Informacje o zawartości związanej z zabezpieczeniami w systemie iOS 8.4.1

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie iOS 8.4.1.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

iOS 8.4.1

  • AppleFileConduit

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowane polecenie programu afc może pozwolić na dostęp do chronionych części systemu plików

    Opis: w mechanizmie dowiązań symbolicznych programu afc występował błąd. Ten problem rozwiązano przez wprowadzenie dodatkowego sprawdzania ścieżek.

    Identyfikator CVE

    CVE-2015-5746: evad3rs, TaiG Jailbreak Team

  • Air Traffic

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: komponent Air Traffic mógł zezwalać na dostęp do chronionych części systemu plików

    Opis: w procedurze obsługi zasobów występował błąd umożliwiający atak „path traversal”. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności.

    Identyfikator CVE

    CVE-2015-5766: TaiG Jailbreak Team

  • Archiwum

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie utworzyć dowiązania symboliczne do chronionych regionów dysku

    Opis: w logice sprawdzania poprawności ścieżek dla dowiązań symbolicznych występował błąd. Ten problem rozwiązano przez poprawienie mechanizmu oczyszczania ścieżek.

    Identyfikator CVE

    CVE-2015-5752: TaiG Jailbreak Team

  • bootp

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: osoba atakująca może ustalić, z jakimi sieciami łączyło się wcześniej urządzenie

    Opis: po połączeniu się z siecią Wi-Fi mogły być rozgłaszane adresy MAC sieci, z którymi urządzenie łączyło się wcześniej. Ten problem rozwiązano przez rozgłaszanie tylko adresów MAC powiązanych z bieżącym identyfikatorem SSID.

    Identyfikator CVE

    CVE-2015-3778: Piers O’Hanlon z instytutu OII (Oxford Internet Institute) na Uniwersytecie Oksfordzkim (w ramach projektu EPSRC Being There)

  • Certyfikaty — UI

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może być w stanie zaakceptować niezaufane certyfikaty z poziomu ekranu blokady

    Opis: w pewnych warunkach urządzenie w zablokowanym stanie mogło wyświetlić okno z pytaniem, czy zaufać certyfikatowi. Rozwiązanie tego problemu polega na poprawieniu procedury zarządzania stanem.

    Identyfikator CVE

    CVE-2015-3756: Andy Grant z NCC Group

  • CloudKit

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana aplikacja może uzyskać dostęp do rekordu użytkownika usługi iCloud należącego do użytkownika, który był wcześniej zalogowany

    Opis: w komponencie CloudKit występowała niespójność stanu podczas wylogowywania użytkowników. Ten problem rozwiązano przez poprawienie procedury obsługi stanu.

    Identyfikator CVE

    CVE-2015-3782: Deepkanwal Plaha z Uniwersytetu w Toronto

  • CFPreferences

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie odczytać zarządzane preferencje innych aplikacji

    Opis: w piaskownicy aplikacji innych firm występował błąd. Ten problem rozwiązano przez poprawienie profilu piaskownicy innych firm.

    Identyfikator CVE

    CVE-2015-3793: Andreas Weinlein z Appthority Mobility Threat Team

  • Podpisywanie kodu

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać niepodpisany kod

    Opis: wykryto błąd, który pozwalał na dołączenie niepodpisanego kodu w specjalnie przygotowanym pliku wykonywalnym do kodu, który został podpisany. Ten problem rozwiązano przez poprawienie procedury weryfikacji podpisu kodu.

    Identyfikator CVE

    CVE-2015-3806: TaiG Jailbreak Team

  • Podpisywanie kodu

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: specjalnie przygotowany plik wykonywalny mógł pozwolić na wykonanie niepodpisanego, złośliwie spreparowanego kodu

    Opis: w mechanizmie ewaluacji wieloarchitekturowych plików wykonywalnych występował błąd, który mógł pozwolić na wykonanie niepodpisanego kodu. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności plików wykonywalnych.

    Identyfikator CVE

    CVE-2015-3803: TaiG Jailbreak Team

  • Podpisywanie kodu

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: użytkownik lokalny może być w stanie uruchomić niepodpisany kod

    Opis: w procedurze obsługi plików Mach-O występował błąd sprawdzania poprawności. Ten problem rozwiązano przez zastosowanie dodatkowej kontroli.

    Identyfikator CVE

    CVE-2015-3802: TaiG Jailbreak Team

    CVE-2015-3805: TaiG Jailbreak Team

  • Odtwarzanie w programie CoreMedia

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu

    Opis: w komponencie CoreMedia Playback występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5777: Apple

    CVE-2015-5778: Apple

  • CoreText

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu

    Opis: w procedurze przetwarzania plików czcionek występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności danych wejściowych.

    Identyfikator CVE

    CVE-2015-5755: John Villamil (@day6reak) z zespołu Yahoo Pentest Team 

    CVE-2015-5761: John Villamil (@day6reak) z zespołu Yahoo Pentest Team

  • DiskImages

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: przetworzenie złośliwie spreparowanego pliku DMG może doprowadzić do nieoczekiwanego zamknięcia aplikacji lub wykonania dowolnego kodu z uprawnieniami systemowymi

    Opis: w procedurze analizowania źle skonstruowanych obrazów DMG występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-3800: Frank Graziano z zespołu Yahoo Pentest Team

  • FontParser

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu

    Opis: w procedurze przetwarzania plików czcionek występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności danych wejściowych.

    Identyfikator CVE

    CVE-2015-3804: Apple

    CVE-2015-5756: John Villamil (@day6reak) z zespołu Yahoo Pentest Team

    CVE-2015-5775: Apple

  • ImageIO

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: przetworzenie złośliwie spreparowanego pliku TIFF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu

    Opis: w procedurze obsługi plików TIFF występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2015-5758: Apple

  • ImageIO

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny internetowej może doprowadzić do ujawnienia pamięci procesowej

    Opis: w procedurze obsługi obrazów PNG przez pakiet ImageIO występował błąd niezainicjowanego dostępu do pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wysłania danych z pamięci procesowej do tej witryny. Ten problem rozwiązano przez poprawienie inicjalizacji pamięci i zastosowaniu dodatkowego sprawdzania poprawności obrazów PNG.

    Identyfikator CVE

    CVE-2015-5781: Michał Zalewski

  • ImageIO

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny internetowej może doprowadzić do ujawnienia pamięci procesowej

    Opis: w procedurze obsługi obrazów TIFF przez pakiet ImageIO występował błąd niezainicjowanego dostępu do pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wysłania danych z pamięci procesowej do tej witryny. Ten problem rozwiązano przez poprawienie procedur inicjowania pamięci i wprowadzeniu dodatkowego sprawdzania poprawności obrazów TIFF.

    Identyfikator CVE

    CVE-2015-5782: Michał Zalewski

  • IOKit

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: przeprowadzenie analizowania złośliwie spreparowanego pliku PLIST może doprowadzić do nieoczekiwanego zamknięcia aplikacji lub wykonania dowolnego kodu z uprawnieniami systemowymi

    Opis: w procedurze przetwarzania źle skonstruowanych plików PLIST występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-3776: Teddy Reed z Facebook Security, Patrick Stein (@jollyjinx) z Jinx Germany

  • IOHIDFamily

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami systemowymi

    Opis: w interfejsie API IOHIDFamily występowało przepełnienie buforu. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5774: TaiG Jailbreak Team

  • Jądro

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie określić rozkład pamięci jądra

    Opis: w interfejsie mach_port_space_info występował błąd, który mógł doprowadzić do ujawnienia rozkładu pamięci jądra. Ten problem rozwiązano przez wyłączenie interfejsu mach_port_space_info.

    Identyfikator CVE

    CVE-2015-3766: Cererdlong z Alibaba Mobile Security Team, @PanguTeam

  • Jądro

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi

    Opis: w procedurach obsługi funkcji IOKit występowało przepełnienie całkowitoliczbowe. Ten problem rozwiązano przez poprawienie procedury sprawdzania argumentów interfejsu API IOKit.

    Identyfikator CVE

    CVE-2015-3768: Ilja van Sprundel

  • Jądro

    iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: złośliwie spreparowana aplikacja może obejść ograniczenia wykonywania tła

    Opis: w niektórych mechanizmach debugowania występował błąd. Ten problem rozwiązano przez zastosowanie dodatkowej kontroli weryfikacji.

    Identyfikator CVE

    CVE-2015-5787: Alessandro Reina, Mattia Pagnozzi i Stefano Bianchi Mazzone z FireEye

  • Biblioteka Libc

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: przetworzenie złośliwie spreparowanego wyrażenia regularnego może doprowadzić do nieoczekiwanego zamknięcia aplikacji lub wykonania dowolnego kodu

    Opis: w bibliotece TRE występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-3796: Ian Beer z Google Project Zero

    CVE-2015-3797: Ian Beer z Google Project Zero

    CVE-2015-3798: Ian Beer z Google Project Zero

  • Libinfo

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: zdalny atakujący może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu

    Opis: w procedurze obsługi gniazd AF_INET6 występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedury obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5776: Apple

  • libpthread

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi

    Opis: w procedurze obsługi wywołań systemowych występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania stanu blokady.

    Identyfikator CVE

    CVE-2015-5757: Lufeng Li z Qihoo 360

  • libxml2

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: przeprowadzenie analizowania złośliwie spreparowanego dokumentu XML może doprowadzić do ujawnienia informacji o użytkowniku

    Opis: w procedurze analizowania plików XML występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-3807: Michał Zalewski

  • libxml2

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: biblioteka libxml2 w wersji starszej niż 2.9.2 zawierała szereg luk w zabezpieczeniach. Najpoważniejsza z tych luk mogła pozwolić zdalnemu atakującemu na atak DoS

    Opis: biblioteka libxml2 w wersji starszej niż 2.9.2 zawierała szereg luk w zabezpieczeniach. Rozwiązanie problemu polega na uaktualnieniu biblioteki libxml2 do wersji 2.9.2.

    Identyfikator CVE

    CVE-2014-0191: Felix Groebert z Google

    CVE-2014-3660: Felix Groebert z Google

  • libxpc

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi

    Opis: w procedurze obsługi źle skonstruowanych komunikatów XPC występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2015-3795: Mathew Rowley

  • Framework lokalizacji

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: lokalny użytkownik może być w stanie zmodyfikować chronione części systemu plików

    Opis: problem z dowiązaniami symbolicznymi został rozwiązany przez poprawienie mechanizmu sprawdzania poprawności ścieżek.

    Identyfikator CVE

    CVE-2015-3759: Cererdlong z Alibaba Mobile Security Team

  • MobileInstallation

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana aplikacja korporacyjna może być w stanie zmienić rozszerzenia innych aplikacji

    Opis: w logice instalacji aplikacji z uniwersalnym profilem informacyjnym występował błąd, który umożliwiał doprowadzenie do kolizji z istniejącymi identyfikatorami pakietów. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności identyfikatorów pakietów.

    Identyfikator CVE

    CVE-2015-5770: Zhaofeng Chen, Yulong Zhang i Tao Wei z FireEye, Inc

  • Sterownik MSVDX

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: wyświetlenie złośliwie spreparowanego nagrania wideo może doprowadzić do nieoczekiwanego zamknięcia systemu

    Opis: problem z podatnością na atak DoS został rozwiązany przez poprawienie procedury obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5769: Proteas z Qihoo 360 Nirvan Team

  • Office Viewer

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: przeprowadzenie analizowania złośliwie spreparowanego pliku XML może doprowadzić do ujawnienia informacji o użytkowniku

    Opis: w procedurze analizowania plików XML występował błąd odwołania do jednostki zewnętrznej. Ten problem rozwiązano przez poprawienie procedury analizowania.

    Identyfikator CVE

    CVE-2015-3784: Bruno Morisson z INTEGRITY S.A. 

  • QL Office

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: przeprowadzenie analizowania złośliwie spreparowanego dokumentu pakietu Office może doprowadzić do nieoczekiwanego zamknięcia aplikacji lub wykonania dowolnego kodu

    Opis: w procedurze analizowania dokumentów pakietu Office występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5773: Apple

  • Safari

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika

    Opis: złośliwa witryna internetowa mogła otworzyć inną witrynę i wyświetlić monit o wprowadzenie danych przez użytkownika tak, że użytkownik nie wiedział, skąd pochodzi monit. Ten problem rozwiązano przez wyświetlanie źródła monitu, tak aby użytkownik mógł je zobaczyć.

    Identyfikator CVE

    CVE-2015-3729: Code Audit Labs z VulnHunt.com

  • Safari

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana witryna internetowa może spowodować wyświetlenie nieskończonej liczby komunikatów

    Zagrożenie: złośliwie spreparowana lub zhakowana witryna internetowa mogła spowodować wyświetlenie nieskończonej liczby komunikatów, tak aby użytkownicy sądzili, że przeglądarka została zablokowana. Ten problem rozwiązano przez ograniczenie komunikatów JavaScript.

    Identyfikator CVE

    CVE-2015-3763

  • Profile piaskownicy

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie odczytać zarządzane preferencje innych aplikacji

    Opis: w piaskownicy aplikacji innych firm występował błąd. Ten problem rozwiązano przez poprawienie profilu piaskownicy innych firm.

    Identyfikator CVE

    CVE-2015-5749: Andreas Weinlein z Appthority Mobility Threat Team

  • UIKit WebView

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie inicjować połączenia FaceTime bez autoryzacji użytkownika

    Opis: w procedurze analizowania adresów URL usługi FaceTime w widokach WebView występował błąd. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności adresów URL.

    Identyfikator CVE

    CVE-2015-3758: Brian Simmons z Salesforce, Guillaume Ross

  • WebKit

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu

    Opis: w oprogramowaniu WebKit występowało kilka błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie obsługi pamięci.

    Identyfikator CVE

    CVE-2015-3730: Apple

    CVE-2015-3731: Apple

    CVE-2015-3732: Apple

    CVE-2015-3733: Apple

    CVE-2015-3734: Apple

    CVE-2015-3735: Apple

    CVE-2015-3736: Apple

    CVE-2015-3737: Apple

    CVE-2015-3738: Apple

    CVE-2015-3739: Apple

    CVE-2015-3740: Apple

    CVE-2015-3741: Apple

    CVE-2015-3742: Apple

    CVE-2015-3743: Apple

    CVE-2015-3744: Apple

    CVE-2015-3745: Apple

    CVE-2015-3746: Apple

    CVE-2015-3747: Apple

    CVE-2015-3748: Apple

    CVE-2015-3749: Apple

  • Internet

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika

    Opis: otwarcie źle skonstruowanego adresu URL mogło pozwolić złośliwej witrynie internetowej na wyświetlenie dowolnego adresu URL. Ten problem rozwiązano przez poprawienie procedury obsługi adresów URL.

    Identyfikator CVE

    CVE-2015-3755: xisigr z Xuanwu Lab firmy Tencent

  • WebKit

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana witryna internetowa może eksfiltrować dane obrazów z zewnętrznego źródła

    Opis: obrazy pobierane za pośrednictwem adresów URL przekierowujących do źródła data:image mogły być eksfiltrowane z zewnętrznego źródła. Ten problem rozwiązano przez poprawienie procedury śledzenia skażenia elementu canvas.

    Identyfikator CVE

    CVE-2015-3753: Antonio Sanso i Damien Antipa z Adobe

  • WebKit

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana witryna internetowa może spowodować wysłanie żądania w postaci zwykłego tekstu do źródła chronionego mechanizmem HTTP Strict Transport Security

    Opis: wykryto błąd, w wyniku którego żądania raportowe dotyczące reguł Content Security Policy (CSP) nie honorowały zabezpieczeń HTTP Strict Transport Security (HSTS). Ten problem rozwiązano przez stosowanie zabezpieczeń HSTS w przypadku reguł CSP.

    Identyfikator CVE

    CVE-2015-3750: Muneaki Nishimura (nishimunea)

  • WebKit

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana witryna internetowa może wykorzystać zdarzenie stuknięcia do wywołania syntetycznego kliknięcia na innej stronie

    Opis: w procedurze generowania syntetycznych kliknięć na podstawie zdarzeń stuknięcia występował błąd. W wyniku tego błędu kliknięcia mogły być wywoływane na innych stronach. Ten problem rozwiązano przez ograniczenie propagacji kliknięć.

    Identyfikator CVE

    CVE-2015-5759: Phillip Moon i Matt Weston z firmy Sandfield

  • WebKit

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: żądania raportowe dotyczące reguł Content Security Policy mogły powodować ujawnienie plików cookie

    Opis: wykryto dwa błędy w sposobie dodawania plików cookie do żądań raportowych dotyczących reguł Content Security Policy. Pliki cookie były wysyłane w międzyźródłowych żądaniach raportowych niezgodnie ze standardem. Pliki cookie utworzone podczas normalnego przeglądania były wysyłane podczas przeglądania prywatnego. Te problemy rozwiązano przez poprawienie obsługi plików cookie.

    Identyfikator CVE

    CVE-2015-3752: Muneaki Nishimura (nishimunea)

  • WebKit

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: obrazy mogą być wczytywane wbrew dyrektywie Content Security Policy dla witryny internetowej

    Opis: wykryto błąd, w wyniku którego witryny internetowe z odtwarzaczami wideo wczytywały obrazy zagnieżdżone w elementach object wbrew dyrektywie Content Security Policy. Ten problem rozwiązano przez poprawienie egzekwowania reguł Content Security Policy.

    Identyfikator CVE

    CVE-2015-3751: Muneaki Nishimura (nishimunea)

Funkcja FaceTime nie jest dostępna we wszystkich krajach i regionach.

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: