O sigurnosnom sadržaju sustava iOS 10
U ovom se dokumentu opisuje sigurnosni sadržaj sustav iOS 10.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
iOS 10
AppleMobileFileIntegrity
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: lokalna aplikacija mogla je uz sistemske ovlasti izvršiti proizvoljni kod
Opis: u pravilniku o nasljeđivanju priključka zadatka otkriven je problem s provjerom valjanosti. Taj je problem riješen poboljšanjem provjere valjanosti ovlasti za procedure i ID-a tima.
CVE-2016-4698: Pedro Vilaça
Imovina
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: napadač s mrežnim ovlastima mogao je blokirati primanje softverskih ažuriranja na uređaj
Opis: otkriven je problem u ažuriranjima sustava iOS, koja nisu štitila korisničke komunikacije na odgovarajući način. Problem je riješen uvođenjem protokola HTTPS za softverska ažuriranja.
CVE-2016-4741: Raul Siles (DinoSec)
Zvuk
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: udaljeni napadač mogao je pokrenuti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park i Taekyoung Kwon (Information Security Lab, sveučilište Yonsei)
Pravilnik o pouzdanosti certifikata
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: ažuriranje pravilnika o pouzdanosti certifikata
Opis: ažuriran je pravilnik o pouzdanosti certifikata. Potpuni popis certifikata pogledajte na web-mjestu https://support.apple.com/hr-hr/HT204132.
CFNetwork
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: lokalni korisnik može otkriti web-mjesta koja je neki korisnik posjetio
Opis: otkriven je problem s brisanjem lokalne pohrane. Taj je problem riješen poboljšanjem čišćenja lokalne pohrane.
CVE-2016-4707: anonimni istraživač
CFNetwork
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja mogli su se ugroziti korisnički podaci
Opis: u parsiranju zaglavlja Set-Cookie otkriven je problem s provjerom valjanosti. Problem je riješen boljom provjerom valjanosti.
CVE-2016-4708: Dawid Czagan (Silesia Security Lab)
CommonCrypto
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: aplikacija koja koristi CCrypt mogla je otkriti osjetljiv obični tekst ako su ulazni i izlazni međuspremnik isti
Opis: u modulu corecrypto otkriven je problem s provjerom valjanosti unosa. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2016-4711: Max Lohrmann
CoreCrypto
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: neke aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s prekoračenjem pri zapisivanju riješen je uklanjanjem koda sa slabim točkama.
CVE-2016-4712: Gergo Koteles
Parser za font
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog fonta mogla se otkriti procesna memorija
Opis: u obradi datoteka fontova dolazilo je do prekoračenja međuspremnika.
Problem je riješen poboljšanom provjerom ograničenja.
CVE-2016-4718: Apple
GeoServices
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: neke aplikacije mogle su čitati osjetljive podatke o lokaciji
Opis: u aplikaciji PlaceData otkriven je problem s dozvolama. Taj je problem riješen poboljšanom provjerom valjanosti dozvola.
CVE-2016-4719: Razvan Deaconescu, Mihai Chiroiu (Politehničko sveučilište iz Bukurešta), Luke Deshotels, William Enck (Državno sveučilište u Sjevernoj Karolini), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
IDS – povezivost
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: napadači s mrežnim ovlastima mogli su izazvati odbijanje usluge
Opis: u rukovanju relejem poziva otkriven je problem lažiranja. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2016-4722: Martin Vigo ((@martin_vigo), salesforce.com)
IOAcceleratorFamily
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom ulaznom provjerom valjanosti.
CVE-2016-4724: Cererdlong, Eakerqiu (tim OverSky)
IOAcceleratorFamily
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja mogla se otkriti procesna memorija
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2016-4725: Rodger Combs (Plex, Inc.)
IOAcceleratorFamily
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2016-4726: anonimni istraživač
Kernel
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: neke lokalne aplikacije mogle su pristupiti datotekama s ograničenjima
Opis: problem parsiranja prilikom rukovanja putovima direktorija riješen je boljom provjerom puta.
CVE-2016-4771: Balazs Bucsay, direktor odjela za istraživanja (MRG Effitas)
Kernel
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: udaljeni napadač mogao je uzrokovati odbijanje servisa
Opis: problem rukovanja blokadom riješen je boljim rukovanjem blokadom.
CVE-2016-4772: Marc Heuse (mh-sec)
Kernel
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: aplikacije su mogle odrediti raspored elemenata kernelske memorije
Opis: otkriveni su višestruki problemi s prekoračenjem čitanja, koji su uzrokovali otkrivanje kernelske memorije. Ti su problemi riješeni boljom provjerom unosa.
CVE-2016-4773: Brandon Azad
CVE-2016-4774: Brandon Azad
CVE-2016-4776: Brandon Azad
Kernel
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: dereferenca pokazivača koji se ne smatra pouzdanim riješena je uklanjanjem zahvaćenog koda.
CVE-2016-4777: Lufeng Li (Qihoo 360 Vulcan Team)
Kernel
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2016-4778: CESG
Tipkovnice
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: prijedlozi samoispravka na tipkovnici mogli su otkriti osjetljive podatke
Opis: tipkovnica sustava iOS nenamjerno je predmemorirala osjetljive podatke. Problem je riješen poboljšanom heuristikom.
CVE-2016-4746: Antoine M (Francuska)
libxml2
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Opis: u komponenti libxml2 otkriveni su višestruki problemi, od kojih je najveći mogao uzrokovati neočekivani prekid rada aplikacije ili izvršavanje proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2016-4658: Nick Wellnhofer
CVE-2016-5131: Nick Wellnhofer
libxslt
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2016-4738: Nick Wellnhofer
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: napadač s mrežnim ovlastima mogao je presresti vjerodajnice za e-poštu
Opis: u rukovanju nepouzdanim certifikatima otkriven je problem. To je riješeno ukidanjem nepouzdanih veza.
CVE-2016-4747: Dave Aitel
Poruke
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: poruke su mogle biti vidljive na uređaju koji nije prijavljen u aplikaciju Poruke
Opis: pri korištenju značajke Handoff za Poruke otkriven je problem. Problem je riješen boljim upravljanjem stanjem.
CVE-2016-4740: Step Wallace
Printing UIKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: kada se koristio pregled za AirPrint, nešifrirani se dokument mogao zapisati u privremenu datoteku
Opis: problem je bio u pregledu za AirPrint. Problem je riješen poboljšanom sanitacijom okruženja.
CVE-2016-4749: Scott Alexander (@gooshy)
Fotoaparat S2
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2016-4750: Jack Tang (@jacktang310) i Moony Li (Trend Micro i inicijativa Zero Day (Trend Micro))
Čitač za Safari
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: omogućivanjem značajke čitača za Safari na zlonamjernoj web-stranici moglo se izazvati unakrsno skriptiranje
Opis: problemi s višestrukom provjerom riješeni su boljim čišćenjem unosa.
CVE-2016-4618: Erling Ellingsen
Profili s memorijom za testiranje
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: zlonamjerna aplikacija mogla je utvrditi kome korisnik šalje tekstne poruke
Opis: u direktorijima skica SMS-ova otkriven je problem s kontrolom pristupa. Problem je riješen tako što je aplikacijama onemogućeno pozivanje zahvaćenih direktorija.
CVE-2016-4620: Razvan Deaconescu, Mihai Chiroiu (Politehničko sveučilište iz Bukurešta), Luke Deshotels, William Enck (Državno sveučilište u Sjevernoj Karolini), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
Sigurnost
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: neke zlonamjerne aplikacije mogle bi uz sistemske ovlasti izvršiti proizvoljni kod
Opis: na potpisanim slikama diska otkriven je problem s provjerom valjanosti. Taj je problem riješen poboljšanom provjerom valjanosti veličina.
CVE-2016-4753: Mark Mentovai, Google Inc.
Springboard
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: snimke aplikacija u značajci Task Switcher mogle bi otkriti osjetljive podatke
Opis: pojavio se problem u programu Springboard koji prikazuje predmemorirane snimke s osjetljivim podacima u značajci Task Switcher. Problem je riješen prikazom ažuriranih snimki.
CVE-2016-7759: Fatma Yılmaz (Ptt Genel Müdürlüğü iz Ankare)
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: u rukovanju prototipima pogrešaka pojavio se problem s parsiranjem. Taj je problem riješen poboljšanom provjerom valjanosti.
CVE-2016-4728: Daniel Divricean
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: posjetom zlonamjernom web-mjestu mogli bi se izgubiti osjetljivi podaci
Opis: u rukovanju varijablom lokacije otkriven je problem s dozvolama. Riješen je putem dodatnih provjera vlasništva.
CVE-2016-4758: Masato Kinugawa (Cure53)
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2016-4611: Apple
CVE-2016-4729: Apple
CVE-2016-4730: Apple
CVE-2016-4731: Apple
CVE-2016-4734: Natalie Silvanovich (Google Project Zero)
CVE-2016-4735: André Bargull
CVE-2016-4737: Apple
CVE-2016-4759: Tongbo Luo (Palo Alto Networks)
CVE-2016-4762: Zheng Huang (Baidu Security Lab)
CVE-2016-4766: Apple
CVE-2016-4767: Apple
CVE-2016-4768: anonimni istraživač i inicijativa Zero Day (Trend Micro)
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: neka zlonamjerna web-mjesta mogla su pristupiti servisima bez HTTP protokola
Opis: podrška za Safari za HTTP/0.9 dopustila je unakrsno iskorištavanje servisa bez HTTP protokola pomoću ponovnog povezivanja DNS-a. Problem je riješen ograničavanjem HTTP/0.9 odgovora na zadane priključke i otkazivanjem opterećenja resursa ako je dokument učitan s drugom verzijom HTTP protokola.
CVE-2016-4760: Jordan Milne
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: nekoliko problema s oštećenom memorijom riješeno je boljim upravljanjem stanjem.
CVE-2016-4733: Natalie Silvanovich (Google Project Zero)
CVE-2016-4765: Apple
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: napadač s mrežnim ovlastima može presresti i mijenjati mrežni promet prema aplikacijama kada koristi WKWebView uz HTTPS
Opis: u rukovanju objektom WKWebView otkriven je problem s provjerom valjanosti certifikata. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2016-4763: anonimni istraživač
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: nekoliko problema s oštećenom memorijom riješeno je boljim upravljanjem stanjem.
CVE-2016-4764: Apple
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.