Az iOS 9 biztonsági tartalma

Ez a dokumentum az iOS 9 biztonsági tartalmát ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcsának használata című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.

iOS 9

  • Apple Pay

    A következő készülékekhez érhető el: iPhone 6 és iPhone 6 Plus.

    Érintett terület: Fizetés során néhány kártya lehetővé tette a termináloknak, hogy beolvassanak néhány információt a legutóbbi tranzakciókról.

    Leírás: A tranzakciós napló funkció aktiválódott bizonyos konfigurációk esetén. A tranzakciós napló funkció eltávolításával hárították el a problémát. A probléma nem érintette az iPad készülékeket.

    CVE-azonosító

    CVE-2015-5916

  • AppleKeyStore

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A helyi támadók vissza tudták állítani a jelkód megadására tett sikertelen kísérleteket egy iOS biztonsági mentéssel.

    Leírás: Egy hiba miatt vissza lehetett állítani a jelkód megadására tett sikertelen kísérleteket az iOS-készülék egyik biztonsági mentésével. A sikertelen jelkódmegadást kezelő logika fejlesztésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-5850 : anonim kutató

  • Alkalmazás-áruház

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Egy rosszindulatú ITMS-hivatkozásra kattintva szolgáltatásmegtagadást lehetett előidézni a vállalati aláírással rendelkező alkalmazásokban.

    Leírás: Hiba lépett fel az ITMS-hivatkozásokon keresztüli telepítés során. A telepítések további ellenőrzésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-5856 : Zhaofeng Chen, Hui Xue és Tao (Lenx) Wei (FireEye, Inc.)

  • Hang

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy egy rosszindulatú hangfájl lejátszásakor váratlan alkalmazásleállásra került sor.

    Leírás: Memóriasérülési hiba lépett fel a hangfájlok kezelésekor. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5862 : YoungJin Yoon (Information Security Lab; tan.: Prof. Taekyoung Kwon), Korea, Szöul, Yonsei University

  • Megbízható tanúsítványok házirendje

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A megbízható tanúsítványok házirendjének frissítése

    Leírás: Frissült a megbízható tanúsítványok házirendje. A tanúsítványok teljes listája a következő weboldalon tekinthető meg: https://support.apple.com/hu-hu/HT204132.

  • CFNetwork

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Az ártó szándékkal létrehozott URL-ek meg tudták kerülni a HTTP STS-t (HSTS), és ki tudták szivárogtatni a bizalmas jellegű adatokat.

    Leírás: Egy URL-elemzési biztonsági rés keletkezett a HSTS kezelésekor. Hatékonyabb URL-elemzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5858 : Xiaofeng Zheng (Blue Lotus Team), Tsinghua University

  • CFNetwork

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rosszindulatú webhelyek nyomon tudták követni a felhasználókat a Safari privát böngészési módjában.

    Leírás: Egy hiba lépett fel a HSTS-állapot kezelésekor a Safari privát böngészési módjában. Az állapotkezelés javításával küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5860 : Sam Greenhalgh (RadicalResearch Ltd)

  • CFNetwork

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező személyek olvasni tudták az Apple-alkalmazások gyorsítótárban lévő adatait.

    Leírás: A rendszer olyan kulccsal titkosította a gyorsítótárban lévő adatokat, amelyet csak a hardveres UID védett. Azzal küszöbölték ki a problémát, hogy a hardver UID által védett kulccsal és a felhasználó jelkódjával titkosították a gyorsítótárban lévő adatokat.

    CVE-azonosító

    CVE-2015-5898 : Andreas Kurtz (NESO Security Labs)

  • CFNetwork cookie-k

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A magas hálózati jogosultságú támadók nyomon tudták követni a felhasználói tevékenységeket.

    Leírás: Tartományközi, sütikkel kapcsolatos probléma lépett fel a legfelső szintű tartományok kezelésekor. A sütik létrehozásának hatékonyabb korlátozásával hárították el a problémát.

    CVE-azonosító

    CVE-2015-5885 : Xiaofeng Zheng (Blue Lotus Team), Tsinghua University

  • CFNetwork cookie-k

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A támadók nemkívánatos sütiket tudtak létrehozni a webhelyek esetén.

    Leírás: A WebKit több sütit is elfogadott a document.cookie API-ban való beállításhoz. Hatékonyabb elemzéssel küszöböltük ki a problémát.

    CVE-azonosító

    CVE-2015-3801: Erling Ellingsen (Facebook)

  • CFNetwork FTPProtocol

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rosszindulatú FTP-kiszolgálók el tudták érni, hogy a kliens felderítést hajtson végre egyéb hosztokon.

    Leírás: Hiba lépett fel az FTP-csomagok kezelésekor a PASV parancs használatakor. Hatékonyabb ellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5912 : Amit Klein

  • CFNetwork HTTPProtocol

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A magas hálózati jogosultságú támadók be tudtak férkőzni a hálózati forgalomba.

    Leírás: Egy hiba lépett fel a HSTS előbetöltési lista bejegyzéseinek kezelésekor a Safari privát böngészési módjában. Az állapotkezelés javításával küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5859 : Rosario Giustolisi (University of Luxembourg)

  • CFNetwork proxyk

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy egy rosszindulatú webproxyhoz való kapcsolódás során rosszindulatú sütik jöttek létre a webhelyhez kapcsolódóan.

    Leírás: Hiba lépett fel a proxykapcsolódási válaszok kezelésekor. Azáltal hárították el a problémát, hogy eltávolították a „set-cookie” fejlécet a kapcsolódási válasz elemzésekor.

    CVE-azonosító

    CVE-2015-5841 : Xiaofeng Zheng (Blue Lotus Team), Tsinghua University

  • CFNetwork SSL

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A magas hálózati jogosultságú támadók be tudtak férkőzni az SSL-/TLS-kapcsolatokba.

    Leírás: Tanúsítványhitelesítési probléma lépett fel az NSURL esetén, amikor egy tanúsítvány módosult. Hatékonyabb tanúsítvány-ellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5824 : Timothy J. Wood (The Omni Group)

  • CFNetwork SSL

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A támadók vissza tudták fejteni az SSL-protokollal védett adatok titkosítását.

    Leírás: Az RC4 titkosítását érintő támadások A támadók kényszeríteni tudták az RC4 használatát akkor is, ha a kiszolgáló jobb rejtjelezést részesített előnyben. Ezt úgy tudták elérni, hogy blokkolták a TLS 1.0-s és újabb verziójú kapcsolatokat addig, amíg a CFNetwork megpróbálkozott az SSL 3.0 használatával, amely csak az RC4 alkalmazását engedélyezi. Az SSL 3.0-s verziójához való visszatérés megakadályozásával hárították el a problémát.

  • CoreAnimation

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rosszindulatú alkalmazások ki tudtak szivárogtatni bizalmas jellegű információkat.

    Leírás: A háttérben lévő alkalmazások hozzá tudtak férni a képernyő-képkockapufferhez. Az IOSurfaces hatékonyabb hozzáférés-kezelésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-5880 : Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li (School of Information Systems, Singapore Management University), Feng Bao és Jianying Zhou (Cryptography and Security Department, Institute for Infocomm Research)

  • CoreCrypto

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy a támadók meg tudták határozni a magánkulcsokat.

    Leírás: Számos aláírási és titkosításfeloldási kísérlet megfigyelésével a támadók meg tudták határozni az RSA-magánkulcsot. Hatékonyabb titkosítási algoritmusokkal hárították el a problémát.

  • CoreText

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Memóriasérülést okozó hiba lépett fel a betűtípusfájlok feldolgozásakor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

    CVE-azonosító

    CVE-2015-5874 : John Villamil (@day6reak), Yahoo Pentest Team

  • Data Detectors Engine

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott szövegfájlok feldolgozásakor tetszőleges kódvégrehajtásra került sor.

    Leírás: Memóriasérülési hibák léptek fel a szövegfájlok feldolgozásakor. Hatékonyabb határérték-ellenőrzéssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-5829 : M1x7e1 (Safeye Team; www.safeye.org)

  • Fejlesztői eszközök

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Memóriasérülést okozó hiba állt fenn a dyld esetén. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5876 : beist (grayhash)

  • Lemezképek

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező helyi felhasználók tetszőleges programkódot tudtak végrehajtani.

    Leírás: Memóriasérülést okozó hiba állt fenn a DiskImages esetén. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5847 : Filippo Bigarella, Luca Todesco

  • dyld

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Az alkalmazások meg tudták kerülni a kódaláírást.

    Leírás: Hiba lépett fel a végrehajtható fájlok kódaláírásával. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5839 : @PanguTeam, TaiG Jailbreak Team

  • Game Center

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rosszindulatú Game Center-alkalmazások hozzá tudtak férni a játékos e-mail címéhez.

    Leírás: Hiba lépett fel a játékos e-mail címének Game Center általi kezelésekor. Hatékonyabb hozzáférés-korlátozással hárították el a problémát.

    CVE-azonosító

    CVE-2015-5855 : Nasser Alnasser

  • ICU

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Több biztonsági rés állt fenn az ICU esetén.

    Leírás: Több biztonsági rés állt fenn az ICU 53.1.0-snál korábbi verzióiban. Az ICU 55.1-es verziójára való frissítéssel hárították el a problémákat.

    CVE-azonosító

    CVE-2014-8146 : Marc Deslauriers

    CVE-2014-8147 : Marc Deslauriers

    CVE-2015-5922 : Mark Brand (Google Project Zero)

  • IOAcceleratorFamily

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A helyi felhasználók meg tudták állapítani a kernelmemória felépítését.

    Leírás: Egy hiba miatt felfedhető volt a kernelmemória tartalma. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5834 : Cererdlong (Alibaba Mobile Security Team)

  • IOAcceleratorFamily

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező helyi felhasználók tetszőleges programkódot tudtak végrehajtani.

    Leírás: Memóriasérülést okozó hiba állt fenn az IOAcceleratorFamily esetén. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5848 : Filippo Bigarella

  • IOHIDFamily

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Memóriasérülést okozó hiba állt fenn az IOHIDFamily esetén. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5867 : moony li (Trend Micro)

  • IOKit

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Memóriasérülési hiba állt fenn a kernelben. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5844 : Filippo Bigarella

    CVE-2015-5845 : Filippo Bigarella

    CVE-2015-5846 : Filippo Bigarella

  • IOMobileFrameBuffer

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező helyi felhasználók tetszőleges programkódot tudtak végrehajtani.

    Leírás: Memóriasérülést okozó hiba állt fenn az IOMobileFrameBuffer esetén. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5843 : Filippo Bigarella

  • IOStorageFamily

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy a helyi támadók olvasni tudták a kernelmemóriát.

    Leírás: Memóriainicializálási hiba állt fenn a kernelben. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5863 : Ilja van Sprundel (IOActive)

  • iTunes Store

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az AppleID hitelesítési adatai kijelentkezés után is a kulcskarikán maradtak.

    Leírás: Hiba lépett fel a kulcskarika törlésekor. Hatékonyabb fióktisztítással hárították el a problémát.

    CVE-azonosító

    CVE-2015-5832 : Kasif Dekel (Check Point Software Technologies)

  • JavaScriptCore

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.

    Leírás: A WebKit motorban memóriasérüléssel kapcsolatos hibák álltak fenn. Hatékonyabb memóriakezeléssel küszöböltük ki a problémákat.

    CVE-azonosító

    CVE-2015-5791 : Apple

    CVE-2015-5793 : Apple

    CVE-2015-5814 : Apple

    CVE-2015-5816 : Apple

    CVE-2015-5822 : Mark S. Miller (Google)

    CVE-2015-5823 : Apple

  • Kernel

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A helyi felhasználók kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.

    Leírás: Memóriasérülési hiba állt fenn a kernelben. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5868 : Cererdlong (Alibaba Mobile Security Team)

    CVE-2015-5896 : Maxime Villard (m00nbsd)

    CVE-2015-5903 : CESG

    Bejegyzés frissítve: 2016. december 21.

  • Kernel

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A helyi támadók szabályozni tudták a veremsütiket.

    Leírás: Több gyenge pontja volt a felhasználói térben lévő veremsütik generálásának. A veremsütik hatékonyabb generálásával hárították el a problémát.

    CVE-azonosító

    CVE-2013-3951 : Stefan Esser

  • Kernel

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A helyi folyamatok jogosultsági ellenőrzések nélkül is módosítani tudtak más folyamatokat.

    Leírás: Egy hiba állt fenn, amely miatt a processor_set_tasks API-t használó gyökérfolyamatok be tudták olvasni más folyamatok feladatportjait. A jogosultsági ellenőrzések fejlesztésével küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5882 : Pedro Vilaça (Ming-chieh Pan és Sung-ting Tsai eredeti kutatási anyagának felhasználásával); Jonathan Levin

  • Kernel

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A támadók szolgáltatásmegtagadást célzó támadásokat tudtak indítani a célzott TCP-kapcsolatokon a megfelelő sorszám ismerete nélkül.

    Leírás: Hiba lépett fel a TCP-csomagfejlécek xnu általi hitelesítésekor. A TCP-csomagfejlécek hatékonyabb hitelesítésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-5879 : Jonathan Looney

  • Kernel

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A helyi LAN-szegmensben elhelyezkedő támadók le tudták tiltani az IPv6-útválasztást.

    Leírás: Egy elégtelen hitelesítéssel kapcsolatos hiba lépett fel az IPv6-routerhirdetmények kezelésekor, ami lehetővé tette a támadóknak, hogy tetszőleges értéket állítsanak be az ugrásszámhoz. Egy minimális ugrásszám érvényesítésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-5869 : Dennis Spindel Ljungmark

  • Kernel

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A helyi felhasználók meg tudták határozni a kernelmemória felépítését.

    Leírás: Egy hiba állt fenn az XNU esetén, ami a kernelmemória tartalmának közzétételéhez vezetett. A kernelmemória szerkezetének hatékonyabb inicializálásával hárították el a problémát.

    CVE-azonosító

    CVE-2015-5842 : beist (grayhash)

  • Kernel

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A helyi felhasználók szolgáltatásmegtagadást tudtak előidézni.

    Leírás: Egy hiba lépett fel a HFS-meghajtók felcsatolásakor. További hitelesítési ellenőrzések beállításával küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5748 : Maxime Villard (m00nbsd)

  • libc

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A távoli támadók elő tudták idézni egy tetszőleges kód végrehajtását.

    Leírás: Memóriasérülést okozó hiba állt fenn az fflush függvényben. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2014-8611 : Adrian Chadd és Alfred Perlstein (Norse Corporation)

  • libpthread

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A helyi felhasználók kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.

    Leírás: Memóriasérülési hiba állt fenn a kernelben. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5899 : Lufeng Li (Qihoo 360 Vulcan Team)

  • Mail

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A támadók olyan e-maileket tudtak küldeni, amelyek látszólag a címzett címtárában található egyik kontakttól érkeztek.

    Leírás: Egy hiba lépett fel a feladó címének kezelésekor. Hatékonyabb ellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5857 : Emre Saglam of salesforce.com

  • Multipeer Connectivity

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A helyi támadók meg tudták figyelni a védelem nélküli „multipeer” adatokat.

    Leírás: Egy hiba lépett fel a kényelmi inicializáló kezelésekor, amely miatt aktív módon le tudták fokozni a titkosítást nem titkosított munkamenetre. Annak beállításával hárították el a problémát, hogy a kényelmi inicializáló titkosítást igényeljen.

    CVE-azonosító

    CVE-2015-5851 : Alban Diquet (@nabla_c0d3, Data Theorem)

  • NetworkExtension

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A helyi felhasználók meg tudták állapítani a kernelmemória felépítését.

    Leírás: A kernelben egy nem inicializált memóriával kapcsolatos probléma miatt felfedhető volt a kernelmemória tartalma. Memóriainicializálás révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5831 : Maxime Villard (m00nbsd)

  • OpenSSL

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Az OpenSSL több biztonsági réssel rendelkezett.

    Érintett terület: Több biztonsági rés állt fenn a 0.9.8zg előtti OpenSSL-verziókban. Az OpenSSL 0.9.8zg verziójára való frissítéssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-0286

    CVE-2015-0287

  • PluginKit

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rosszindulatú vállalati alkalmazások bővítményeket tudtak telepíteni a megbízhatóként való megjelölésük előtt.

    Leírás: Egy hiba lépett fel a bővítmények telepítés során történő hitelesítésekor. Az alkalmazások hatékonyabb hitelesítésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-5837 : Zhaofeng Chen, Hui Xue és Tao (Lenx) Wei (FireEye, Inc.)

  • removefile

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy a rosszindulatú adatok feldolgozásakor váratlan alkalmazásleállásra került sor.

    Leírás: Egy túlcsordulási hiba állt fenn a „checkint” elválasztási rutinokban. Hatékonyabb elválasztási rutinokkal hárították el a problémát.

    CVE-azonosító

    CVE-2015-5840 : anonim kutató

  • Safari

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A helyi felhasználók jelkód nélkül is olvasni tudták a Safari-könyvjelzőket a zárolt iOS-készülékeken.

    Leírás: A rendszer olyan kulccsal titkosította a Safari-könyvjelzőket, amelyet csak a hardveres UID védett. Azzal küszöbölték ki a problémát, hogy a hardver UID által védett kulccsal és a felhasználó jelkódjával titkosították a Safari-könyvjelzőket.

    CVE-azonosító

    CVE-2015-7118 : Jonathan Zdziarski

    Bejegyzés frissítve: 2016. december 21.

  • Safari

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a felhasználói felület.

    Leírás: Egy hiba miatt a webhelyek meg tudtak jeleníteni tartalmakat úgy, hogy egy másik webhely URL-címe jelent meg. Az URL-ek hatékonyabb kezelésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-5904 : Erling Ellingsen (Facebook), Łukasz Pilorz

  • Safari

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a felhasználói felület.

    Leírás: A nem megfelelően formázott ablaknyitóval rendelkező rosszindulatú webhelyek meglátogatásakor meg lehetett jeleníteni tetszőleges URL-címeket. Az ablaknyitók hatékonyabb kezelésével küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5905 : Keita Haga (keitahaga.com)

  • Safari

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rosszindulatú webhelyek nyomon tudták követni a felhasználókat klienstanúsítványok segítségével.

    Leírás: Egy hiba lépett fel, amikor a Safari a klienstanúsítványokat egyeztette az SSL-hitelesítéssel. Az érvényes klienstanúsítványok hatékonyabb egyeztetésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-1129 : Stefan Kraus (fluid Operations AG), Sylvain Munaut (Whatever s.a.)

  • Safari

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a felhasználói felület.

    Leírás: Előfordult, hogy a felhasználói felületen lévő inkonzisztenciák miatt a rosszindulatú webhelyek meg tudtak jeleníteni tetszőleges URL-címeket. Az URL-megjelenítési logika fejlesztésével hárították el a problémákat.

    CVE-azonosító

    CVE-2015-5764 : Antonio Sanso (@asanso, Adobe)

    CVE-2015-5765 : Ron Masas

    CVE-2015-5767 : Krystian Kloskowski (a Secunia révén), Masato Kinugawa

  • Biztonságos böngészés a Safariban

    iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Nem jelent meg biztonsági figyelmeztetés olyan webhelyek IP-címének megnyitásakor, amelyekről tudni lehetett, hogy rosszindulatúak.

    Leírás: A Safari Biztonságos böngészés funkciója nem figyelmeztette a felhasználókat, amikor olyan webhelyeket látogattak meg, amelyekről az IP-címük alapján tudni lehetett, hogy rosszindulatúak. A rosszindulatú webhelyek hatékonyabb felismerésével hárították el a problémát.

    Rahul M (TagsDock)

  • Biztonság

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rosszindulatú alkalmazások hozzá tudtak férni az alkalmazások között folyó kommunikációhoz.

    Leírás: Egy hiba lehetővé tette a rosszindulatú alkalmazásoknak, hogy hozzáférjenek az alkalmazások között URL-séma révén folyó kommunikációhoz. Annak beállításával mérsékelték a problémát, hogy megjelenjen egy párbeszédpanel egy URL-séma első alkalommal történő használatakor.

    CVE-azonosító

    CVE-2015-5835 : Teun van Run (FiftyTwoDegreesNorth B.V.); XiaoFeng Wang (Indiana University), Luyi Xing (Indiana University), Tongxin Li (Peking University), Tongxin Li (Peking University), Xiaolong Bai (Tsinghua University)

  • Siri

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező személyek a Siri segítségével el tudták olvasni az olyan tartalmakhoz kapcsolódó értesítéseket, amelyek esetén az volt beállítva, hogy ne jelenjenek meg a zárolt képernyőn.

    Leírás: Amikor a Siri utasítást kapott, a kiszolgáló nem ellenőrizte a kliensoldali korlátozásokat. Hatékonyabb korlátozásellenőrzéssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5892 : Robert S Mozayeni, Joshua Donvito

  • SpringBoard

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező személyek válaszolni tudtak a hangüzenetekre a zárolt képernyőről, amikor le volt tiltva, hogy az üzenet előnézete megjelenjen a zárolt képernyőn.

    Leírás: A zárolt képernyővel kapcsolatos hiba miatt a felhasználók válaszolni tudtak hangüzenetekre, ha az üzenetek előnézete le volt tiltva. Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5861 : Daniel Miedema (Meridian Apps)

  • SpringBoard

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rosszindulatú alkalmazások meg tudták hamisítani egy másik alkalmazás párbeszédpaneleit.

    Leírás: Egy hozzáférési hiba állt fenn a privilegizált API-hívások esetén. További korlátozások bevezetésével küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5838 : Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei, John C.S. Lui

  • SQLite

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Több biztonsági rés állt fenn az SQLite 3.8.5-ös verziójában.

    Leírás: Több biztonsági rés állt fenn az SQLite 3.8.5-ös verziójában. Az SQLite 3.8.10.2-es verziójára való frissítéssel hárították el a problémákat.

    CVE-azonosító

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • tidy

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Memóriasérülést okozó hiba állt fenn a Tidy esetén. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5522 : Fernando Muñoz (NULLGroup.com)

    CVE-2015-5523 : Fernando Muñoz (NULLGroup.com)

  • WebKit

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Ki lehetett szivárogtatni az objektumhivatkozásokat az izolált eredetek között egyéni események, üzenetesemények és „popstate” események során.

    Leírás: Egy objektumkiszivárgási probléma miatt megtört az izolációs határ az eredetek között. Az eredetek közötti hatékonyabb izolációval hárították el a problémát.

    CVE-azonosító

    CVE-2015-5827 : Gildas

  • WebKit

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.

    Leírás: A WebKit motorban memóriasérüléssel kapcsolatos hibák álltak fenn. Hatékonyabb memóriakezeléssel küszöböltük ki a problémákat.

    CVE-azonosító

    CVE-2015-5789 : Apple

    CVE-2015-5790 : Apple

    CVE-2015-5792 : Apple

    CVE-2015-5794 : Apple

    CVE-2015-5795 : Apple

    CVE-2015-5796 : Apple

    CVE-2015-5797 : Apple

    CVE-2015-5799 : Apple

    CVE-2015-5800 : Apple

    CVE-2015-5801 : Apple

    CVE-2015-5802 : Apple

    CVE-2015-5803 : Apple

    CVE-2015-5804 : Apple

    CVE-2015-5805

    CVE-2015-5806 : Apple

    CVE-2015-5807 : Apple

    CVE-2015-5809 : Apple

    CVE-2015-5810 : Apple

    CVE-2015-5811 : Apple

    CVE-2015-5812 : Apple

    CVE-2015-5813 : Apple

    CVE-2015-5817 : Apple

    CVE-2015-5818 : Apple

    CVE-2015-5819 : Apple

    CVE-2015-5821 : Apple

  • WebKit

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy a rosszindulatú webhelyek meglátogatásakor nem kívánt tárcsázásra került sor.

    Leírás: Hiba lépett fel a tel://, a facetime:// és a facetime-audio:// URL-ek kezelésekor. Az URL-ek hatékonyabb kezelésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-5820 : Andrei Neculaesei, Guillaume Ross

  • WebKit

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy a QuickType megtanulta a webes űrlapokban megadott jelszavak utolsó karakterét.

    Leírás: Hiba lépett fel a jelszóbeviteli kontextus WebKit általi kezelésekor. A beviteli kontextus hatékonyabb kezelésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-5906 : Louis Romero (Google Inc.)

  • WebKit

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A magas hálózati jogosultságú támadók rosszindulatú tartományokba irányuló átirányítást tudtak végrehajtani.

    Leírás: Hiba lépett fel az erőforrás-gyorsítótárak kezelésekor az érvénytelen tanúsítvánnyal rendelkező webhelyeken. Az érvénytelen tanúsítvánnyal rendelkező tartományok alkalmazás-gyorsítótárának elutasításával hárították el a problémát.

    CVE-azonosító

    CVE-2015-5907 : Yaoqi Jia (National University of Singapore [NUS])

  • WebKit

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rosszindulatú webhelyek ki tudtak szivárogtatni adatokat különböző forrásokból.

    Leírás: A Safari engedélyezte a különböző eredetekből származó stíluslapok betöltését nem CSS MIME típusokkal, amelyek felhasználhatók voltak a különböző eredetekből származó adatok kiszivárogtatására. Azáltal hárították el a problémát, hogy korlátozták a MIME típusokat a különböző eredetekből származó stíluslapok esetén.

    CVE-azonosító

    CVE-2015-5826 : filedescriptor, Chris Evans

  • WebKit

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy a Performance API lehetővé tette a rosszindulatú webhelyeknek a böngészési előzmények, a hálózati tevékenységek és az egérmozgások kiszivárogtatását.

    Leírás: Előfordult, hogy a WebKit Performance API-ja időmérés révén lehetővé tette a rosszindulatú webhelyeknek a böngészési előzmények, a hálózati tevékenységek és az egérmozgások kiszivárogtatását. Az időfelbontás korlátozásával hárították el a problémát.

    CVE-azonosító

    CVE-2015-5825 : Yossi Oren és munkatársai (Columbia University, Network Security Lab)

  • WebKit

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A magas hálózati jogosultságú támadók ki tudtak szivárogtatni bizalmas jellegű információkat.

    Leírás: Egy hiba állt fenn az „attachment” típust tartalmazó Content-Disposition fejlécekkel. Az „attachment” típusú oldalak néhány funkciójának letiltásával hárították el a problémát.

    CVE-azonosító

    CVE-2015-5921 : Mickey Shkatov (Intel(r) Advanced Threat Research Team), Daoyuan Wu (Singapore Management University), Rocky K. C. Chang (Hong Kong Polytechnic University), Łukasz Pilorz, superhei (www.knownsec.com)

  • WebKit-vászon

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rosszindulatú webhelyek meglátogatásakor felfedhetők voltak olyan képadatok, amelyek egy másik webhelyről származtak.

    Leírás: Egy kereszteredet-probléma állt fenn a „canvas” elemet magukban foglaló képekkel a WebKitben. A biztonsági eredetek hatékonyabb nyomon követésével hárították el a hibát.

    CVE-azonosító

    CVE-2015-5788 : Apple

  • WebKit-oldalbetöltés

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A WebSocketek meg tudták kerülni a kevert tartalmakra vonatkozó irányelv érvényesítését.

    Leírás: Egy elégtelen irányelv-érvényesítést lehetővé tevő hiba miatt a WebSocketek be tudtak tölteni kevert tartalmakat. Azáltal hárították el a problémát, hogy kiterjesztették a kevert tartalmakra vonatkozó irányelv érvényesítését a WebSocketekre.

    Kevin G. Jones (Higher Logic)

A FaceTime nem minden országban és térségben érhető el.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: