Az iOS 8.4.1 biztonsági tartalma
Ez a dokumentum az iOS 8.4.1 biztonsági tartalmát ismerteti.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcs használata című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.
iOS 8.4.1
AppleFileConduit
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Ártó szándékkal létrehozott afc paranccsal hozzáférést lehetett biztosítani a fájlrendszer védett részeihez
Leírás: Egy hiba állt fenn az afc szimbolikus hivatkozási mechanizmusával. További útvonal-ellenőrzésekkel küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-5746 : evad3rs, TaiG Jailbreak Team
Air Traffic
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Az AirTraffic hozzáférést tudott biztosítani a fájlrendszer védett részeihez
Leírás: Egy útvonalátjárással kapcsolatos hiba lépett fel az eszközök kezelésekor. Hatékonyabb ellenőrzéssel hárították el a problémát.
CVE-azonosító
CVE-2015-5766 : TaiG Jailbreak Team
Biztonsági mentés
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A rosszindulatú alkalmazások létre tudtak hozni olyan szimbolikus hivatkozásokat, amelyek a lemez védett régióira mutattak
Leírás: Egy hiba állt fenn a szimbolikus hivatkozások útvonal-érvényesítési logikájában. Hatékonyabb útvonaltisztítással hárították el a problémát.
CVE-azonosító
CVE-2015-5752 : TaiG Jailbreak Team
bootp
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A támadók meg tudták határozni, hogy a készülék előzőleg milyen Wi-Fi hálózatokhoz csatlakozott
Leírás: Előfordult, hogy a Wi-Fi hálózathoz való csatlakozást követően a készülék közzétette a korábban elért hálózatok MAC-címeit. Annak beállításával hárították el a problémát, hogy kizárólag az aktuális SSID-vel társított MAC-címek közzététele történjen meg.
CVE-azonosító
CVE-2015-3778 : Piers O'Hanlon (Oxford Internet Institute), University of Oxford (az EPSRC Being There projekt keretében)
A tanúsítványok felhasználói felülete
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A magas hálózati jogosultságú támadók el tudták fogadni a nem megbízhatónak jelölt tanúsítványokat a zárolt képernyőről
Leírás: Bizonyos körülmények között a készülék zárolt állapotban is megjelenített egy párbeszédpanelt, amelyen megbízhatónak lehetett jelölni a tanúsítványt. Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-3756 : Andy Grant (NCC Group)
CloudKit
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A rosszindulatú alkalmazások hozzá tudtak férni egy korábban bejelentkezett felhasználó iCloud-felhasználói rekordjához
Leírás: Az állapot inkonzisztenssé vált a CloudKitben a felhasználók kiléptetésekor. Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-3782 : Deepkanwal Plaha (University of Toronto)
CFPreferences
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A rosszindulatú alkalmazások esetenként olvasni tudták a többi alkalmazás beállításait
Leírás: Egy hiba állt fenn a külső fejlesztésű alkalmazások sandboxa esetén. A külső gyártók sandbox-profiljának javításával küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-3793 : Andreas Weinlein (Appthority Mobility Threat Team)
Kódaláírás
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A rosszindulatú alkalmazások végre tudtak hajtani aláíratlan kódot
Leírás: Egy hiba miatt hozzá lehetett fűzni aláíratlan kódot az aláírt kódhoz egy egyedileg kialakított futtatható fájlban. A kódaláírás hatékonyabb ellenőrzésével hárították el a problémát.
CVE-azonosító
CVE-2015-3806 : TaiG Jailbreak Team
Kódaláírás
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Egy egyedileg kialakított futtatható fájl lehetővé tette az aláíratlan, rosszindulatú kód végrehajtását
Leírás: Egy hiba állt fenn azzal kapcsolatban, ahogy végbement a többrétegű architektúrával rendelkező futtatható fájlok kiértékelése, aminek következtében lehetőség nyílt aláíratlan kód végrehajtására is. A futtatható fájlok hatékonyabb ellenőrzésével hárították el a problémát.
CVE-azonosító
CVE-2015-3803 : TaiG Jailbreak Team
Kódaláírás
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A helyi felhasználók aláíratlan kódot tudtak végrehajtani
Leírás: Érvényesítési hiba lépett fel a Mach-O fájlok kezelésekor. További ellenőrzések beállításával küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-3802 : TaiG Jailbreak Team
CVE-2015-3805 : TaiG Jailbreak Team
CoreMedia Playback
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor
Leírás: Memóriasérülést okozó hiba állt fenn a CoreMedia Playback esetén. A memóriakezelés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-5777 : Apple
CVE-2015-5778 : Apple
CoreText
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor
Leírás: Memóriasérülést okozó hiba lépett fel a betűtípusfájlok feldolgozásakor. Hatékonyabb bevitel-ellenőrzéssel hárították el a problémát.
CVE-azonosító
CVE-2015-5755 : John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-5761 : John Villamil (@day6reak), Yahoo Pentest Team
DiskImages
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott DMG-fájlok feldolgozásakor váratlan alkalmazásleállásra vagy rendszerjogosultságokkal történő tetszőleges kódvégrehajtásra került sor
Leírás: Memóriasérülést okozó hiba lépett fel a hibás formázású DMG-képek elemzésekor. A memóriakezelés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-3800 : Frank Graziano (Yahoo Pentest Team)
FontParser
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor
Leírás: Memóriasérülést okozó hiba lépett fel a betűtípusfájlok feldolgozásakor. Hatékonyabb bevitel-ellenőrzéssel hárították el a problémát.
CVE-azonosító
CVE-2015-3804 : Apple
CVE-2015-5756 : John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-5775 : Apple
ImageIO
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott .tiff fájlok feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor
Leírás: Memóriasérülést okozó hiba lépett fel a .tiff fájlok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-5758 : Apple
ImageIO
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása lehetőséget adott a folyamatmemória közzétételére
Leírás: Nem inicializált memória-hozzáféréssel kapcsolatos probléma lépett fel a PNG-képek ImageIO általi kezelésekor. Az ártó szándékkal létrehozott webhelyek meglátogatásakor továbbítani lehetett az adatokat a folyamatmemóriából a webhelynek. Hatékonyabb memóriainicializálással és a PNG-képek további ellenőrzésével küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-5781 : Michal Zalewski
ImageIO
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása lehetőséget adott a folyamatmemória közzétételére
Leírás: Nem inicializált memória-hozzáféréssel kapcsolatos probléma lépett fel a TIFF-képek ImageIO általi kezelésekor. Az ártó szándékkal létrehozott webhelyek meglátogatásakor továbbítani lehetett az adatokat a folyamatmemóriából a webhelynek. Hatékonyabb memóriainicializálással és a TIFF-képek további ellenőrzésével küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-5782 : Michal Zalewski
IOKit
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott plist-fájlok elemzésekor váratlan alkalmazásleállásra vagy rendszerjogosultságokkal történő tetszőleges kódvégrehajtásra került sor
Leírás: Memóriasérülést okozó hiba lépett fel a hibás formázású plist-fájlok feldolgozásakor. A memóriakezelés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-3776 : Teddy Reed (Facebook Security), Patrick Stein (@jollyjinx; Jinx Germany)
IOHIDFamily
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A rendszerszintű jogosultsággal rendelkező helyi felhasználók tetszőleges programkódot tudtak végrehajtani
Leírás: Puffertúlcsordulást okozó probléma állt fenn az IOHIDFamily esetén. A memóriakezelés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-5774 : TaiG Jailbreak Team
Kernel
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A helyi felhasználók meg tudták állapítani a kernelmemória felépítését
Leírás: Egy hiba állt fenn a mach_port_space_info felületen, aminek következtében felfedhető volt a kernelmemória elrendezése. A mach_port_space_info felület letiltásával hárították el a problémát.
CVE-azonosító
CVE-2015-3766 : Cererdlong (Alibaba Mobile Security Team), @PanguTeam
Kernel
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani
Leírás: Egészszám-túlcsordulási probléma lépett fel az IOKit függvények kezelésekor. Az IOKit API-argumentumok további hitelesítésével küszöbölték ki a hibát.
CVE-azonosító
CVE-2015-3768 : Ilja van Sprundel
Kernel
iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások meg tudták kerülni a háttérben működő végrehajtási korlátozásokat
Leírás: Hozzáféréssel összefüggő probléma állt fenn bizonyos hibakeresési eljárások esetén. További jogosultsági ellenőrzések bevezetésével küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-5787 : Alessandro Reina, Mattia Pagnozzi és Stefano Bianchi Mazzone (FireEye)
Libc
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott reguláris kifejezések feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor
Leírás: Memóriasérülést okozó hiba állt fenn a TRE-könyvtárban. A memóriakezelés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-3796 : Ian Beer (Google Project Zero)
CVE-2015-3797 : Ian Beer (Google Project Zero)
CVE-2015-3798 : Ian Beer (Google Project Zero)
Libinfo
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani
Leírás: Memóriasérülést okozó hiba lépett fel az AF_INET6 csatornák kezelésekor. Hatékonyabb memóriakezeléssel hárították el a problémát.
CVE-azonosító
CVE-2015-5776 : Apple
libpthread
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani
Leírás: Memóriasérülést okozó hiba lépett fel a rendszerhívások kezelésekor. A zárolt állapot hatékonyabb ellenőrzésével küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-5757 : Lufeng Li (Qihoo 360)
libxml2
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Az ártó szándékkal létrehozott XML-dokumentumok elemzésekor felfedhetők voltak a felhasználói adatok
Leírás: Memóriasérülést okozó hiba lépett fel az XML-fájlok elemzésekor. A memóriakezelés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-3807 : Michal Zalewski
libxml2
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Több biztonsági rés állt fenn a libxml2 2.9.2-esnél korábbi verzióiban, amelyek közül a legsúlyosabb lehetővé tette, hogy a távoli támadók szolgáltatásmegtagadást idézzenek elő
Leírás: Több biztonsági rés állt fenn a libxml2 2.9.2-esnél korábbi verziói esetén. A libxml2 2.9.2-es verzióra való frissítésével hárították el a problémákat.
CVE-azonosító
CVE-2014-0191 : Felix Groebert (Google)
CVE-2014-3660 : Felix Groebert (Google)
libxpc
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani
Leírás: Memóriasérülést okozó hiba lépett fel az XPC-üzenetek kezelésekor. Hatékonyabb határérték-ellenőrzéssel küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-3795 : Mathew Rowley
Helymeghatározási keretrendszer
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A helyi felhasználók módosítani tudták a fájlrendszer védett részeit
Leírás: Elhárítottak egy szimbolikus hivatkozásokkal kapcsolatos problémát az elérési útvonal hatékonyabb ellenőrzésével.
CVE-azonosító
CVE-2015-3759 : Cererdlong (Alibaba Mobile Security Team)
MobileInstallation
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A rosszindulatú vállalati alkalmazások le tudták cserélni egyéb alkalmazások kiterjesztéseit
Leírás: Fennállt egy hiba az univerzális előkészítési profilalkalmazások telepítési logikájában, amely miatt ütközésre kerülhetett sor a meglévő csomagazonosítók között. A csomagazonosítók hatékonyabb ellenőrzésével hárították el a problémát.
CVE-azonosító
CVE-2015-5770 : Zhaofeng Chen, Yulong Zhang és Tao Wei (FireEye, Inc.)
MSVDX-illesztőprogram
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Előfordult, hogy a rosszindulatú videók megtekintésekor váratlan rendszerleállásra került sor
Leírás: Elhárítottak egy szolgáltatásmegtagadással kapcsolatos problémát hatékonyabb memóriakezeléssel.
CVE-azonosító
CVE-2015-5769 : Proteas (Qihoo 360 Nirvan Team)
Office-fájlok megjelenítője
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Az ártó szándékkal létrehozott XML-fájlok elemzésekor felfedhetők voltak a felhasználói adatok
Leírás: Külső entitáshivatkozási hiba lépett fel az XML-fájlok elemzésekor. Hatékonyabb elemzéssel küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-3784 : Bruno Morisson (INTEGRITY S.A.)
QL Office
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott Office-dokumentumok elemzésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor
Leírás: Memóriasérülést okozó hiba lépett fel az Office-dokumentumok elemzésekor. A memóriakezelés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-5773 : Apple
Safari
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor lehetővé vált a felhasználói felület meghamisítása
Leírás: Az ártó szándékkal létrehozott webhelyek meg tudtak nyitni egy másik webhelyet, és fel tudták szólítani a felhasználót adatbevitelre anélkül, hogy a felhasználó meg tudta volna állapítani a felszólítás eredetét. Úgy hárították el a problémát, hogy megjelenítették a felszólítás eredetét a felhasználó számára.
CVE-azonosító
CVE-2015-3729 : Code Audit Labs (VulnHunt.com)
Safari
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A rosszindulatú webhelyek korlátlan számú figyelmeztető üzenetet tudtak előidézni
Leírás: Egy hiba miatt a rosszindulatú vagy hackelt webhelyek végtelen számú figyelmeztető üzenetet tudtak megjeleníteni, és el tudták hitetni a felhasználókkal, hogy a böngésző zárolt állapotban van. A JavaScript-figyelmeztetések szabályozásával hárították el a problémát.
CVE-azonosító
CVE-2015-3763
Sandbox-profilok
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A rosszindulatú alkalmazások esetenként olvasni tudták a többi alkalmazás beállításait
Leírás: Egy hiba állt fenn a külső fejlesztésű alkalmazások sandboxa esetén. A külső gyártók sandbox-profiljának javításával küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-5749 : Andreas Weinlein (Appthority Mobility Threat Team)
UIKit WebView
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A rosszindulatú alkalmazások FaceTime-hívásokat tudtak kezdeményezni a felhasználói engedélye nélkül
Leírás: Hiba lépett fel a FaceTime URL-ek elemzésekor a webnézetekben. Hatékonyabb URL-ellenőrzéssel hárították el a problémát.
CVE-azonosító
CVE-2015-3758 : Brian Simmons (Salesforce), Guillaume Ross
WebKit
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: A WebKit motor több, memóriasérüléssel kapcsolatos problémát tartalmazott. A memóriakezelés javítása révén küszöbölték ki a problémákat.
CVE-azonosító
CVE-2015-3730 : Apple
CVE-2015-3731 : Apple
CVE-2015-3732 : Apple
CVE-2015-3733 : Apple
CVE-2015-3734 : Apple
CVE-2015-3735 : Apple
CVE-2015-3736 : Apple
CVE-2015-3737 : Apple
CVE-2015-3738 : Apple
CVE-2015-3739 : Apple
CVE-2015-3740 : Apple
CVE-2015-3741 : Apple
CVE-2015-3742 : Apple
CVE-2015-3743 : Apple
CVE-2015-3744 : Apple
CVE-2015-3745 : Apple
CVE-2015-3746 : Apple
CVE-2015-3747 : Apple
CVE-2015-3748 : Apple
CVE-2015-3749 : Apple
Web
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor lehetővé vált a felhasználói felület meghamisítása
Leírás: Hibás formázású URL megnyitásakor az ártó szándékkal létrehozott webhelyek tetszőleges URL-t tudtak megjeleníteni. Az URL-ek hatékonyabb kezelésével hárították el a problémát.
CVE-azonosító
CVE-2015-3755 : xisigr (Tencent; Xuanwu Lab)
WebKit
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Az ártó szándékkal létrehozott webhelyek ki tudtak szivárogtatni képadatokat különböző eredetekből
Leírás: A data:image erőforrásba átirányítást végző URL-ek révén begyűjtött képeket ki lehetett szivárogtatni különböző eredetekből. A vászonszennyezés hatékonyabb felügyeletével hárították el a problémát.
CVE-azonosító
CVE-2015-3753 : Antonio Sanso és Damien Antipa (Adobe)
WebKit
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Az ártó szándékkal létrehozott webhelyek egyszerű szöveges kérelmeket tudtak küldeni egy eredetnek a HTTP STS (Strict Transport Security) keretében
Leírás: Egy hiba miatt a CSP- (Content Security Policy) jelentéskérelmek nem vették figyelembe a HTTP STS-t (Strict Transport Security – HSTS). A HSTS CSP-re való alkalmazásával hárították el a hibát.
CVE-azonosító
CVE-2015-3750 : Muneaki Nishimura (nishimunea)
WebKit
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A rosszindulatú webhelyek koppintás esetén elő tudtak idézni szintetikus kattintást egy másik oldalon
Leírás: Egy hiba állt fenn azzal kapcsolatban, ahogy a szintetikus kattintások létrejönnek a koppintások révén, aminek következtében a kattintások meg tudtak célozni más oldalakat. A kattintások propagálásának korlátozásával hárították el a hibát.
CVE-azonosító
CVE-2015-5759 : Phillip Moon és Matt Weston (Sandfield)
WebKit
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Előfordult, hogy a CSP- (Content Security Policy) jelentéskérelmek kiszivárogtatták a sütiket
Leírás: Két probléma állt fenn azzal kapcsolatban, hogy a sütik hogyan kerültek bele a CSP-jelentéskérelmekbe. A rendszer eltérő eredetekből származó jelentéskérelmekben küldte el a sütiket, ami sértette a szabványt. A normál böngészés során beállított sütik privát böngészés közben is elküldésre kerültek. A sütik hatékonyabb kezelésével küszöbölték ki a problémákat.
CVE-azonosító
CVE-2015-3752 : Muneaki Nishimura (nishimunea)
WebKit
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Előfordult, hogy a képek betöltése sértette a webhely CSP- (Content Security Policy) irányelvét
Leírás: Egy probléma miatt a videovezérlő elemekkel rendelkező webhelyek betöltöttek objektumelemekbe beágyazott képeket, ami sértette a webhely CSP-irányelvét. A CSP hatékonyabb érvényesítésével küszöbölték ki a hibát.
CVE-azonosító
CVE-2015-3751 : Muneaki Nishimura (nishimunea)
A FaceTime nem minden országban vagy térségben érhető el.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.