Az iOS 10.2.1 biztonsági változásjegyzéke
Ez a dokumentum az iOS 10.2.1 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
iOS 10.2.1
APNs Server
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A magas hálózati jogosultságú támadók nyomon tudták követni a felhasználói tevékenységeket.
Leírás: A klienstanúsítvány továbbítása egyszerű szövegként történt meg. A tanúsítványok hatékonyabb kezelésével hárították el a problémát.
CVE-2017-2383: Matthias Wachs és Quirin Scheitle (Technical University Munich [TUM])
Híváselőzmények
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A CallKit-hívástörténet frissítései az iCloudba kerültek.
Leírás: Egy hiba megakadályozta a CallKit-hívástörténet iCloudba való feltöltését. Hatékonyabb logika alkalmazásával küszöbölték ki a problémát.
CVE-2017-2375: Elcomsoft
Kontaktok
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott kontaktkártyák feldolgozásakor váratlan alkalmazásleállásra került sor.
Leírás: Beviteli érvényesség-ellenőrzési probléma lépett fel a kontaktkártyák elemzésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.
CVE-2017-2368: Vincent Desmurs (vincedes3)
Kernel
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy puffertúlcsordulást okozó problémát.
CVE-2017-2370: Ian Beer (Google Project Zero)
Kernel
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2017-2360: Ian Beer (Google Project Zero)
libarchive
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott archívumok kicsomagolásakor tetszőleges kód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy puffertúlcsordulást okozó problémát.
CVE-2016-8687: Agostino Sarubbo (Gentoo)
Feloldás iPhone segítségével
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az Apple Watch zárolása feloldódott, amikor nem a felhasználó csuklóján volt.
Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy logikai problémát.
CVE-2017-2352: Ashley Fernandez (raptAware Pty Ltd)
WebKit
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor kiszivárogtak adatok különböző forrásokból.
Leírás: Hatékonyabb kivételkezeléssel elhárítottak egy prototípus-hozzáférési problémát.
CVE-2017-2350: Gareth Heyes (Portswigger Web Security)
WebKit
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.
CVE-2017-2354: Neymar (Tencent; Xuanwu Lab; tencent.com), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2017-2362: Ivan Fratric (Google Project Zero)
CVE-2017-2373: Ivan Fratric (Google Project Zero)
WebKit
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriainicializálási hibát.
CVE-2017-2355: Team Pangu és lokihardt (PwnFest 2016)
WebKit
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.
CVE-2017-2356: Team Pangu és lokihardt (PwnFest 2016)
CVE-2017-2369: Ivan Fratric (Google Project Zero)
CVE-2017-2366: Kai Kang (Tencent; Xuanwu Lab; tencent.com)
WebKit
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor kiszivárogtak adatok különböző forrásokból.
Leírás: Hitelesítési hiba lépett fel az oldalak betöltésekor. Hatékonyabb logika alkalmazásával küszöbölték ki a problémát.
CVE-2017-2363: lokihardt (Google Project Zero)
CVE-2017-2364: lokihardt (Google Project Zero)
WebKit
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Ártó szándékkal létrehozott webhely meglátogatásakor előfordult, hogy előugró ablakok nyíltak meg.
Leírás: Hiba lépett fel az előugró ablakok kezelésekor. Hatékonyabb bevitel-ellenőrzéssel hárították el a problémát.
CVE-2017-2371: lokihardt (Google Project Zero)
WebKit
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor kiszivárogtak adatok különböző forrásokból.
Leírás: Hitelesítési hiba lépett fel a változók kezelésekor. Hatékonyabb ellenőrzéssel hárították el a problémát.
CVE-2017-2365: lokihardt (Google Project Zero)
Wi-Fi
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Az aktiválási zárral lezárt készülékeket úgy lehetett manipulálni, hogy rövid időre megjelenítsék a főképernyőt.
Leírás: Egy hiba lépett fel a felhasználói bevitel kezelésekor, amely miatt a készülék megjelenítette a főképernyőt akkor is, ha az aktiválási zár aktív volt. Hatékonyabb bevitel-ellenőrzéssel hárították el a problémát.
CVE-2017-2351: Hemanth Joseph, Sriram (@Sri_Hxor; Primefort Pvt). Ltd., Mohamd Imran
További köszönetnyilvánítás
WebKit-megerősítés
Köszönjük a következő személyeknek a segítséget: Ben Gras, Kaveh Razavi, Erik Bosman, Herbert Bos és Cristiano Giuffrida (vusec csoport; Vrije Universiteit Amsterdam).
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.