Az iOS 9.1 biztonsági tartalma

Ez a dokumentum az iOS 9.1 biztonsági tartalmát ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcs használata című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.

iOS 9.1

  • Accelerate Framework

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Memóriasérülést okozó hiba állt fenn az Accelerate Framework esetén többszálas módban. Az „accessor” elem hatékonyabb hitelesítésével és hatékonyabb objektumzárolással hárították el a problémát.

    CVE-azonosító

    CVE-2015-5940 : Apple

  • Bom

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott archívumok kicsomagolásakor tetszőleges kód végrehajtására került sor.

    Leírás: Egy fájlátjárással kapcsolatos biztonsági rés keletkezett a CPIO-archívumok kezelésekor. A metaadatok hitelesítésének javítása révén szüntették meg a problémát.

    CVE-azonosító

    CVE-2015-7006 : Mark Dowd (Azimuth Security)

  • CFNetwork

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor a sütik felülírására került sor.

    Leírás: Egy elemzési hiba lépett fel a vegyesen kis- és nagybetűs írásmódot alkalmazó sütik esetén. Hatékonyabb elemzéssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-7023 : Marvin Scholz és Michael Lutonsky; Xiaofeng Zheng és Jinjin Liang (Tsinghua University), Jian Jiang (University of California), Berkeley, Haixin Duan (Tsinghua University and International Computer Science Institute), Shuo Chen (Microsoft Research Redmond), Tao Wan (Huawei Canada), Nicholas Weaver (International Computer Science Institute and University of California, Berkeley; a CERT/CC irányításával)

  • configd

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

    Leírás: Halommemória-alapú puffertúlcsordulás állt fenn a DNS-klienskönyvtárban. Tetszőleges kódvégrehajtást tudtak előidézni a DNS-kliensekben azok a rosszindulatú alkalmazások, amelyek meg tudták hamisítani a helyi configd szolgáltatásból érkező válaszokat.

    CVE-azonosító

    CVE-2015-7015 : PanguTeam

  • CoreGraphics

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Több, memóriasérüléssel kapcsolatos probléma állt fenn a CoreGraphics esetén. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-5925 : Apple

    CVE-2015-5926 : Apple

  • CoreText

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Több memóriasérülési hiba is fellépett a betűtípusfájlok kezelésekor. Hatékonyabb határérték-ellenőrzéssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-6975 : John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6992 : John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7017 : John Villamil (@day6reak), Yahoo Pentest Team

  • Lemezképek

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Memóriasérülést okozó hiba lépett fel a lemezképek elemzésekor. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-6995 : Ian Beer (Google Project Zero)

  • FontParser

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Több memóriasérülési hiba is fellépett a betűtípusfájlok kezelésekor. Hatékonyabb határérték-ellenőrzéssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-5927 : Apple

    CVE-2015-5942

    CVE-2015-6976 : John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6977 : John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6978 : Jaanus Kp, Clarified Security, a HP Zero Day Initiative kezdeményezésének közreműködőjeként

    CVE-2015-6990 : John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6991 : John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6993 : John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7008 : John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7009 : John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7010 : John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7018 : John Villamil (@day6reak), Yahoo Pentest Team

  • GasGauge

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Memóriasérülési hiba állt fenn a kernelben. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-6979 : PanguTeam

  • Grand Central Dispatch

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott csomagok feldolgozásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Memóriasérülést okozó hiba lépett fel a kiosztási hívások kezelésekor. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-6989 : Apple

  • Grafikus illesztőprogram

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Egy rosszindulatú alkalmazás futtatása tetszőleges kódvégrehajtást tett lehetővé a kernelben.

    Leírás: Típustévesztési hiba állt fenn az AppleVXD393 esetén. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-6986 : Proteas (Qihoo 360 Nirvan Team)

  • ImageIO

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képfájlok megtekintésekor tetszőleges programkód végrehajtására került sor.

    Leírás: Több memóriasérülési hiba is fellépett a képek metaadatainak elemzésekor. A metaadatok hatékonyabb hitelesítésével hárították el a problémákat.

    CVE-azonosító

    CVE-2015-5935 : Apple

    CVE-2015-5936 : Apple

    CVE-2015-5937 : Apple

    CVE-2015-5939 : Apple

  • IOAcceleratorFamily

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Memóriasérülést okozó hiba állt fenn az IOAcceleratorFamily esetén. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-6996 : Ian Beer (Google Project Zero)

  • IOHIDFamily

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Memóriasérülési hiba állt fenn a kernelben. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-6974 : Luca Todesco (@qwertyoruiop)

  • Kernel

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A távoli alkalmazások szolgáltatásmegtagadást tudtak előidézni.

    Leírás: Beviteli érvényesség-ellenőrzési probléma állt fenn a kernelben. Hatékonyabb bevitelellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-7004 : Sergi Alvarez (pancake; NowSecure Research Team)

  • Kernel

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A magas hálózati jogosultságú támadók tetszőleges programkódot tudtak végrehajtani.

    Leírás: A kernelben egy nem inicializált memóriával kapcsolatos probléma állt fenn. Hatékonyabb memória-inicializálással küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-6988 : The Brainy Code Scanner (m00nbsd)

  • Kernel

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A távoli alkalmazások szolgáltatásmegtagadást tudtak előidézni.

    Leírás: Egy hiba lépett fel a virtuális memória ismételt használatakor. Hatékonyabb ellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-6994 : Mark Mentovai (Google Inc.)

  • mDNSResponder

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani

    Leírás: Több, memóriasérüléssel kapcsolatos probléma lépett fel a DNS-adatok elemzésekor. Hatékonyabb határérték-ellenőrzéssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-7987 : Alexandre Helie

  • mDNSResponder

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A távoli alkalmazások szolgáltatásmegtagadást tudtak előidézni.

    Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy címke nélküli mutatófeloldási hibát.

    CVE-azonosító

    CVE-2015-7988 : Alexandre Helie

  • Értesítési központ

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy a Telefon és az Üzenetek értesítései akkor is megjelentek a zárolt képernyőn, amikor le voltak tiltva az értesítések.

    Leírás: Amikor a „Megj. a zárolási képernyőn” funkció ki volt kapcsolva a Telefon és az Üzenetek esetén, a rendszer nem alkalmazta azonnal a konfiguráció módosításait. Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-7000 : William Redwood (Hampton School)

  • OpenGL

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Memóriasérülést okozó hiba állt fenn az OpenGL esetén. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5924 : Apple

  • Biztonság

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott tanúsítványok feldolgozásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Több, memóriasérüléssel kapcsolatos probléma állt fenn az ASN.1 dekóderben. Hatékonyabb bevitelellenőrzéssel hárították el a problémákat.

    CVE-azonosító

    CVE-2015-7059 : David Keeler (Mozilla)

    CVE-2015-7060 : Tyson Smith (Mozilla)

    CVE-2015-7061 : Ryan Sleevi (Google)

  • Biztonság

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rosszindulatú alkalmazások felül tudtak írni tetszőleges fájlokat.

    Leírás: Kétszeres felszabadítást előidéző hiba állt fenn az AtomicBufferedFile-leírók kezelésében. Az AtomicBufferedFile-leírók hatékonyabb hitelesítésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-6983 : David Benjamin, Greg Kerr, Mark Mentovai és Sergey Ulanov (Chrome Team)

  • Biztonság

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A támadók el tudták érni, hogy a visszavont tanúsítványok érvényesnek tűnjenek.

    Leírás: Érvényesítési hiba állt fenn az OCSP-kliensben. Az OCSP-tanúsítvány lejárati időpontjának ellenőrzésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-6999 : Apple

  • Biztonság

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy a visszavonás-ellenőrzés megkövetelésére konfigurált megbízhatóságkiértékelés akkor is sikeres volt, ha nem teljesültek a visszavonás-ellenőrzés feltételei.

    Leírás: A kSecRevocationRequirePositiveResponse jelölő meghatározásra került, de nem ment végbe az érvényesítése. A jelölő érvényesítésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-6997 : Apple

  • Telefonálás

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rosszindulatú alkalmazások ki tudtak szivárogtatni bizalmas jellegű információkat.

    Leírás: Hiba lépett fel a jogosultsági ellenőrzések során a telefonhívások állapotának lekérdezésekor. A jogosultsági állapotra vonatkozó további lekérdezésekkel hárították el a problémát.

    CVE-azonosító

    CVE-2015-7022 : Andreas Kurtz (NESO Security Labs)

  • WebKit

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.

    Leírás: A WebKit motor több, memóriasérüléssel kapcsolatos problémát tartalmazott. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-5928 : Apple

    CVE-2015-5929 : Apple

    CVE-2015-5930 : Apple

    CVE-2015-6981

    CVE-2015-6982

    CVE-2015-7002 : Apple

    CVE-2015-7005 : Apple

    CVE-2015-7012 : Apple

    CVE-2015-7014

    CVE-2015-7104 : Apple

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: