Az iOS 10.2.1 biztonsági tartalma

Ez a dokumentum az iOS 10.2.1 biztonsági tartalmát ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple-termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

iOS 10.2.1

Kiadási dátum: 2017. január 23.

APNs Server

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A magas hálózati jogosultságú támadók nyomon tudták követni a felhasználói tevékenységeket.

Leírás: A klienstanúsítvány továbbítása egyszerű szövegként történt meg. A tanúsítványok hatékonyabb kezelésével hárították el a problémát.

CVE-2017-2383: Matthias Wachs és Quirin Scheitle (Technical University Munich [TUM])

Bejegyzés hozzáadva 2017. március 28-án.

Hívástörténet

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A CallKit-hívástörténet frissítései az iCloudba kerültek.

Leírás: Egy hiba megakadályozta a CallKit-hívástörténet iCloudba való feltöltését. Hatékonyabb logika alkalmazásával küszöbölték ki a problémát.

CVE-2017-2375: Elcomsoft

Bejegyzés hozzáadva 2017. január 21-én.

Kontaktok

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott kontaktkártyák feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Beviteli érvényesség-ellenőrzési probléma lépett fel a kontaktkártyák elemzésekor. Hatékonyabb bevitel-ellenőrzéssel hárították el a problémát.

CVE-2017-2368: Vincent Desmurs (vincedes3)

Kernel

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy puffertúlcsordulást okozó problémát.

CVE-2017-2370 : Ian Beer (Google Project Zero)

Kernel

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2017-2360 : Ian Beer (Google Project Zero)

libarchive

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott archívumok kicsomagolásakor tetszőleges kód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy puffertúlcsordulást okozó problémát.

CVE-2016-8687: Agostino Sarubbo (Gentoo)

Feloldás iPhone segítségével

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az Apple Watch zárolása feloldódott, amikor nem a felhasználó csuklóján volt.

Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy logikai problémát.

CVE-2017-2352: Ashley Fernandez (raptAware Pty Ltd)

Bejegyzés frissítve 2017. január 25-én.

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor kiszivárogtak adatok különböző eredetekből.

Leírás: Hatékonyabb kivételkezeléssel elhárítottak egy prototípus-hozzáférési problémát.

CVE-2017-2350: Gareth Heyes (Portswigger Web Security)

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.

CVE-2017-2354: Neymar (Tencent; Xuanwu Lab; tencent.com), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2017-2362: Ivan Fratric (Google Project Zero)

CVE-2017-2373: Ivan Fratric (Google Project Zero)

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriainicializálási hibát.

CVE-2017-2355: Team Pangu és lokihardt (PwnFest 2016)

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb bevitelellenőrzéssel elhárítottak több memóriasérüléssel kapcsolatos problémát.

CVE-2017-2356: Team Pangu és lokihardt (PwnFest 2016)

CVE-2017-2369: Ivan Fratric (Google Project Zero)

CVE-2017-2366: Kai Kang (Tencent; Xuanwu Lab; tencent.com)

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor kiszivárogtak adatok különböző eredetekből.

Leírás: Hitelesítési hiba lépett fel az oldalak betöltésekor. Hatékonyabb logika alkalmazásával küszöbölték ki a problémát.

CVE-2017-2363: lokihardt (Google Project Zero)

CVE-2017-2364: lokihardt (Google Project Zero)

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Ártó szándékkal létrehozott webhely meglátogatásakor előfordult, hogy előugró ablakok nyíltak meg.

Leírás: Hiba lépett fel az előugró ablakok kezelésekor. Hatékonyabb bevitelellenőrzéssel hárították el a problémát.

CVE-2017-2371: lokihardt (Google Project Zero)

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor kiszivárogtak adatok különböző eredetekből.

Leírás: Hitelesítési hiba lépett fel a változók kezelésekor. Hatékonyabb ellenőrzéssel hárították el a problémát.

CVE-2017-2365: lokihardt (Google Project Zero)

Wi-Fi

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs és újabb iPod touch.

Érintett terület: Az aktiválási zárral lezárt készülékeket úgy lehetett manipulálni, hogy rövid időre megjelenítsék a főképernyőt.

Leírás: Egy hiba lépett fel a felhasználói bevitel kezelésekor, amely miatt a készülék megjelenítette a főképernyőt akkor is, ha az aktiválási zár aktív volt. Hatékonyabb bevitelellenőrzéssel hárították el a problémát.

CVE-2017-2351: Hemanth Joseph, Sriram (@Sri_Hxor; Primefort Pvt). Ltd., Mohamd Imran

Bejegyzés frissítve 2017. január 21-én.

További köszönetnyilvánítás

WebKit-megerősítés

Köszönjük a következő személyeknek a segítséget: Ben Gras, Kaveh Razavi, Erik Bosman, Herbert Bos és Cristiano Giuffrida (vusec csoport; Vrije Universiteit Amsterdam).

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: