Az iOS 9.2 biztonsági tartalma

Ez a dokumentum az iOS 9.2 biztonsági tartalmát ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcs használata című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.

iOS 9.2

  • AppleMobileFileIntegrity

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: A hozzáférés-vezérlési struktúrák módosíthatóságának megakadályozásával elhárítottak egy hozzáférés-vezérléssel kapcsolatos problémát.

    CVE-azonosító

    CVE-2015-7055 : Apple

  • AppSandbox

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rosszindulatú alkalmazások azután is hozzá tudtak férni a Kontaktokhoz, hogy megtagadták tőlük a hozzáférést.

    Leírás: Fellépett egy hiba a rögzített hivatkozások sandbox általi kezelésekor. Azáltal hárították el a problémát, hogy megerősítették az alkalmazás sandboxának védelmét.

    CVE-azonosító

    CVE-2015-7001 : Razvan Deaconescu és Mihai Bucicoiu (University POLITEHNICA, Bucharest), Luke Deshotels és William Enck (North Carolina State University), Lucas Vincenzo Davi és Ahmad-Reza Sadeghi (TU Darmstadt)

  • CFNetwork HTTPProtocol

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A magas hálózati jogosultságú támadók meg tudták kerülni a HSTS-t.

    Leírás: Beviteli érvényesség-ellenőrzési hiba lépett fel az URL-ek feldolgozásakor. Hatékonyabb URL-ellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-7094 : Tsubasa Iinuma (@llamakko_cafe; Gehirn Inc.) és Muneaki Nishimura (nishimunea)

  • Tömörítés

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Nem inicializált memória-hozzáféréssel kapcsolatos probléma állt fenn a zlib esetén. Hatékonyabb memóriainicializálással és a zlib-streamek további ellenőrzésével küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-7054 : j00ru

  • CoreGraphics

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Memóriasérülést okozó hiba lépett fel a betűtípusfájlok feldolgozásakor. Hatékonyabb bevitel-ellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-7105 : John Villamil (@day6reak), Yahoo Pentest Team

  • CoreMedia Playback

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Több memóriasérülési hiba is fellépett a hibás formázású médiafájlok feldolgozásakor. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-7074 : Apple

    CVE-2015-7075

  • dyld

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Több szegmensellenőrzési hiba állt fenn a dyld esetén. Hatékonyabb környezettisztítással hárították el a problémákat.

    CVE-azonosító

    CVE-2015-7072 : Apple

    CVE-2015-7079 : PanguTeam

  • GPUTools keretrendszer

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Több útvonal-érvényesítési hiba állt fenn a Mobile Replayer esetén. Hatékonyabb környezettisztítással hárították el a problémákat.

    CVE-azonosító

    CVE-2015-7069 : Luca Todesco (@qwertyoruiop)

    CVE-2015-7070 : Luca Todesco (@qwertyoruiop)

  • iBooks

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Az ártó szándékkal létrehozott iBooks-fájlok elemzésekor felfedhetők voltak a felhasználói adatok.

    Leírás: Külső XML-entitáshivatkozási hiba lépett fel az iBooks-elemzések során. Hatékonyabb elemzéssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-7081 : Behrouz Sadeghipour (@Nahamsec) és Patrik Fehrenbach (@ITSecurityguard)

  • ImageIO

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Memóriasérülést okozó hiba állt fenn az ImageIO esetén. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-7053 : Apple

  • IOHIDFamily

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Több memóriasérülési hiba is fennállt az IOHIDFamily API esetén. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-7111 : beist és ABH (BoB)

    CVE-2015-7112 : Ian Beer (Google Project Zero)

  • IOKit SCSI

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Címke nélküli mutatófeloldási hiba lépett fel egy bizonyos típusú userclient kezelésekor. Hatékonyabb ellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-7068 : Ian Beer (Google Project Zero)

  • Kernel

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A távoli alkalmazások szolgáltatásmegtagadást tudtak előidézni.

    Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy szolgáltatásmegtagadással kapcsolatos problémát.

    CVE-azonosító

    CVE-2015-7040 : Lufeng Li (Qihoo 360 Vulcan Team)

    CVE-2015-7041 : Lufeng Li (Qihoo 360 Vulcan Team)

    CVE-2015-7042 : Lufeng Li (Qihoo 360 Vulcan Team)

    CVE-2015-7043 : Tarjei Mandt (@kernelpool)

  • Kernel

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A helyi felhasználók kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.

    Leírás: Több, memóriasérüléssel kapcsolatos probléma állt fenn a kernelben. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-7083 : Ian Beer (Google Project Zero)

    CVE-2015-7084 : Ian Beer (Google Project Zero)

  • Kernel

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A helyi felhasználók kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.

    Leírás: Fellépett egy hiba a Mach-üzenetek elemzésekor. A Mach-üzenetek hatékonyabb ellenőrzésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-7047 : Ian Beer (Google Project Zero)

  • LaunchServices

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Memóriasérülési hiba lépett fel a hibás formázású plist-fájlok feldolgozásakor. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-7113 : Olivier Goguel (Free Tools Association)

  • libarchive

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Memóriasérülési hiba lépett fel az archívumok feldolgozásakor. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2011-2895 : @practicalswift

  • libc

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott csomagok feldolgozásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Több, puffertúlcsordulást okozó probléma állt fenn a szabványos C-könyvtárban. Hatékonyabb határérték-ellenőrzéssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-7038 : Brian D. Wells (E. W. Scripps),  Narayan Subramanian (Symantec Corporation/Veritas LLC)

    CVE-2015-7039 : Maksymilian Arciemowicz (CXSECURITY.COM)

    A bejegyzés frissítve: 2017. március 3.

  • libxml2

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Az ártó szándékkal létrehozott XML-dokumentumok elemzésekor felfedhetők voltak a felhasználói adatok.

    Leírás: Memóriasérülést okozó hiba lépett fel az XML-fájlok elemzésekor. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-7115 : Wei Lei és Liu Yang (Nanyang Technological University)

    CVE-2015-7116 : Wei Lei és Liu Yang (Nanyang Technological University)

  • MobileStorageMounter

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Egy időzítéssel kapcsolatos probléma lépett fel a megbízhatósági gyorsítótár betöltésekor. Annak beállításával hárították el a problémát, hogy végbemenjen a rendszerkörnyezet hitelesítése a megbízhatósági gyorsítótár betöltése előtt.

    CVE-azonosító

    CVE-2015-7051 : PanguTeam

  • OpenGL

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Több memóriasérülési hiba is fennállt az OpenGL esetén. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-7064 : Apple

    CVE-2015-7065 : Apple

    CVE-2015-7066 : Tongbo Luo és Bo Qu (Palo Alto Networks)

  • Fotók

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A támadók a biztonsági mentési rendszer segítségével hozzá tudtak férni a fájlrendszer korlátozott területeihez.

    Leírás: Útvonal-érvényesítési hiba állt fenn a Mobile Backup esetén. Hatékonyabb környezettisztítással hárították el a problémát.

    CVE-azonosító

    CVE-2015-7037 : PanguTeam

  • QuickLook

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott iWork-fájlok megnyitásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Memóriasérülési hiba lépett fel az iWork-fájlok kezelésekor. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-7107

  • Safari

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a felhasználói felület.

    Leírás: Egy hiba miatt a webhelyek meg tudtak jeleníteni tartalmakat úgy, hogy egy másik webhely URL-címe jelent meg. Az URL-ek hatékonyabb kezelésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-7093 : xisigr (Tencent, Xuanwu LAB; www.tencent.com)

  • Sandbox

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A gyökérszintű jogosultsággal rendelkező rosszindulatú alkalmazások meg tudták kerülni a kernel véletlenszerű címtér-elrendezéses védelmét.

    Leírás: Jogosultság-szétválasztási hiba állt fenn az xnu esetén. Hatékonyabb jogosultságellenőrzéssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-7046 : Apple

  • Biztonság

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Egy távoli támadó váratlan alkalmazásleállást tudott előidézni, illetve tetszőleges programkódot tudott végrehajtani.

    Leírás: Memóriasérülést okozó hiba lépett fel az SSL-kézfogások kezelésekor. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-7073 : Benoit Foucher (ZeroC, Inc.)

  • Biztonság

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rosszindulatú alkalmazások hozzá tudtak férni a felhasználói kulcskarika elemeihez.

    Leírás: Hiba lépett fel a kulcskarikaelemekhez kapcsolódó hozzáférés-kezelési listák hitelesítésekor. A hozzáférés-kezelési listák hatékonyabb ellenőrzésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-7058

  • Siri

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező személyek a Siri segítségével el tudták olvasni az olyan tartalmakhoz kapcsolódó értesítéseket, amelyek esetén az volt beállítva, hogy ne jelenjenek meg a zárolt képernyőn.

    Leírás: Amikor a Siri utasítást kapott, a kiszolgáló nem ellenőrizte a kliensoldali korlátozásokat. Hatékonyabb korlátozásellenőrzéssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-7080 : Or Safran (www.linkedin.com/profile/view?id=33912591)

  • WebKit

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.

    Leírás: A WebKit motor több, memóriasérüléssel kapcsolatos problémát tartalmazott. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-7048 : Apple

    CVE-2015-7095 : Apple

    CVE-2015-7096 : Apple

    CVE-2015-7097 : Apple

    CVE-2015-7098 : Apple

    CVE-2015-7099 : Apple

    CVE-2015-7100 : Apple

    CVE-2015-7101 : Apple

    CVE-2015-7102 : Apple

    CVE-2015-7103 : Apple

  • WebKit

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor felfedhetők voltak a felhasználó böngészési előzményei.

    Leírás: Beviteli érvényesség-ellenőrzési probléma lépett fel a tartalomblokkolás során. A tartalomkiterjesztés hatékonyabb elemzésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-7050 : Luke Li és Jonathan Metzman

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: