Zawartość związana z zabezpieczeniami w systemie iOS 9

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie iOS 9.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

iOS 9

  • Apple Pay

    Dostępne dla: telefonów iPhone 6 i iPhone 6 Plus

    Zagrożenie: przy dokonywaniu płatności niektóre karty pozwalają terminalowi na pobranie pewnych informacji na temat ostatniej transakcji

    Opis: funkcja dziennika transakcji była włączona w niektórych konfiguracjach. Ten problem rozwiązano przez usunięcie funkcji dziennika transakcji. Ten problem nie miał wpływu na iPady.

    Identyfikator CVE

    CVE-2015-5916

  • AppleKeyStore

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: lokalnie atakująca osoba może zresetować liczbę błędnych prób wprowadzenia kodu za pomocą backupu systemu iOS.

    Opis: w mechanizmie resetowania liczby błędnych prób wprowadzenia kodu przez backup urządzenia z systemem iOS występował błąd. Ten problem rozwiązano przez ulepszenie logiki obsługi błędów związanych z kodem.

    Identyfikator CVE

    CVE-2015-5850: anonimowy badacz

  • App Store

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: kliknięcie złośliwego łącza ITMS może prowadzić do ataku typu odmowa usługi w aplikacji podpisanej jako korporacyjna.

    Opis: w mechanizmie instalacji za pośrednictwem łączy ITMS występował błąd. Ten problem rozwiązano przez wprowadzenie dodatkowej weryfikacji przy instalacji.

    Identyfikator CVE

    CVE-2015-5856: Zhaofeng Chen, Hui Xue i Tao (Lenx) Wei z firmy FireEye, Inc.

  • Dźwięk

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: odtworzenie złośliwego pliku audio może skutkować nieoczekiwanym zamknięciem aplikacji.

    Opis: w procedurze obsługi plików audio występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5862: YoungJin Yoon z firmy Information Security Lab. (pod kierunkiem:prof. Taekyoung Kwon), Yonsei University, Seul, Korea

  • Zasady zaufania dotyczące certyfikatów

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: uaktualnienie zasad zaufania dotyczących certyfikatów.

    Opis: uaktualniono zasady zaufania dotyczące certyfikatów. Pełną listę certyfikatów można zobaczyć na stronie https://support.apple.com/pl-pl/HT204132.

  • CFNetwork

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowany adres URL może pozwolić na ominięcie zabezpieczeń HTTP Strict Transport Security (HSTS) i wydobycie poufnych danych

    Opis: w mechanizmie obsługi zabezpieczeń HSTS występowała luka w zabezpieczeniach procedury analizowania adresów URL. Ten problem rozwiązano przez poprawienie procedury analizowania adresów URL.

    Identyfikator CVE

    CVE-2015-5858: Xiaofeng Zheng z grupy Blue Lotus Team, Tsinghua University

  • CFNetwork

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana witryna może śledzić użytkowników, gdy w przeglądarce Safari jest włączony tryb przeglądania prywatnego.

    Opis: w procedurze obsługi stanu HSTS w trybie przeglądania prywatnego przeglądarki Safari występował błąd. Ten problem rozwiązano przez poprawienie procedury obsługi stanu.

    Identyfikator CVE

    CVE-2015-5860: Sam Greenhalgh z firmy RadicalResearch Ltd

  • CFNetwork

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: osoba z fizycznym dostępem do urządzenia z systemem iOS może odczytać dane buforów aplikacji firmy Apple.

    Opis: dane bufora były szyfrowane przy użyciu klucza chronionego jedynie identyfikatorem UID sprzętu. Ten problem rozwiązano przez zaszyfrowanie danych bufora przy użyciu klucza chronionego identyfikatorem UID sprzętu oraz kodem użytkownika.

    Identyfikator CVE

    CVE-2015-5898: Andreas Kurtz z firmy NESO Security Labs

  • Pliki cookie programu CFNetwork

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może śledzić działania użytkownika.

    Opis: w procedurze obsługi domen najwyższego poziomu występował błąd dotyczący międzydomenowych plików cookie. Ten problem rozwiązano przez poprawienie ograniczeń podczas tworzenia plików cookie.

    Identyfikator CVE

    CVE-2015-5885: Xiaofeng Zheng z grupy Blue Lotus Team, Tsinghua University

  • Pliki cookie programu CFNetwork

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: osoba atakująca może utworzyć niezamierzone pliki cookie powiązane z witryną.

    Opis: oprogramowanie WebKit akceptuje wiele plików cookie ustawionych za pomocą interfejsu API document.cookie. Ten błąd naprawiono przez poprawienie procedury analizowania.

    Identyfikator CVE

    CVE-2015-3801: Erling Ellingsen z firmy Facebook

  • Protokół FTP środowiska CFNetwork

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwy serwer FTP może zmusić klienta do wykonania badania innych komputerów.

    Opis: w procedurze obsługi pakietów FTP podczas używania polecenia PASV występował błąd. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności.

    Identyfikator CVE

    CVE-2015-5912: Amit Klein

  • Protokół HTTP środowiska CFNetwork

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może być w stanie przechwycić ruch sieciowy.

    Opis: w procedurze obsługi wpisów listy wstępnego ładowania HSTS w trybie przeglądania prywatnego przeglądarki Safari występował błąd. Ten problem rozwiązano przez poprawienie procedury obsługi stanu.

    Identyfikator CVE

    CVE-2015-5859: Rosario Giustolisi z University of Luxembourg

  • Serwery proxy środowiska CFNetwork

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: nawiązanie połączenia ze złośliwym internetowym serwerem proxy może spowodować ustawienie złośliwych plików cookie dla witryny

    Opis: w procedurze obsługi odpowiedzi na połączenia z serwerami proxy występował błąd. Ten problem rozwiązano przez usunięcie nagłówka ustawiania pliku cookie podczas analizowania odpowiedzi na połączenie.

    Identyfikator CVE

    CVE-2015-5841: Xiaofeng Zheng z grupy Blue Lotus Team, Tsinghua University

  • Połączenie SSL środowiska CFNetwork

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może przechwycić połączenia SSL/TLS.

    Opis: w klasie NSURL występował błąd sprawdzania poprawności certyfikatu przy jego zmianie. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności certyfikatów.

    Identyfikator CVE

    CVE-2015-5824: Timothy J. Wood z zespołu The Omni Group

  • Połączenie SSL środowiska CFNetwork

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: osoba atakująca może odszyfrować dane chronione za pomocą protokołu SSL.

    Opis: istnieją znane ataki łamiące poufność szyfrowania RC4. Osoba atakująca może wymusić użycie szyfrowania RC4 nawet w sytuacji, gdy serwer preferuje silniejsze szyfrowanie. W tym celu blokuje się połączenia używające protokołu TLS 1.0 lub nowszego do momentu, gdy środowisko CFNetwork próbuje użyć protokołu SSL 3.0, który zezwala tylko na szyfrowanie RC4. Ten problem rozwiązano przez usunięcie mechanizmu rezerwowego używania protokołu SSL 3.0.

  • CoreAnimation

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwa aplikacja może być w stanie ujawnić poufne informacje użytkownika.

    Opis: aplikacje mogły uzyskiwać dostęp do bufora ramki ekranu podczas działania w tle. Ten problem rozwiązano przez poprawienie kontroli dostępu w składniku IOSurface.

    Identyfikator CVE

    CVE-2015-5880: Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li z wydziału School of Information Systems uczelni Singapore Management University, Feng Bao i Jianying Zhou z działu Cryptography and Security Department Institute firmy Infocomm Research

  • CoreCrypto

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: osoba atakująca może być w stanie ustalić prywatny klucz.

    Opis: obserwacja wielu prób podpisania lub szyfrowania pozwalała osobie atakującej na ustalenie prywatnego klucza w protokole RSA. Ten problem rozwiązano przez użycie udoskonalonych algorytmów szyfrowania.

  • CoreText

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.

    Opis: w procedurze przetwarzania plików czcionek występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

    Identyfikator CVE

    CVE-2015-5874: John Villamil (@day6reak) z zespołu Yahoo Pentest Team

  • Mechanizm Data Detectors

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: przetworzenie złośliwie spreparowanego pliku tekstowego może doprowadzić do wykonania dowolnego kodu.

    Opis: w procedurze obsługi plików tekstowych występowały błędy powodujące uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2015-5829: M1x7e1 z grupy Safeye Team (www.safeye.org)

  • Narzędzia programistyczne

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w narzędziu dyld występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5876: beist of grayhash

  • Obrazy dysków

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w narzędziu DiskImages występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: aplikacja może być w stanie ominąć podpisywanie kodu.

    Opis: w procedurze sprawdzania poprawności podpisów kodu plików wykonywalnych występował błąd. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2015-5839: @PanguTeam, grupa TaiG Jailbreak Team

  • Game Center

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwa aplikacja Game Center może uzyskać dostęp do adresu e-mail gracza.

    Opis: w procedurze obsługi adresu e-mail gracza przez aplikację Game Center występował błąd. Ten błąd naprawiono przez ulepszenie ograniczeń dostępu.

    Identyfikator CVE

    CVE-2015-5855: Nasser Alnasser

  • ICU

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: istnieje wiele luk w zabezpieczeniach oprogramowania ICU.

    Opis: wersje 53.1.0 i starsze oprogramowania ICU zawierały szereg luk w zabezpieczeniach. Zostały one usunięte przez uaktualnienie do wersji ICU 55.1.

    Identyfikator CVE

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922: Mark Brand z Google Project Zero

  • IOAcceleratorFamily

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie określić rozkład pamięci jądra.

    Opis: wykryto błąd, który powodował ujawnienie zawartości pamięci jądra. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2015-5834: Cererdlong z grupy Alibaba Mobile Security Team

  • IOAcceleratorFamily

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w składniku IOAcceleratorFamily występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5848: Filippo Bigarella

  • IOHIDFamily

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w rozszerzeniu IOHIDFamily występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5867: użytkownik moony li z firmy Trend Micro

  • IOKit

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w jądrze występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w klasie IOMobileFrameBuffer występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: lokalny atakujący może być w stanie odczytać dane z pamięci jądra.

    Opis: w jądrze występował błąd inicjowania pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5863: Ilja van Sprundel z organizacji IOActive

  • iTunes Store

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: poświadczenia konta Apple ID mogą zostać zachowane w pęku kluczy po wylogowaniu.

    Opis: w mechanizmie usuwania pęku kluczy występował błąd. Ten problem rozwiązano przez ulepszenie mechanizmu czyszczenia konta.

    Identyfikator CVE

    CVE-2015-5832: Kasif Dekel z firmy Check Point Software Technologies

  • JavaScriptCore

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu.

    Opis: w oprogramowaniu WebKit występowały błędy powodujące uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5791: Apple

    CVE-2015-5793: Apple

    CVE-2015-5814: Apple

    CVE-2015-5816: Apple

    CVE-2015-5822: Mark S. Miller z firmy Google

    CVE-2015-5823: Apple

  • Jądro

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.

    Opis: w jądrze występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5868: Cererdlong z grupy Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard z grupy m00nbsd

    CVE-2015-5903: CESG

    Wpis uaktualniono 21 grudnia 2016 r.

  • Jądro

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: lokalny atakujący może sterować wartością plików cookie stosu.

    Opis: w mechanizmie generowania plików cookie stosu przestrzeni użytkownika występowało wiele słabych punktów. Ten problem rozwiązano przez ulepszenie procedur generowania plików cookie stosu.

    Identyfikator CVE

    CVE-2013-3951: Stefan Esser

  • Jądro

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: proces lokalny może zmodyfikować inne procesy bez przejścia testów uprawnień.

    Opis: występował błąd powodujący, że procesy z uprawnieniami root używające interfejsu API processor_set_tasks mogą pobierać porty zadań innych procesów. Ten błąd rozwiązano przez dodanie procedur sprawdzania uprawnień.

    Identyfikator CVE

    CVE-2015-5882: Pedro Vilaça w oparciu o badania Ming-chieh Pana i Sung-ting Tsai; Jonathan Levin

  • Jądro

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: atakujący może uruchomić ataki typu odmowa usługi na atakowanych połączeniach TCP bez znajomości prawidłowej liczby sekwencji.

    Opis: w procedurze sprawdzania nagłówków pakietów TCP przez jądro XNU występował błąd. Ten błąd rozwiązano przez poprawienie mechanizmu sprawdzania poprawności nagłówków pakietów TCP.

    Identyfikator CVE

    CVE-2015-5879: Jonathan Looney

  • Jądro

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: atakujący w lokalnym segmencie sieci LAN może wyłączyć routing IPv6

    Opis: w procedurach obsługi rozgłaszania routerów IPv6 występował błąd związany z niewystarczającym sprawdzaniem poprawności, który umożliwiał atakującemu ustawienie dowolnej wartości limitu przeskoków. Ten problem rozwiązano przez wymuszenie minimalnego limitu przeskoków.

    Identyfikator CVE

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Jądro

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: użytkownik lokalny może być w stanie określić rozkład pamięci jądra.

    Opis: w jądrze XNU występował błąd powodujący ujawnianie zawartości pamięci jądra. Ten błąd rozwiązano przez poprawienie procedury inicjowania struktur pamięci jądra.

    Identyfikator CVE

    CVE-2015-5842: użytkownik beist z organizacji GrayHash

  • Jądro

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: użytkownik lokalny może spowodować atak typu „odmowa usługi”.

    Opis: w mechanizmie montowania napędów HSF występował błąd. Ten błąd rozwiązano przez wprowadzenie dodatkowych procedur sprawdzania poprawności.

    Identyfikator CVE

    CVE-2015-5748: Maxime Villard z grupy m00nbsd

  • Biblioteka libc

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: atakujący zdalnie może spowodować wykonanie dowolnego kodu

    Opis: w funkcji fflush występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2014-8611: Adrian Chadd i Alfred Perlstein z firmy Norse Corporation

  • libpthread

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.

    Opis: w jądrze występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5899: Lufeng Li z grupy Qihoo 360 Vulcan Team

  • Mail

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: atakujący może wysłać wiadomość e-mail, która wygląda tak, jakby pochodziła od kontaktu z książki adresowej odbiorcy

    Opis: w procedurze obsługi adresu nadawcy występował błąd. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności.

    Identyfikator CVE

    CVE-2015-5857: Emre Saglam z witryny salesforce.com

  • Łączność między wieloma komputerami

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: lokalny atakujący może obserwować niechronione dane przesyłane między wieloma komputerami.

    Opis: w procedurze pomocy przy obsłudze inicjowania występował błąd, który mógł powodować obniżenie poziomu szyfrowania i przełączenie na sesję nieszyfrowaną. Ten problem rozwiązano przez ustawienie wymagania szyfrowania w pomocy przy obsłudze inicjowania.

    Identyfikator CVE

    CVE-2015-5851: Alban Diquet (@nabla_c0d3) z firmy Data Theorem

  • NetworkExtension

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie określić rozkład pamięci jądra.

    Opis: błąd niezainicjowanej pamięci w jądrze prowadził do ujawnienia zawartości pamięci jądra. Ten błąd rozwiązano przez poprawienie procedur inicjowania pamięci.

    Identyfikator CVE

    CVE-2015-5831: Maxime Villard z grupy m00nbsd

  • OpenSSL

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: liczne luki w zabezpieczeniach biblioteki OpenSSL.

    Opis: w oprogramowaniu OpenSSL w wersjach starszych niż 0.9.8zg występowało wiele luk w zabezpieczeniach. Te błędy rozwiązano przez uaktualnienie oprogramowania OpenSSL do wersji 0.9.8zg.

    Identyfikator CVE

    CVE-2015-0286

    CVE-2015-0287

  • PluginKit

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwa aplikacja korporacyjna może instalować rozszerzenia, zanim zostanie uznana za zaufaną.

    Opis: w mechanizmie sprawdzania poprawności rozszerzeń podczas instalacji występował błąd. Ten błąd rozwiązano przez wprowadzenie ulepszonej weryfikacji aplikacji.

    Identyfikator CVE

    CVE-2015-5837: Zhaofeng Chen, Hui Xue i Tao (Lenx) Wei z firmy FireEye, Inc.

  • removefile

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: przetworzenie złośliwych danych może doprowadzić do nieoczekiwanego zamknięcia aplikacji.

    Opis: w procedurach dzielenia metody checkint występował błąd związany z przepełnieniem. Ten błąd rozwiązano przez poprawienie procedur dzielenia.

    Identyfikator CVE

    CVE-2015-5840: anonimowy badacz

  • Safari

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: użytkownik lokalny może odczytać zakładki przeglądarki Safari na zablokowanym urządzeniu z systemem iOS, nie posiadając kodu.

    Opis: dane zakładek przeglądarki Safari były szyfrowane przy użyciu klucza chronionego jedynie identyfikatorem UID sprzętu. Ten błąd rozwiązano przez zaszyfrowanie danych zakładek przeglądarki Safari przy użyciu klucza chronionego identyfikatorem UID sprzętu oraz kodem użytkownika.

    Identyfikator CVE

    CVE-2015-7118: Jonathan Zdziarski

    Wpis uaktualniono 21 grudnia 2016 r.

  • Safari

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika.

    Opis: występował błąd dopuszczający do wyświetlenia przez witrynę zawartości o adresie URL z innej witryny. Ten błąd naprawiono przez poprawienie procedury obsługi adresów URL.

    Identyfikator CVE

    CVE-2015-5904: Erling Ellingsen z firmy Facebook, Łukasz Pilorz

  • Safari

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika.

    Opis: przejście do złośliwej witryny z błędnie utworzonym modułem otwierania okna mogło doprowadzić do wyświetlenia dowolnego adresu URL. Ten błąd rozwiązano przez poprawienie procedur obsługi modułów otwierania okien.

    Identyfikator CVE

    CVE-2015-5905: Keita Haga z witryny keitahaga.com

  • Safari

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: użytkownicy mogą być śledzeni przez złośliwie spreparowane witryny korzystające z certyfikatów klienta.

    Opis: w procedurze dopasowywania certyfikatów klienta do celów uwierzytelniania SSL w przeglądarce Safari występował błąd. Ten problem rozwiązano przez poprawienie mechanizmu dopasowywania prawidłowych certyfikatów klientów.

    Identyfikator CVE

    CVE-2015-1129: Stefan Kraus (fluid Operations AG), Sylvain Munaut (Whatever s.a.)

  • Safari

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika.

    Opis: szereg niespójności interfejsu użytkownika mógł doprowadzić do wyświetlenia dowolnego adresu URL przez złośliwą witrynę. Te błędy rozwiązano przez poprawienie logiki wyświetlania adresów URL.

    Identyfikator CVE

    CVE-2015-5764: Antonio Sanso (@asanso) z firmy Adobe

    CVE-2015-5765: Ron Masas

    CVE-2015-5767: Krystian Kloskowski za pośrednictwem programu Secunia, Masato Kinugawa

  • Bezpieczne przeglądanie Safari

    iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: przejście do adresu IP znanej złośliwej witryny może nie skutkować ostrzeżeniem o zabezpieczeniach.

    Opis: funkcja bezpiecznego przeglądania w przeglądarce Safari nie ostrzegała użytkowników przed odwiedzeniem odwiedzaniu złośliwych witryn w przypadku użycia adresu IP. Ten błąd rozwiązano przez poprawienie mechanizmu wykrywania złośliwych witryn.

    Rahul M z firmy TagsDock

  • Zabezpieczenia

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwa aplikacja może przechwycić komunikację między aplikacjami.

    Opis: występował błąd umożliwiający złośliwej aplikacji przechwycenie komunikacji między aplikacjami przy użyciu schematu adresu URL. Ograniczono zagrożenie związane z tym błędem przez dodanie okna dialogowego wyświetlanego przy pierwszym użyciu schematu adresu URL.

    Identyfikator CVE

    CVE-2015-5835: Teun van Run z firmy FiftyTwoDegreesNorth B.V., XiaoFeng Wang z uczelni Indiana University, Luyi Xing z uczelni Indiana University, Tongxin Li z uczelni Peking University, Tongxin Li z uczelni Peking University, Xiaolong Bai z uczelni Tsinghua University

  • Siri

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: osoba z fizycznym dostępem do urządzenia z systemem iOS może za pomocą funkcji Siri odczytać powiadomienia o zawartości, dla których wyłączono wyświetlanie na ekranie blokady.

    Opis: gdy klient wysyłał zapytanie do funkcji Siri, serwer nie sprawdzał ograniczeń po stronie klienta. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania poprawności ograniczeń.

    Identyfikator CVE

    CVE-2015-5892: Robert S Mozayeni, Joshua Donvito

  • Ekran początkowy

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: osoba z fizycznym dostępem do urządzenia z systemem iOS może odpowiedzieć na wiadomość dźwiękową z poziomu ekranu blokady, gdy są wyłączone podglądy wiadomości na ekranie blokady.

    Opis: błąd ekranu blokady umożliwiał użytkownikom odpowiadanie na wiadomości dźwiękowe, gdy były wyłączone podglądy wiadomości na ekranie blokady. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.

    Identyfikator CVE

    CVE-2015-5861: Daniel Miedema z firmy Meridian Apps

  • Ekran początkowy

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwa aplikacja może podszyć się pod okna dialogowe innej aplikacji

    Opis: w przypadku uprzywilejowanych odwołań do interfejsów API występował błąd dostępu. Ten błąd naprawiono przez wprowadzenie dodatkowych ograniczeń.

    Identyfikator CVE

    CVE-2015-5838: Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei, John C.S. Lui

  • SQLite

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: wiele luk w zabezpieczeniach programu SQLite 3.8.5.

    Opis: w oprogramowaniu SQLite w wersjach starszych niż 3.8.5 występował szereg luk w zabezpieczeniach. Zostały one usunięte przez uaktualnienie do wersji SQLite 3.8.10.2.

    Identyfikator CVE

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • tidy

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu.

    Opis: w komponencie tidy występował błąd powodujący uszkodzenie zawartości pamięci. Te błędy rozwiązano przez poprawienie procedury obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5522: Fernando Muñoz z witryny NULLGroup.com

    CVE-2015-5523: Fernando Muñoz z witryny NULLGroup.com

  • WebKit

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: odwołania do obiektów mogą być ujawniane pomiędzy źródłami izolowanymi w przypadku zdarzeń niestandardowych, komunikatów i powiadomień w okienkach wyskakujących.

    Opis: błąd ujawniania obiektów przerywał izolację między różnymi źródłami. Ten błąd rozwiązano przez ulepszenie izolacji między źródłami.

    Identyfikator CVE

    CVE-2015-5827: Gildas

  • WebKit

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu.

    Opis: w oprogramowaniu WebKit występowały błędy powodujące uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5789: Apple

    CVE-2015-5790: Apple

    CVE-2015-5792: Apple

    CVE-2015-5794: Apple

    CVE-2015-5795: Apple

    CVE-2015-5796: Apple

    CVE-2015-5797: Apple

    CVE-2015-5799: Apple

    CVE-2015-5800: Apple

    CVE-2015-5801: Apple

    CVE-2015-5802: Apple

    CVE-2015-5803: Apple

    CVE-2015-5804: Apple

    CVE-2015-5805

    CVE-2015-5806: Apple

    CVE-2015-5807: Apple

    CVE-2015-5809: Apple

    CVE-2015-5810: Apple

    CVE-2015-5811: Apple

    CVE-2015-5812: Apple

    CVE-2015-5813: Apple

    CVE-2015-5817: Apple

    CVE-2015-5818: Apple

    CVE-2015-5819: Apple

    CVE-2015-5821: Apple

  • WebKit

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: odwiedzenie złośliwej witryny może spowodować nieoczekiwane wybranie numeru.

    Opis: w procedurze obsługi adresów URL tel://, facetime:// i facetime-audio:// występował błąd. Ten błąd naprawiono przez poprawienie procedury obsługi adresów URL.

    Identyfikator CVE

    CVE-2015-5820: Andrei Neculaesei, Guillaume Ross

  • WebKit

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: oprogramowanie QuickType może poznać ostatni znak hasła w wypełnionym formularzu internetowym.

    Opis: w procedurze obsługi kontekstu wprowadzania hasła przez oprogramowanie WebKit występował błąd. Ten problem rozwiązano przez poprawienie procedury obsługi kontekstu wprowadzania.

    Identyfikator CVE

    CVE-2015-5906: Louis Romero z firmy Google Inc.

  • WebKit

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: atakujący z uprzywilejowany dostępem do sieci może przekierowywać połączenia do złośliwej domeny.

    Opis: w procedurze obsługi buforów zasobów w witrynach z nieprawidłowymi certyfikatami występował błąd. Ten błąd rozwiązano przez ustawienie odrzucania bufora aplikacji dla domen z nieprawidłowymi certyfikatami.

    Identyfikator CVE

    CVE-2015-5907: Yaoqi Jia z uczelni National University of Singapore (NUS)

  • WebKit

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana witryna internetowa może przesyłać dane między różnymi źródłami.

    Opis: przeglądarka Safari umożliwiała wczytywanie arkuszy stylów z różnych źródeł z typami MIME niezgodnymi z formatem CSS, co mogło służyć do przesyłania danych między różnymi źródłami. Ten problem rozwiązano przez ograniczenie typów MIME w przypadku arkuszy stylów z innych źródeł.

    Identyfikator CVE

    CVE-2015-5826: filedescriptor, Chris Evans

  • WebKit

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: interfejs API Performance pozwala złośliwej witrynie na ujawnienie historii przeglądania, aktywności sieciowej i ruchów myszy.

    Opis: interfejs API Performance oprogramowania WebKit mógł pozwalać złośliwej witrynie na ujawnienie historii przeglądania, aktywności sieciowej i ruchów myszy przez mierzenie czasu. Ten błąd rozwiązano przez ograniczenie rozdzielczości czasu.

    Identyfikator CVE

    CVE-2015-5825: Yossi Oren i inni. z instytutu Network Security Lab na uczelni Columbia University

  • WebKit

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może ujawnić poufne informacje użytkownika.

    Opis: w nagłówkach Content-Disposition z załącznikiem typu występował błąd. Ten błąd rozwiązano przez zablokowanie niektórych funkcji w przypadku stron załączników typów.

    Identyfikator CVE

    CVE-2015-5921: Mickey Shkatov z grupy Advanced Threat Research Team firmy Intel, Daoyuan Wu z uczelni Singapore Management University, Rocky K. C. Chang z uczelni Hong Kong Polytechnic University, Łukasz Pilorz, użytkownik superhei z witryny www.knownsec.com

  • WebKit — element canvas

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: odwiedzenie złośliwej witryny może spowodować ujawnienie danych obrazu z innej witryny.

    Opis: w oprogramowaniu WebKit występował błąd obsługi różnych źródeł w przypadku obrazów opartych na elemencie „canvas”. Ten błąd rozwiązano przez poprawienie mechanizmu śledzenia źródeł informacji dotyczących zabezpieczeń.

    Identyfikator CVE

    CVE-2015-5788: Apple

  • WebKit — wczytywanie stron

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: oprogramowanie WebSockets może ominąć mechanizm wymuszania zasad dla zawartości mieszanej

    Opis: błąd niewystarczającego wymuszania zasad umożliwiał oprogramowaniu WebSockets wczytywanie zawartości mieszanej. Ten błąd rozwiązano przez rozszerzenie procedur wymuszania zasad dla zawartości mieszanej tak, aby obejmowały oprogramowanie WebSockets.

    Kevin G. Jones z firmy Higher Logic

Funkcja FaceTime nie jest dostępna we wszystkich krajach i regionach.

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: