O sigurnosnom sadržaju sustava iOS 10.1
U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 10.1.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i stave na raspolaganje zakrpe ili izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
iOS 10.1
AppleMobileFileIntegrity
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: potpisana izvršna osoba može zamijeniti kod istim timskim ID-om.
Opis: otkriven je problem s provjerom valjanosti prilikom rukovanja potpisima u kodu. Problem je riješen dodatnom provjerom valjanosti.
CVE-2016-7584: Mark Mentovai i Boris Vidolov (Google Inc.)
CFNetwork proxyji
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: napadač s administratorskim mrežnim ovlastima mogao je otkriti povjerljive korisničke podatke
Opis: u rukovanju vjerodajnicama za proxy otkriven je problem s lažnim identitetom. Taj je problem riješen uklanjanjem neželjenih upita za provjeru lozinke za proxy.
CVE-2016-7579: Jerry Decime
kontakti
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: neke su aplikacije mogle i dalje pristupati adresaru, iako je pristup opozvan u Postavkama
Opis: problem s kontrolom pristupa u adresaru riješen je poboljšanom provjerom valjanosti veze s datotekama.
CVE-2016-4686: Razvan Deaconescu, Mihai Chiroiu (Politehničko sveučilište iz Bukurešta), Luke Deshotels, William Enck (Državno sveučilište u Sjevernoj Karolini), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
Jezgrena grafika
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: prikazom zlonamjerno stvorene JPEG datoteke moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2016-4673: Marco Grassi (@marcograss) (KeenLab @keen_lab), Tencent
FaceTime
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: napadač s mrežnim ovlastima mogao je uzrokovati nastavak prijenosa zvuka putem preusmjerenog poziva premda se činilo kao da je poziv prekinut
Opis: u obradi preusmjerenih poziva otkrivene su nedosljednosti korisničkog sučelja. Problemi su riješeni poboljšanjem logike protokola.
CVE-2016-7577: Martin Vigo (@martin_vigo) (salesforce.com)
FontParser
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: parsiranjem zlonamjerno stvorenog fonta moglo je doći do otkrivanja osjetljivih korisničkih podataka
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2016-4660: Ke Liu (Tencentov Xuanwu Lab)
FontParser
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernih datoteka s fontovima moglo je doći do izvršavanja proizvoljnog koda
Opis: u obradi datoteka fontova dolazilo je do prekoračenja međuspremnika. Problem je riješen poboljšanom provjerom ograničenja.
CVE-2016-4688: Simon Huang (Alipay, thelongestusernameofall@gmail.com)
IDS – povezivost
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: napadači s mrežnim ovlastima mogli su na pozivima s više sugovornika zavarati korisnika da povjeruju da razgovaraju s drugom stranom
Opis: u rukovanju prebacivanjem poziva otkriven je problem s pogrešnim predstavljanjem. Taj je problem riješen poboljšanim rukovanjem obavijestima o "prebacivanju pozivatelja".
CVE-2016-4721: Martin Vigo (@martin_vigo) (salesforce.com)
iTunes sigurnosna kopija
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: napadač s pristupom kriptiranoj iTunes sigurnosnoj kopiji mogao je odrediti lozinku sigurnosne kopije
Opis: u rukovanju kriptiranim iTunes sigurnosnim kopijama postojalo je slabo raspršivanje lozinke. Taj je problem riješen uklanjanjem slabog raspršivanja.
CVE-2016-4685: Elcomsoft
Kernel
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: lokalni korisnik mogao je uzrokovati neočekivani pad sustava ili izvršavanje proizvoljnog koda u jezgri
Opis: u MIG generiranom kodu otkriven je veći broj problema s provjerom valjanosti ulaznih podataka. Ti su problemi riješeni poboljšanom provjerom valjanosti.
CVE-2016-4669: Ian Beer (Google Project Zero)
Kernel
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2016-4680: Max Bazaliy (Lookout) i in7egral
Kernel
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: lokalne aplikacije mogle su uz korijenske ovlasti izvršiti proizvoljni kod
Opis: u stvaranju novih procesa otkriven je veći broj problema s vijekom trajanja objekata. Ti su problemi riješeni poboljšanom provjerom valjanosti.
CVE-2016-7613: Ian Beer (Google Project Zero)
libarchive
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: zlonamjerna arhiva mogla je prebrisati proizvoljne datoteke
Opis: u logici za provjeru valjanosti puta za simboličke linkove otkriven je problem. Taj je problem riješen poboljšanim čišćenjem puta.
CVE-2016-4679: Omer Medan (enSilo Ltd)
libxpc
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: uz korijenske ovlasti aplikacija je mogla izvršiti proizvoljni kod
Opis: logički problem riješen je dodatnim ograničenjima.
CVE-2016-4675: Ian Beer (Google Project Zero)
Safari
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: zlonamjerno web-mjesto moglo je uzrokovati prekid usluge
Opis: problem s prekidom usluge riješen je poboljšanim upravljanjem URL-om.
CVE-2016-7581: Sabri Haddouche (@pwnsdx)
Profili s memorijom za testiranje
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: aplikacije su mogle dohvatiti metapodatke direktorija s fotografijama
Opis: problem s pristupom riješen je dodatnim ograničenjima memorije za testiranje za aplikacije drugih proizvođača.
CVE-2016-4664: Razvan Deaconescu, Mihai Chiroiu (Politehničko sveučilište iz Bukurešta), Luke Deshotels, William Enck (Državno sveučilište u Sjevernoj Karolini), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
Profili s memorijom za testiranje
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: aplikacije su mogle dohvatiti metapodatke direktorija s audiozapisima
Opis: problem s pristupom riješen je dodatnim ograničenjima memorije za testiranje za aplikacije drugih proizvođača.
CVE-2016-4665: Razvan Deaconescu, Mihai Chiroiu (Politehničko sveučilište iz Bukurešta), Luke Deshotels, William Enck (Državno sveučilište u Sjevernoj Karolini), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
Sigurnost
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: lokalni napadači mogli su prilikom prijave korisnika vidjeti duljinu lozinke za prijavu
Opis: u rukovanju lozinkama otkriven je problem sa zapisivanjem. Taj je problem riješen uklanjanjem zapisivanja duljine lozinke.
CVE-2016-4670: Daniel Jalkut (Red Sweater Software)
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2016-4666: Apple
CVE-2016-4677: anonimni istraživač i inicijativa Zero Day (Trend Micro)
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2016-7578: Apple
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.