O sigurnosnom sadržaju sustava iOS 10.2.1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 10.2.1

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

iOS 10.2.1

Objavljen 23. siječnja 2017.

Poslužitelj APN-ova

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: napadač s administratorskim ovlastima mogao je pratiti aktivnosti korisnika

Opis: klijentski certifikat slao se nešifriran. Taj je problem riješen poboljšanim rukovanjem certifikatima.

CVE-2017-2383: Matthias Wachs i Quirin Scheitle (Minhensko tehničko sveučilište (TUM))

Unos dodan 28. ožujka 2017.

Povijest poziva

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: ažuriranja za povijest poziva za CallKit slala su se na iCloud

Opis: u sprječavanju prijenosa povijesti poziva za CallKit na iCloud otkriven je problem.  Problem je riješen poboljšanom logikom.

CVE-2017-2375: Elcomsoft

Unos dodan 21. veljače 2017.

Kontakti

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obrada zlonamjerne kontaktne kartice mogla je uzrokovati neočekivano zatvaranje aplikacije

Opis: u parsiranju kontaktnih kartica pojavio se problem s valjanošću ulaza. Problem je riješen poboljšanom provjerom valjanosti ulaza.

CVE-2017-2368: Vincent Desmurs (vincedes3)

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s prekoračenjem međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2017-2370: Ian Beer (Google Project Zero)

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem je riješen poboljšanim upravljanjem memorijom.

CVE-2017-2360: Ian Beer (Google Project Zero)

libarchive

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: raspakiravanjem zlonamjerne arhive moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s prekoračenjem međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2016-8687: Agostino Sarubbo (Gentoo)

Otključavanje pomoću iPhone uređaja

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: Apple Watch mogao se otključati kada nije bio na korisnikovu zglobu

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2017-2352: Ashley Fernandez (raptAware Pty Ltd)

Unos ažuriran 25. siječnja 2017.

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka

Opis: problem s pristupom prototipu riješen je poboljšanim upravljanjem iznimkama.

CVE-2017-2350: Gareth Heyes (Portswigger Web Security)

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2017-2354: Neymar (Tencentov odjel Xuanwu Lab (tencent.com)) i inicijativa Zero Day (Trend Micro)

CVE-2017-2362: Ivan Fratrić (Google Project Zero)

CVE-2017-2373: Ivan Fratrić (Google Project Zero)

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-2355: Team Pangu i lokihardt (PwnFest 2016)

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaza.

CVE-2017-2356: Team Pangu i lokihardt (PwnFest 2016)

CVE-2017-2369: Ivan Fratrić (Google Project Zero)

CVE-2017-2366: Kai Kang (Tencentov odjel Xuanwu Lab (tencent.com))

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka

Opis: u rukovanju učitavanjem stranice otkriven je problem s provjerom valjanosti. Problem je riješen poboljšanom logikom.

CVE-2017-2363: lokihardt (Google Project Zero)

CVE-2017-2364: lokihardt (Google Project Zero)

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: zlonamjerno web-mjesto moglo je otvarati skočne prozore

Opis: u rukovanju blokiranjem skočnih prozora otkriven je problem. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2371: lokihardt (Google Project Zero)

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka

Opis: u rukovanju baratanjem varijablama otkriven je problem s provjerom valjanosti. Problem je riješen poboljšanom provjerom valjanosti.

CVE-2017-2365: lokihardt (Google Project Zero)

Wi-Fi

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: uređajem s blokiranom aktivacijom moglo se upravljati radi kratkog prikaza početnog zaslona

Opis: otkriven je problem u rukovanju unosom korisnika koji aktivira prikaz početnog zaslona iako je aktivacija zaključana. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2351: Hemanth Joseph, Sriram (@Sri_Hxor) (Primefort Pvt.) Ltd., Mohamd Imran

Unos ažuriran 21. veljače 2017.

Dodatna zahvala

Povećanje sigurnosti web-kompleta

Zahvaljujemo Benu Grasu, Kavehu Razaviju, Eriku Bosmanu, Herbertu Bosu i Cristianu Giuffridi (vusec group, sveučilište Vrije Universiteit Amsterdam) na pomoći.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: