Zawartość związana z zabezpieczeniami w systemie iOS 10.2

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w systemie iOS 10.2.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

iOS 10.2

Wydano 12 grudnia 2016 r.

Dostępność

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: znajdujący się w pobliżu użytkownik obok może podsłuchać wypowiadane hasła.

Opis: w procedurze obsługi haseł występował błąd powodujący ujawnienie. Ten błąd naprawiono przez wyłączenie możliwości wypowiadania haseł.

CVE-2016-7634: Davut Hari, Biren V. Soni, Cameron Lee

Wpis uaktualniono 10 stycznia 2017 r.

Dostępność

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: osoba mająca fizyczny dostęp do urządzenia z systemem iOS może uzyskać dostęp do zdjęć i kontaktów z poziomu ekranu blokady.

Opis: błąd ekranu blokady umożliwiał dostęp do zdjęć i kontaktów na zablokowanym urządzeniu. Ten błąd naprawiono przez ograniczenie opcji oferowanych na zablokowanym urządzeniu.

CVE-2016-7664: Miguel Alvarado z iDeviceHelp

Konta

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: występował błąd, który powodował, że ustawienia autoryzacji nie były resetowane po odinstalowaniu aplikacji.

Opis: ten błąd naprawiono przez poprawienie mechanizmu oczyszczania.

CVE-2016-7651: Ju Zhu i Lilang Wu z firmy Trend Micro

Dźwięk

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-7658: Haohao Kong z Keen Lab (@keen_lab) firmy Tencent

CVE-2016-7659: Haohao Kong z Keen Lab (@keen_lab) firmy Tencent

Wpis dodano 13 grudnia 2016 r.

Schowek

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: osoba atakująca zdalnie może być w stanie uzyskać dostęp do zawartości schowka. 

Opis: zawartość schowka była dostępna przez odblokowaniem urządzenia. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem. 

CVE-2016-7765: CongRong (@Tr3jer)

Wpis uaktualniono 17 stycznia 2017 r.

CoreFoundation

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: przetworzenie złośliwie spreparowanych ciągów może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: w procedurze przetwarzania ciągów występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2016-7663: anonimowy badacz

Wpis dodano 13 grudnia 2016 r.

CoreGraphics

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do nieoczekiwanego zamknięcia aplikacji.

Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-7627: TRAPMINE Inc. i Meysam Firouzi @R00tkitSMM

Wpis dodano 13 grudnia 2016 r.

Wyświetlacze zewnętrzne firmy CoreMedia

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: lokalna aplikacja może być w stanie wykonać dowolny kod w kontekście demona serwera multimediów.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2016-7655: Keen Lab w ramach programu Zero Day Initiative firmy Trend Micro

Wpis dodano 13 grudnia 2016 r.

Odtwarzanie w aplikacji CoreMedia

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: przetworzenie złośliwie spreparowanego pliku MP4 może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2016-7588: dragonltx z Huawei 2012 Laboratories

Wpis dodano 13 grudnia 2016 r.

CoreText

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.

Opis: w procedurze obsługi plików czcionek występowało wiele błędów powodujących uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2016-7595: riusksk(泉哥) z Tencent Security Platform Department

Wpis dodano 13 grudnia 2016 r.

CoreText

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: przetworzenie złośliwie spreparowanego ciągu znaków mogło doprowadzić do ataku typu „odmowa usługi”.

Opis: naprawiono błąd występujący podczas renderowania pokrywających się zakresów przez poprawienie procedury walidacji.

CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) ze strony Digital Unit (dgunit.com)

Wpis dodano 15 grudnia 2016 r.

Obrazy dysków

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-7616: daybreaker@Minionz w ramach programu Zero Day Initiative firmy Trend Micro

Wpis dodano 13 grudnia 2016 r.

Usługa Znajdź mój iPhone

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: atakujący z odblokowanym urządzeniem może być w stanie wyłączyć funkcję Znajdź mój iPhone.

Opis: w procedurze obsługi informacji uwierzytelniających występował błąd zarządzania stanem.  Ten błąd naprawiono przez poprawienie przechowywania informacji o koncie.

CVE-2016-7638: anonimowy badacz, Sezer Sakiner

FontParser

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.

Opis: w procedurze obsługi plików czcionek występowało wiele błędów powodujących uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2016-4691: riusksk(泉哥) z Tencent Security Platform Department

Wpis dodano 13 grudnia 2016 r.

Sterownik graficzny

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: wyświetlenie złośliwie spreparowanego nagrania wideo może doprowadzić do ataku typu „odmowa usługi”.

Opis: w procedurze obsługi nagrań wideo występował błąd typu „odmowa usługi”. Ten błąd naprawiono przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-7665: Moataz El Gaml z firmy Schlumberger, Daniel Schurter z firmy watson.ch i Marc Ruef z firmy scip AG

Wpis uaktualniono 15 grudnia 2016 r.

ICU

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2016-7594: André Bargull

Wpis dodano 13 grudnia 2016 r.

Pobieranie obrazów

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: złośliwe urządzenie HID może spowodować wykonanie dowolnego kodu.

Opis: w procedurze obsługi urządzeń USB do przetwarzania obrazów występował błąd walidacji. Ten błąd naprawiono przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-4690: Andy Davis z firmy NCC Group

ImageIO

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: atakujący zdalnie może być w stanie ujawnić pamięć.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2016-7643: Yangkang (@dnpushme) z Qihoo360 Qex Team

Wpis dodano 13 grudnia 2016 r.

IOHIDFamily

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: lokalna aplikacja z uprawnieniami systemowymi może wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2016-7591: daybreaker z Minionz

Wpis dodano 13 grudnia 2016 r.

IOKit

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: aplikacja może być w stanie odczytać pamięć jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-7657: Keen Lab w ramach programu Zero Day Initiative firmy Trend Micro

Wpis dodano 13 grudnia 2016 r.

IOKit

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: użytkownik lokalny może być w stanie określić rozkład pamięci jądra

Opis: naprawiono błąd związany z pamięcią wspólną przez poprawienie procedury obsługi pamięci.

CVE-2016-7714: Qidan He (@flanker_hqd) z KeenLab w ramach programu Zero Day Initiative firmy Trend Micro

Wpis dodano 25 stycznia 2017 r.

JavaScriptCore

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: skrypt wykonywany w piaskownicy JavaScript może być w stanie uzyskać stan spoza tej piaskownicy.

Opis: w procedurze przetwarzania skryptów JavaScript występował błąd walidacji. Ten błąd naprawiono przez poprawienie procedury walidacji.

CVE-2016-4695: Mark S. Miller z Google

Wpis dodano 16 sierpnia 2017 r.

Jądro

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra. 

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-7606: @cocoahuke, Chen Qin z Topsec Alpha Team (topsec.com)

CVE-2016-7612: Ian Beer z Google Project Zero

Wpis dodano 13 grudnia 2016 r.

Jądro

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: aplikacja może być w stanie odczytać pamięć jądra.

Opis: naprawiono błąd niewystarczającej inicjalizacji przez właściwą inicjalizację pamięci przywróconej do przestrzeni użytkownika.

CVE-2016-7607: Brandon Azad

Wpis dodano 13 grudnia 2016 r.

Jądro

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: użytkownik lokalny może spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd podatności na atak typu „odmowa usługi” przez poprawienie procedury obsługi pamięci.

CVE-2016-7615: brytyjska organizacja National Cyber Security Centre (NCSC)

Wpis dodano 13 grudnia 2016 r.

Jądro

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: użytkownik lokalny może spowodować nieoczekiwane zakończenie działania systemu lub wykonanie dowolnego kodu w jądrze.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2016-7621: Ian Beer z Google Project Zero

Wpis dodano 13 grudnia 2016 r.

Jądro

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: użytkownik lokalny może uzyskać uprawnienia użytkownika root.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-7637: Ian Beer z Google Project Zero

Wpis dodano 13 grudnia 2016 r.

Jądro

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: lokalna aplikacja z uprawnieniami systemowymi może wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2016-7644: Ian Beer z Google Project Zero

Wpis dodano 13 grudnia 2016 r.

Jądro

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: aplikacja może spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd podatności na atak typu „odmowa usługi” przez poprawienie procedury obsługi pamięci.

CVE-2016-7647: Lufeng Li z Qihoo 360 Vulcan Team

Wpis dodano 17 maja 2017 r.

Jądro

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: złośliwa aplikacja może uzyskać dostęp do adresu MAC urządzenia

Opis: rozwiązano problem z dostępem przez wprowadzenie dodatkowych ograniczeń piaskownicy dla aplikacji innych firm.

CVE-2016-7766: Jun Yang(杨君) z WeiXin Group w firmie Tencent

Wpis dodano 31 maja 2017 r.

libarchive

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: lokalny atakujący może nadpisać istniejące pliki.

Opis: w procedurze obsługi łączy symbolicznych występował błąd walidacji. Ten błąd naprawiono przez poprawienie procedury walidacji łączy symbolicznych.

CVE-2016-7619: anonimowy badacz

Wpis dodano 13 grudnia 2016 r.

Uwierzytelnianie lokalne

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: urządzenie może nie blokować ekranu po upływie limitu czasu bezczynności.

Opis: w procedurze obsługi zegara bezczynności po wyświetleniu monitu o użycie czytnika Touch ID występował błąd logiczny. Ten błąd naprawiono przez poprawienie procedury obsługi zegara bezczynności.

CVE-2016-7601: anonimowy badacz

Mail

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: wiadomość e-mail podpisana unieważnionym certyfikatem może wyglądać na poprawną.

Opis: nie można było sprawdzić ważności certyfikatu z użyciem zasad S/MIME.  Ten błąd naprawiono przez powiadamianie użytkownika, że wiadomość e-mail została podpisana unieważnionym certyfikatem.

CVE-2016-4689: anonimowy badacz

Odtwarzacz multimediów

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: użytkownik może przeglądać zdjęcia i kontakty z pozycji ekranu blokady.

Opis: w procedurze obsługi wyboru multimediów występował błąd walidacji. Ten błąd naprawiono przez poprawienie procedury walidacji.

CVE-2016-7653

Zarządzanie energią

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: użytkownik lokalny może uzyskać uprawnienia użytkownika root.

Opis: naprawiono błąd w odniesieniach do nazwy portu mach przez poprawienie procedury walidacji.

CVE-2016-7661: Ian Beer z Google Project Zero

Wpis dodano 13 grudnia 2016 r.

Profile

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: otwarcie złośliwie spreparowanego certyfikatu może doprowadzić do wykonania dowolnego kodu.

Opis: w procedurze obsługi profilów certyfikatów występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)

Czytnik Reader w przeglądarce Safari

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: włączenie funkcji czytnika Reader w przeglądarce Safari na złośliwie napisanej stronie internetowej może doprowadzić do powszechnych ataków XSS (cross-site scripting).

Opis: naprawiono wiele błędów walidacji przez poprawienie procesu oczyszczania danych wejściowych.

CVE-2016-7650: Erling Ellingsen

Wpis dodano 13 grudnia 2016 r.

Zabezpieczenia

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: atakujący może być w stanie wykorzystać słabe punkty w algorytmie kryptograficznym 3DES.

Opis: usunięto algorytm 3DES jako szyfr domyślny.

CVE-2016-4693: Gaëtan Leurent i Karthikeyan Bhargavan z INRIA Paris

Wpis dodano 13 grudnia 2016 r.

Zabezpieczenia

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może spowodować atak typu „odmowa usługi”.

Opis: w procedurze obsługi adresów URL respondera protokołu OCSP występował błąd walidacji. Ten błąd naprawiono przez weryfikację stanu wygaśnięcia protokołu OCSP po sprawdzeniu urzędu certyfikacji i ograniczenie liczby żądań protokołu OCSP na certyfikat.

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

Wpis dodano 13 grudnia 2016 r.

Zabezpieczenia

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: certyfikaty mogą być nieoczekiwanie uznawane za zaufane.

Opis: w procedurze walidacji certyfikatów występował błąd oceny certyfikatów. Ten błąd naprawiono przez wprowadzenie dodatkowej procedury walidacji certyfikatów.

CVE-2016-7662: Apple

Wpis dodano 13 grudnia 2016 r.

Ekran początkowy

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: osoba posiadająca fizyczny dostęp do urządzenia z systemem iOS może odblokować urządzenie.

Opis: w niektórych przypadkach w procedurze obsługi prób wprowadzenia kodu podczas zerowania kodu występował błąd licznika. Ten błąd naprawiono przez poprawienie procedury zarządzania stanem.

CVE-2016-4781: anonimowy badacz

Ekran początkowy

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: osoba posiadająca fizyczny dostęp do urządzenia z systemem iOS może sprawić, że urządzenie pozostanie odblokowane.

Opis: w procedurze obsługi funkcji Handoff za pomocą Siri występował błąd czyszczenia.  Ten błąd naprawiono przez poprawienie procedury zarządzania stanem.

CVE-2016-7597: anonimowy badacz

syslog

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: użytkownik lokalny może uzyskać uprawnienia użytkownika root.

Opis: naprawiono błąd w odniesieniach do nazwy portu mach przez poprawienie procedury walidacji.

CVE-2016-7660: Ian Beer z Google Project Zero

Wpis dodano 13 grudnia 2016 r.

WebKit

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2016-4692: Apple

CVE-2016-7635: Apple

CVE-2016-7652: Apple

Wpis dodano 13 grudnia 2016 r.

WebKit

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może doprowadzić do ujawnienia pamięci procesowej.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-4743: Alan Cutter

Wpis dodano 13 grudnia 2016 r.

WebKit

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może doprowadzić do ujawnienia informacji użytkownika.

Opis: naprawiono błąd walidacji przez poprawienie zarządzania stanem.

CVE-2016-7586: Boris Zbarsky

Wpis dodano 13 grudnia 2016 r.

WebKit

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2016-7587: Adam Klein

CVE-2016-7610: Zheng Huang z Baidu Security Lab w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2016-7611: anonimowy badacz w ramach programu Zero Day Initiative firmy Trend Micro.

CVE-2016-7639: Tongbo Luo z Palo Alto Networks

CVE-2016-7640: Kai Kang z zespołu Xuanwu Lab firmy Tencent (tencent.com)

CVE-2016-7641: Kai Kang z zespołu Xuanwu Lab firmy Tencent (tencent.com)

CVE-2016-7642: Tongbo Luo z Palo Alto Networks

CVE-2016-7645: Kai Kang z zespołu Xuanwu Lab firmy Tencent (tencent.com)

CVE-2016-7646: Kai Kang z zespołu Xuanwu Lab firmy Tencent (tencent.com)

CVE-2016-7648: Kai Kang z zespołu Xuanwu Lab firmy Tencent (tencent.com)

CVE-2016-7649: Kai Kang z zespołu Xuanwu Lab firmy Tencent (tencent.com)

CVE-2016-7654: zespół Keen Lab w ramach programu Zero Day Initiative firmy Trend Micro

Wpis dodano 13 grudnia 2016 r.

WebKit

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2016-7589: Apple

CVE-2016-7656: zespół Keen Lab w ramach programu Zero Day Initiative firmy Trend Micro

Wpis dodano 13 grudnia 2016 r.

WebKit

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może doprowadzić do naruszenia bezpieczeństwa informacji użytkownika.

Opis: w procedurze obsługi zapytań JavaScript występował błąd. Ten błąd naprawiono przez poprawienie procedury zarządzania stanem.

CVE-2016-7592: xisigr z Xuanwu Lab firmy Tencent (tencent.com)

Wpis dodano 13 grudnia 2016 r.

WebKit

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może doprowadzić do ujawnienia pamięci procesowej.

Opis: naprawiono błąd dostępu do niezainicjowanej pamięci przez poprawienie procedur inicjalizacji pamięci.

CVE-2016-7598: Samuel Groß

Wpis dodano 13 grudnia 2016 r.

WebKit

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może doprowadzić do ujawnienia informacji użytkownika.

Opis: w procedurze obsługi przekierowań HTTP występował błąd. Ten błąd naprawiono przez poprawienie procedury walidacji z różnych źródeł.

CVE-2016-7599: Muneaki Nishimura (nishimunea) z Recruit Technologies Co., Ltd.

Wpis dodano 13 grudnia 2016 r.

WebKit

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do naruszenia bezpieczeństwa informacji użytkownika.

Opis: w procedurze obsługi adresów URL obiektów blob występował błąd.  Ten błąd naprawiono przez poprawienie procedury obsługi adresów URL.

CVE-2016-7623: xisigr z Xuanwu Lab firmy Tencent (tencent.com)

Wpis dodano 13 grudnia 2016 r.

WebKit

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: odwiedzenie złośliwie spreparowanej strony internetowej może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2016-7632: Jeonghoon Shin

Wpis dodano 13 grudnia 2016 r.

WebKit

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak XSS (cross-site- scripting).

Opis: w mechanizmie wyświetlania dokumentów w przeglądarce Safari występował błąd. Ten błąd naprawiono przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-7762: YongShao (Zhiyong Feng z JDSEC 1aq.com‍)

Wpis dodano 24 stycznia 2017 r.

WebSheet

Dostępne dla: telefonu iPhone 5 lub nowszego, iPada 4. generacji lub nowszego, iPoda touch 6. generacji lub nowszego

Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.

Opis: naprawiono błąd opuszczania piaskownicy przez wprowadzenie dodatkowych ograniczeń.

CVE-2016-7630: Marco Grassi (@marcograss) z KeenLab (@keen_lab) Tencent w ramach programu Zero Day Initiative firmy Trend Micro

Wpis dodano 25 stycznia 2017 r.

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: