W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
iOS 9.2
AppleMobileFileIntegrity
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi
Opis: naprawiono błąd kontroli dostępu przez uniemożliwienie modyfikacji struktur kontroli dostępu.
Identyfikator CVE
CVE-2015-7055: Apple
Piaskownica aplikacji
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: złośliwa aplikacja może zachować dostęp do kontaktów po cofnięciu tego dostępu.
Opis: w procedurze obsługi łączy stałych przez piaskownicę aplikacji występował błąd. Ten problem rozwiązano przez dodatkowe zabezpieczenie piaskownicy aplikacji.
Identyfikator CVE
CVE-2015-7001: Razvan Deaconescu i Mihai Bucicoiu z uczelni University POLITEHNICA of Bucharest; Luke Deshotels i William Enck z uczelni North Carolina State University; Lucas Vincenzo Davi i Ahmad-Reza Sadeghi z uczelni TU Darmstadt
Protokół HTTP środowiska CFNetwork
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może być w stanie ominąć zabezpieczenia HSTS.
Opis: w procedurze obsługi adresów URL występował błąd sprawdzania poprawności danych wejściowych. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności adresów URL.
Identyfikator CVE
CVE-2015-7094: Tsubasa Iinuma (@llamakko_cafe) z Gehirn Inc. i Muneaki Nishimura (nishimunea)
Kompresja
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu
Opis: w bibliotece zlib występował błąd dostępu do niezainicjowanej pamięci. Ten problem rozwiązano przez poprawienie mechanizmu inicjowania pamięci i zastosowanie dodatkowego sprawdzania poprawności strumieni zlib.
Identyfikator CVE
CVE-2015-7054: j00ru
CoreGraphics
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.
Opis: w procedurze przetwarzania plików czcionek występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedury walidacji danych wejściowych.
Identyfikator CVE
CVE-2015-7105: John Villamil (@day6reak) z zespołu Yahoo Pentest Team
Odtwarzanie w aplikacji CoreMedia
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu
Opis: w procedurze obsługi zniekształconych plików multimedialnych występowały liczne błędy powodujące uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie obsługi pamięci.
Identyfikator CVE
CVE-2015-7074: Apple
CVE-2015-7075
dyld
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi
Opis: w aplikacji dyld występowały błędy sprawdzania poprawności segmentów. Ten problem rozwiązano przez poprawienie mechanizmu oczyszczania środowiska.
Identyfikator CVE
CVE-2015-7072: Apple
CVE-2015-7079: PanguTeam
Architektura GPUTools
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi
Opis: w narzędziu Mobile Replayer występowały liczne błędy sprawdzania poprawności ścieżek. Ten problem rozwiązano przez poprawienie mechanizmu oczyszczania środowiska.
Identyfikator CVE
CVE-2015-7069: Luca Todesco (@qwertyoruiop)
CVE-2015-7070: Luca Todesco (@qwertyoruiop)
iBooks
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: analizowanie złośliwie spreparowanego pliku iBooks może doprowadzić do ujawnienia informacji o użytkowniku.
Opis: w procedurach analizowania iBook występował błąd dotyczący jednostki zewnętrznej XML. Ten błąd naprawiono przez poprawienie procedury analizowania.
Identyfikator CVE
CVE-2015-7081: Behrouz Sadeghipour (@Nahamsec) i Patrik Fehrenbach (@ITSecurityguard)
ImageIO
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: w klasie ImageIO występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-7053: Apple
IOHIDFamily
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi
Opis: w interfejsie API komponentu IOHIDFamily występowały liczne błędy powodujące uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie obsługi pamięci.
Identyfikator CVE
CVE-2015-7111: użytkownicy beist i ABH z organizacji BoB
CVE-2015-7112: Ian Beer z grupy Google Project Zero
IOKit SCSI
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: procedura obsługi niektórych typów klienta użytkownika zawierała dereferencję do wskaźnika null. Ten błąd naprawiono przez poprawienie procedury walidacji.
Identyfikator CVE
CVE-2015-7068: Ian Beer z grupy Google Project Zero
Jądro
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: aplikacja lokalna może spowodować atak typu „odmowa usługi”.
Opis: poprawiono obsługę pamięci w celu wyeliminowania wielu problemów mogących prowadzić do ataków typu „odmowa usługi”.
Identyfikator CVE
CVE-2015-7040: Lufeng Li z grupy Qihoo 360 Vulcan Team
CVE-2015-7041: Lufeng Li z grupy Qihoo 360 Vulcan Team
CVE-2015-7042: Lufeng Li z grupy Qihoo 360 Vulcan Team
CVE-2015-7043: Tarjei Mandt (@kernelpool)
Jądro
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.
Opis: w jądrze występowały liczne błędy powodujące uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie obsługi pamięci.
Identyfikator CVE
CVE-2015-7083: Ian Beer z grupy Google Project Zero
CVE-2015-7084: Ian Beer z grupy Google Project Zero
Jądro
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.
Opis: w procedurze analizowania komunikatów mach występował błąd. Ten problem rozwiązano przez ulepszenie procedury sprawdzania poprawności komunikatów mach.
Identyfikator CVE
CVE-2015-7047: Ian Beer z grupy Google Project Zero
Usługi uruchamiania
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi
Opis: w procedurze przetwarzania nieprawidłowych plików plist występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-7113: Olivier Goguel z organizacji Free Tools Association
libarchive
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu
Opis: w procedurze przetwarzania archiwów występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2011-2895: @practicalswift
Biblioteka libc
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: przetworzenie złośliwie spreparowanego pakietu może doprowadzić do wykonania dowolnego kodu.
Opis: w bibliotece standardowej języka C występowało szereg błędów przepełnienia bufora. Te błędy naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2015-7038: Brian D. Wells z firmy E. W. Scripps, Narayan Subramanian z firmy Symantec Corporation/Veritas LLC
CVE-2015-7039 : Maksymilian Arciemowicz (CXSECURITY.COM)
Pozycja uaktualniona 3 marca 2017 r.
libxml2
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: analizowanie złośliwie spreparowanego dokumentu XML może doprowadzić do ujawnienia informacji o użytkowniku.
Opis: w procedurze analizowania plików XML występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-7115: Wei Lei i Liu Yang z uczelni Nanyang Technological University
CVE-2015-7116: Wei Lei i Liu Yang z uczelni Nanyang Technological University
MobileStorageMounter
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi
Opis: w procedurze wczytywania pamięci podręcznej zaufania występował błąd zarządzania czasem. Problem został rozwiązany przez sprawdzenie poprawności środowiska systemu przed załadowaniem pamięci podręcznej zaufania.
Identyfikator CVE
CVE-2015-7051: PanguTeam
OpenGL
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu
Opis: w bibliotece OpenGL występowały liczne błędy powodujące uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie obsługi pamięci.
Identyfikator CVE
CVE-2015-7064: Apple
CVE-2015-7065: Apple
CVE-2015-7066: Tongbo Luo i Bo Qu z firmy Palo Alto Networks
Zdjęcia
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: osoba atakująca mogła wykorzystać system archiwizacji, aby uzyskać dostęp do obszarów systemu plików objętych ograniczeniami.
Opis: w archiwum urządzeń przenośnych występował błąd sprawdzania poprawności ścieżek. Ten błąd naprawiono przez poprawienie mechanizmu oczyszczania środowiska.
Identyfikator CVE
CVE-2015-7037: PanguTeam
Szybki przegląd
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: otwarcie złośliwie spreparowanego pliku pakietu iWork może doprowadzić do wykonania dowolnego kodu.
Opis: w procedurze obsługi plików pakietu iWork występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-7107
Safari
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika
Opis: występował błąd dopuszczający do wyświetlenia przez witrynę zawartości o adresie URL z innej witryny. Ten błąd naprawiono przez poprawienie procedury obsługi adresów URL.
Identyfikator CVE
CVE-2015-7093: xisigr z Tencent's Xuanwu LAB (www.tencent.com)
Piaskownica
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: złośliwa aplikacja z uprawnieniami root może ominąć mechanizm losowego wybierania układu przestrzeni adresowej jądra.
Opis: w bibliotece xnu występował błąd niedostatecznego oddzielania uprawnień. Ten problem rozwiązano przez poprawienie procedury sprawdzania autoryzacji.
Identyfikator CVE
CVE-2015-7046: Apple
Zabezpieczenia
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: atakujący zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu
Opis: w procedurze obsługi uzgadniania SSL występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-7073: Benoit Foucher z firmy ZeroC, Inc.
Zabezpieczenia
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: złośliwa aplikacja może uzyskać dostęp do elementów pęku kluczy użytkownika.
Opis: w mechanizmie sprawdzania poprawności list kontroli dostępu dla elementów pęku kluczy występował błąd. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania poprawności list kontroli dostępu.
Identyfikator CVE
CVE-2015-7058
Siri
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: osoba z fizycznym dostępem do urządzenia z systemem iOS może za pomocą funkcji Siri odczytać powiadomienia o zawartości, dla których wyłączono wyświetlanie na ekranie blokady
Opis: gdy klient wysyłał zapytanie do funkcji Siri, serwer nie sprawdzał ograniczeń po stronie klienta. Ten błąd naprawiono przez poprawienie mechanizmu walidacji ograniczeń.
Identyfikator CVE
CVE-2015-7080: Or Safran (www.linkedin.com/profile/view?id=33912591)
WebKit
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu
Opis: w oprogramowaniu WebKit występowało wiele błędów powodujących uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie obsługi pamięci.
Identyfikator CVE
CVE-2015-7048: Apple
CVE-2015-7095: Apple
CVE-2015-7096: Apple
CVE-2015-7097: Apple
CVE-2015-7098: Apple
CVE-2015-7099: Apple
CVE-2015-7100: Apple
CVE-2015-7101: Apple
CVE-2015-7102: Apple
CVE-2015-7103: Apple
WebKit
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować ujawnienie historii stron odwiedzonych przez użytkownika.
Opis: w mechanizmie blokowania zawartości występował błąd niewystarczającego sprawdzania poprawności danych wejściowych. Ten problem rozwiązano przez poprawienie procedury analizowania rozszerzenia zawartości.
Identyfikator CVE
CVE-2015-7050: Luke Li i Jonathan Metzman