Az iOS 9.2 biztonsági tartalma
Ez a dokumentum az iOS 9.2 biztonsági tartalmát ismerteti.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcs használata című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.
iOS 9.2
AppleMobileFileIntegrity
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: A hozzáférés-vezérlési struktúrák módosíthatóságának megakadályozásával elhárítottak egy hozzáférés-vezérléssel kapcsolatos problémát.
CVE-azonosító
CVE-2015-7055 : Apple
AppSandbox
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.
Érintett terület: A rosszindulatú alkalmazások azután is hozzá tudtak férni a Kontaktokhoz, hogy megtagadták tőlük a hozzáférést.
Leírás: Fellépett egy hiba a rögzített hivatkozások sandbox általi kezelésekor. Azáltal hárították el a problémát, hogy megerősítették az alkalmazás sandboxának védelmét.
CVE-azonosító
CVE-2015-7001 : Razvan Deaconescu és Mihai Bucicoiu (University POLITEHNICA, Bucharest), Luke Deshotels és William Enck (North Carolina State University), Lucas Vincenzo Davi és Ahmad-Reza Sadeghi (TU Darmstadt)
CFNetwork HTTPProtocol
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.
Érintett terület: A magas hálózati jogosultságú támadók meg tudták kerülni a HSTS-t.
Leírás: Beviteli érvényesség-ellenőrzési hiba lépett fel az URL-ek feldolgozásakor. Hatékonyabb URL-ellenőrzéssel hárították el a problémát.
CVE-azonosító
CVE-2015-7094 : Tsubasa Iinuma (@llamakko_cafe; Gehirn Inc.) és Muneaki Nishimura (nishimunea)
Tömörítés
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.
Leírás: Nem inicializált memória-hozzáféréssel kapcsolatos probléma állt fenn a zlib esetén. Hatékonyabb memóriainicializálással és a zlib-streamek további ellenőrzésével küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-7054 : j00ru
CoreGraphics
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Memóriasérülést okozó hiba lépett fel a betűtípusfájlok feldolgozásakor. Hatékonyabb bevitel-ellenőrzéssel hárították el a problémát.
CVE-azonosító
CVE-2015-7105 : John Villamil (@day6reak), Yahoo Pentest Team
CoreMedia Playback
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.
Leírás: Több memóriasérülési hiba is fellépett a hibás formázású médiafájlok feldolgozásakor. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.
CVE-azonosító
CVE-2015-7074 : Apple
CVE-2015-7075
dyld
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Több szegmensellenőrzési hiba állt fenn a dyld esetén. Hatékonyabb környezettisztítással hárították el a problémákat.
CVE-azonosító
CVE-2015-7072 : Apple
CVE-2015-7079 : PanguTeam
GPUTools keretrendszer
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Több útvonal-érvényesítési hiba állt fenn a Mobile Replayer esetén. Hatékonyabb környezettisztítással hárították el a problémákat.
CVE-azonosító
CVE-2015-7069 : Luca Todesco (@qwertyoruiop)
CVE-2015-7070 : Luca Todesco (@qwertyoruiop)
iBooks
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.
Érintett terület: Az ártó szándékkal létrehozott iBooks-fájlok elemzésekor felfedhetők voltak a felhasználói adatok.
Leírás: Külső XML-entitáshivatkozási hiba lépett fel az iBooks-elemzések során. Hatékonyabb elemzéssel küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-7081 : Behrouz Sadeghipour (@Nahamsec) és Patrik Fehrenbach (@ITSecurityguard)
ImageIO
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Memóriasérülést okozó hiba állt fenn az ImageIO esetén. Hatékonyabb memóriakezeléssel hárították el a problémát.
CVE-azonosító
CVE-2015-7053 : Apple
IOHIDFamily
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Több memóriasérülési hiba is fennállt az IOHIDFamily API esetén. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.
CVE-azonosító
CVE-2015-7111 : beist és ABH (BoB)
CVE-2015-7112 : Ian Beer (Google Project Zero)
IOKit SCSI
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.
Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Címke nélküli mutatófeloldási hiba lépett fel egy bizonyos típusú userclient kezelésekor. Hatékonyabb ellenőrzéssel hárították el a problémát.
CVE-azonosító
CVE-2015-7068 : Ian Beer (Google Project Zero)
Kernel
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.
Érintett terület: A távoli alkalmazások szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy szolgáltatásmegtagadással kapcsolatos problémát.
CVE-azonosító
CVE-2015-7040 : Lufeng Li (Qihoo 360 Vulcan Team)
CVE-2015-7041 : Lufeng Li (Qihoo 360 Vulcan Team)
CVE-2015-7042 : Lufeng Li (Qihoo 360 Vulcan Team)
CVE-2015-7043 : Tarjei Mandt (@kernelpool)
Kernel
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.
Érintett terület: A helyi felhasználók kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.
Leírás: Több, memóriasérüléssel kapcsolatos probléma állt fenn a kernelben. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.
CVE-azonosító
CVE-2015-7083 : Ian Beer (Google Project Zero)
CVE-2015-7084 : Ian Beer (Google Project Zero)
Kernel
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.
Érintett terület: A helyi felhasználók kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.
Leírás: Fellépett egy hiba a Mach-üzenetek elemzésekor. A Mach-üzenetek hatékonyabb ellenőrzésével hárították el a problémát.
CVE-azonosító
CVE-2015-7047 : Ian Beer (Google Project Zero)
LaunchServices
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Memóriasérülési hiba lépett fel a hibás formázású plist-fájlok feldolgozásakor. Hatékonyabb memóriakezeléssel hárították el a problémát.
CVE-azonosító
CVE-2015-7113 : Olivier Goguel (Free Tools Association)
libarchive
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.
Leírás: Memóriasérülési hiba lépett fel az archívumok feldolgozásakor. Hatékonyabb memóriakezeléssel hárították el a problémát.
CVE-azonosító
CVE-2011-2895 : @practicalswift
libc
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott csomagok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Több, puffertúlcsordulást okozó probléma állt fenn a szabványos C-könyvtárban. Hatékonyabb határérték-ellenőrzéssel küszöbölték ki a problémákat.
CVE-azonosító
CVE-2015-7038 : Brian D. Wells (E. W. Scripps), Narayan Subramanian (Symantec Corporation/Veritas LLC)
CVE-2015-7039 : Maksymilian Arciemowicz (CXSECURITY.COM)
A bejegyzés frissítve: 2017. március 3.
libxml2
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.
Érintett terület: Az ártó szándékkal létrehozott XML-dokumentumok elemzésekor felfedhetők voltak a felhasználói adatok.
Leírás: Memóriasérülést okozó hiba lépett fel az XML-fájlok elemzésekor. Hatékonyabb memóriakezeléssel hárították el a problémát.
CVE-azonosító
CVE-2015-7115 : Wei Lei és Liu Yang (Nanyang Technological University)
CVE-2015-7116 : Wei Lei és Liu Yang (Nanyang Technological University)
MobileStorageMounter
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Egy időzítéssel kapcsolatos probléma lépett fel a megbízhatósági gyorsítótár betöltésekor. Annak beállításával hárították el a problémát, hogy végbemenjen a rendszerkörnyezet hitelesítése a megbízhatósági gyorsítótár betöltése előtt.
CVE-azonosító
CVE-2015-7051 : PanguTeam
OpenGL
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.
Leírás: Több memóriasérülési hiba is fennállt az OpenGL esetén. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.
CVE-azonosító
CVE-2015-7064 : Apple
CVE-2015-7065 : Apple
CVE-2015-7066 : Tongbo Luo és Bo Qu (Palo Alto Networks)
Fotók
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.
Érintett terület: A támadók a biztonsági mentési rendszer segítségével hozzá tudtak férni a fájlrendszer korlátozott területeihez.
Leírás: Útvonal-érvényesítési hiba állt fenn a Mobile Backup esetén. Hatékonyabb környezettisztítással hárították el a problémát.
CVE-azonosító
CVE-2015-7037 : PanguTeam
QuickLook
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott iWork-fájlok megnyitásakor tetszőleges programkód végrehajtására került sor.
Leírás: Memóriasérülési hiba lépett fel az iWork-fájlok kezelésekor. Hatékonyabb memóriakezeléssel hárították el a problémát.
CVE-azonosító
CVE-2015-7107
Safari
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a felhasználói felület.
Leírás: Egy hiba miatt a webhelyek meg tudtak jeleníteni tartalmakat úgy, hogy egy másik webhely URL-címe jelent meg. Az URL-ek hatékonyabb kezelésével hárították el a problémát.
CVE-azonosító
CVE-2015-7093 : xisigr (Tencent, Xuanwu LAB; www.tencent.com)
Sandbox
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.
Érintett terület: A gyökérszintű jogosultsággal rendelkező rosszindulatú alkalmazások meg tudták kerülni a kernel véletlenszerű címtér-elrendezéses védelmét.
Leírás: Jogosultság-szétválasztási hiba állt fenn az xnu esetén. Hatékonyabb jogosultságellenőrzéssel küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-7046 : Apple
Biztonság
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.
Érintett terület: Egy távoli támadó váratlan alkalmazásleállást tudott előidézni, illetve tetszőleges programkódot tudott végrehajtani.
Leírás: Memóriasérülést okozó hiba lépett fel az SSL-kézfogások kezelésekor. Hatékonyabb memóriakezeléssel hárították el a problémát.
CVE-azonosító
CVE-2015-7073 : Benoit Foucher (ZeroC, Inc.)
Biztonság
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.
Érintett terület: A rosszindulatú alkalmazások hozzá tudtak férni a felhasználói kulcskarika elemeihez.
Leírás: Hiba lépett fel a kulcskarikaelemekhez kapcsolódó hozzáférés-kezelési listák hitelesítésekor. A hozzáférés-kezelési listák hatékonyabb ellenőrzésével hárították el a problémát.
CVE-azonosító
CVE-2015-7058
Siri
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.
Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező személyek a Siri segítségével el tudták olvasni az olyan tartalmakhoz kapcsolódó értesítéseket, amelyek esetén az volt beállítva, hogy ne jelenjenek meg a zárolt képernyőn.
Leírás: Amikor a Siri utasítást kapott, a kiszolgáló nem ellenőrizte a kliensoldali korlátozásokat. Hatékonyabb korlátozásellenőrzéssel küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-7080 : Or Safran (www.linkedin.com/profile/view?id=33912591)
WebKit
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.
Leírás: A WebKit motor több, memóriasérüléssel kapcsolatos problémát tartalmazott. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.
CVE-azonosító
CVE-2015-7048 : Apple
CVE-2015-7095 : Apple
CVE-2015-7096 : Apple
CVE-2015-7097 : Apple
CVE-2015-7098 : Apple
CVE-2015-7099 : Apple
CVE-2015-7100 : Apple
CVE-2015-7101 : Apple
CVE-2015-7102 : Apple
CVE-2015-7103 : Apple
WebKit
A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor felfedhetők voltak a felhasználó böngészési előzményei.
Leírás: Beviteli érvényesség-ellenőrzési probléma lépett fel a tartalomblokkolás során. A tartalomkiterjesztés hatékonyabb elemzésével hárították el a problémát.
CVE-azonosító
CVE-2015-7050 : Luke Li és Jonathan Metzman
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.