O sigurnosnom sadržaju sustava iOS 10.2

U ovom je dokumentu opisan sigurnosni sadržaj sustava iOS 10.2.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

iOS 10.2

Izdano 12. prosinca 2016.

Pristupačnost

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: korisnici u blizini mogli su načuti izgovorene lozinke

Opis: u rukovanju lozinkama otkriven je problem s otkrivanjem podataka. Taj je problem riješen onemogućivanjem izgovaranja lozinki.

CVE-2016-7634: Davut Hari, Biren V. Soni, Cameron Lee

Unos ažuriran 10. siječnja 2017.

Pristupačnost

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: osoba s fizičkim pristupom iOS uređaju mogla je sa zaključanog zaslona pristupiti fotografijama i kontaktima

Opis: zbog problema sa zaključanim zaslonom putem njega bio je moguć pristup fotografijama i kontaktima. Taj je problem riješen ograničenjem opcija na zaključanom zaslonu.

CVE-2016-7664: Miguel Alvarado (iDeviceHelp)

Računi

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: otkriven je problem zbog kojega se nakon deinstalacije aplikacija nisu vraćale izvorne postavke autorizacije

Opis: taj je problem riješen poboljšanim čišćenjem.

CVE-2016-7651: Ju Zhu i Lilang Wu (Trend Micro)

Zvuk

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernih datoteka moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2016-7658: Haohao Kong (Keen Lab (@keen_lab), Tencent)

CVE-2016-7659: Haohao Kong (Keen Lab (@keen_lab), Tencent)

Unos dodan 13. prosinca 2016.

Međuspremnik

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: lokalni napadači mogli su pristupiti sadržaju međuspremnika

Opis: sadržaju međuspremnika moglo se pristupiti prije otključavanja uređaja. Problem je riješen poboljšanim upravljanjem stanjem. 

CVE-2016-7765: CongRong (@Tr3jer)

Unos ažuriran 17. siječnja 2017.

CoreFoundation

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obrada zlonamjernih nizova može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanje proizvoljnog koda

Opis: u obradi nizova otkriven je problem s oštećenjem memorije. Problem je riješen poboljšanom provjerom ograničenja.

CVE-2016-7663: anonimni istraživač

Unos dodan 13. prosinca 2016.

Jezgrena grafika

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obrada zlonamjerne datoteke fonta mogla je izazvati neočekivano zatvaranje aplikacije

Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom ulaznom provjerom valjanosti.

CVE-2016-7627: TRAPMINE Inc. i Meysam Firouzi @R00tkitSMM

Unos dodan 13. prosinca 2016.

Vanjski zasloni CoreMedia

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: lokalne aplikacije mogle su izvršiti proizvoljni kod u kontekstu pozadinskog servisa medijskog poslužitelja

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2016-7655: Keen Lab i inicijativa Zero Day (Trend Micro)

Unos dodan 13. prosinca 2016.

Reprodukcija CoreMedia datoteka

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obrada zlonamjernih .mp4 datoteka mogla je dovesti do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2016-7588: dragonltx (Huawei 2012 Laboratories)

Unos dodan 13. prosinca 2016.

Jezgreni tekst

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjerne datoteke fonta moglo je doći do izvršavanja proizvoljnog koda

Opis: u načinu rukovanja datotekama fontova otkriveno je nekoliko problema s oštećenom memorijom. Ti su problemi riješeni poboljšanom provjerom ograničenja.

CVE-2016-7595: riusksk(泉哥) (Tencentov odjel za sigurnosne platforme)

Unos dodan 13. prosinca 2016.

Jezgreni tekst

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obrada zlonamjernog niza mogla je izazvati odbijanje usluge

Opis: problem koji se pojavljivao prilikom prikaza preklapajućih raspona riješen je poboljšanom provjerom valjanosti.

CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there), Digital Unit (dgunit.com)

Unos dodan 15. prosinca 2016.

Slike diska

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2016-7616: daybreaker@Minionz i inicijativa Zero Day (Trend Micro)

Unos dodan 13. prosinca 2016.

Nađi moj iPhone

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: napadač s otključanim uređajem mogao je onemogućiti značajku Nađi moj iPhone

Opis: u načinu obrade podataka o provjeri autentičnosti otkriven je problem s upravljanjem stanjem.  Taj je problem riješen poboljšanom pohranom podataka o računima.

CVE-2016-7638: anonimni istraživač, Sezer Sakiner

Parser za font

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjerne datoteke fonta moglo je doći do izvršavanja proizvoljnog koda

Opis: u načinu rukovanja datotekama fontova otkriveno je nekoliko problema s oštećenom memorijom. Ti su problemi riješeni poboljšanom provjerom ograničenja.

CVE-2016-4691: riusksk(泉哥) (Tencentov odjel za sigurnosne platforme)

Unos dodan 13. prosinca 2016.

Upravljački program za grafiku

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: gledanjem zlonamjernog videozapisa moglo je doći do odbijanje usluge

Opis: u rukovanju videozapisom otkriven je problem s uskraćivanjem pristupa servisu. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2016-7665: Moataz El Gaml (Schlumberger), Daniel Schurter (watson.ch) i Marc Ruef (scip AG)

Unos ažuriran 15. prosinca 2016.

ICU

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2016-7594: André Bargull

Unos dodan 13. prosinca 2016.

Snimanje slika

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: zlonamjeran HID uređaj mogao je izazvati izvršavanje proizvoljnog koda

Opis: otkriven je problem s provjerom valjanosti prilikom rukovanja USB uređajima za snimanje slika. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2016-4690: Andy Davis (NCC Group)

Ulaz i izlaz slika

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: udaljeni napadač mogao je probiti memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2016-7643: Yangkang (@dnpushme) (Qihoo360 Qex Team)

Unos dodan 13. prosinca 2016.

IOHIDFamily

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: lokalna aplikacija sa sistemskim ovlastima mogla je izvršiti proizvoljni kod s kernelskim ovlastima

Opis: problem je riješen poboljšanim upravljanjem memorijom.

CVE-2016-7591: daybreaker (Minionz)

Unos dodan 13. prosinca 2016.

IOKit

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: aplikacije su mogle čitati kernelsku memoriju

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2016-7657: Keen Lab i inicijativa Zero Day (Trend Micro)

Unos dodan 13. prosinca 2016.

IOKit

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: lokalni korisnik mogao je otkriti raspored elemenata kernelske memorije

Opis: problem s dijeljenom memorijom riješen je poboljšanim upravljanjem memorijom.

CVE-2016-7714: Qidan He (@flanker_hqd), KeenLab u suradnji s inicijativom Zero Day (Trend Micro)

Unos dodan 25. siječnja 2017.

JavaScriptCore

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: skripta koja se izvršava u JavaScript memoriji za testiranje mogla je utjecati na stanje izvan te memorije.

Opis: u rukovanju programskim jezikom JavaScript pojavio se problem s provjerom valjanosti. Problem je riješen poboljšanom provjerom valjanosti.

CVE-2016-4695: Mark S. Miller (Google)

Unos dodan 16. kolovoza 2017.

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2016-7606: @cocoahuke, Chen Qin (Topsec Alpha Team (topsec.com))

CVE-2016-7612: Ian Beer (Google Project Zero)

Unos dodan 13. prosinca 2016.

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: aplikacije su mogle čitati kernelsku memoriju

Opis: problem s nedostatnom inicijalizacijom riješen je pravilnom inicijalizacijom memorije koja se vraća u korisnički prostor.

CVE-2016-7607: Brandon Azad

Unos dodan 13. prosinca 2016.

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: lokalni korisnici mogli su izazvati odbijanje usluge na razini sustava

Opis: problem s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.

CVE-2016-7615: britanski Nacionalni centar za kibernetičku sigurnost (NCSC)

Unos dodan 13. prosinca 2016.

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: lokalni korisnik mogao je izazvati neočekivani pad sustava ili izvršavanje proizvoljnog koda u jezgri

Opis: problem je riješen poboljšanim upravljanjem memorijom.

CVE-2016-7621: Ian Beer (Google Project Zero)

Unos dodan 13. prosinca 2016.

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: lokalni korisnici mogli su dobiti korijenske ovlasti

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2016-7637: Ian Beer (Google Project Zero)

Unos dodan 13. prosinca 2016.

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: lokalna aplikacija sa sistemskim ovlastima mogla je izvršiti proizvoljni kod s kernelskim ovlastima

Opis: problem je riješen poboljšanim upravljanjem memorijom.

CVE-2016-7644: Ian Beer (Google Project Zero)

Unos dodan 13. prosinca 2016.

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: aplikacije su mogle izazvati odbijanje usluge

Opis: problem s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.

CVE-2016-7647: Lufeng Li (tim Vulcan, Qihoo 360)

Unos dodan 17. svibnja 2017.

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: zlonamjerna aplikacija mogla je pristupiti MAC adresi uređaja

Opis: problem s pristupom riješen je dodatnim ograničenjima memorije za testiranje za aplikacije drugih proizvođača.

CVE-2016-7766: Jun Yang(杨君) iz grupacije WeiXin tvrtke Tencent

Unos dodan 31. svibnja 2017.

libarchive

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: lokalni napadač mogao je prebrisati postojeće datoteke

Opis: u rukovanju simboličkim vezama otkriven je problem s provjerom valjanosti. Taj je problem riješen poboljšanom provjerom simboličkih veza.

CVE-2016-7619: anonimni istraživač

Unos dodan 13. prosinca 2016.

Lokalna provjera autentičnosti

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: nakon isteka vremena neaktivnosti na uređaju se nije zaključavao zaslon

Opis: u rukovanju odbrojavanjem neaktivnosti prilikom prikaza upita značajke Touch ID otkriven je logički problem. Taj je problem riješen poboljšanjem rukovanja odbrojavanjem neaktivnosti.

CVE-2016-7601: anonimni istraživač

Mail

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: poruka e-pošte potpisana opozvanim certifikatom mogla se doimati valjanom

Opis: pravilnik o S/MIME-u nije uspijevao provjeriti je li certifikat valjan.  Taj je problem riješen tako da se korisnik obavještava o tome je li poruka e-pošte potpisana opozvanim certifikatom.

CVE-2016-4689: anonimni istraživač

Multimedijski reproduktor

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: korisnik je mogao vidjeti fotografije i kontakte na zaključanom zaslonu

Opis: u rukovanju odabirom medija otkriven je problem s provjerom valjanosti. Problem je riješen poboljšanom provjerom valjanosti.

CVE-2016-7653

Upravljanje napajanjem

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: lokalni korisnici mogli su dobiti korijenske ovlasti

Opis: problem s referencama naziva priključaka za Mach riješen je poboljšanom provjerom valjanosti.

CVE-2016-7661: Ian Beer (Google Project Zero)

Unos dodan 13. prosinca 2016.

Profili

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: otvaranje zlonamjernog certifikata moglo je dovesti do pokretanja proizvoljnog koda

Opis: u rukovanju profilima certifikata otkriven je problem s oštećenom memorijom. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)

Čitač za Safari

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: omogućivanjem značajke čitača za Safari na zlonamjernoj web-stranici moglo se izazvati unakrsno skriptiranje

Opis: problemi s višestrukom provjerom riješeni su boljim čišćenjem unosa.

CVE-2016-7650: Erling Ellingsen

Unos dodan 13. prosinca 2016.

Sigurnost

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: napadač je mogao iskoristiti slabosti kritpografskog algoritma 3DES

Opis: 3DES je uklonjen kao zadana šifra.

CVE-2016-4693: Gaëtan Leurent i Karthikeyan Bhargavan (INRIA Paris)

Unos dodan 13. prosinca 2016.

Sigurnost

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: napadači s mrežnim ovlastima mogli su izazvati odbijanje usluge

Opis: u rukovanju URL-ovima OCSP respondera otkriven je problem s provjerom valjanosti. Taj je problem riješen potvrdom statusa opoziva OCSP-a nakon provjere valjanosti izdavača certifikata i ograničavanjem broja zahtjeva za OCSP po certifikatu.

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

Unos dodan 13. prosinca 2016.

Sigurnost

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: moguća je neočekivana procjena certifikata kao pouzdanih

Opis: u provjeri valjanosti certifikata otkriven je problem s procjenom certifikata. Taj je problem riješen dodatnom provjerom valjanosti certifikata.

CVE-2016-7662: Apple

Unos dodan 13. prosinca 2016.

SpringBoard

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: osobe s fizičkim pristupom iOS uređaju mogle su otključati uređaj

Opis: u nekim je slučajevima u rukovanju pokušajima unosa šifre prilikom njezina ponovnog postavljanja otkriven problem s odbrojavanjem. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2016-4781: anonimni istraživač

SpringBoard

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: osoba s fizičkim pristupom iOS uređaju mogla je držati uređaj otključan

Opis: u rukovanju značajkom Handoff u kombinaciji sa Siri otkriven je problem.  Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2016-7597: anonimni istraživač

syslog

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: lokalni korisnici mogli su dobiti korijenske ovlasti

Opis: problem s referencama naziva priključaka za Mach riješen je poboljšanom provjerom valjanosti.

CVE-2016-7660: Ian Beer (Google Project Zero)

Unos dodan 13. prosinca 2016.

WebKit

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2016-4692: Apple

CVE-2016-7635: Apple

CVE-2016-7652: Apple

Unos dodan 13. prosinca 2016.

WebKit

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja mogla se otkriti procesna memorija

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2016-4743: Alan Cutter

Unos dodan 13. prosinca 2016.

WebKit

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti korisnički podaci

Opis: problem s provjerom valjanosti riješen je poboljšanim upravljanjem stanjem.

CVE-2016-7586: Boris Zbarsky

Unos dodan 13. prosinca 2016.

WebKit

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: nekoliko problema s oštećenom memorijom riješeno je boljim upravljanjem stanjem.

CVE-2016-7587: Adam Klein

CVE-2016-7610: Zheng Huang (Baidu Security Lab) i inicijativa Zero Day (Trend Micro)

CVE-2016-7611: anonimni istraživač i inicijativa Zero Day (Trend Micro)

CVE-2016-7639: Tongbo Luo (Palo Alto Networks)

CVE-2016-7640: Kai Kang (Tencentov odjel Xuanwu Lab (tencent.com))

CVE-2016-7641: Kai Kang (Tencentov odjel Xuanwu Lab (tencent.com))

CVE-2016-7642: Tongbo Luo (Palo Alto Networks)

CVE-2016-7645: Kai Kang (Tencentov odjel Xuanwu Lab (tencent.com))

CVE-2016-7646: Kai Kang (Tencentov odjel Xuanwu Lab (tencent.com))

CVE-2016-7648: Kai Kang (Tencentov odjel Xuanwu Lab (tencent.com))

CVE-2016-7649: Kai Kang (Tencentov odjel Xuanwu Lab (tencent.com))

CVE-2016-7654: Keen Lab i inicijativa Zero Day (Trend Micro)

Unos dodan 13. prosinca 2016.

WebKit

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2016-7589: Apple

CVE-2016-7656: Keen Lab i inicijativa Zero Day (Trend Micro)

Unos dodan 13. prosinca 2016.

WebKit

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja mogli su se ugroziti korisnički podaci

Opis: u rukovanju JavaScript upitima otkriven je problem. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2016-7592: xisigr (Tencentov odjel Xuanwu Lab (tencent.com))

Unos dodan 13. prosinca 2016.

WebKit

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja mogla se otkriti procesna memorija

Opis: problem s pristupom neinicijaliziranoj memoriji riješen je poboljšanom inicijalizacijom memorije.

CVE-2016-7598: Samuel Groß

Unos dodan 13. prosinca 2016.

WebKit

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti korisnički podaci

Opis: u rukovanju preusmjerivanjima HTTP-a otkriven je problem. Problem je riješen poboljšanom unakrsnom provjerom valjanosti podrijetla.

CVE-2016-7599: Muneaki Nishimura (nishimunea) (Recruit Technologies Co., Ltd.)

Unos dodan 13. prosinca 2016.

WebKit

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: posjetom zlonamjernom web-mjestu mogli su se ugroziti korisnički podaci

Opis: u rukovanju URL-ovima bloba otkriven je problem.  Taj je problem riješen poboljšanim rukovanjem URL-ovima.

CVE-2016-7623: xisigr (Tencentov odjel Xuanwu Lab (tencent.com))

Unos dodan 13. prosinca 2016.

WebKit

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: pristup zlonamjernoj web-stranici mogao je izazavati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2016-7632: Jeonghoon Shin

Unos dodan 13. prosinca 2016.

WebKit

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do unakrsnog skriptiranja na više web-mjesta

Opis: u pregledniku Safari otkriven je problem s prikazom dokumenata. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2016-7762: YongShao (Zhiyong Feng, JDSEC 1aq.com‍)

Unos dodan 24. siječnja 2017.

WebSheet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: proces u memoriji za testiranje mogao je zaobići ograničenja memorije za testiranje

Opis: probijanje memorije za testiranje riješeno je dodatnim ograničenjima.

CVE-2016-7630: Marco Grassi (@marcograss), KeenLab (@keen_lab) Tencent u suradnji s inicijativom Zero Day (Trend Micro)

Unos dodan 25. siječnja 2017.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: