Az iOS 10.2 biztonsági tartalma

Ez a dokumentum az iOS 10.2 biztonsági tartalmát ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

iOS 10.2

Kiadási dátum: 2016. december 12.

Kisegítő lehetőségek

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Egy közeli felhasználó meghallhatta a kimondott jelszót.

Leírás: Közzétételi probléma lépett fel a jelszavak kezelésekor. Azáltal hárították el a problémát, hogy letiltottuk a jelszavak kimondását.

CVE-2016-7634: Davut Hari, Biren V. Soni, Cameron Lee

Bejegyzés frissítve: 2017. január 10.

Kisegítő lehetőségek

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező személyek a zárolt képernyőről hozzá tudtak férni a fényképekhez és a kontaktokhoz.

Leírás: Egy zárolt képernyővel kapcsolatos hiba miatt hozzá lehetett férni a fényképekhez és a kontaktokhoz a zárolt készüléken. Azáltal hárították el a problémát, hogy korlátozták a zárolt készüléken felajánlott lehetőségek körét.

CVE-2016-7664: Miguel Alvarado (iDeviceHelp)

Fiókok

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Egy probléma miatt nem álltak alaphelyzetbe a hitelesítési beállítások az alkalmazások törlésekor.

Leírás: Hatékonyabb tisztítással hárították el a hibát.

CVE-2016-7651: Ju Zhu és Lilang Wu (Trend Micro)

Hang

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2016-7658: Haohao Kong (Keen Lab; @keen_lab; Tencent)

CVE-2016-7659: Haohao Kong (Keen Lab; @keen_lab; Tencent)

Bejegyzés hozzáadva: 2016. december 13.

Vágólap

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy a helyi támadók hozzá tudtak férni a vágólap tartalmához. 

Leírás: A vágólap tartalma a készülék feloldása előtt is elérhető volt. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát. 

CVE-2016-7765: CongRong (@Tr3jer)

Bejegyzés frissítve: 2017. január 17.

CoreFoundation

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott karakterláncok feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

Leírás: Memóriasérülési hiba lépett fel a karakterláncok feldolgozásakor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

CVE-2016-7663: anonim kutató

Bejegyzés hozzáadva: 2016. december 13.

CoreGraphics

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.

CVE-2016-7627: TRAPMINE Inc. és Meysam Firouzi @R00tkitSMM

Bejegyzés hozzáadva: 2016. december 13.

CoreMedia External Displays

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A helyi alkalmazások tetszőleges kódot tudtak végrehajtani a mediaserver daemon kontextusában.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2016-7655: Keen Lab, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés hozzáadva: 2016. december 13.

CoreMedia Playback

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott .mp4 feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2016-7588: dragonltx (Huawei 2012 Laboratories)

Bejegyzés hozzáadva: 2016. december 13.

CoreText

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Több memóriasérülési hiba is fellépett a betűtípusfájlok kezelésekor. Hatékonyabb határérték-ellenőrzéssel küszöbölték ki a problémákat.

CVE-2016-7595: riusksk(泉哥) (Tencent Security Platform Department)

Bejegyzés hozzáadva: 2016. december 13.

CoreText

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott karakterláncok feldolgozásakor szolgáltatásmegtagadás lépett fel.

Leírás: Hatékonyabb ellenőrzéssel elhárították azt a hibát, amely az egymást fedő tartományok renderelésekor lépett fel.

CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there; Digital Unit; dgunit.com)

Bejegyzés hozzáadva: 2016. december 15.

Lemezképek

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2016-7616 : daybreaker@Minionz, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés hozzáadva: 2016. december 13.

iPhone keresése

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A nem zárolt készüléket kezelő támadók le tudták tiltani az iPhone keresése szolgáltatást.

Leírás: Állapotkezeléssel összefüggő probléma lépett fel a hitelesítési adatok kezelésekor.  A fiókadatok hatékonyabb tárolásával hárították el a hibát.

CVE-2016-7638: anonim kutató, Sezer Sakiner

FontParser

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Több memóriasérülési hiba is fellépett a betűtípusfájlok kezelésekor. Hatékonyabb határérték-ellenőrzéssel küszöbölték ki a problémákat.

CVE-2016-4691: riusksk(泉哥) (Tencent Security Platform Department)

Bejegyzés hozzáadva: 2016. december 13.

Grafikus illesztőprogram

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videók megtekintésekor szolgáltatásmegtagadás lépett fel.

Leírás: Szolgáltatásmegtagadás lépett fel videók kezelésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2016-7665: Moataz El Gaml (Schlumberger), Daniel Schurter (watson.ch) és Marc Ruef (scip AG)

Bejegyzés frissítve: 2016. december 15.

ICU

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2016-7594: André Bargull

Bejegyzés hozzáadva: 2016. december 13.

Képletöltő

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Az ártó szándékú HID-eszközök tetszőleges kódvégrehajtást tudtak előidézni.

Leírás: Hitelesítési hiba lépett fel az USB-s képkezelő eszközök kezelésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2016-4690 : Andy Davis (NCC Group)

ImageIO

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A távoli támadók ki tudtak szivárogtatni memóriát.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határérték-olvasási hibát.

CVE-2016-7643: Yangkang (@dnpushme; Qihoo360 Qex Team)

Bejegyzés hozzáadva: 2016. december 13.

IOHIDFamily

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A helyi alkalmazások kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2016-7591 : daybreaker (Minionz)

Bejegyzés hozzáadva: 2016. december 13.

IOKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Az alkalmazások olvasni tudták a kernelmemóriát.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2016-7657: Keen Lab, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés hozzáadva: 2016. december 13.

IOKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A helyi felhasználók meg tudták határozni a kernelmemória felépítését.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy megosztott memóriával kapcsolatos hibát.

CVE-2016-7714: Qidan He (@flanker_hqd; KeenLab), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés hozzáadva: 2017. január 25.

JavaScriptCore

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Egy JavaScript-sandboxban futó szkript adott esetben a sandboxon kívül is érvényesülni tudott.

Leírás: Érvényesítési hiba lépett fel a JavaScript feldolgozásakor. Hatékonyabb ellenőrzéssel hárították el a problémát.

CVE-2016-4695: Mark S. Miller (Google)

Bejegyzés hozzáadva: 2017. augusztus 16.

Kernel

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani. 

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.

CVE-2016-7606: @cocoahuke, Chen Qin (Topsec Alpha Team; topsec.com)

CVE-2016-7612 : Ian Beer (Google Project Zero)

Bejegyzés hozzáadva: 2016. december 13.

Kernel

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Az alkalmazások olvasni tudták a kernelmemóriát.

Leírás: Elhárítottak egy elégtelen inicializálással kapcsolatos problémát azáltal, hogy megfelelően inicializálták a felhasználói térbe visszajuttatott memóriát.

CVE-2016-7607: Brandon Azad

Bejegyzés hozzáadva: 2016. december 13.

Kernel

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A helyi felhasználók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy szolgáltatásmegtagadással kapcsolatos problémát.

CVE-2016-7615: The UK's National Cyber Security Centre (NCSC)

Bejegyzés hozzáadva: 2016. december 13.

Kernel

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A helyi felhasználók a rendszer váratlan leállását tudták előidézni, illetve tetszőleges kódot tudtak végrehajtani a kernelben.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2016-7621 : Ian Beer (Google Project Zero)

Bejegyzés hozzáadva: 2016. december 13.

Kernel

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy a helyi felhasználók gyökérszintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2016-7637 : Ian Beer (Google Project Zero)

Bejegyzés hozzáadva: 2016. december 13.

Kernel

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A helyi alkalmazások kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2016-7644 : Ian Beer (Google Project Zero)

Bejegyzés hozzáadva: 2016. december 13.

Kernel

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Az alkalmazások szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy szolgáltatásmegtagadással kapcsolatos problémát.

CVE-2016-7647: Lufeng Li (Qihoo 360 Vulcan Team)

Bejegyzés hozzáadva: 2017. május 17.

Kernel

A következő készülékekhez érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A rosszindulatú alkalmazások hozzá tudtak férni a készülék MAC-címéhez.

Leírás: Elhárítottak egy hozzáféréssel összefüggő problémát azáltal, hogy további sandbox-korlátozásokat vezettünk be a külső fejlesztésű alkalmazások esetén.

CVE-2016-7766: Jun Yang(杨君) (Tencent's WeiXin Group)

Bejegyzés hozzáadva: 2017. május 31.

libarchive

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A helyi támadók adott esetben felül tudták írni a meglévő fájlokat.

Leírás: Érvényesítési hiba lépett fel a szimbolikus hivatkozások kezelésekor. A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2016-7619: anonim kutató

Bejegyzés hozzáadva: 2016. december 13.

Helyi hitelesítés

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy a készülékek nem zárolták a képernyőt az üresjárat időkorlát lejárata után.

Leírás: Egy logikai hiba lépett fel az üresjárati időzítő kezelésekor, amikor megjelent a Touch ID párbeszédpanele. A problémát azzal küszöböltük ki, hogy javítottuk az üresjárati időzítő kezelését.

CVE-2016-7601: anonim kutató

Mail

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy a visszavont tanúsítvánnyal aláírt e-mailek érvényesként voltak feltüntetve.

Leírás: Az S/MIME házirend nem tudta ellenőrizni, hogy a tanúsítványok érvényesek voltak-e.  Annak beállításával hárítottuk el a problémát, hogy a felhasználó értesítést kapjon, ha visszavont tanúsítvánnyal írták alá az e-mailt.

CVE-2016-4689: anonim kutató

Médialejátszó

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A felhasználók adott esetben a zárolt képernyőn is meg tudták tekinteni a fényképeket és a kontaktokat.

Leírás: Hitelesítési hiba lépett fel a médiaanyagok kiválasztásakor. Hatékonyabb ellenőrzéssel hárítottuk el a problémát.

CVE-2016-7653

Energiagazdálkodás

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy a helyi felhasználók gyökérszintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb ellenőrzéssel elhárítottuk a Mach-portnevek hivatkozásaival fennálló problémát.

CVE-2016-7661 : Ian Beer (Google Project Zero)

Bejegyzés hozzáadva: 2016. december 13.

Profilok

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott tanúsítványok megnyitásakor tetszőleges programkód végrehajtására került sor.

Leírás: Memóriasérülési hiba lépett fel a tanúsítványprofilok kezelésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)

Safari-olvasó

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A Safari Olvasó ártó szándékkal létrehozott weboldalon való engedélyezése webhelyek közötti, parancsfájlt alkalmazó univerzális támadásokra adott lehetőséget.

Leírás: Hatékonyabb beviteltisztítással elhárítottunk több hitelesítési hibát.

CVE-2016-7650: Erling Ellingsen

Bejegyzés hozzáadva: 2016. december 13.

Biztonság

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A támadók ki tudták használni a 3DES kriptografikus algoritmusban fennálló réseket.

Leírás: A 3DES eltávolításra került alapértelmezett rejtjelként.

CVE-2016-4693: Gaëtan Leurent és Karthikeyan Bhargavan (INRIA Paris)

Bejegyzés hozzáadva: 2016. december 13.

Biztonság

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Érvényesítési hiba lépett fel az OCSP-válaszadó URL-ek kezelésekor. A problémát azzal hárítottuk el, hogy már ellenőrzésre kerül az OCSP visszavonási állapota a tanúsítványkiadó hitelesítése után, és korlátoztuk az OCSP-kérések tanúsítványonkénti számát.

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

Bejegyzés hozzáadva: 2016. december 13.

Biztonság

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A tanúsítványok váratlanul megbízhatóként lettek kiértékelve.

Leírás: Egy tanúsítványkiértékelési probléma lépett fel a tanúsítványhitelesítés során. A tanúsítványok további hitelesítésével küszöböltük ki a hibát.

CVE-2016-7662: Apple

Bejegyzés hozzáadva: 2016. december 13.

SpringBoard

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező személy fel tudta oldani a készülék zárolását.

Leírás: Bizonyos esetekben egy számlálási hiba lépett fel a jelkód megadására tett próbálkozások során, a jelkód visszaállításakor. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2016-4781: anonim kutató

SpringBoard

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező személy el tudta érni, hogy ne zárolja magát a készülék.

Leírás: Egy tisztítási probléma lépett fel a Handoff Siri segítségével történő kezelésekor.  Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2016-7597: anonim kutató

syslog

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy a helyi felhasználók gyökérszintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb ellenőrzéssel elhárítottuk a Mach-portnevek hivatkozásaival fennálló problémát.

CVE-2016-7660 : Ian Beer (Google Project Zero)

Bejegyzés hozzáadva: 2016. december 13.

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.

CVE-2016-4692: Apple

CVE-2016-7635: Apple

CVE-2016-7652: Apple

Bejegyzés hozzáadva: 2016. december 13.

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a folyamatmemória közzététele.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2016-4743: Alan Cutter

Bejegyzés hozzáadva: 2016. december 13.

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a felhasználói adatok közzététele.

Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy hitelesítési problémát.

CVE-2016-7586: Boris Zbarsky

Bejegyzés hozzáadva: 2016. december 13.

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb állapotkezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.

CVE-2016-7587: Adam Klein

CVE-2016-7610: Zheng Huang (Baidu Security Lab), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2016-7611: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2016-7639: Tongbo Luo (Palo Alto Networks)

CVE-2016-7640: Kai Kang (Tencent; Xuanwu Lab; tencent.com)

CVE-2016-7641: Kai Kang (Tencent; Xuanwu Lab; tencent.com)

CVE-2016-7642: Tongbo Luo (Palo Alto Networks)

CVE-2016-7645: Kai Kang (Tencent; Xuanwu Lab; tencent.com)

CVE-2016-7646: Kai Kang (Tencent; Xuanwu Lab; tencent.com)

CVE-2016-7648: Kai Kang (Tencent; Xuanwu Lab; tencent.com)

CVE-2016-7649: Kai Kang (Tencent; Xuanwu Lab; tencent.com)

CVE-2016-7654: Keen Lab, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés hozzáadva: 2016. december 13.

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2016-7589: Apple

CVE-2016-7656: Keen Lab, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés hozzáadva: 2016. december 13.

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor meg lehetett szerezni a felhasználói adatokat.

Leírás: Hiba lépett fel a JavaScript-párbeszédpanelek kezelésekor. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2016-7592 : xisigr (Tencent; Xuanwu Lab; tencent.com)

Bejegyzés hozzáadva: 2016. december 13.

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a folyamatmemória közzététele.

Leírás: Hatékonyabb memóriainicializálással elhárítottak egy nem inicializált memória-hozzáféréssel kapcsolatos problémát.

CVE-2016-7598: Samuel Groß

Bejegyzés hozzáadva: 2016. december 13.

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a felhasználói adatok közzététele.

Leírás: Hiba lépett fel a HTTP-átirányítások kezelésekor. Az eltérő eredetek hatékonyabb ellenőrzésével küszöbölték ki a problémát.

CVE-2016-7599 : Muneaki Nishimura (nishimunea; Recruit Technologies Co., Ltd.)

Bejegyzés hozzáadva: 2016. december 13.

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meg lehetett szerezni a felhasználói adatokat.

Leírás: Hiba lépett fel a blob URL-ek kezelésekor.  Az URL-ek hatékonyabb kezelésével hárították el a problémát.

CVE-2016-7623 : xisigr (Tencent; Xuanwu Lab; tencent.com)

Bejegyzés hozzáadva: 2016. december 13.

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott weboldalak meglátogatásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2016-7632: Jeonghoon Shin

Bejegyzés hozzáadva: 2016. december 13.

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Probléma lépett fel a dokumentumok Safariban történő megjelenítésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2016-7762: YongShao (Zhiyong Feng; JDSEC 1aq.com‍)

Bejegyzés hozzáadva: 2017. január 24.

WebSheet

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: További korlátozásokkal elhárítottunk egy sandbox-elkerüléssel kapcsolatos problémát.

CVE-2016-7630: Marco Grassi (@marcograss; KeenLab; @keen_lab) Tencent, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés hozzáadva: 2017. január 25.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: