Az iOS 8.4.1 biztonsági tartalma

Ez a dokumentum az iOS 8.4.1 biztonsági tartalmát ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcs használata című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.

iOS 8.4.1

  • AppleFileConduit

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Ártó szándékkal létrehozott afc paranccsal hozzáférést lehetett biztosítani a fájlrendszer védett részeihez

    Leírás: Egy hiba állt fenn az afc szimbolikus hivatkozási mechanizmusával. További útvonal-ellenőrzésekkel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5746 : evad3rs, TaiG Jailbreak Team

  • Air Traffic

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Az AirTraffic hozzáférést tudott biztosítani a fájlrendszer védett részeihez

    Leírás: Egy útvonalátjárással kapcsolatos hiba lépett fel az eszközök kezelésekor. Hatékonyabb ellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5766 : TaiG Jailbreak Team

  • Biztonsági mentés

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A rosszindulatú alkalmazások létre tudtak hozni olyan szimbolikus hivatkozásokat, amelyek a lemez védett régióira mutattak

    Leírás: Egy hiba állt fenn a szimbolikus hivatkozások útvonal-érvényesítési logikájában. Hatékonyabb útvonaltisztítással hárították el a problémát.

    CVE-azonosító

    CVE-2015-5752 : TaiG Jailbreak Team

  • bootp

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A támadók meg tudták határozni, hogy a készülék előzőleg milyen Wi-Fi hálózatokhoz csatlakozott

    Leírás: Előfordult, hogy a Wi-Fi hálózathoz való csatlakozást követően a készülék közzétette a korábban elért hálózatok MAC-címeit. Annak beállításával hárították el a problémát, hogy kizárólag az aktuális SSID-vel társított MAC-címek közzététele történjen meg.

    CVE-azonosító

    CVE-2015-3778 : Piers O'Hanlon (Oxford Internet Institute), University of Oxford (az EPSRC Being There projekt keretében)

  • A tanúsítványok felhasználói felülete

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A magas hálózati jogosultságú támadók el tudták fogadni a nem megbízhatónak jelölt tanúsítványokat a zárolt képernyőről

    Leírás: Bizonyos körülmények között a készülék zárolt állapotban is megjelenített egy párbeszédpanelt, amelyen megbízhatónak lehetett jelölni a tanúsítványt. Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-3756 : Andy Grant (NCC Group)

  • CloudKit

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A rosszindulatú alkalmazások hozzá tudtak férni egy korábban bejelentkezett felhasználó iCloud-felhasználói rekordjához

    Leírás: Az állapot inkonzisztenssé vált a CloudKitben a felhasználók kiléptetésekor. Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-3782 : Deepkanwal Plaha (University of Toronto)

  • CFPreferences

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A rosszindulatú alkalmazások esetenként olvasni tudták a többi alkalmazás beállításait

    Leírás: Egy hiba állt fenn a külső fejlesztésű alkalmazások sandboxa esetén. A külső gyártók sandbox-profiljának javításával küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-3793 : Andreas Weinlein (Appthority Mobility Threat Team)

  • Kódaláírás

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A rosszindulatú alkalmazások végre tudtak hajtani aláíratlan kódot

    Leírás: Egy hiba miatt hozzá lehetett fűzni aláíratlan kódot az aláírt kódhoz egy egyedileg kialakított futtatható fájlban. A kódaláírás hatékonyabb ellenőrzésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-3806 : TaiG Jailbreak Team

  • Kódaláírás

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Egy egyedileg kialakított futtatható fájl lehetővé tette az aláíratlan, rosszindulatú kód végrehajtását

    Leírás: Egy hiba állt fenn azzal kapcsolatban, ahogy végbement a többrétegű architektúrával rendelkező futtatható fájlok kiértékelése, aminek következtében lehetőség nyílt aláíratlan kód végrehajtására is. A futtatható fájlok hatékonyabb ellenőrzésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-3803 : TaiG Jailbreak Team

  • Kódaláírás

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A helyi felhasználók aláíratlan kódot tudtak végrehajtani

    Leírás: Érvényesítési hiba lépett fel a Mach-O fájlok kezelésekor. További ellenőrzések beállításával küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-3802 : TaiG Jailbreak Team

    CVE-2015-3805 : TaiG Jailbreak Team

  • CoreMedia Playback

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor

    Leírás: Memóriasérülést okozó hiba állt fenn a CoreMedia Playback esetén. A memóriakezelés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5777 : Apple

    CVE-2015-5778 : Apple

  • CoreText

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor

    Leírás: Memóriasérülést okozó hiba lépett fel a betűtípusfájlok feldolgozásakor. Hatékonyabb bevitel-ellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5755 : John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-5761 : John Villamil (@day6reak), Yahoo Pentest Team

  • DiskImages

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott DMG-fájlok feldolgozásakor váratlan alkalmazásleállásra vagy rendszerjogosultságokkal történő tetszőleges kódvégrehajtásra került sor

    Leírás: Memóriasérülést okozó hiba lépett fel a hibás formázású DMG-képek elemzésekor. A memóriakezelés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-3800 : Frank Graziano (Yahoo Pentest Team)

  • FontParser

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor

    Leírás: Memóriasérülést okozó hiba lépett fel a betűtípusfájlok feldolgozásakor. Hatékonyabb bevitel-ellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-3804 : Apple

    CVE-2015-5756 : John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-5775 : Apple

  • ImageIO

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott .tiff fájlok feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor

    Leírás: Memóriasérülést okozó hiba lépett fel a .tiff fájlok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5758 : Apple

  • ImageIO

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása lehetőséget adott a folyamatmemória közzétételére

    Leírás: Nem inicializált memória-hozzáféréssel kapcsolatos probléma lépett fel a PNG-képek ImageIO általi kezelésekor. Az ártó szándékkal létrehozott webhelyek meglátogatásakor továbbítani lehetett az adatokat a folyamatmemóriából a webhelynek. Hatékonyabb memóriainicializálással és a PNG-képek további ellenőrzésével küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5781 : Michal Zalewski

  • ImageIO

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása lehetőséget adott a folyamatmemória közzétételére

    Leírás: Nem inicializált memória-hozzáféréssel kapcsolatos probléma lépett fel a TIFF-képek ImageIO általi kezelésekor. Az ártó szándékkal létrehozott webhelyek meglátogatásakor továbbítani lehetett az adatokat a folyamatmemóriából a webhelynek. Hatékonyabb memóriainicializálással és a TIFF-képek további ellenőrzésével küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5782 : Michal Zalewski

  • IOKit

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott plist-fájlok elemzésekor váratlan alkalmazásleállásra vagy rendszerjogosultságokkal történő tetszőleges kódvégrehajtásra került sor

    Leírás: Memóriasérülést okozó hiba lépett fel a hibás formázású plist-fájlok feldolgozásakor. A memóriakezelés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-3776 : Teddy Reed (Facebook Security), Patrick Stein (@jollyjinx; Jinx Germany)

  • IOHIDFamily

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A rendszerszintű jogosultsággal rendelkező helyi felhasználók tetszőleges programkódot tudtak végrehajtani

    Leírás: Puffertúlcsordulást okozó probléma állt fenn az IOHIDFamily esetén. A memóriakezelés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5774 : TaiG Jailbreak Team

  • Kernel

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A helyi felhasználók meg tudták állapítani a kernelmemória felépítését

    Leírás: Egy hiba állt fenn a mach_port_space_info felületen, aminek következtében felfedhető volt a kernelmemória elrendezése. A mach_port_space_info felület letiltásával hárították el a problémát.

    CVE-azonosító

    CVE-2015-3766 : Cererdlong (Alibaba Mobile Security Team), @PanguTeam

  • Kernel

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani

    Leírás: Egészszám-túlcsordulási probléma lépett fel az IOKit függvények kezelésekor. Az IOKit API-argumentumok további hitelesítésével küszöbölték ki a hibát.

    CVE-azonosító

    CVE-2015-3768 : Ilja van Sprundel

  • Kernel

    iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások meg tudták kerülni a háttérben működő végrehajtási korlátozásokat

    Leírás: Hozzáféréssel összefüggő probléma állt fenn bizonyos hibakeresési eljárások esetén. További jogosultsági ellenőrzések bevezetésével küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5787 : Alessandro Reina, Mattia Pagnozzi és Stefano Bianchi Mazzone (FireEye)

  • Libc

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott reguláris kifejezések feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor

    Leírás: Memóriasérülést okozó hiba állt fenn a TRE-könyvtárban. A memóriakezelés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-3796 : Ian Beer (Google Project Zero)

    CVE-2015-3797 : Ian Beer (Google Project Zero)

    CVE-2015-3798 : Ian Beer (Google Project Zero)

  • Libinfo

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani

    Leírás: Memóriasérülést okozó hiba lépett fel az AF_INET6 csatornák kezelésekor. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5776 : Apple

  • libpthread

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani

    Leírás: Memóriasérülést okozó hiba lépett fel a rendszerhívások kezelésekor. A zárolt állapot hatékonyabb ellenőrzésével küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5757 : Lufeng Li (Qihoo 360)

  • libxml2

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Az ártó szándékkal létrehozott XML-dokumentumok elemzésekor felfedhetők voltak a felhasználói adatok

    Leírás: Memóriasérülést okozó hiba lépett fel az XML-fájlok elemzésekor. A memóriakezelés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-3807 : Michal Zalewski

  • libxml2

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Több biztonsági rés állt fenn a libxml2 2.9.2-esnél korábbi verzióiban, amelyek közül a legsúlyosabb lehetővé tette, hogy a távoli támadók szolgáltatásmegtagadást idézzenek elő

    Leírás: Több biztonsági rés állt fenn a libxml2 2.9.2-esnél korábbi verziói esetén. A libxml2 2.9.2-es verzióra való frissítésével hárították el a problémákat.

    CVE-azonosító

    CVE-2014-0191 : Felix Groebert (Google)

    CVE-2014-3660 : Felix Groebert (Google)

  • libxpc

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani

    Leírás: Memóriasérülést okozó hiba lépett fel az XPC-üzenetek kezelésekor. Hatékonyabb határérték-ellenőrzéssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-3795 : Mathew Rowley

  • Helymeghatározási keretrendszer

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A helyi felhasználók módosítani tudták a fájlrendszer védett részeit

    Leírás: Elhárítottak egy szimbolikus hivatkozásokkal kapcsolatos problémát az elérési útvonal hatékonyabb ellenőrzésével.

    CVE-azonosító

    CVE-2015-3759 : Cererdlong (Alibaba Mobile Security Team)

  • MobileInstallation

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A rosszindulatú vállalati alkalmazások le tudták cserélni egyéb alkalmazások kiterjesztéseit

    Leírás: Fennállt egy hiba az univerzális előkészítési profilalkalmazások telepítési logikájában, amely miatt ütközésre kerülhetett sor a meglévő csomagazonosítók között. A csomagazonosítók hatékonyabb ellenőrzésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-5770 : Zhaofeng Chen, Yulong Zhang és Tao Wei (FireEye, Inc.)

  • MSVDX-illesztőprogram

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Előfordult, hogy a rosszindulatú videók megtekintésekor váratlan rendszerleállásra került sor

    Leírás: Elhárítottak egy szolgáltatásmegtagadással kapcsolatos problémát hatékonyabb memóriakezeléssel.

    CVE-azonosító

    CVE-2015-5769 : Proteas (Qihoo 360 Nirvan Team)

  • Office-fájlok megjelenítője

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Az ártó szándékkal létrehozott XML-fájlok elemzésekor felfedhetők voltak a felhasználói adatok

    Leírás: Külső entitáshivatkozási hiba lépett fel az XML-fájlok elemzésekor. Hatékonyabb elemzéssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-3784 : Bruno Morisson (INTEGRITY S.A.)

  • QL Office

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott Office-dokumentumok elemzésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor

    Leírás: Memóriasérülést okozó hiba lépett fel az Office-dokumentumok elemzésekor. A memóriakezelés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5773 : Apple

  • Safari

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor lehetővé vált a felhasználói felület meghamisítása

    Leírás: Az ártó szándékkal létrehozott webhelyek meg tudtak nyitni egy másik webhelyet, és fel tudták szólítani a felhasználót adatbevitelre anélkül, hogy a felhasználó meg tudta volna állapítani a felszólítás eredetét. Úgy hárították el a problémát, hogy megjelenítették a felszólítás eredetét a felhasználó számára.

    CVE-azonosító

    CVE-2015-3729 : Code Audit Labs (VulnHunt.com)

  • Safari

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A rosszindulatú webhelyek korlátlan számú figyelmeztető üzenetet tudtak előidézni

    Leírás: Egy hiba miatt a rosszindulatú vagy hackelt webhelyek végtelen számú figyelmeztető üzenetet tudtak megjeleníteni, és el tudták hitetni a felhasználókkal, hogy a böngésző zárolt állapotban van. A JavaScript-figyelmeztetések szabályozásával hárították el a problémát.

    CVE-azonosító

    CVE-2015-3763

  • Sandbox-profilok

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A rosszindulatú alkalmazások esetenként olvasni tudták a többi alkalmazás beállításait

    Leírás: Egy hiba állt fenn a külső fejlesztésű alkalmazások sandboxa esetén. A külső gyártók sandbox-profiljának javításával küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5749 : Andreas Weinlein (Appthority Mobility Threat Team)

  • UIKit WebView

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A rosszindulatú alkalmazások FaceTime-hívásokat tudtak kezdeményezni a felhasználói engedélye nélkül

    Leírás: Hiba lépett fel a FaceTime URL-ek elemzésekor a webnézetekben. Hatékonyabb URL-ellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-3758 : Brian Simmons (Salesforce), Guillaume Ross

  • WebKit

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: A WebKit motor több, memóriasérüléssel kapcsolatos problémát tartalmazott. A memóriakezelés javítása révén küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-3730 : Apple

    CVE-2015-3731 : Apple

    CVE-2015-3732 : Apple

    CVE-2015-3733 : Apple

    CVE-2015-3734 : Apple

    CVE-2015-3735 : Apple

    CVE-2015-3736 : Apple

    CVE-2015-3737 : Apple

    CVE-2015-3738 : Apple

    CVE-2015-3739 : Apple

    CVE-2015-3740 : Apple

    CVE-2015-3741 : Apple

    CVE-2015-3742 : Apple

    CVE-2015-3743 : Apple

    CVE-2015-3744 : Apple

    CVE-2015-3745 : Apple

    CVE-2015-3746 : Apple

    CVE-2015-3747 : Apple

    CVE-2015-3748 : Apple

    CVE-2015-3749 : Apple

  • Web

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor lehetővé vált a felhasználói felület meghamisítása

    Leírás: Hibás formázású URL megnyitásakor az ártó szándékkal létrehozott webhelyek tetszőleges URL-t tudtak megjeleníteni. Az URL-ek hatékonyabb kezelésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-3755 : xisigr (Tencent; Xuanwu Lab)

  • WebKit

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Az ártó szándékkal létrehozott webhelyek ki tudtak szivárogtatni képadatokat különböző eredetekből

    Leírás: A data:image erőforrásba átirányítást végző URL-ek révén begyűjtött képeket ki lehetett szivárogtatni különböző eredetekből. A vászonszennyezés hatékonyabb felügyeletével hárították el a problémát.

    CVE-azonosító

    CVE-2015-3753 : Antonio Sanso és Damien Antipa (Adobe)

  • WebKit

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Az ártó szándékkal létrehozott webhelyek egyszerű szöveges kérelmeket tudtak küldeni egy eredetnek a HTTP STS (Strict Transport Security) keretében

    Leírás: Egy hiba miatt a CSP- (Content Security Policy) jelentéskérelmek nem vették figyelembe a HTTP STS-t (Strict Transport Security – HSTS). A HSTS CSP-re való alkalmazásával hárították el a hibát.

    CVE-azonosító

    CVE-2015-3750 : Muneaki Nishimura (nishimunea)

  • WebKit

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A rosszindulatú webhelyek koppintás esetén elő tudtak idézni szintetikus kattintást egy másik oldalon

    Leírás: Egy hiba állt fenn azzal kapcsolatban, ahogy a szintetikus kattintások létrejönnek a koppintások révén, aminek következtében a kattintások meg tudtak célozni más oldalakat. A kattintások propagálásának korlátozásával hárították el a hibát.

    CVE-azonosító

    CVE-2015-5759 : Phillip Moon és Matt Weston (Sandfield)

  • WebKit

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Előfordult, hogy a CSP- (Content Security Policy) jelentéskérelmek kiszivárogtatták a sütiket

    Leírás: Két probléma állt fenn azzal kapcsolatban, hogy a sütik hogyan kerültek bele a CSP-jelentéskérelmekbe. A rendszer eltérő eredetekből származó jelentéskérelmekben küldte el a sütiket, ami sértette a szabványt. A normál böngészés során beállított sütik privát böngészés közben is elküldésre kerültek. A sütik hatékonyabb kezelésével küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-3752 : Muneaki Nishimura (nishimunea)

  • WebKit

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Előfordult, hogy a képek betöltése sértette a webhely CSP- (Content Security Policy) irányelvét

    Leírás: Egy probléma miatt a videovezérlő elemekkel rendelkező webhelyek betöltöttek objektumelemekbe beágyazott képeket, ami sértette a webhely CSP-irányelvét. A CSP hatékonyabb érvényesítésével küszöbölték ki a hibát.

    CVE-azonosító

    CVE-2015-3751 : Muneaki Nishimura (nishimunea)

A FaceTime nem minden országban vagy térségben érhető el.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: