Despre conţinutul de securitate din iOS 8.4.1
Acest document descrie conţinutul de securitate din iOS 8.4.1.
Pentru protecţia clienţilor noştri, Apple nu divulgă, nu discută şi nu confirmă problemele de securitate înainte de a face o investigaţie completă şi de a pune la dispoziţie corecţiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.
Pentru informaţii despre cheia PGP pentru securitatea produselor Apple, consultă Utilizarea cheii PGP pentru securitatea produselor Apple.
Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilităţi pentru mai multe informaţii.
Pentru a afla mai multe despre alte actualizări de securitate, consultă Actualizările de securitate Apple.
iOS 8.4.1
AppleFileConduit
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: o comandă afc creată cu rea intenţie poate permite accesul la componentele protejate ale sistemului de fişiere
Descriere: a existat o problemă în mecanismul de legare simbolică al afc. Această problemă a fost rezolvată prin adăugarea unor verificări suplimentare privind căile.
CVE-ID
CVE-2015-5746: evad3rs, TaiG Jailbreak Team
AirTraffic
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: este posibil ca AirTraffic să fi permis accesul la componente protejate ale sistemului de fişiere
Descriere: la tratarea activului a existat o problemă de traversare a căii. Această problemă a fost rezolvată prin îmbunătăţirea validării.
CVE-ID
CVE-2015-5766: TaiG Jailbreak Team
Backup
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: o aplicaţie rău intenţionată poate crea linkuri simbolice la regiuni protejate ale discului
Descriere: a existat o problemă în logica de validare a căilor pentru linkuri simbolice. Această problemă a fost rezolvată printr-o îmbunătăţire a corectării căilor.
CVE-ID
CVE-2015-5752: TaiG Jailbreak Team
bootp
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: este posibil ca un atacator să poată să determine reţelele Wi-Fi pe care un dispozitiv le-a accesat anterior
Descriere: la conectarea la o reţea Wi-Fi, este posibil să fi fost transmise adresele MAC ale reţelelor accesate anterior. Această problemă a fost remediată prin transmiterea numai a adreselor MAC asociate cu SSID-ul actual.
CVE-ID
CVE-2015-3778: Piers O'Hanlon (Oxford Internet Institute, University of Oxford - în cadrul proiectului EPSRC Being There)
IU certificat
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: un atacator cu poziţie privilegiată în reţea poate accepta certificate care nu sunt de încredere din ecranul de blocare
Descriere: în anumite situaţii, este posibil ca dispozitivul să fi prezentat un dialog privind încrederea în certificat în timp ce era într-o stare blocată. Această problemă a fost rezolvată prin îmbunătăţirea gestionării stării.
CVE-ID
CVE-2015-3756: Andy Grant (NCC Group)
CloudKit
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: o aplicaţie rău intenţionată poate accesa înregistrarea de utilizator iCloud a unui utilizator autentificat anterior
Descriere: a existat o inconsecvenţă de stare în CloudKit la deconectarea utilizatorilor. Această problemă a fost rezolvată prin îmbunătăţirea gestionării stărilor.
CVE-ID
CVE-2015-3782: Deepkanwal Plaha (University of Toronto)
CFPreferences
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: o aplicaţie rău intenţionată poate citi preferinţele gestionate ale altei aplicaţii
Descriere: a existat o problemă la zona de siguranţă Java (sandbox) a aplicaţiei terţe. Această problemă a fost rezolvată prin îmbunătăţirea profilului sandbox de la terţi.
CVE-ID
CVE-2015-3793: Andreas Weinlein (Appthority Mobility Threat Team)
Semnare a codului
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: o aplicaţie rău intenţionată poate executa cod nesemnat
Descriere: a existat o problemă care permitea adăugarea unui cod nesemnat la un cod semnat într-un fişier executabil modificat special. Această problemă a fost rezolvată prin îmbunătăţirea validării semnăturilor codurilor.
CVE-ID
CVE-2015-3806: TaiG Jailbreak Team
Semnare a codului
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: un fişier executabil modificat special putea permite executarea unui cod nesemnat rău intenţionat
Descriere: a existat o problemă la modul de evaluare a fişierelor executabile de arhitecturi multiple care putea permite executarea unui cod nesemnat. Problema a fost rezolvată prin îmbunătăţirea validării fişierelor executabile.
CVE-ID
CVE-2015-3803: TaiG Jailbreak Team
Semnare a codului
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: Un utilizator local poate executa cod nesemnat
Descriere: a existat o problemă de validare la tratarea fişierelor Mach-O. Această problemă a fost rezolvată prin adăugarea unor verificări suplimentare.
CVE-ID
CVE-2015-3802: TaiG Jailbreak Team
CVE-2015-3805: TaiG Jailbreak Team
CoreMedia Playback
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: redarea unui fişier de film creat cu rea intenţie poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod aleatoriu
Descriere: a existat o problemă de alterare a memoriei în CoreMedia Playback. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei.
CVE-ID
CVE-2015-5777: Apple
CVE-2015-5778: Apple
CoreText
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: procesarea unui fişier de font creat cu rea intenţie poate cauza închiderea neaşteptată a aplicaţiei sau executarea unui cod arbitrar
Descriere: a existat o problemă de alterare a memoriei la procesarea fişierelor de fonturi. Această problemă a fost rezolvată printr-o validare îmbunătăţită a intrării.
CVE-ID
CVE-2015-5755: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-5761: John Villamil (@day6reak), Yahoo Pentest Team
DiskImages
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: procesarea unui fişier DMG creat cu rea intenţie poate cauza închiderea neaşteptată a aplicaţiei sau executarea unui cod arbitrar cu privilegii de sistem
Descriere: a existat o problemă de alterare a memoriei la analizarea imaginilor DMG formate incorect. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei.
CVE-ID
CVE-2015-3800: Frank Graziano (Yahoo Pentest Team)
FontParser
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: procesarea unui fişier de font creat cu rea intenţie poate cauza închiderea neaşteptată a aplicaţiei sau executarea unui cod arbitrar
Descriere: a existat o problemă de alterare a memoriei la procesarea fişierelor de fonturi. Această problemă a fost rezolvată printr-o validare îmbunătăţită a intrării.
CVE-ID
CVE-2015-3804: Apple
CVE-2015-5756: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-5775: Apple
ImageIO
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: procesarea unui fişier .tiff creat cu rea intenţie poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod aleatoriu
Descriere: a existat o problemă de alterare a memoriei la procesarea fişierelor .tiff. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor.
CVE-ID
CVE-2015-5758: Apple
ImageIO
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: accesarea unui site web rău intenţionat poate cauza divulgarea memoriei procesului
Descriere: a existat o problemă de accesare a memoriei neiniţializate la tratarea de către ImageIO a imaginilor PNG. Accesarea unui site web rău intenţionat poate cauza trimiterea de date din memoria procesului către site-ul web. Această problemă a fost rezolvată prin îmbunătăţirea analizării memoriei şi validarea suplimentară a imaginilor PNG.
CVE-ID
CVE-2015-5781: Michal Zalewski
ImageIO
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: accesarea unui site web rău intenţionat poate cauza divulgarea memoriei procesului
Descriere: a existat o problemă de accesare a memoriei neiniţializate la tratarea de către ImageIO a imaginilor TIFF. Accesarea unui site web rău intenţionat poate cauza trimiterea de date din memoria procesului către site-ul web. Această problemă a fost rezolvată prin îmbunătăţirea analizării memoriei şi validarea suplimentară a imaginilor TIFF.
CVE-ID
CVE-2015-5782: Michal Zalewski
IOKit
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: analizarea unui plist rău intenţionat poate cauza închiderea neaşteptată a aplicaţiei sau executarea unui cod arbitrar cu privilegii de sistem
Descriere: a existat o problemă de alterare a memoriei la procesarea plist-urilor formate incorect. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei.
CVE-ID
CVE-2015-3776: Teddy Reed (Facebook Security), Patrick Stein (@jollyjinx) (Jinx Germany)
IOHIDFamily
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: este posibil ca un utilizator local să poată executa un cod aleatoriu cu privilegii de sistem
Descriere: a existat o depăşire a zonei-tampon la IOHIDFamily. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei.
CVE-ID
CVE-2015-5774: TaiG Jailbreak Team
Nucleu
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: o aplicaţie rău intenţionată poate determina aspectul memoriei kernel
Descriere: a existat o problemă în interfaţa mach_port_space_info care putea cauza divulgarea aspectului memoriei kernel. Această problemă a fost rezolvată prin dezactivarea interfeţei mach_port_space_info.
CVE-ID
CVE-2015-3766: Cererdlong (Alibaba Mobile Security Team), @PanguTeam
Nucleu
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem
Descriere: la tratarea funcţiilor IOKit a existat o depăşire a întregului. Această problemă a fost rezolvată prin validarea îmbunătăţită a argumentelor interfeţei API IOKit.
CVE-ID
CVE-2015-3768: Ilja van Sprundel
Nucleu
iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: este posibil ca o aplicaţie rău intenţionată să poată ocoli restricţiile de executare în fundal
Descriere: la anumite mecanisme de depanare exista o problemă de acces. Această problemă a fost rezolvată prin adăugarea unor verificări suplimentare privind validarea.
CVE-ID
CVE-2015-5787 : Alessandro Reina, Mattia Pagnozzi şi Stefano Bianchi Mazzone de la FireEye
Libc
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: procesarea unei expresii regulate create cu rea intenţie poate cauza închiderea neaşteptată a aplicaţiei sau executarea unui cod arbitrar
Descriere: a existat o problemă de alterare a memoriei în biblioteca TRE. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei.
CVE-ID
CVE-2015-3796: Ian Beer (Google Project Zero)
CVE-2015-3797: Ian Beer (Google Project Zero)
CVE-2015-3798: Ian Beer (Google Project Zero)
Libinfo
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: un atacator la distanţă poate cauza închiderea neaşteptată a aplicaţiei sau executarea unui cod arbitrar
Descriere: a existat o problemă de alterare a memoriei la tratarea socketurilor AF_INET6. Această problemă a fost rezolvată prin îmbunătăţirea tratării memoriei.
CVE-ID
CVE-2015-5776: Apple
libpthread
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem
Descriere: a existat o problemă de alterare a memoriei la tratarea apelurilor de sistem. Această problemă a fost rezolvată prin îmbunătăţirea verificării stării de blocare.
CVE-ID
CVE-2015-5757: Lufeng Li (Qihoo 360)
libxml2
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: analizarea unui document XML creat cu rea intenţie poate cauza divulgarea informaţiilor despre utilizator
Descriere: a existat o problemă de alterare a memoriei la analizarea fişierelor XML. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei.
CVE-ID
CVE-2015-3807: Michal Zalewski
libxml2
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: au existat mai multe vulnerabilităţi în versiunile de libxml2 anterioare versiunii 2.9.2, cea mai gravă dintre acestea putând permite unui atacator la distanţă să provoace un atac DoS (refuzare a serviciului)
Descriere: au existat vulnerabilităţi multiple în versiunile de libxml2 anterioare versiunii 2.9.2. Aceste vulnerabilităţi au fost rezolvate prin actualizarea libxml2 la versiunea 2.9.2.
CVE-ID
CVE-2014-0191: Felix Groebert (Google)
CVE-2014-3660: Felix Groebert (Google)
libxpc
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem
Descriere: a existat o problemă de alterare a memoriei la tratarea mesajelor XPC formate incorect. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor.
CVE-ID
CVE-2015-3795: Mathew Rowley
Location Framework
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: un utilizator local poate modifica unele componente protejate ale sistemului de fişiere
Descriere: a fost rezolvată o problemă de linkuri simbolice prin îmbunătăţirea validării căilor.
CVE-ID
CVE-2015-3759 : Cererdlong (Alibaba Mobile Security Team)
MobileInstallation
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: o aplicaţie de companie rău intenţionată poate înlocui extensii pentru alte aplicaţii
Descriere: a existat o problemă la logica de instalare pentru aplicaţiile pentru profiluri universale de asigurare a accesului care permitea apariţia unei coliziuni cu ID-uri de pachete existente. Problema a fost rezolvată prin îmbunătăţirea ID-urilor pachetelor.
CVE-ID
CVE-2015-5770: Zhaofeng Chen, Yulong Zhang şi Tao Wei de la FireEye, Inc
Driver MSVDX
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: vizualizarea unui conţinut video rău intenţionat poate cauza închiderea neaşteptată a sistemului
Descriere: a fost rezolvată o problemă de tipul DoS (refuzare a serviciului) prin îmbunătăţirea tratării memoriei.
CVE-ID
CVE-2015-5769: Proteas (Qihoo 360 Nirvan Team)
Office Viewer
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: analizarea unui fişier XML creat cu rea intenţie poate cauza divulgarea informaţiilor despre utilizator
Descriere: a existat o problemă de referenţiere a unei entităţi externe la analizarea fişierului XML. Această problemă a fost rezolvată prin îmbunătăţirea analizării.
CVE-ID
CVE-2015-3784: Bruno Morisson (INTEGRITY S.A.)
QL Office
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: analizarea unui document Office creat cu rea intenţie poate cauza închiderea neaşteptată a aplicaţiei sau executarea unui cod arbitrar
Descriere: a existat o problemă de alterare a memoriei la analizarea documentelor Office. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei.
CVE-ID
CVE-2015-5773: Apple
Safari
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: accesarea unui site web rău intenţionat poate cauza falsificarea interfeţei cu utilizatorul
Descriere: un site web rău intenţionat putea să deschidă alt site şi să solicite intrare de la utilizator fără ca acesta să ştie originea solicitării. Problema a fost rezolvată prin afişarea originii solicitării pentru utilizator.
CVE-ID
CVE-2015-3729: Code Audit Labs (VulnHunt.com)
Safari
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact:un site web rău intenţionat poate declanşa un număr infinit de mesaje de alertă
Descriere: a existat o problemă legată de faptul că un site web rău intenţionat sau modificat de un hacker putea să afişeze un număr infinit de mesaje de alertă şi să facă utilizatorul să creadă că browserul este blocat. Problema a fost rezolvată prin limitarea alertelor JavaScript.
CVE-ID
CVE-2015-3763
Sandbox_profiles
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: o aplicaţie rău intenţionată poate citi preferinţele gestionate ale altei aplicaţii
Descriere: a existat o problemă la zona de siguranţă Java (sandbox) a aplicaţiei terţe. Această problemă a fost rezolvată prin îmbunătăţirea profilului sandbox de la terţi.
CVE-ID
CVE-2015-5749: Andreas Weinlein (Appthority Mobility Threat Team)
UIKit WebView
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: o aplicaţie rău intenţionată poate iniţia apeluri FaceTime fără autorizare din partea utilizatorului
Descriere: a existat o problemă la analizarea URL-urilor FaceTime în WebViews. Această problemă a fost rezolvată prin îmbunătăţirea validării URL-urilor.
CVE-ID
CVE-2015-3758: Brian Simmons (Salesforce), Guillaume Ross
WebKit
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar
Descriere: în WebKit erau mai multe probleme de corupere a memoriei. Pentru rezolvarea acestor probleme, s-a implementat o mai bună gestionare a memoriei.
CVE-ID
CVE-2015-3730: Apple
CVE-2015-3731: Apple
CVE-2015-3732: Apple
CVE-2015-3733: Apple
CVE-2015-3734: Apple
CVE-2015-3735: Apple
CVE-2015-3736: Apple
CVE-2015-3737: Apple
CVE-2015-3738: Apple
CVE-2015-3739: Apple
CVE-2015-3740: Apple
CVE-2015-3741: Apple
CVE-2015-3742: Apple
CVE-2015-3743: Apple
CVE-2015-3744: Apple
CVE-2015-3745: Apple
CVE-2015-3746: Apple
CVE-2015-3747: Apple
CVE-2015-3748: Apple
CVE-2015-3749: Apple
Web
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: accesarea unui site web rău intenţionat poate cauza falsificarea interfeţei cu utilizatorul
Descriere: navigarea la un URL format incorect putea permite unui site web rău intenţionat să afişeze un URL arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea tratării URL-urilor.
CVE-ID
CVE-2015-3755: xisigr (Tencent's Xuanwu Lab)
WebKit
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: un site web rău intenţionat poate exfiltra date de imagini cu origini încrucişate
Descriere: imaginile preluate prin URL-uri cu redirecţionare la o resursă data:image cu origini încrucişate puteau fi exfiltrate. Această problemă a fost rezolvată prin îmbunătăţirea urmăririi alterării fundalului.
CVE-ID
CVE-2015-3753: Antonio Sanso şi Damien Antipa (Adobe)
WebKit
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: un site web rău intenţionat poate declanşa solicitări de text simplu unei origini controlate de un mecanism HSTS (HTTP Strict Transport Security)
Descriere: a existat o problemă legată de faptul că solicitările de raportare ale politicii CSP (Content Security Policy) nu respectau mecanismul HSTS (HTTP Strict Transport Security). Problema a fost rezolvată prin aplicarea mecanismului HSTS politicii CSP.
CVE-ID
CVE-2015-3750: Muneaki Nishimura (nishimunea)
WebKit
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: un site web rău intenţionat poate determina ca un eveniment de atingere a ecranului să producă un clic sintetic în altă pagină
Descriere: a existat o problemă legată de modul în care sunt generate clicuri sintetice din evenimente de atingere a ecranului, fapt care putea cauza clicuri vizând alte pagini. Problema a fost rezolvată prin restricţionarea propagării clicurilor.
CVE-ID
CVE-2015-5759: Phillip Moon şi Matt Weston (Sandfield)
WebKit
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: solicitările de raportare ale politicii CSP (Content Security Policy) pot cauza „scurgeri” de cookie-uri
Descriere: au existat două probleme legate de modul de adăugare a cookie-urilor la solicitările de raportare ale politicii CSP (Content Security Policy). Erau trimise cookie-uri în solicitări de raportare cu origini încrucişate prin încălcarea standardului. Cookie-urile setate în timpul navigării obişnuite erau trimise în navigarea privată. Aceste probleme au fost rezolvate prin îmbunătăţirea tratării cookie-urilor.
CVE-ID
CVE-2015-3752: Muneaki Nishimura (nishimunea)
WebKit
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: încărcarea de imagini poate încălca politica CSP (Content Security Policy) a unui site web
Descriere: a existat o problemă legată de faptul că site-urile web cu controale video încărcau imagini imbricate în elementele de obiecte încălcând politica CSP (Content Security Policy) a site-ului web. Această problemă a fost rezolvată prin îmbunătăţirea aplicării politicii CSP (Content Security Policy).
CVE-ID
CVE-2015-3751: Muneaki Nishimura (nishimunea)
Serviciul FaceTime nu este disponibil în toate țările sau regiunile.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.