažuriranih snimki.

CVE-2016-7759: Fatma Yılmaz (Ptt Genel Müdürlüğü iz Ankare)

Unos dodan 17. siječnja 2017.

WebKit

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: u rukovanju prototipima pogrešaka pojavio se problem s parsiranjem. Taj je problem riješen poboljšanom provjerom valjanosti.

CVE-2016-4728: Daniel Divricean

Unos je dodan 20. rujna 2016.

WebKit

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: posjetom zlonamjernom web-mjestu mogli bi se izgubiti osjetljivi podaci

Opis: u rukovanju varijablom lokacije otkriven je problem s dozvolama. Riješen je putem dodatnih provjera vlasništva.

CVE-2016-4758: Masato Kinugawa (Cure53)

Unos je dodan 20. rujna 2016.

WebKit

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2016-4611: Apple

CVE-2016-4729: Apple

CVE-2016-4730: Apple

CVE-2016-4731: Apple

CVE-2016-4734: Natalie Silvanovich (Google Project Zero)

CVE-2016-4735: André Bargull

CVE-2016-4737: Apple

CVE-2016-4759: Tongbo Luo (Palo Alto Networks)

CVE-2016-4762: Zheng Huang (Baidu Security Lab)

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: anonimni istraživač i inicijativa Zero Day (Trend Micro)

Unos je dodan 20. rujna 2016.

WebKit

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: neka zlonamjerna web-mjesta mogla su pristupiti servisima bez HTTP protokola

Opis: podrška za Safari za HTTP/0.9 dopustila je unakrsno iskorištavanje servisa bez HTTP protokola pomoću ponovnog povezivanja DNS-a. Problem je riješen ograničavanjem HTTP/0.9 odgovora na zadane priključke i otkazivanjem opterećenja resursa ako je dokument učitan s drugom verzijom HTTP protokola.

CVE-2016-4760: Jordan Milne

Unos je dodan 20. rujna 2016.

WebKit

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: nekoliko problema s oštećenom memorijom riješeno je boljim upravljanjem stanjem.

CVE-2016-4733: Natalie Silvanovich (Google Project Zero)

CVE-2016-4765: Apple

Unos je dodan 20. rujna 2016.

WebKit

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: napadač s mrežnim ovlastima može presresti i mijenjati mrežni promet prema aplikacijama kada koristi WKWebView uz HTTPS

Opis: u rukovanju objektom WKWebView otkriven je problem s provjerom valjanosti certifikata. Problem je riješen poboljšanom provjerom valjanosti.

CVE-2016-4763: anonimni istraživač

Unos je dodan 20. rujna 2016.

WebKit

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: nekoliko problema s oštećenom memorijom riješeno je boljim upravljanjem stanjem.

CVE-2016-4764: Apple

Unos dodan 3. studenog 2016.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: