Despre conținutul de securitate din iOS 9.3.2
Acest document descrie conținutul de securitate din iOS 9.3.2.
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.
Pentru informații despre cheia PGP pentru securitatea produselor Apple, consultă Utilizarea cheii PGP pentru securitatea produselor Apple.
Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.
Pentru a afla mai multe despre alte actualizări de securitate, consultă Actualizările de securitate Apple.
iOS 9.3.2
Accesibilitate
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație rău intenționată poate colecta informații sensibile ale utilizatorilor
Descriere: s-a rezolvat o problemă legată de citirea dincolo de limite prin îmbunătățirea validării datelor introduse.
CVE-ID
CVE-2016-1790: Rapelly Akhil
Servere proxy CFNetwork
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator cu poziție privilegiată în rețea poate colecta informații sensibile ale utilizatorilor
Descriere: a existat o scurgere de informații la tratarea solicitărilor HTTP și HTTPS. Această problemă a fost rezolvată prin îmbunătățirea tratării URL-urilor.
CVE-ID
CVE-2016-1801: Alex Chapman și Paul Stone (Context Information Security)
CommonCrypto
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație rău intenționată poate colecta informații sensibile ale utilizatorilor
Descriere: a existat o problemă la tratarea valorilor returnate în CCCrypt. Această problemă a fost rezolvată prin îmbunătățirea gestionării lungimii cheilor.
CVE-ID
CVE-2016-1802: Klaus Rodewig
CoreCapture
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de dereferire de pointer NULL prin îmbunătățirea validării.
CVE-ID
CVE-2016-1803: Ian Beer (Google Project Zero), daybreaker în colaborare cu Trend Micro Zero Day Initiative
DiskImages
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator local poate citi mamoria nucleului
Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.
CVE-ID
CVE-2016-1807: Ian Beer (Google Project Zero)
DiskImages
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: A existat o problemă de corupere a memoriei în timpul analizării imaginilor de disc. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.
CVE-ID
CVE-2016-1808: Moony Li (@Flyic) i Jack Tang (@jacktang310) (Trend Micro)
ImageIO
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: procesarea unei imagine cu rea intenție poate cauza o refuzare a serviciului (DoS)
Descriere: a fost rezolvată o problemă de dereferire de pointer NULL prin îmbunătățirea validării.
CVE-ID
CVE-2016-1811: Lander Brandt (@landaire)
IOAcceleratorFamily
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: au fost rezolvate mai multe probleme de alterare a memoriei prin îmbunătăţirea tratării memoriei.
CVE-ID
CVE-2016-1817: Moony Li (@Flyic) i Jack Tang (@jacktang310) (Trend Micro) în colaborare cu Trend Micro Zero Day Initiative
CVE-2016-1818: Juwei Lin (TrendMicro), sweetchip@GRAYHASH în colaborare cu Zero Day Initiative (Trend Micro)
CVE-2016-1819: Ian Beer (Google Project Zero)
Intrare actualizată la 13 decembrie 2016
IOAcceleratorFamily
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație poate provoca o refuzare a serviciului
Descriere: a fost rezolvată o problemă de dereferire de pointer NULL prin îmbunătățirea blocării.
CVE-ID
CVE-2016-1814: Juwei Lin (Trend Micro)
IOAcceleratorFamily
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de dereferire de pointer NULL prin îmbunătățirea validării.
CVE-ID
CVE-2016-1813: Ian Beer (Google Project Zero)
IOHIDFamily
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-ID
CVE-2016-1823: Ian Beer (Google Project Zero)
CVE-2016-1824: Marco Grassi (@marcograss) (KeenLab) (@keen_lab), Tencent
CVE-2016-4650: Peter Pi (Trend Micro) în colaborare cu HPs Zero Day Initiative
Nucleu
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: au fost rezolvate mai multe probleme de alterare a memoriei prin îmbunătăţirea tratării memoriei.
CVE-ID
CVE-2016-1827: Brandon Azad
CVE-2016-1828: Brandon Azad
CVE-2016-1829: CESG
CVE-2016-1830: Brandon Azad
CVE-2016-1831: Brandon Azad
libc
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator local poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-ID
CVE-2016-1832: Karl Williamson
libxml2
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: procesarea unor coduri XML create cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: au fost rezolvate mai multe probleme de alterare a memoriei prin îmbunătăţirea tratării memoriei.
CVE-ID
CVE-2016-1833: Mateusz Jurczyk
CVE-2016-1834: Apple
CVE-2016-1835: Wei Lei și Liu Yang (Nanyang Technological University)
CVE-2016-1836: Wei Lei și Liu Yang (Nanyang Technological University)
CVE-2016-1837: Wei Lei și Liu Yang (Nanyang Technological University)
CVE-2016-1838: Mateusz Jurczyk
CVE-2016-1839: Mateusz Jurczyk
CVE-2016-1840: Kostya Serebryany
libxslt
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: accesarea unui site rău intenționat poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-ID
CVE-2016-1841: Sebastian Apelt
MapKit
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator cu poziție privilegiată în rețea poate colecta informații sensibile ale utilizatorilor
Descriere: au fost trimise linkuri partajate prin HTTP, nu prin HTTPS. Această problemă a fost rezolvată prin activarea HTTPS pentru linkuri partajare.
CVE-ID
CVE-2016-1842: Richard Shupak (https://www.linkedin.com/in/rshupak)
OpenGL
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: au fost rezolvate mai multe probleme de alterare a memoriei prin îmbunătăţirea tratării memoriei.
CVE-ID
CVE-2016-1847: Tongbo Luo și Bo Qu (Palo Alto Networks)
Safari
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: este posibil ca un utilizator să nu poată șterge întregul istoric de navigare
Descriere: „Clear History and Website Data” („Ștergere istoric și date despre site-uri web”) mu golea istoricul. Problema a fost rezolvată prin îmbunătățirea ștergerii datelor.
CVE-ID
CVE-2016-1849 : un cercetător anonim
Siri
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o persoană cu acces fizic la un dispozitiv iOS poate utiliza Siri pentru a accesa contacte și fotografii din ecranul de blocare
Descriere: a existat o problemă de gestionare a stării la accesarea rezultatelor Siri în ecranul de blocare. Această problemă a fost rezolvată prin dezactivarea detectoarelor de date în rezultatele Twitter atunci când dispozitivul este blocat.
CVE-ID
CVE-2016-1852: videosdebarraquito
WebKit
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: accesarea unui site web rău intenționat poate divulga date din alt site web
Descriere: a fost rezolvată o problemă de urmărire insuficientă a contaminării la analizarea imaginilor svg prin îmbunătățirea urmăririi contaminării (taint tracking).
CVE-ID
CVE-2016-1858: un cercetător anonim
WebKit
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: accesarea unui site rău intenționat poate cauza executarea unui cod arbitrar
Descriere: au fost rezolvate mai multe probleme de alterare a memoriei prin îmbunătăţirea tratării memoriei.
CVE-ID
CVE-2016-1854: anonim în colaborare cu Trend Micro Zero Day Initiative
CVE-2016-1855: Tongbo Luo și Bo Qu (Palo Alto Networks)
CVE-2016-1856: lokihardt în colaborare cu Trend Micro Zero Day Initiative
CVE-2016-1857: Jeonghoon Shin@A.D.D și Liang Chen, Zhen Feng, wushi (KeenLab), Tencent în colaborare cu Trend Micro Zero Day Initiative
Canvas WebKit
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: accesarea unui site rău intenționat poate cauza executarea unui cod arbitrar
Descriere: au fost rezolvate mai multe probleme de alterare a memoriei prin îmbunătăţirea tratării memoriei.
CVE-ID
CVE-2016-1859: Liang Chen, wushi (KeenLab), Tencent în colaborare cu Trend Micros Zero Day Initiative
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.