Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
A biztonsági kérdésekről az Apple-termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
iOS 10.1
Kiadási dátum: 2016. október 24.
AppleMobileFileIntegrity
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az aláírt végrehajtható fájlok ugyanazzal a csoportazonosítóval helyettesítettek kódokat.
Leírás: Érvényesítési hiba lépett fel a kódalapú aláírások kezelésekor. További érvényesítés bevezetésével küszöbölték ki a problémát.
CVE-2016-7584: Mark Mentovai és Boris Vidolov (Google Inc.)
Bejegyzés hozzáadva 2016. december 6-án.
CFNetwork proxyk
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A magas hálózati jogosultságú támadók ki tudtak szivárogtatni bizalmas jellegű információkat.
Leírás: Egy adathalászattal kapcsolatos probléma lépett fel a proxyk hitelesítési adatainak kezelésekor. Azáltal hárították el a problémát, hogy eltávolították a proxyk jelszavának hitelesítésére felszólító kéretlen párbeszédpaneleket.
CVE-2016-7579: Jerry Decime
Kontaktok
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Az alkalmazások azután is hozzá tudtak férni a Címtárhoz, hogy a felhasználó megtiltotta a hozzáférést a Beállítások menüben.
Leírás: A fájlhivatkozások hatékonyabb ellenőrzésével eltávolítottak egy hozzáférés-vezérléssel kapcsolatos problémát a Címtárból.
CVE-2016-4686 : Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA, Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
CoreGraphics
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott JPEG-fájlok megtekintésekor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2016-4673 : Marco Grassi (@marcograss; KeenLab [@keen_lab]), Tencent
FaceTime
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A magas hálózati jogosultságú támadók el tudták érni, hogy egy továbbított hívás folytassa a hang továbbítását azután is, hogy a hívás látszólag már befejeződött.
Leírás: A felhasználói felületen inkonzisztenciák léptek fel a továbbított hívások kezelésekor. A protokoll-logika fejlesztésével hárították el a problémákat.
CVE-2016-7577: Martin Vigo (@martin_vigo; salesforce.com)
Bejegyzés hozzáadva 2016. október 27-én.
FontParser
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Az ártó szándékkal létrehozott betűtípusok elemzésekor felfedhetők voltak bizalmas jellegű felhasználói adatok.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltek egy határérték-olvasási hibát.
CVE-2016-4660 : Ke Liu (Tencent; Xuanwu Lab)
FontParser
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Puffertúlcsordulást okozó probléma lépett fel a betűtípusfájlok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-2016-4688: Simon Huang (Alipay company), thelongestusernameofall@gmail.com
Bejegyzés hozzáadva 2016. november 27-én.
IDS – csatlakozás
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A magas hálózati jogosultságú támadók megtévesztéssel azt a látszatot tudták kelteni, hogy egy több félt magában foglaló hívás során a felhasználó a másik félhez beszél.
Leírás: A támadók másnak tudták kiadni magukat a hívásváltás kezelésekor. A „hívóváltás” típusú értesítések hatékonyabb kezelésével hárították el a problémát.
CVE-2016-4721: Martin Vigo (@martin_vigo; salesforce.com)
Bejegyzés hozzáadva 2016. október 27-én.
iTunes biztonsági mentés
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Meg tudták határozni a biztonsági mentés jelszavát azok a támadók, akik hozzá tudtak férni egy titkosított iTunes biztonsági mentéshez.
Leírás: Jelszó-kivonatolási probléma lépett fel a titkosított iTunes biztonsági mentések kezelésekor. A gyenge kivonat eltávolításával hárították el a problémát.
CVE-2016-4685: Elcomsoft
Bejegyzés hozzáadva 2016. november 14-én.
Kernel
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A helyi felhasználók a rendszer váratlan leállását tudták előidézni, illetve tetszőleges kódot tudtak végrehajtani a kernelben.
Leírás: Több beviteli érvényesség-ellenőrzési hiba állt fenn a MIG által generált kódban. Hatékonyabb ellenőrzéssel hárították el a problémákat.
CVE-2016-4669 : Ian Beer (Google Project Zero)
Bejegyzés frissítve 2016. november 2-án.
Kernel
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Az alkalmazások fel tudták fedni a kernelmemóriát.
Leírás: Beviteltisztítással elhárítottak egy hitelesítési hibát.
CVE-2016-4680: Max Bazaliy (Lookout) és in7egral
Kernel
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A gyökérszintű jogosultsággal rendelkező helyi alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Több probléma fellépett az objektumok élettartamával kapcsolatban új folyamatok származtatásakor. Hatékonyabb ellenőrzéssel hárították el a problémákat.
CVE-2016-7613 : Ian Beer (Google Project Zero)
Bejegyzés hozzáadva 2016. november 1-jén.
libarchive
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A rosszindulatú archívumok felül tudtak írni tetszőleges fájlokat.
Leírás: Egy hiba állt fenn a szimbolikus hivatkozások útvonal-érvényesítési logikájában. Hatékonyabb útvonaltisztítással hárították el a problémát.
CVE-2016-4679: Omer Medan (enSilo Ltd)
libxpc
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A gyökérszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: További korlátozásokkal elhárítottak egy logikai hibát.
CVE-2016-4675 : Ian Beer (Google Project Zero)
Safari
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A rosszindulatú webhelyek szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb URL-kezeléssel elhárítottak egy szolgáltatásmegtagadással kapcsolatos problémát.
CVE-2016-7581: Sabri Haddouche (@pwnsdx)
Bejegyzés frissítve 2016. december 1-jén.
Sandbox-profilok
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Az alkalmazások be tudták olvasni a fotókönyvtárak metaadatait.
Leírás: Elhárítottak egy hozzáféréssel összefüggő problémát azáltal, hogy további sandbox-korlátozásokat vezettek be a külső fejlesztésű alkalmazások esetén.
CVE-2016-4664: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA, Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
Sandbox-profilok
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Az alkalmazások be tudták olvasni a hangfelvételeket tároló könyvtárak metaadatait.
Leírás: Elhárítottak egy hozzáféréssel összefüggő problémát azáltal, hogy további sandbox-korlátozásokat vezettek be a külső fejlesztésű alkalmazások esetén.
CVE-2016-4665: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA, Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
Biztonság
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A helyi támadók meg tudták vizsgálni a bejelentkezési jelszavak hosszát a felhasználók bejelentkezésekor.
Leírás: Egy naplózási probléma lépett fel a jelszavak kezelésekor. Azáltal hárították el a problémát, hogy megszüntették a jelszavak hosszának naplózását.
CVE-2016-4670: Daniel Jalkut (Red Sweater Software)
WebKit
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.
CVE-2016-4666: Apple
CVE-2016-4677 : anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
WebKit
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.
CVE-2016-7578: Apple
Bejegyzés hozzáadva 2016. október 27-én.