Az iOS 10 biztonsági tartalma

Ez a dokumentum az iOS 10 biztonsági tartalmát ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple-termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

iOS 10

Kiadási dátum: 2016. szeptember 13.

AppleMobileFileIntegrity

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A rendszerszintű jogosultsággal rendelkező helyi alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Érvényesítési hiba állt fenn a portöröklési irányelv esetén. A folyamatjogosultság és a csoportazonosító hatékonyabb ellenőrzésével hárították el a problémát.

CVE-2016-4698: Pedro Vilaça

Bejegyzés hozzáadva 2016. szeptember 20-án.

Eszközök

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A magas hálózati jogosultságú támadók meg tudták akadályozni, hogy a készülékek szoftverfrissítéseket fogadjanak.

Leírás: Egy hiba állt fenn az iOS-frissítésekben, aminek következtében nem ment végbe megfelelően a felhasználói kommunikáció védelmének biztosítása. Annak beállításával hárították el a problémát, hogy a rendszer a HTTPS protokollt használja a szoftverfrissítésekhez.

CVE-2016-4741 : Raul Siles (DinoSec)

Hang

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A távoli támadók tetszőleges programkód végrehajtását tudták előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park és Taekyoung Kwon (Information Security Lab, Yonsei University)

Bejegyzés hozzáadva 2016. szeptember 20-án.

Megbízható tanúsítványok házirendje

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A megbízható tanúsítványok házirendjének frissítése

Leírás: Frissült a megbízható tanúsítványok házirendje. A tanúsítványok teljes listája a következő weboldalon tekinthető meg: https://support.apple.com/hu-hu/HT204132.

Bejegyzés hozzáadva 2016. szeptember 20-án.

CFNetwork

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A helyi felhasználó adott esetben ki tudta deríteni, hogy egy adott felhasználó milyen webhelyeket látogatott meg.

Leírás: Hiba lépett fel a Helyi tárhely törlésekor. A Helyi tárhely hatékonyabb tisztításával hárították el a problémát.

CVE-2016-4707: anonim kutató

Bejegyzés hozzáadva 2016. szeptember 20-án.

CFNetwork

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor meg lehetett szerezni a felhasználói adatokat.

Leírás: Beviteli érvényesség-ellenőrzési probléma lépett fel a „set-cookie” fejléc elemzésekor. Hatékonyabb hitelesítési ellenőrzéssel hárították el a problémát.

CVE-2016-4708: Dawid Czagan (Silesia Security Lab)

Bejegyzés hozzáadva 2016. szeptember 20-án.

CommonCrypto

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A CCrypt segédprogramot használó alkalmazások fel tudtak fedni bizalmas jellegű egyszerű szövegeket, ha ugyanaz volt a kimeneti és a bemeneti puffer.

Leírás: Beviteli érvényesség-ellenőrzési probléma állt fenn a corecrypto esetén. Hatékonyabb bevitelellenőrzéssel hárították el a problémát.

CVE-2016-4711: Max Lohrmann

Bejegyzés hozzáadva 2016. szeptember 20-án.

CoreCrypto

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Elhárítottak egy határértéket túllépő írási problémát a sebezhető kód eltávolításával.

CVE-2016-4712: Köteles Gergő

Bejegyzés hozzáadva 2016. szeptember 20-án.

FontParser

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Puffertúlcsordulást okozó probléma lépett fel a betűtípusfájlok kezelésekor.

A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

CVE-2016-4718: Apple

Bejegyzés hozzáadva 2016. szeptember 20-án.

GeoServices

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Az alkalmazások be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: Egy engedélyezési hiba állt fenn a PlaceData esetén. Az engedélyek hatékonyabb ellenőrzésével hárították el a problémát.

CVE-2016-4719: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA, Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

IDS – csatlakozás

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Kanonizálási probléma lépett fel a Hívástovábbítás kezelésekor. Hatékonyabb bevitelellenőrzéssel hárították el a problémát.

CVE-2016-4722: Martin Vigo (@martin_vigo; salesforce.com)

Bejegyzés hozzáadva 2016. szeptember 20-án.

IOAcceleratorFamily

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitelellenőrzéssel elhárítottak egy címke nélküli mutatófeloldási hibát.

CVE-2016-4724: Cererdlong, Eakerqiu (Team OverSky)

Bejegyzés hozzáadva 2016. szeptember 20-án.

IOAcceleratorFamily

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a folyamatmemória közzététele.

Leírás: Hatékonyabb bevitelellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2016-4725: Rodger Combs (Plex, Inc.)

Bejegyzés hozzáadva 2016. szeptember 20-án.

IOAcceleratorFamily

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2016-4726: anonim kutató

Bejegyzés hozzáadva 2016. szeptember 20-án.

Kernel

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy a helyi alkalmazások hozzá tudtak férni korlátozott fájlokhoz.

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottak egy elemzési hibát, amely a könyvtárak elérési útjának kezelésekor lépett fel.

CVE-2016-4771: Bucsay Balázs (az MRG Effitas kutatási igazgatója)

Bejegyzés hozzáadva 2016. szeptember 20-án.

Kernel

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Elhárítottak egy zároláskezelési hibát hatékonyabb zároláskezeléssel.

CVE-2016-4772: Marc Heuse (mh-sec)

Bejegyzés hozzáadva 2016. szeptember 20-án.

Kernel

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Az alkalmazások meg tudták állapítani a kernelmemória elrendezését.

Leírás: Több határérték-olvasási hiba miatt felfedhető volt a kernelmemória tartalma. Hatékonyabb bevitelellenőrzéssel hárították el a problémákat.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Bejegyzés hozzáadva 2016. szeptember 20-án.

Kernel

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Elhárítottak egy nem megbízható mutatófeloldást az érintett kód eltávolításával.

CVE-2016-4777 : Lufeng Li (Qihoo 360 Vulcan Team)

Bejegyzés hozzáadva 2016. szeptember 20-án.

Kernel

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.

CVE-2016-4778: CESG

Bejegyzés hozzáadva 2016. szeptember 20-án.

Billentyűzetek

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A billentyűzet automatikus javítási javaslatai révén felfedhetők voltak bizalmas jellegű információk.

Leírás: Az iOS-billentyűzet véletlenül bizalmas jellegű információkat gyorsítótárazott. Hatékonyabb heurisztikával küszöbölték ki a problémát.

CVE-2016-4746: Antoine M (France)

libxml2

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A libxml2 könyvtárban több probléma állt fenn, amelyek közül a legsúlyosabb váratlan alkalmazásleállást, illetve tetszőleges kódvégrehajtást tett lehetővé.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.

CVE-2016-4658 : Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

Bejegyzés hozzáadva 2016. szeptember 20-án.

libxslt

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2016-4738: Nick Wellnhofer

Bejegyzés hozzáadva 2016. szeptember 20-án.

Mail

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A magas hálózati jogosultságú támadók meg tudták szerezni az e-mail-fiókok hitelesítési adatait.

Leírás: Hiba lépett fel a nem megbízható tanúsítványok kezelésekor. A nem megbízható kapcsolatok leállításával hárították el a problémát.

CVE-2016-4747: Dave Aitel

Üzenetek

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az Üzenetek látható volt egy olyan készüléken, amely nem volt bejelentkezve az Üzenetekbe.

Leírás: Fellépett egy probléma a Handoff és az Üzenetek együttes használatakor. Jobb állapotkezeléssel küszöbölték ki a problémát.

CVE-2016-4740: Step Wallace

Nyomtatási UIKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Nem titkosított dokumentum volt írható egy ideiglenes fájlba az AirPrint-előnézet használatakor.

Leírás: Egy hiba állt fenn az AirPrint-előnézet esetén. Hatékonyabb környezettisztítással hárították el a problémát.

CVE-2016-4749: anonim kutató

S2 kamera

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2016-4750: Jack Tang (@jacktang310) és Moony Li (Trend Micro), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés hozzáadva 2016. szeptember 20-án.

Safari-olvasó

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A Safari Olvasó ártó szándékkal létrehozott weboldalon való engedélyezése webhelyek közötti, parancsfájlt alkalmazó univerzális támadásokra adott lehetőséget.

Leírás: Hatékonyabb beviteltisztítással elhárítottak több hitelesítési hibát.

CVE-2016-4618: Erling Ellingsen

Bejegyzés hozzáadva 2016. szeptember 20-án, frissítve 2016. szeptember 23-án.

Sandbox-profilok

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A rosszindulatú alkalmazások meg tudták határozni, hogy a felhasználó kinek ír szöveges üzenetet.

Leírás: Hozzáférés-vezérléssel kapcsolatos probléma lépett fel a vázlatos SMS-ek könyvtáraiban. A probléma elhárítása érdekében megakadályozták az alkalmazásokat abban, hogy elindítsák az érintett könyvtárakat.

CVE-2016-4620 : Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA, Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Biztonság

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Érvényesítési hiba állt fenn az aláírt lemezképek esetén. Hatékonyabb méretellenőrzéssel küszöbölték ki a problémát.

CVE-2016-4753 : Mark Mentovai (Google Inc.)

Bejegyzés hozzáadva 2016. szeptember 20-án.

Springboard

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Megtekinthetők voltak a bizalmas jellegű adatok az alkalmazásokról készült pillanatfelvételeken a Feladatváltóban.

Leírás: Egy probléma állt fenn a Springboardban, amely olyan gyorsítótárazott pillanatképeket jelenített meg, amelyek bizalmas jellegű adatokat tartalmaztak a Feladatváltóban. Frissített pillanatképek megjelenítésével hárították el a problémát.

CVE-2016-7759: Fatma Yılmaz (Ptt Genel Müdürlüğü, Ankara)

Bejegyzés hozzáadva 2017. január 17-én.

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Egy elemzési hiba lépett fel a hibaprototípusok elemzésekor. Hatékonyabb ellenőrzéssel hárították el a problémát.

CVE-2016-4728: Daniel Divricean

Bejegyzés hozzáadva 2016. szeptember 20-án.

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy ártó szándékkal létrehozott webhelyek meglátogatásakor kiszivárogtak bizalmas jellegű adatok.

Leírás: Engedélyezési hiba lépett fel a helyváltozó kezelésekor. További tulajdonjog-ellenőrzésekkel hárították el a problémát.

CVE-2016-4758: Masato Kinugawa (Cure53)

Bejegyzés hozzáadva 2016. szeptember 20-án.

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.

CVE-2016-4611: Apple

CVE-2016-4729: Apple

CVE-2016-4730: Apple

CVE-2016-4731: Apple

CVE-2016-4734: Natalie Silvanovich (Google Project Zero)

CVE-2016-4735: André Bargull

CVE-2016-4737: Apple

CVE-2016-4759: Tongbo Luo (Palo Alto Networks)

CVE-2016-4762: Zheng Huang (Baidu Security Lab)

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768 : anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés hozzáadva 2016. szeptember 20-án.

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek hozzáfértek nem HTTP-szolgáltatásokhoz.

Leírás: Mivel a Safari támogatja a HTTP/0.9 protokollt, DNS-újrakötés révén lehetővé vált a nem HTTP-szolgáltatások protokollok közötti kihasználása. Azáltal hárították el a problémát, hogy az alapértelmezett portokra korlátozták a HTTP/0.9 válaszokat, és leállították az erőforrások betöltését, ha a dokumentum egy másik verziójú HTTP protokollal töltődött be.

CVE-2016-4760: Jordan Milne

Bejegyzés hozzáadva 2016. szeptember 20-án.

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb állapotkezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.

CVE-2016-4733: Natalie Silvanovich (Google Project Zero)

CVE-2016-4765: Apple

Bejegyzés hozzáadva 2016. szeptember 20-án.

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A magas hálózati jogosultságú támadók hozzá tudtak férni a hálózati forgalomhoz, és olyan alkalmazásokra irányították, amelyek a WKWebView esetén HTTPS-t használtak.

Leírás: Tanúsítványhitelesítéssel kapcsolatos probléma lépett fel a WKWebView kezelésekor. Hatékonyabb ellenőrzéssel hárították el a problémát.

CVE-2016-4763: anonim kutató

Bejegyzés hozzáadva 2016. szeptember 20-án.

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb állapotkezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.

CVE-2016-4764: Apple

Bejegyzés hozzáadva 2016. november 3-án.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: