Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
iOS 10
Kiadási dátum: 2016. szeptember 13.
AppleMobileFileIntegrity
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A rendszerszintű jogosultsággal rendelkező helyi alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Érvényesítési hiba állt fenn a portöröklési szabályzat esetén. A folyamatjogosultság és a csoportazonosító hatékonyabb ellenőrzésével hárítottuk el a problémát.
CVE-2016-4698: Pedro Vilaça
Bejegyzés hozzáadva: 2016. szeptember 20.
Eszközök
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A magas hálózati jogosultságú támadók meg tudták akadályozni, hogy a készülékek szoftverfrissítéseket fogadjanak.
Leírás: Egy hiba állt fenn az iOS-frissítésekben, aminek következtében nem ment végbe megfelelően a felhasználói kommunikáció védelmének biztosítása. Annak beállításával hárítottuk el a problémát, hogy a rendszer a HTTPS protokollt használja a szoftverfrissítésekhez.
CVE-2016-4741 : Raul Siles (DinoSec)
Hang
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A távoli támadók tetszőleges programkód végrehajtását tudták előidézni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park és Taekyoung Kwon (Information Security Lab, Yonsei University)
Bejegyzés hozzáadva: 2016. szeptember 20.
Megbízható tanúsítványok házirendje
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A megbízható tanúsítványok házirendjének frissítése
Leírás: Frissült a megbízható tanúsítványok házirendje. A tanúsítványok teljes listája a következő weboldalon tekinthető meg: https://support.apple.com/hu-hu/HT204132.
Bejegyzés hozzáadva: 2016. szeptember 20.
CFNetwork
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A helyi felhasználó adott esetben ki tudta deríteni, hogy egy adott felhasználó milyen webhelyeket látogatott meg.
Leírás: Hiba lépett fel a Helyi tárhely törlésekor. A Helyi tárhely hatékonyabb tisztításával hárítottuk el a problémát.
CVE-2016-4707: anonim kutató
Bejegyzés hozzáadva: 2016. szeptember 20.
CFNetwork
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor meg lehetett szerezni a felhasználói adatokat.
Leírás: Beviteli érvényesség-ellenőrzési probléma lépett fel a „set-cookie” fejléc elemzésekor. Hatékonyabb hitelesítési ellenőrzéssel hárítottuk el a problémát.
CVE-2016-4708: Dawid Czagan (Silesia Security Lab)
Bejegyzés hozzáadva: 2016. szeptember 20.
CommonCrypto
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A CCrypt segédprogramot használó alkalmazások fel tudtak fedni bizalmas jellegű egyszerű szövegeket, ha ugyanaz volt a kimeneti és a bemeneti puffer.
Leírás: Beviteli érvényesség-ellenőrzési probléma állt fenn a corecrypto esetén. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.
CVE-2016-4711: Max Lohrmann
Bejegyzés hozzáadva: 2016. szeptember 20.
CoreCrypto
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Elhárítottunk egy határértéket túllépő írási problémát a sebezhető kód eltávolításával.
CVE-2016-4712: Köteles Gergő
Bejegyzés hozzáadva: 2016. szeptember 20.
FontParser
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.
Leírás: Puffertúlcsordulást okozó probléma lépett fel a betűtípusfájlok kezelésekor.
A határérték-ellenőrzés javítása révén küszöböltük ki a problémát.
CVE-2016-4718: Apple
Bejegyzés hozzáadva: 2016. szeptember 20.
GeoServices
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Az alkalmazások be tudtak olvasni bizalmas jellegű helyadatokat.
Leírás: Egy engedélyezési hiba állt fenn a PlaceData esetén. Az engedélyek hatékonyabb ellenőrzésével hárítottuk el a problémát.
CVE-2016-4719: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA, Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
IDS – csatlakozás
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.
Leírás: Kanonizálási probléma lépett fel a Hívástovábbítás kezelésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.
CVE-2016-4722: Martin Vigo (@martin_vigo; salesforce.com)
Bejegyzés hozzáadva: 2016. szeptember 20.
IOAcceleratorFamily
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.
CVE-2016-4724: Cererdlong, Eakerqiu (Team OverSky)
Bejegyzés hozzáadva: 2016. szeptember 20.
IOAcceleratorFamily
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a folyamatmemória közzététele.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.
CVE-2016-4725: Rodger Combs (Plex, Inc.)
Bejegyzés hozzáadva: 2016. szeptember 20.
IOAcceleratorFamily
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2016-4726: anonim kutató
Bejegyzés hozzáadva: 2016. szeptember 20.
Kernel
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy a helyi alkalmazások hozzá tudtak férni korlátozott fájlokhoz.
Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy elemzési hibát, amely a könyvtárak elérési útjának kezelésekor lépett fel.
CVE-2016-4771: Bucsay Balázs (az MRG Effitas kutatási igazgatója)
Bejegyzés hozzáadva: 2016. szeptember 20.
Kernel
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.
Leírás: Elhárítottunk egy zároláskezelési hibát hatékonyabb zároláskezeléssel.
CVE-2016-4772: Marc Heuse (mh-sec)
Bejegyzés hozzáadva: 2016. szeptember 20.
Kernel
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Az alkalmazások meg tudták állapítani a kernelmemória elrendezését.
Leírás: Több határérték-olvasási hiba miatt felfedhető volt a kernelmemória tartalma. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémákat.
CVE-2016-4773: Brandon Azad
CVE-2016-4774: Brandon Azad
CVE-2016-4776: Brandon Azad
Bejegyzés hozzáadva: 2016. szeptember 20.
Kernel
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Elhárítottunk egy nem megbízható mutatófeloldást az érintett kód eltávolításával.
CVE-2016-4777 : Lufeng Li (Qihoo 360 Vulcan Team)
Bejegyzés hozzáadva: 2016. szeptember 20.
Kernel
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.
CVE-2016-4778: CESG
Bejegyzés hozzáadva: 2016. szeptember 20.
Billentyűzetek
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A billentyűzet automatikus javítási javaslatai révén felfedhetők voltak bizalmas jellegű információk.
Leírás: Az iOS-billentyűzet véletlenül bizalmas jellegű információkat gyorsítótárazott. Hatékonyabb heurisztikával küszöböltük ki a problémát.
CVE-2016-4746: Antoine M (France)
libxml2
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A libxml2 könyvtárban több probléma állt fenn, amelyek közül a legsúlyosabb váratlan alkalmazásleállást, illetve tetszőleges kódvégrehajtást tett lehetővé.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.
CVE-2016-4658 : Nick Wellnhofer
CVE-2016-5131: Nick Wellnhofer
Bejegyzés hozzáadva: 2016. szeptember 20.
libxslt
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2016-4738: Nick Wellnhofer
Bejegyzés hozzáadva: 2016. szeptember 20.
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A magas hálózati jogosultságú támadók meg tudták szerezni az e-mail-fiókok hitelesítési adatait.
Leírás: Hiba lépett fel a nem megbízható tanúsítványok kezelésekor. A nem megbízható kapcsolatok leállításával hárítottuk el a problémát.
CVE-2016-4747: Dave Aitel
Üzenetek
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az Üzenetek látható volt egy olyan készüléken, amely nem volt bejelentkezve az Üzenetekbe.
Leírás: Fellépett egy probléma a Handoff és az Üzenetek együttes használatakor. Jobb állapotkezeléssel küszöböltük ki a problémát.
CVE-2016-4740: Step Wallace
Nyomtatási UIKit
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Nem titkosított dokumentum volt írható egy ideiglenes fájlba az AirPrint-előnézet használatakor.
Leírás: Egy hiba állt fenn az AirPrint-előnézet esetén. Hatékonyabb környezettisztítással hárítottuk el a problémát.
CVE-2016-4749: Scott Alexander (@gooshy)
Bejegyzés frissítve: 2018. szeptember 12.
S2 kamera
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2016-4750: Jack Tang (@jacktang310) és Moony Li (Trend Micro), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
Bejegyzés hozzáadva: 2016. szeptember 20.
Safari-olvasó
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A Safari Olvasó ártó szándékkal létrehozott weboldalon való engedélyezése webhelyek közötti, parancsfájlt alkalmazó univerzális támadásokra adott lehetőséget.
Leírás: Hatékonyabb beviteltisztítással elhárítottak több hitelesítési hibát.
CVE-2016-4618: Erling Ellingsen
Bejegyzés hozzáadva 2016. szeptember 20-án, frissítve 2016. szeptember 23-án.
Sandbox-profilok
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A rosszindulatú alkalmazások meg tudták határozni, hogy a felhasználó kinek ír szöveges üzenetet.
Leírás: Hozzáférés-vezérléssel kapcsolatos probléma lépett fel a vázlatos SMS-ek könyvtáraiban. A probléma elhárítása érdekében megakadályozták az alkalmazásokat abban, hogy elindítsák az érintett könyvtárakat.
CVE-2016-4620 : Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA, Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
Biztonság
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Érvényesítési hiba állt fenn az aláírt lemezképek esetén. Hatékonyabb méretellenőrzéssel küszöböltük ki a problémát.
CVE-2016-4753 : Mark Mentovai (Google Inc.)
Bejegyzés hozzáadva: 2016. szeptember 20.
Springboard
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Megtekinthetők voltak a bizalmas jellegű adatok az alkalmazásokról készült pillanatfelvételeken a Feladatváltóban.
Leírás: Egy probléma állt fenn a Springboardban, amely olyan gyorsítótárazott pillanatképeket jelenített meg, amelyek bizalmas jellegű adatokat tartalmaztak a Feladatváltóban. Frissített pillanatképek megjelenítésével hárítottuk el a problémát.
CVE-2016-7759: Fatma Yılmaz (Ptt Genel Müdürlüğü, Ankara)
Bejegyzés hozzáadva: 2017. január 17.
WebKit
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Egy elemzési hiba lépett fel a hibaprototípusok elemzésekor. Hatékonyabb ellenőrzéssel hárítottuk el a problémát.
CVE-2016-4728: Daniel Divricean
Bejegyzés hozzáadva: 2016. szeptember 20.
WebKit
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy ártó szándékkal létrehozott webhelyek meglátogatásakor kiszivárogtak bizalmas jellegű adatok.
Leírás: Engedélyezési hiba lépett fel a helyváltozó kezelésekor. További tulajdonjog-ellenőrzésekkel hárítottuk el a problémát.
CVE-2016-4758: Masato Kinugawa (Cure53)
Bejegyzés hozzáadva: 2016. szeptember 20.
WebKit
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.
CVE-2016-4611: Apple
CVE-2016-4729: Apple
CVE-2016-4730: Apple
CVE-2016-4731: Apple
CVE-2016-4734: Natalie Silvanovich (Google Project Zero)
CVE-2016-4735: André Bargull
CVE-2016-4737: Apple
CVE-2016-4759: Tongbo Luo (Palo Alto Networks)
CVE-2016-4762: Zheng Huang (Baidu Security Lab)
CVE-2016-4766: Apple
CVE-2016-4767: Apple
CVE-2016-4768 : anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
Bejegyzés hozzáadva: 2016. szeptember 20.
WebKit
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek hozzáfértek nem HTTP-szolgáltatásokhoz.
Leírás: Mivel a Safari támogatja a HTTP/0.9 protokollt, DNS-újrakötés révén lehetővé vált a nem HTTP-szolgáltatások protokollok közötti kihasználása. Azáltal hárítottuk el a problémát, hogy az alapértelmezett portokra korlátozták a HTTP/0.9 válaszokat, és leállították az erőforrások betöltését, ha a dokumentum egy másik verziójú HTTP protokollal töltődött be.
CVE-2016-4760: Jordan Milne
Bejegyzés hozzáadva: 2016. szeptember 20.
WebKit
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.
CVE-2016-4733: Natalie Silvanovich (Google Project Zero)
CVE-2016-4765: Apple
Bejegyzés hozzáadva: 2016. szeptember 20.
WebKit
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A magas hálózati jogosultságú támadók hozzá tudtak férni a hálózati forgalomhoz, és olyan alkalmazásokra irányították, amelyek a WKWebView esetén HTTPS-t használtak.
Leírás: Tanúsítványhitelesítéssel kapcsolatos probléma lépett fel a WKWebView kezelésekor. Hatékonyabb ellenőrzéssel hárítottuk el a problémát.
CVE-2016-4763: anonim kutató
Bejegyzés hozzáadva: 2016. szeptember 20.
WebKit
A következő készülékekhez érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.
CVE-2016-4764: Apple
Bejegyzés hozzáadva: 2016. november 3.