Despre conținutul de securitate din iOS 9.2
Acest document descrie conținutul de securitate din iOS 9.2.
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.
Pentru informații despre cheia PGP pentru securitatea produselor Apple, consultă Utilizarea cheii PGP pentru securitatea produselor Apple.
Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.
Pentru a afla mai multe despre alte actualizări de securitate, consultă Actualizările de securitate Apple.
iOS 9.2
AppleMobileFileIntegrity
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație rău intenționată poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de control la acces prin împiedicarea modificării structurilor de control la acces.
CVE-ID
CVE-2015-7055: Apple
AppSandbox
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație rău intenționată poate menține accesul la Contacte după revocarea accesului
Descriere: a existat o problemă la tratarea de către sandbox a legăturilor fizice. Această problemă a fost rezolvată prin consolidarea îmbunătățită a sandboxurilor aplicațiilor.
CVE-ID
CVE-2015-7001: Răzvan Deaconescu și Mihai Bucicoiu (Universitatea Politehnică București); Luke Deshotels și William Enck (North Carolina State University); Lucas Vincenzo Davi și Ahmad-Reza Sadeghi (Technische Universität Darmstadt)
CFNetwork HTTPProtocol
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator cu poziție privilegiată în rețea poate ocoli HSTS
Descriere: A existat o problemă de validare a intrărilor la procesarea adreselor URL. Această problemă a fost rezolvată prin îmbunătățirea validării adreselor URL.
CVE-ID
CVE-2015-7094: Tsubasa Iinuma (@llamakko_cafe) (Gehirn Inc.) și Muneaki Nishimura (nishimunea)
Comprimare
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: accesarea unui site rău intenționat poate cauza executarea unui cod arbitrar
Descriere: a existat o problemă de acces la memoria neinițializată în zlib. Această problemă a fost rezolvată prin îmbunătățirea inițializării memoriei și validarea suplimentară a fluxurilor zlib.
CVE-ID
CVE-2015-7054: j00ru
CoreGraphics
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: Procesarea unui fișier de font creat cu rea intenție poate duce la executarea unui cod arbitrar
Descriere: a existat o problemă de alterare a memoriei la procesarea fișierelor de fonturi. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-ID
CVE-2015-7105: John Villamil (@day6reak), Yahoo Pentest Team
CoreMedia Playback
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: accesarea unui site rău intenționat poate cauza executarea unui cod arbitrar
Descriere: au existat probleme multiple de alterare a memoriei la procesarea fișierelor media malformate. Pentru rezolvarea acestor probleme s-a implementat o mai bună gestionare a memoriei.
CVE-ID
CVE-2015-7074: Apple
CVE-2015-7075
dyld
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație rău intenționată poate executa un cod arbitrar cu privilegii de sistem
Descriere: au existat probleme multiple de validare a segmentelor în dyld. Aceste probleme au fost rezolvate prin îmbunătățirea igienizării mediului.
CVE-ID
CVE-2015-7072: Apple
CVE-2015-7079: PanguTeam
GPUTools.framework
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație rău intenționată poate executa un cod arbitrar cu privilegii de sistem
Descriere: au existat probleme multiple de validare a căilor în Mobile Replayer. Aceste probleme au fost rezolvate prin îmbunătățirea igienizării mediului.
CVE-ID
CVE-2015-7069: Luca Todesco (@qwertyoruiop)
CVE-2015-7070: Luca Todesco (@qwertyoruiop)
iBooks
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: analizarea unui fișier iBooks creat cu rea intenție poate cauza divulgarea informațiilor despre utilizator
Descriere: a existat o problemă de referire a entităților externe XML la analizarea iBook. Această problemă a fost rezolvată prin îmbunătățirea analizării.
CVE-ID
CVE-2015-7081: Behrouz Sadeghipour (@Nahamsec) și Patrik Fehrenbach (@ITSecurityguard)
ImageIO
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a existat o problemă de alterare a memoriei în ImageIO. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.
CVE-ID
CVE-2015-7053: Apple
IOHIDFamily
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație rău intenționată poate executa un cod arbitrar cu privilegii de sistem
Descriere: Au existat multiple probleme de alterare a memoriei în interfața API IOHIDFamily. Pentru rezolvarea acestor probleme s-a implementat o mai bună gestionare a memoriei.
CVE-ID
CVE-2015-7111: beist și ABH (BoB)
CVE-2015-7112: Ian Beer (Google Project Zero)
IOKit SCSI
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să execute cod arbitrar cu privilegii de kernel
Descriere: a existat o dereferire de pointer NULL la tratarea unui anumit tip userclient. Această problemă a fost rezolvată prin îmbunătățirea validării.
CVE-ID
CVE-2015-7068: Ian Beer (Google Project Zero)
Nucleu
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: O aplicație locală poate cauza un refuz al serviciului
Descriere: mai multe probleme de refuzare a serviciilor au fost rezolvate prin îmbunătățirea tratării memoriei.
CVE-ID
CVE-2015-7040: Lufeng Li (Qihoo 360 Vulcan Team)
CVE-2015-7041: Lufeng Li (Qihoo 360 Vulcan Team)
CVE-2015-7042: Lufeng Li (Qihoo 360 Vulcan Team)
CVE-2015-7043: Tarjei Mandt (@kernelpool)
Nucleu
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un utilizator local poate executa un cod arbitrar cu privilegii de nucleu
Descriere: au existat probleme multiple de alterare a memoriei în nucleu. Pentru rezolvarea acestor probleme s-a implementat o mai bună gestionare a memoriei.
CVE-ID
CVE-2015-7083: Ian Beer (Google Project Zero)
CVE-2015-7084: Ian Beer (Google Project Zero)
Nucleu
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un utilizator local poate executa un cod arbitrar cu privilegii de nucleu
Descriere: a existat o problemă la analizarea mesajelor mach. Această problemă a fost rezolvată prin validarea îmbunătățită a mesajelor mach.
CVE-ID
CVE-2015-7047: Ian Beer (Google Project Zero)
LaunchServices
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație rău intenționată poate executa un cod arbitrar cu privilegii de sistem
Descriere: a existat o problemă de alterare a memoriei la procesarea fișierelor plist malformate. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.
CVE-ID
CVE-2015-7113: Olivier Goguel (Free Tools Association)
libarchive
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: accesarea unui site rău intenționat poate cauza executarea unui cod arbitrar
Descriere: a existat o problemă de alterare a memoriei la procesarea arhivelor. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.
CVE-ID
CVE-2011-2895: @practicalswift
libc
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: Procesarea unui pachet creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: au existat depășiri multiple ale memoriei-tampon în biblioteca standard C. Aceste probleme au fost rezolvate printr-o verificare îmbunătățită a limitelor.
CVE-ID
CVE-2015-7038 : Brian D. Wells (E. W. Scripps), Narayan Subramanian (Symantec Corporation/Veritas LLC)
CVE-2015-7039: Maksymilian Arciemowicz (CXSECURITY.COM)
Intrare actualizată la data de 3 martie 2017
libxml2
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: analizarea unui document XML creat cu rea intenție poate cauza divulgarea informațiilor despre utilizator
Descriere: a existat o problemă de alterare a memoriei la analizarea fișierelor XML. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.
CVE-ID
CVE-2015-7115 : Wei Lei și Liu Yang (Nanyang Technological University)
CVE-2015-7116 : Wei Lei și Liu Yang (Nanyang Technological University)
MobileStorageMounter
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație rău intenționată poate executa un cod arbitrar cu privilegii de sistem
Descriere: a existat o problemă de temporizare la încărcarea cache-ului pentru încredere. Această problemă a fost rezolvată prin validarea mediului de sistem înaintea încărcării cache-ului pentru încredere.
CVE-ID
CVE-2015-7051: PanguTeam
OpenGL
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: accesarea unui site rău intenționat poate cauza executarea unui cod arbitrar
Descriere: Au existat multiple probleme de corupere a memoriei în OpenGL. Pentru rezolvarea acestor probleme s-a implementat o mai bună gestionare a memoriei.
CVE-ID
CVE-2015-7064: Apple
CVE-2015-7065: Apple
CVE-2015-7066: Tongbo Luo și Bo Qu (Palo Alto Networks)
Fotografii
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator poate utiliza sistemul de backup pentru a accesa zone restricționate ale sistemului de fișiere
Descriere: a existat o problemă de validare a căilor în Mobile Backup. Această problemă a fost rezolvată prin îmbunătățirea igienizării mediului.
CVE-ID
CVE-2015-7037: PanguTeam
QuickLook
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: deschiderea unui fișier iWork creat cu rea intenție poate duce la executarea unui cod arbitrar
Descriere: a existat o problemă de alterare a memoriei la tratarea fișierelor iWork. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.
CVE-ID
CVE-2015-7107
Safari
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: accesarea unui site web rău intenționat poate cauza falsificarea interfeței cu utilizatorul
Descriere: o problemă putea permite unui site web să afișeze conținut cu un URL din alt site web. Această problemă a fost rezolvată prin îmbunătățirea tratării URL-urilor.
CVE-ID
CVE-2015-7093: xisigr (Tencent's Xuanwu LAB (www.tencent.com))
Sandbox
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație rău intenționată cu privilegii de rădăcină poate avea posibilitatea să ocolească randomizarea aspectului spațiului de adrese al nucleului
Descriere: a existat o problemă de separare insuficientă a privilegiilor în xnu. Această problemă a fost rezolvată prin îmbunătățirea verificărilor de autorizare.
CVE-ID
CVE-2015-7046: Apple
Securitate
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a existat o problemă de alterare a memoriei la tratarea protocoalelor de acord (handshakes) SSL. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.
CVE-ID
CVE-2015-7073: Benoit Foucher (ZeroC, Inc.)
Securitate
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație rău intenționată poate obține acces la elementele Portchei ale unui utilizator
Descriere: a existat o problemă la validarea listelor de control la acces pentru elemente Portchei. Această problemă a fost rezolvată prin îmbunătățirea verificării listelor de control la acces.
CVE-ID
CVE-2015-7058
Siri
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o persoană cu acces fizic la un dispozitiv iOS poate utiliza Siri pentru a citi notificări despre conținut care este configurat să nu fie afișat pe ecranul de blocare
Descriere: atunci când se efectua o solicitare către Siri, restricțiile pe partea de client nu erau verificate de server. Această problemă a fost rezolvată printr-o verificare îmbunătățită a restricțiilor.
CVE-ID
CVE-2015-7080: Or Safran (www.linkedin.com/profile/view?id=33912591)
WebKit
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: accesarea unui site rău intenționat poate cauza executarea unui cod arbitrar
Descriere: în WebKit erau mai multe probleme de corupere a memoriei. Pentru rezolvarea acestor probleme s-a implementat o mai bună gestionare a memoriei.
CVE-ID
CVE-2015-7048: Apple
CVE-2015-7095: Apple
CVE-2015-7096: Apple
CVE-2015-7097: Apple
CVE-2015-7098: Apple
CVE-2015-7099: Apple
CVE-2015-7100: Apple
CVE-2015-7101: Apple
CVE-2015-7102: Apple
CCVE-2015-7103: Apple
WebKit
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: accesarea unui site web creat cu rea intenție poate dezvălui istoricul de navigare al unui utilizator
Descriere: a existat o problemă de validare insuficientă a intrării în blocarea conținutului. Această problemă a fost rezolvată prin îmbunătățirea analizării extensiilor de conținut.
CVE-ID
CVE-2015-7050: Luke Li și Jonathan Metzman
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.