Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
iOS 10.2
Kiadási dátum: 2016. december 12.
Kisegítő lehetőségek
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Egy közeli felhasználó meghallhatta a kimondott jelszót.
Leírás: Közzétételi probléma lépett fel a jelszavak kezelésekor. Azáltal hárították el a problémát, hogy letiltottuk a jelszavak kimondását.
CVE-2016-7634: Davut Hari, Biren V. Soni, Cameron Lee
Bejegyzés frissítve: 2017. január 10.
Kisegítő lehetőségek
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező személyek a zárolt képernyőről hozzá tudtak férni a fényképekhez és a kontaktokhoz.
Leírás: Egy zárolt képernyővel kapcsolatos hiba miatt hozzá lehetett férni a fényképekhez és a kontaktokhoz a zárolt készüléken. Azáltal hárították el a problémát, hogy korlátozták a zárolt készüléken felajánlott lehetőségek körét.
CVE-2016-7664: Miguel Alvarado (iDeviceHelp)
Fiókok
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Egy probléma miatt nem álltak alaphelyzetbe a hitelesítési beállítások az alkalmazások törlésekor.
Leírás: Hatékonyabb tisztítással hárították el a hibát.
CVE-2016-7651: Ju Zhu és Lilang Wu (Trend Micro)
Hang
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2016-7658: Haohao Kong (Keen Lab; @keen_lab; Tencent)
CVE-2016-7659: Haohao Kong (Keen Lab; @keen_lab; Tencent)
Bejegyzés hozzáadva: 2016. december 13.
Vágólap
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy a helyi támadók hozzá tudtak férni a vágólap tartalmához.
Leírás: A vágólap tartalma a készülék feloldása előtt is elérhető volt. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2016-7765: CongRong (@Tr3jer)
Bejegyzés frissítve: 2017. január 17.
CoreFoundation
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott karakterláncok feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Memóriasérülési hiba lépett fel a karakterláncok feldolgozásakor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-2016-7663: anonim kutató
Bejegyzés hozzáadva: 2016. december 13.
CoreGraphics
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor váratlan alkalmazásleállásra került sor.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.
CVE-2016-7627: TRAPMINE Inc. és Meysam Firouzi @R00tkitSMM
Bejegyzés hozzáadva: 2016. december 13.
CoreMedia External Displays
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A helyi alkalmazások tetszőleges kódot tudtak végrehajtani a mediaserver daemon kontextusában.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.
CVE-2016-7655: Keen Lab, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
Bejegyzés hozzáadva: 2016. december 13.
CoreMedia Playback
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott .mp4 feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2016-7588: dragonltx (Huawei 2012 Laboratories)
Bejegyzés hozzáadva: 2016. december 13.
CoreText
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Több memóriasérülési hiba is fellépett a betűtípusfájlok kezelésekor. Hatékonyabb határérték-ellenőrzéssel küszöbölték ki a problémákat.
CVE-2016-7595: riusksk(泉哥) (Tencent Security Platform Department)
Bejegyzés hozzáadva: 2016. december 13.
CoreText
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott karakterláncok feldolgozásakor szolgáltatásmegtagadás lépett fel.
Leírás: Hatékonyabb ellenőrzéssel elhárították azt a hibát, amely az egymást fedő tartományok renderelésekor lépett fel.
CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there; Digital Unit; dgunit.com)
Bejegyzés hozzáadva: 2016. december 15.
Lemezképek
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2016-7616 : daybreaker@Minionz, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
Bejegyzés hozzáadva: 2016. december 13.
iPhone keresése
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A nem zárolt készüléket kezelő támadók le tudták tiltani az iPhone keresése szolgáltatást.
Leírás: Állapotkezeléssel összefüggő probléma lépett fel a hitelesítési adatok kezelésekor. A fiókadatok hatékonyabb tárolásával hárították el a hibát.
CVE-2016-7638: anonim kutató, Sezer Sakiner
FontParser
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Több memóriasérülési hiba is fellépett a betűtípusfájlok kezelésekor. Hatékonyabb határérték-ellenőrzéssel küszöbölték ki a problémákat.
CVE-2016-4691: riusksk(泉哥) (Tencent Security Platform Department)
Bejegyzés hozzáadva: 2016. december 13.
Grafikus illesztőprogram
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videók megtekintésekor szolgáltatásmegtagadás lépett fel.
Leírás: Szolgáltatásmegtagadás lépett fel videók kezelésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.
CVE-2016-7665: Moataz El Gaml (Schlumberger), Daniel Schurter (watson.ch) és Marc Ruef (scip AG)
Bejegyzés frissítve: 2016. december 15.
ICU
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2016-7594: André Bargull
Bejegyzés hozzáadva: 2016. december 13.
Képletöltő
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Az ártó szándékú HID-eszközök tetszőleges kódvégrehajtást tudtak előidézni.
Leírás: Hitelesítési hiba lépett fel az USB-s képkezelő eszközök kezelésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.
CVE-2016-4690 : Andy Davis (NCC Group)
ImageIO
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A távoli támadók ki tudtak szivárogtatni memóriát.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határérték-olvasási hibát.
CVE-2016-7643: Yangkang (@dnpushme; Qihoo360 Qex Team)
Bejegyzés hozzáadva: 2016. december 13.
IOHIDFamily
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A helyi alkalmazások kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2016-7591 : daybreaker (Minionz)
Bejegyzés hozzáadva: 2016. december 13.
IOKit
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Az alkalmazások olvasni tudták a kernelmemóriát.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2016-7657: Keen Lab, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
Bejegyzés hozzáadva: 2016. december 13.
IOKit
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A helyi felhasználók meg tudták határozni a kernelmemória felépítését.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy megosztott memóriával kapcsolatos hibát.
CVE-2016-7714: Qidan He (@flanker_hqd; KeenLab), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
Bejegyzés hozzáadva: 2017. január 25.
JavaScriptCore
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Egy JavaScript-sandboxban futó szkript adott esetben a sandboxon kívül is érvényesülni tudott.
Leírás: Érvényesítési hiba lépett fel a JavaScript feldolgozásakor. Hatékonyabb ellenőrzéssel hárították el a problémát.
CVE-2016-4695: Mark S. Miller (Google)
Bejegyzés hozzáadva: 2017. augusztus 16.
Kernel
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.
CVE-2016-7606: @cocoahuke, Chen Qin (Topsec Alpha Team; topsec.com)
CVE-2016-7612 : Ian Beer (Google Project Zero)
Bejegyzés hozzáadva: 2016. december 13.
Kernel
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Az alkalmazások olvasni tudták a kernelmemóriát.
Leírás: Elhárítottak egy elégtelen inicializálással kapcsolatos problémát azáltal, hogy megfelelően inicializálták a felhasználói térbe visszajuttatott memóriát.
CVE-2016-7607: Brandon Azad
Bejegyzés hozzáadva: 2016. december 13.
Kernel
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A helyi felhasználók szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy szolgáltatásmegtagadással kapcsolatos problémát.
CVE-2016-7615: The UK's National Cyber Security Centre (NCSC)
Bejegyzés hozzáadva: 2016. december 13.
Kernel
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A helyi felhasználók a rendszer váratlan leállását tudták előidézni, illetve tetszőleges kódot tudtak végrehajtani a kernelben.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2016-7621 : Ian Beer (Google Project Zero)
Bejegyzés hozzáadva: 2016. december 13.
Kernel
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy a helyi felhasználók gyökérszintű jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2016-7637 : Ian Beer (Google Project Zero)
Bejegyzés hozzáadva: 2016. december 13.
Kernel
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A helyi alkalmazások kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2016-7644 : Ian Beer (Google Project Zero)
Bejegyzés hozzáadva: 2016. december 13.
Kernel
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Az alkalmazások szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy szolgáltatásmegtagadással kapcsolatos problémát.
CVE-2016-7647: Lufeng Li (Qihoo 360 Vulcan Team)
Bejegyzés hozzáadva: 2017. május 17.
Kernel
A következő készülékekhez érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A rosszindulatú alkalmazások hozzá tudtak férni a készülék MAC-címéhez.
Leírás: Elhárítottak egy hozzáféréssel összefüggő problémát azáltal, hogy további sandbox-korlátozásokat vezettünk be a külső fejlesztésű alkalmazások esetén.
CVE-2016-7766: Jun Yang(杨君) (Tencent's WeiXin Group)
Bejegyzés hozzáadva: 2017. május 31.
libarchive
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A helyi támadók adott esetben felül tudták írni a meglévő fájlokat.
Leírás: Érvényesítési hiba lépett fel a szimbolikus hivatkozások kezelésekor. A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.
CVE-2016-7619: anonim kutató
Bejegyzés hozzáadva: 2016. december 13.
Helyi hitelesítés
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy a készülékek nem zárolták a képernyőt az üresjárat időkorlát lejárata után.
Leírás: Egy logikai hiba lépett fel az üresjárati időzítő kezelésekor, amikor megjelent a Touch ID párbeszédpanele. A problémát azzal küszöböltük ki, hogy javítottuk az üresjárati időzítő kezelését.
CVE-2016-7601: anonim kutató
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy a visszavont tanúsítvánnyal aláírt e-mailek érvényesként voltak feltüntetve.
Leírás: Az S/MIME házirend nem tudta ellenőrizni, hogy a tanúsítványok érvényesek voltak-e. Annak beállításával hárítottuk el a problémát, hogy a felhasználó értesítést kapjon, ha visszavont tanúsítvánnyal írták alá az e-mailt.
CVE-2016-4689: anonim kutató
Médialejátszó
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A felhasználók adott esetben a zárolt képernyőn is meg tudták tekinteni a fényképeket és a kontaktokat.
Leírás: Hitelesítési hiba lépett fel a médiaanyagok kiválasztásakor. Hatékonyabb ellenőrzéssel hárítottuk el a problémát.
CVE-2016-7653
Energiagazdálkodás
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy a helyi felhasználók gyökérszintű jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb ellenőrzéssel elhárítottuk a Mach-portnevek hivatkozásaival fennálló problémát.
CVE-2016-7661 : Ian Beer (Google Project Zero)
Bejegyzés hozzáadva: 2016. december 13.
Profilok
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott tanúsítványok megnyitásakor tetszőleges programkód végrehajtására került sor.
Leírás: Memóriasérülési hiba lépett fel a tanúsítványprofilok kezelésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.
CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)
Safari-olvasó
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A Safari Olvasó ártó szándékkal létrehozott weboldalon való engedélyezése webhelyek közötti, parancsfájlt alkalmazó univerzális támadásokra adott lehetőséget.
Leírás: Hatékonyabb beviteltisztítással elhárítottunk több hitelesítési hibát.
CVE-2016-7650: Erling Ellingsen
Bejegyzés hozzáadva: 2016. december 13.
Biztonság
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A támadók ki tudták használni a 3DES kriptografikus algoritmusban fennálló réseket.
Leírás: A 3DES eltávolításra került alapértelmezett rejtjelként.
CVE-2016-4693: Gaëtan Leurent és Karthikeyan Bhargavan (INRIA Paris)
Bejegyzés hozzáadva: 2016. december 13.
Biztonság
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.
Leírás: Érvényesítési hiba lépett fel az OCSP-válaszadó URL-ek kezelésekor. A problémát azzal hárítottuk el, hogy már ellenőrzésre kerül az OCSP visszavonási állapota a tanúsítványkiadó hitelesítése után, és korlátoztuk az OCSP-kérések tanúsítványonkénti számát.
CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)
Bejegyzés hozzáadva: 2016. december 13.
Biztonság
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A tanúsítványok váratlanul megbízhatóként lettek kiértékelve.
Leírás: Egy tanúsítványkiértékelési probléma lépett fel a tanúsítványhitelesítés során. A tanúsítványok további hitelesítésével küszöböltük ki a hibát.
CVE-2016-7662: Apple
Bejegyzés hozzáadva: 2016. december 13.
SpringBoard
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező személy fel tudta oldani a készülék zárolását.
Leírás: Bizonyos esetekben egy számlálási hiba lépett fel a jelkód megadására tett próbálkozások során, a jelkód visszaállításakor. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2016-4781: anonim kutató
SpringBoard
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező személy el tudta érni, hogy ne zárolja magát a készülék.
Leírás: Egy tisztítási probléma lépett fel a Handoff Siri segítségével történő kezelésekor. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2016-7597: anonim kutató
syslog
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy a helyi felhasználók gyökérszintű jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb ellenőrzéssel elhárítottuk a Mach-portnevek hivatkozásaival fennálló problémát.
CVE-2016-7660 : Ian Beer (Google Project Zero)
Bejegyzés hozzáadva: 2016. december 13.
WebKit
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.
CVE-2016-4692: Apple
CVE-2016-7635: Apple
CVE-2016-7652: Apple
Bejegyzés hozzáadva: 2016. december 13.
WebKit
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a folyamatmemória közzététele.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2016-4743: Alan Cutter
Bejegyzés hozzáadva: 2016. december 13.
WebKit
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a felhasználói adatok közzététele.
Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy hitelesítési problémát.
CVE-2016-7586: Boris Zbarsky
Bejegyzés hozzáadva: 2016. december 13.
WebKit
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb állapotkezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.
CVE-2016-7587: Adam Klein
CVE-2016-7610: Zheng Huang (Baidu Security Lab), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2016-7611: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2016-7639: Tongbo Luo (Palo Alto Networks)
CVE-2016-7640: Kai Kang (Tencent; Xuanwu Lab; tencent.com)
CVE-2016-7641: Kai Kang (Tencent; Xuanwu Lab; tencent.com)
CVE-2016-7642: Tongbo Luo (Palo Alto Networks)
CVE-2016-7645: Kai Kang (Tencent; Xuanwu Lab; tencent.com)
CVE-2016-7646: Kai Kang (Tencent; Xuanwu Lab; tencent.com)
CVE-2016-7648: Kai Kang (Tencent; Xuanwu Lab; tencent.com)
CVE-2016-7649: Kai Kang (Tencent; Xuanwu Lab; tencent.com)
CVE-2016-7654: Keen Lab, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
Bejegyzés hozzáadva: 2016. december 13.
WebKit
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2016-7589: Apple
CVE-2016-7656: Keen Lab, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
Bejegyzés hozzáadva: 2016. december 13.
WebKit
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor meg lehetett szerezni a felhasználói adatokat.
Leírás: Hiba lépett fel a JavaScript-párbeszédpanelek kezelésekor. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2016-7592 : xisigr (Tencent; Xuanwu Lab; tencent.com)
Bejegyzés hozzáadva: 2016. december 13.
WebKit
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a folyamatmemória közzététele.
Leírás: Hatékonyabb memóriainicializálással elhárítottak egy nem inicializált memória-hozzáféréssel kapcsolatos problémát.
CVE-2016-7598: Samuel Groß
Bejegyzés hozzáadva: 2016. december 13.
WebKit
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a felhasználói adatok közzététele.
Leírás: Hiba lépett fel a HTTP-átirányítások kezelésekor. Az eltérő eredetek hatékonyabb ellenőrzésével küszöbölték ki a problémát.
CVE-2016-7599 : Muneaki Nishimura (nishimunea; Recruit Technologies Co., Ltd.)
Bejegyzés hozzáadva: 2016. december 13.
WebKit
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meg lehetett szerezni a felhasználói adatokat.
Leírás: Hiba lépett fel a blob URL-ek kezelésekor. Az URL-ek hatékonyabb kezelésével hárították el a problémát.
CVE-2016-7623 : xisigr (Tencent; Xuanwu Lab; tencent.com)
Bejegyzés hozzáadva: 2016. december 13.
WebKit
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott weboldalak meglátogatásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2016-7632: Jeonghoon Shin
Bejegyzés hozzáadva: 2016. december 13.
WebKit
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.
Leírás: Probléma lépett fel a dokumentumok Safariban történő megjelenítésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.
CVE-2016-7762: YongShao (Zhiyong Feng; JDSEC 1aq.com)
Bejegyzés hozzáadva: 2017. január 24.
WebSheet
A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.
Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.
Leírás: További korlátozásokkal elhárítottunk egy sandbox-elkerüléssel kapcsolatos problémát.
CVE-2016-7630: Marco Grassi (@marcograss; KeenLab; @keen_lab) Tencent, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
Bejegyzés hozzáadva: 2017. január 25.