Despre conţinutul de securitate din iOS 8.4.1

Acest document descrie conţinutul de securitate din iOS 8.4.1.

Pentru protecţia clienţilor noştri, Apple nu divulgă, nu discută şi nu confirmă problemele de securitate înainte de a face o investigaţie completă şi de a pune la dispoziţie corecţiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.

Pentru informaţii despre cheia PGP pentru securitatea produselor Apple, consultă Utilizarea cheii PGP pentru securitatea produselor Apple.

Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilităţi pentru mai multe informaţii.

Pentru a afla mai multe despre alte actualizări de securitate, consultă Actualizările de securitate Apple.

iOS 8.4.1

  • AppleFileConduit

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: o comandă afc creată cu rea intenţie poate permite accesul la componentele protejate ale sistemului de fişiere

    Descriere: a existat o problemă în mecanismul de legare simbolică al afc. Această problemă a fost rezolvată prin adăugarea unor verificări suplimentare privind căile.

    CVE-ID

    CVE-2015-5746: evad3rs, TaiG Jailbreak Team

  • AirTraffic

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: este posibil ca AirTraffic să fi permis accesul la componente protejate ale sistemului de fişiere

    Descriere: la tratarea activului a existat o problemă de traversare a căii. Această problemă a fost rezolvată prin îmbunătăţirea validării.

    CVE-ID

    CVE-2015-5766: TaiG Jailbreak Team

  • Backup

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: o aplicaţie rău intenţionată poate crea linkuri simbolice la regiuni protejate ale discului

    Descriere: a existat o problemă în logica de validare a căilor pentru linkuri simbolice. Această problemă a fost rezolvată printr-o îmbunătăţire a corectării căilor.

    CVE-ID

    CVE-2015-5752: TaiG Jailbreak Team

  • bootp

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: este posibil ca un atacator să poată să determine reţelele Wi-Fi pe care un dispozitiv le-a accesat anterior

    Descriere: la conectarea la o reţea Wi-Fi, este posibil să fi fost transmise adresele MAC ale reţelelor accesate anterior. Această problemă a fost remediată prin transmiterea numai a adreselor MAC asociate cu SSID-ul actual.

    CVE-ID

    CVE-2015-3778: Piers O'Hanlon (Oxford Internet Institute, University of Oxford - în cadrul proiectului EPSRC Being There)

  • IU certificat

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: un atacator cu poziţie privilegiată în reţea poate accepta certificate care nu sunt de încredere din ecranul de blocare

    Descriere: în anumite situaţii, este posibil ca dispozitivul să fi prezentat un dialog privind încrederea în certificat în timp ce era într-o stare blocată. Această problemă a fost rezolvată prin îmbunătăţirea gestionării stării.

    CVE-ID

    CVE-2015-3756: Andy Grant (NCC Group)

  • CloudKit

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: o aplicaţie rău intenţionată poate accesa înregistrarea de utilizator iCloud a unui utilizator autentificat anterior

    Descriere: a existat o inconsecvenţă de stare în CloudKit la deconectarea utilizatorilor. Această problemă a fost rezolvată prin îmbunătăţirea gestionării stărilor.

    CVE-ID

    CVE-2015-3782: Deepkanwal Plaha (University of Toronto)

  • CFPreferences

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: o aplicaţie rău intenţionată poate citi preferinţele gestionate ale altei aplicaţii

    Descriere: a existat o problemă la zona de siguranţă Java (sandbox) a aplicaţiei terţe. Această problemă a fost rezolvată prin îmbunătăţirea profilului sandbox de la terţi.

    CVE-ID

    CVE-2015-3793: Andreas Weinlein (Appthority Mobility Threat Team)

  • Semnare a codului

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: o aplicaţie rău intenţionată poate executa cod nesemnat

    Descriere: a existat o problemă care permitea adăugarea unui cod nesemnat la un cod semnat într-un fişier executabil modificat special. Această problemă a fost rezolvată prin îmbunătăţirea validării semnăturilor codurilor.

    CVE-ID

    CVE-2015-3806: TaiG Jailbreak Team

  • Semnare a codului

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: un fişier executabil modificat special putea permite executarea unui cod nesemnat rău intenţionat

    Descriere: a existat o problemă la modul de evaluare a fişierelor executabile de arhitecturi multiple care putea permite executarea unui cod nesemnat. Problema a fost rezolvată prin îmbunătăţirea validării fişierelor executabile.

    CVE-ID

    CVE-2015-3803: TaiG Jailbreak Team

  • Semnare a codului

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: Un utilizator local poate executa cod nesemnat

    Descriere: a existat o problemă de validare la tratarea fişierelor Mach-O. Această problemă a fost rezolvată prin adăugarea unor verificări suplimentare.

    CVE-ID

    CVE-2015-3802: TaiG Jailbreak Team

    CVE-2015-3805: TaiG Jailbreak Team

  • CoreMedia Playback

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: redarea unui fişier de film creat cu rea intenţie poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod aleatoriu

    Descriere: a existat o problemă de alterare a memoriei în CoreMedia Playback. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei.

    CVE-ID

    CVE-2015-5777: Apple

    CVE-2015-5778: Apple

  • CoreText

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: procesarea unui fişier de font creat cu rea intenţie poate cauza închiderea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei la procesarea fişierelor de fonturi. Această problemă a fost rezolvată printr-o validare îmbunătăţită a intrării.

    CVE-ID

    CVE-2015-5755: John Villamil (@day6reak), Yahoo Pentest Team 

    CVE-2015-5761: John Villamil (@day6reak), Yahoo Pentest Team

  • DiskImages

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: procesarea unui fişier DMG creat cu rea intenţie poate cauza închiderea neaşteptată a aplicaţiei sau executarea unui cod arbitrar cu privilegii de sistem

    Descriere: a existat o problemă de alterare a memoriei la analizarea imaginilor DMG formate incorect. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei.

    CVE-ID

    CVE-2015-3800: Frank Graziano (Yahoo Pentest Team)

  • FontParser

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: procesarea unui fişier de font creat cu rea intenţie poate cauza închiderea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei la procesarea fişierelor de fonturi. Această problemă a fost rezolvată printr-o validare îmbunătăţită a intrării.

    CVE-ID

    CVE-2015-3804: Apple

    CVE-2015-5756: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-5775: Apple

  • ImageIO

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: procesarea unui fişier .tiff creat cu rea intenţie poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod aleatoriu

    Descriere: a existat o problemă de alterare a memoriei la procesarea fişierelor .tiff. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor.

    CVE-ID

    CVE-2015-5758: Apple

  • ImageIO

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: accesarea unui site web rău intenţionat poate cauza divulgarea memoriei procesului

    Descriere: a existat o problemă de accesare a memoriei neiniţializate la tratarea de către ImageIO a imaginilor PNG. Accesarea unui site web rău intenţionat poate cauza trimiterea de date din memoria procesului către site-ul web. Această problemă a fost rezolvată prin îmbunătăţirea analizării memoriei şi validarea suplimentară a imaginilor PNG.

    CVE-ID

    CVE-2015-5781: Michal Zalewski

  • ImageIO

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: accesarea unui site web rău intenţionat poate cauza divulgarea memoriei procesului

    Descriere: a existat o problemă de accesare a memoriei neiniţializate la tratarea de către ImageIO a imaginilor TIFF. Accesarea unui site web rău intenţionat poate cauza trimiterea de date din memoria procesului către site-ul web. Această problemă a fost rezolvată prin îmbunătăţirea analizării memoriei şi validarea suplimentară a imaginilor TIFF.

    CVE-ID

    CVE-2015-5782: Michal Zalewski

  • IOKit

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: analizarea unui plist rău intenţionat poate cauza închiderea neaşteptată a aplicaţiei sau executarea unui cod arbitrar cu privilegii de sistem

    Descriere: a existat o problemă de alterare a memoriei la procesarea plist-urilor formate incorect. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei.

    CVE-ID

    CVE-2015-3776: Teddy Reed (Facebook Security), Patrick Stein (@jollyjinx) (Jinx Germany)

  • IOHIDFamily

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: este posibil ca un utilizator local să poată executa un cod aleatoriu cu privilegii de sistem

    Descriere: a existat o depăşire a zonei-tampon la IOHIDFamily. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei.

    CVE-ID

    CVE-2015-5774: TaiG Jailbreak Team

  • Nucleu

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: o aplicaţie rău intenţionată poate determina aspectul memoriei kernel

    Descriere: a existat o problemă în interfaţa mach_port_space_info care putea cauza divulgarea aspectului memoriei kernel. Această problemă a fost rezolvată prin dezactivarea interfeţei mach_port_space_info.

    CVE-ID

    CVE-2015-3766: Cererdlong (Alibaba Mobile Security Team), @PanguTeam

  • Nucleu

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem

    Descriere: la tratarea funcţiilor IOKit a existat o depăşire a întregului. Această problemă a fost rezolvată prin validarea îmbunătăţită a argumentelor interfeţei API IOKit.

    CVE-ID

    CVE-2015-3768: Ilja van Sprundel

  • Nucleu

    iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: este posibil ca o aplicaţie rău intenţionată să poată ocoli restricţiile de executare în fundal

    Descriere: la anumite mecanisme de depanare exista o problemă de acces. Această problemă a fost rezolvată prin adăugarea unor verificări suplimentare privind validarea.

    CVE-ID

    CVE-2015-5787 : Alessandro Reina, Mattia Pagnozzi şi Stefano Bianchi Mazzone de la FireEye

  • Libc

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: procesarea unei expresii regulate create cu rea intenţie poate cauza închiderea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei în biblioteca TRE. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei.

    CVE-ID

    CVE-2015-3796: Ian Beer (Google Project Zero)

    CVE-2015-3797: Ian Beer (Google Project Zero)

    CVE-2015-3798: Ian Beer (Google Project Zero)

  • Libinfo

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: un atacator la distanţă poate cauza închiderea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei la tratarea socketurilor AF_INET6. Această problemă a fost rezolvată prin îmbunătăţirea tratării memoriei.

    CVE-ID

    CVE-2015-5776: Apple

  • libpthread

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem

    Descriere: a existat o problemă de alterare a memoriei la tratarea apelurilor de sistem. Această problemă a fost rezolvată prin îmbunătăţirea verificării stării de blocare.

    CVE-ID

    CVE-2015-5757: Lufeng Li (Qihoo 360)

  • libxml2

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: analizarea unui document XML creat cu rea intenţie poate cauza divulgarea informaţiilor despre utilizator

    Descriere: a existat o problemă de alterare a memoriei la analizarea fişierelor XML. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei.

    CVE-ID

    CVE-2015-3807: Michal Zalewski

  • libxml2

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: au existat mai multe vulnerabilităţi în versiunile de libxml2 anterioare versiunii 2.9.2, cea mai gravă dintre acestea putând permite unui atacator la distanţă să provoace un atac DoS (refuzare a serviciului)

    Descriere: au existat vulnerabilităţi multiple în versiunile de libxml2 anterioare versiunii 2.9.2. Aceste vulnerabilităţi au fost rezolvate prin actualizarea libxml2 la versiunea 2.9.2.

    CVE-ID

    CVE-2014-0191: Felix Groebert (Google)

    CVE-2014-3660: Felix Groebert (Google)

  • libxpc

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem

    Descriere: a existat o problemă de alterare a memoriei la tratarea mesajelor XPC formate incorect. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor.

    CVE-ID

    CVE-2015-3795: Mathew Rowley

  • Location Framework

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: un utilizator local poate modifica unele componente protejate ale sistemului de fişiere

    Descriere: a fost rezolvată o problemă de linkuri simbolice prin îmbunătăţirea validării căilor.

    CVE-ID

    CVE-2015-3759 : Cererdlong (Alibaba Mobile Security Team)

  • MobileInstallation

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: o aplicaţie de companie rău intenţionată poate înlocui extensii pentru alte aplicaţii

    Descriere: a existat o problemă la logica de instalare pentru aplicaţiile pentru profiluri universale de asigurare a accesului care permitea apariţia unei coliziuni cu ID-uri de pachete existente. Problema a fost rezolvată prin îmbunătăţirea ID-urilor pachetelor.

    CVE-ID

    CVE-2015-5770: Zhaofeng Chen, Yulong Zhang şi Tao Wei de la FireEye, Inc

  • Driver MSVDX

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: vizualizarea unui conţinut video rău intenţionat poate cauza închiderea neaşteptată a sistemului

    Descriere: a fost rezolvată o problemă de tipul DoS (refuzare a serviciului) prin îmbunătăţirea tratării memoriei.

    CVE-ID

    CVE-2015-5769: Proteas (Qihoo 360 Nirvan Team)

  • Office Viewer

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: analizarea unui fişier XML creat cu rea intenţie poate cauza divulgarea informaţiilor despre utilizator

    Descriere: a existat o problemă de referenţiere a unei entităţi externe la analizarea fişierului XML. Această problemă a fost rezolvată prin îmbunătăţirea analizării.

    CVE-ID

    CVE-2015-3784: Bruno Morisson (INTEGRITY S.A.) 

  • QL Office

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: analizarea unui document Office creat cu rea intenţie poate cauza închiderea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei la analizarea documentelor Office. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei.

    CVE-ID

    CVE-2015-5773: Apple

  • Safari

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: accesarea unui site web rău intenţionat poate cauza falsificarea interfeţei cu utilizatorul

    Descriere: un site web rău intenţionat putea să deschidă alt site şi să solicite intrare de la utilizator fără ca acesta să ştie originea solicitării. Problema a fost rezolvată prin afişarea originii solicitării pentru utilizator.

    CVE-ID

    CVE-2015-3729: Code Audit Labs (VulnHunt.com)

  • Safari

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact:un site web rău intenţionat poate declanşa un număr infinit de mesaje de alertă

    Descriere: a existat o problemă legată de faptul că un site web rău intenţionat sau modificat de un hacker putea să afişeze un număr infinit de mesaje de alertă şi să facă utilizatorul să creadă că browserul este blocat. Problema a fost rezolvată prin limitarea alertelor JavaScript.

    CVE-ID

    CVE-2015-3763

  • Sandbox_profiles

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: o aplicaţie rău intenţionată poate citi preferinţele gestionate ale altei aplicaţii

    Descriere: a existat o problemă la zona de siguranţă Java (sandbox) a aplicaţiei terţe. Această problemă a fost rezolvată prin îmbunătăţirea profilului sandbox de la terţi.

    CVE-ID

    CVE-2015-5749: Andreas Weinlein (Appthority Mobility Threat Team)

  • UIKit WebView

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: o aplicaţie rău intenţionată poate iniţia apeluri FaceTime fără autorizare din partea utilizatorului

    Descriere: a existat o problemă la analizarea URL-urilor FaceTime în WebViews. Această problemă a fost rezolvată prin îmbunătăţirea validării URL-urilor.

    CVE-ID

    CVE-2015-3758: Brian Simmons (Salesforce), Guillaume Ross

  • WebKit

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: în WebKit erau mai multe probleme de corupere a memoriei. Pentru rezolvarea acestor probleme, s-a implementat o mai bună gestionare a memoriei.

    CVE-ID

    CVE-2015-3730: Apple

    CVE-2015-3731: Apple

    CVE-2015-3732: Apple

    CVE-2015-3733: Apple

    CVE-2015-3734: Apple

    CVE-2015-3735: Apple

    CVE-2015-3736: Apple

    CVE-2015-3737: Apple

    CVE-2015-3738: Apple

    CVE-2015-3739: Apple

    CVE-2015-3740: Apple

    CVE-2015-3741: Apple

    CVE-2015-3742: Apple

    CVE-2015-3743: Apple

    CVE-2015-3744: Apple

    CVE-2015-3745: Apple

    CVE-2015-3746: Apple

    CVE-2015-3747: Apple

    CVE-2015-3748: Apple

    CVE-2015-3749: Apple

  • Web

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: accesarea unui site web rău intenţionat poate cauza falsificarea interfeţei cu utilizatorul

    Descriere: navigarea la un URL format incorect putea permite unui site web rău intenţionat să afişeze un URL arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea tratării URL-urilor.

    CVE-ID

    CVE-2015-3755: xisigr (Tencent's Xuanwu Lab)

  • WebKit

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: un site web rău intenţionat poate exfiltra date de imagini cu origini încrucişate

    Descriere: imaginile preluate prin URL-uri cu redirecţionare la o resursă data:image cu origini încrucişate puteau fi exfiltrate. Această problemă a fost rezolvată prin îmbunătăţirea urmăririi alterării fundalului.

    CVE-ID

    CVE-2015-3753: Antonio Sanso şi Damien Antipa (Adobe)

  • WebKit

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: un site web rău intenţionat poate declanşa solicitări de text simplu unei origini controlate de un mecanism HSTS (HTTP Strict Transport Security)

    Descriere: a existat o problemă legată de faptul că solicitările de raportare ale politicii CSP (Content Security Policy) nu respectau mecanismul HSTS (HTTP Strict Transport Security). Problema a fost rezolvată prin aplicarea mecanismului HSTS politicii CSP.

    CVE-ID

    CVE-2015-3750: Muneaki Nishimura (nishimunea)

  • WebKit

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: un site web rău intenţionat poate determina ca un eveniment de atingere a ecranului să producă un clic sintetic în altă pagină

    Descriere: a existat o problemă legată de modul în care sunt generate clicuri sintetice din evenimente de atingere a ecranului, fapt care putea cauza clicuri vizând alte pagini. Problema a fost rezolvată prin restricţionarea propagării clicurilor.

    CVE-ID

    CVE-2015-5759: Phillip Moon şi Matt Weston (Sandfield)

  • WebKit

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: solicitările de raportare ale politicii CSP (Content Security Policy) pot cauza „scurgeri” de cookie-uri

    Descriere: au existat două probleme legate de modul de adăugare a cookie-urilor la solicitările de raportare ale politicii CSP (Content Security Policy). Erau trimise cookie-uri în solicitări de raportare cu origini încrucişate prin încălcarea standardului. Cookie-urile setate în timpul navigării obişnuite erau trimise în navigarea privată. Aceste probleme au fost rezolvate prin îmbunătăţirea tratării cookie-urilor.

    CVE-ID

    CVE-2015-3752: Muneaki Nishimura (nishimunea)

  • WebKit

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: încărcarea de imagini poate încălca politica CSP (Content Security Policy) a unui site web

    Descriere: a existat o problemă legată de faptul că site-urile web cu controale video încărcau imagini imbricate în elementele de obiecte încălcând politica CSP (Content Security Policy) a site-ului web. Această problemă a fost rezolvată prin îmbunătăţirea aplicării politicii CSP (Content Security Policy).

    CVE-ID

    CVE-2015-3751: Muneaki Nishimura (nishimunea)

Serviciul FaceTime nu este disponibil în toate țările sau regiunile.

Informaţiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu îşi asumă nicio responsabilitate în ceea ce priveşte selectarea, funcţionarea sau utilizarea site-urilor web sau produselor de la terţi. Apple nu face niciun fel de declaraţii privind acurateţea sau fiabilitatea site-urilor web terţe. La utilizarea Internetului, riscurile sunt inerente. Contactează distribuitorul pentru informaţii suplimentare. Alte nume de companii şi produse pot fi mărci comerciale ale proprietarilor respectivi.

Data publicării: