O sigurnosnom sadržaju sustava iOS 10.1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 10.1.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i stave na raspolaganje zakrpe ili izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

iOS 10.1

Izdano 24. listopada 2016.

AppleMobileFileIntegrity

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: potpisana izvršna osoba može zamijeniti kod istim timskim ID-om.

Opis: otkriven je problem s provjerom valjanosti prilikom rukovanja potpisima u kodu. Problem je riješen dodatnom provjerom valjanosti.

CVE-2016-7584: Mark Mentovai i Boris Vidolov (Google Inc.)

Unos dodan 6. prosinca 2016.

CFNetwork proxyji

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: napadač s administratorskim mrežnim ovlastima mogao je otkriti povjerljive korisničke podatke

Opis: u rukovanju vjerodajnicama za proxy otkriven je problem s lažnim identitetom. Taj je problem riješen uklanjanjem neželjenih upita za provjeru lozinke za proxy.

CVE-2016-7579: Jerry Decime

kontakti

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: neke su aplikacije mogle i dalje pristupati adresaru, iako je pristup opozvan u Postavkama

Opis: problem s kontrolom pristupa u adresaru riješen je poboljšanom provjerom valjanosti veze s datotekama.

CVE-2016-4686: Razvan Deaconescu, Mihai Chiroiu (Politehničko sveučilište iz Bukurešta), Luke Deshotels, William Enck (Državno sveučilište u Sjevernoj Karolini), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Jezgrena grafika

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: prikazom zlonamjerno stvorene JPEG datoteke moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2016-4673: Marco Grassi (@marcograss) (KeenLab @keen_lab), Tencent

FaceTime

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: napadač s mrežnim ovlastima mogao je uzrokovati nastavak prijenosa zvuka putem preusmjerenog poziva premda se činilo kao da je poziv prekinut

Opis: u obradi preusmjerenih poziva otkrivene su nedosljednosti korisničkog sučelja. Problemi su riješeni poboljšanjem logike protokola.

CVE-2016-7577: Martin Vigo (@martin_vigo) (salesforce.com)

Unos dodan 27. listopada 2016.

FontParser

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: parsiranjem zlonamjerno stvorenog fonta moglo je doći do otkrivanja osjetljivih korisničkih podataka

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2016-4660: Ke Liu (Tencentov Xuanwu Lab)

FontParser

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernih datoteka s fontovima moglo je doći do izvršavanja proizvoljnog koda

Opis: u obradi datoteka fontova dolazilo je do prekoračenja međuspremnika. Problem je riješen poboljšanom provjerom ograničenja.

CVE-2016-4688: Simon Huang (Alipay, thelongestusernameofall@gmail.com)

Unos dodan 27. studenog 2016.

IDS – povezivost

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: napadači s mrežnim ovlastima mogli su na pozivima s više sugovornika zavarati korisnika da povjeruju da razgovaraju s drugom stranom

Opis: u rukovanju prebacivanjem poziva otkriven je problem s pogrešnim predstavljanjem. Taj je problem riješen poboljšanim rukovanjem obavijestima o "prebacivanju pozivatelja".

CVE-2016-4721: Martin Vigo (@martin_vigo) (salesforce.com)

Unos dodan 27. listopada 2016.

iTunes sigurnosna kopija

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: napadač s pristupom kriptiranoj iTunes sigurnosnoj kopiji mogao je odrediti lozinku sigurnosne kopije

Opis: u rukovanju kriptiranim iTunes sigurnosnim kopijama postojalo je slabo raspršivanje lozinke. Taj je problem riješen uklanjanjem slabog raspršivanja.

CVE-2016-4685: Elcomsoft

Unos dodan 14. studenog 2016.

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: lokalni korisnik mogao je uzrokovati neočekivani pad sustava ili izvršavanje proizvoljnog koda u jezgri

Opis: u MIG generiranom kodu otkriven je veći broj problema s provjerom valjanosti ulaznih podataka. Ti su problemi riješeni poboljšanom provjerom valjanosti.

CVE-2016-4669: Ian Beer (Google Project Zero)

Unos ažuriran 2. studenog 2016.

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2016-4680: Max Bazaliy (Lookout) i in7egral

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: lokalne aplikacije mogle su uz korijenske ovlasti izvršiti proizvoljni kod

Opis: u stvaranju novih procesa otkriven je veći broj problema s vijekom trajanja objekata. Ti su problemi riješeni poboljšanom provjerom valjanosti.

CVE-2016-7613: Ian Beer (Google Project Zero)

Unos dodan 1. studenog 2016.

libarchive

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: zlonamjerna arhiva mogla je prebrisati proizvoljne datoteke

Opis: u logici za provjeru valjanosti puta za simboličke linkove otkriven je problem. Taj je problem riješen poboljšanim čišćenjem puta.

CVE-2016-4679: Omer Medan (enSilo Ltd)

libxpc

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: uz korijenske ovlasti aplikacija je mogla izvršiti proizvoljni kod

Opis: logički problem riješen je dodatnim ograničenjima.

CVE-2016-4675: Ian Beer (Google Project Zero)

Safari

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: zlonamjerno web-mjesto moglo je uzrokovati prekid usluge

Opis: problem s prekidom usluge riješen je poboljšanim upravljanjem URL-om.

CVE-2016-7581: Sabri Haddouche (@pwnsdx)

Unos ažuriran 1. prosinca 2016.

Profili s memorijom za testiranje

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: aplikacije su mogle dohvatiti metapodatke direktorija s fotografijama

Opis: problem s pristupom riješen je dodatnim ograničenjima memorije za testiranje za aplikacije drugih proizvođača.

CVE-2016-4664: Razvan Deaconescu, Mihai Chiroiu (Politehničko sveučilište iz Bukurešta), Luke Deshotels, William Enck (Državno sveučilište u Sjevernoj Karolini), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Profili s memorijom za testiranje

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: aplikacije su mogle dohvatiti metapodatke direktorija s audiozapisima

Opis: problem s pristupom riješen je dodatnim ograničenjima memorije za testiranje za aplikacije drugih proizvođača.

CVE-2016-4665: Razvan Deaconescu, Mihai Chiroiu (Politehničko sveučilište iz Bukurešta), Luke Deshotels, William Enck (Državno sveučilište u Sjevernoj Karolini), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Sigurnost

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: lokalni napadači mogli su prilikom prijave korisnika vidjeti duljinu lozinke za prijavu

Opis: u rukovanju lozinkama otkriven je problem sa zapisivanjem. Taj je problem riješen uklanjanjem zapisivanja duljine lozinke.

CVE-2016-4670: Daniel Jalkut (Red Sweater Software)

WebKit

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2016-4666: Apple

CVE-2016-4677: anonimni istraživač i inicijativa Zero Day (Trend Micro)

WebKit

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2016-7578: Apple

Unos dodan 27. listopada 2016.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 23. siječnja 2017.

Korisno?