Despre conținutul de securitate din iOS 9

Acest document descrie conținutul de securitate din iOS 9.

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.

Pentru informații despre cheia PGP pentru securitatea produselor Apple, consultă Utilizarea cheii PGP pentru securitatea produselor Apple.

Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.

Pentru a afla mai multe despre alte actualizări de securitate, consultă Actualizările de securitate Apple.

iOS 9

  • Apple Pay

    Disponibilitate pentru: iPhone 6 și iPhone 6 Plus

    Impact: unele carduri pot permite unui terminal să regăsească informații limitate despre tranzacțiile recente la efectuarea unei plăți

    Descriere: funcționalitatea de jurnalizare a tranzacțiilor a fost activată în anumite configurații. Această problemă a fost rezolvată prin eliminarea funcționalității de jurnalizare a tranzacțiilor. Această problemă nu a afectat dispozitive iPad.

    CVE-ID

    CVE-2015-5916

  • AppleKeyStore

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator local poate avea posibilitatea să reseteze încercări nereușite de introducere a codului de acces cu un backup iOS

    Descriere: a existat o problemă la resetarea încercărilor nereușite de introducere a codului de acces cu un backup al dispozitivului iOS. Problema a fost rezolvată prin îmbunătățirea logicii de tratare a încercărilor nereușite de introducere a codului de acces.

    CVE-ID

    CVE-2015-5850: un cercetător anonim

  • Application Store

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: efectuarea de clic pe un link ITMS rău intenționat poate cauza o refuzare a serviciului într-o aplicație semnat de companie

    Descriere: a existat o problemă la instalarea prin linkuri ITMS. Problema a fost rezolvată prin verificarea suplimentară a instalării.

    CVE-ID

    CVE-2015-5856: Zhaofeng Chen, Hui Xue i Tao (Lenx) Wei (FireEye, Inc.)

  • Audio

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: redarea un fișier audio modificat cu rea intenție poate cauza terminarea neașteptată a aplicației

    Descriere: a existat o problemă de alterare a memoriei la tratarea fișierelor audio. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

    CVE-ID

    CVE-2015-5862: YoungJin Yoon (Information Security Lab). (Adv.: Prof. Taekyoung Kwon), Yonsei University, Seul, Coreea

  • Politica de încredere în certificate

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: actualizare a politicii de încredere în certificate

    Descriere: Politica de încredere în certificate a fost actualizată. Lista completă de certificate poate fi vizualizată la adresa https://support.apple.com/ro-ro/HT204132.

  • CFNetwork

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un URL rău intenționat poate ocoli HTTP Strict Transport Security (HSTS) și accesa date sensibile

    Descriere: a existat o vulnerabilitate la analizarea URL-urilor la tratarea HSTS. Această problemă a fost rezolvată prin îmbunătățirea analizării URL-urilor.

    CVE-ID

    CVE-2015-5858: Xiaofeng Zheng (Blue Lotus Team, Tsinghua University)

  • CFNetwork

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un site web rău intenționat poate urmări utilizatori în modul de navigare privată din Safari

    Descriere: a existat o problemă la tratarea stării HSTS în modul de navigare privată din Safari. Această problemă a fost rezolvată prin îmbunătățirea gestionării stărilor.

    CVE-ID

    CVE-2015-5860: Sam Greenhalgh (RadicalResearch Ltd.)

  • CFNetwork

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o persoană cu acces fizic la un dispozitiv iOS poate citi date memorate în cache din aplicații Apple

    Descriere: datele memorate în cache au fost criptate cu o cheie protejată numai prin identificarea UID-ului hardware-ului. Această problemă a fost rezolvată prin criptarea datelor memorate în cache cu o cheie protejată de UID-ul hardware-ului și codul de acces al utilizatorului.

    CVE-ID

    CVE-2015-5898: Andreas Kurtz (NESO Security Labs)

  • Cookie-uri CFNetwork

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator dintr-o poziție privilegiată în rețea poate urmări activitatea unui utilizator

    Descriere: a existat o problemă legată de cookie-urile între domenii la tratarea domeniilor de nivel superior. Această problemă a fost rezolvată prin îmbunătățirea restricțiilor la crearea cookie-urilor.

    CVE-ID

    CVE-2015-5885: Xiaofeng Zheng (Blue Lotus Team, Tsinghua University)

  • Cookie-uri CFNetwork

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator poate crea cookie-uri neintenționate pentru un site web

    Descriere: WebKit acceptă configurarea de cookie-uri multiple în interfața API document.cookie. Această problemă a fost rezolvată prin îmbunătățirea analizării.

    CVE-ID

    CVE-2015-3801: Erling Ellingsen (Facebook)

  • CFNetwork FTPProtocol

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: serverele FTP rău intenționate pot determina efectuarea de recunoaștere de către client pe alte gazde

    Descriere: a existat o problemă la tratarea pachetelor FTP la utilizarea comenzii PASV. Această problemă a fost rezolvată prin îmbunătățirea validării.

    CVE-ID

    CVE-2015-5912: Amit Klein

  • CFNetwork HTTPProtocol

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator cu poziție privilegiată în rețea poate intercepta traficul de rețea

    Descriere: a existat o problemă la tratarea intrărilor din lista de preîncărcare HSTS în modul de navigare privată din Safari. Această problemă a fost rezolvată prin îmbunătățirea gestionării stărilor.

    CVE-ID

    CVE-2015-5859: Rosario Giustolisi (University of Luxembourg)

  • Servere proxy CFNetwork

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: conectarea la un server proxy web poate seta cookie-uri rău intenționate pentru un site web

    Descriere: a existat o problemă în tratarea răspunsurilor de conectare ale serverelor proxy. Această problemă a fost rezolvată prin eliminarea antetului de setare a cookie-urilor la analizarea răspunsului de conectare.

    CVE-ID

    CVE-2015-5841: Xiaofeng Zheng (Blue Lotus Team, Tsinghua University)

  • SSL CFNetwork

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator cu o poziție favorabilă în rețea poate intercepta conexiuni SSL/TLS

    Descriere: a existat o problemă de validare a certificatului în NSURL după schimbarea unui certificat. Această problemă a fost rezolvată prin îmbunătățirea validării URL-urilor.

    CVE-ID

    CVE-2015-5824: Timothy J. Wood (The Omni Group)

  • SSL CFNetwork

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator poate decripta date protejate de protocolul SSL

    Descriere: există atacuri cunoscute vizând confidențialitatea RC4. Un atacator poate forța utilizarea RC4 chiar dacă serverul prefera cifruri mai bune prin blocarea TLS 1.0 și conexiunilor superioare până când CFNetwork încerca SSL 3.0, care permite numai RC4. Această problemă a fost rezolvată prin eliminarea revenirii la SSL 3.0.

  • CoreAnimation

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată poate colecta informații sensibile ale utilizatorilor

    Descriere: aplicațiile pot accesa tamponul de cadre al ecranului în timp ce se execută în fundal. Această problemă a fost rezolvată prin îmbunătățirea controlului accesului la IOSurfaces.

    CVE-ID

    CVE-2015-5880: Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li (School of Information Systems, Singapore Management University), Feng Bao and Jianying Zhou (Cryptography and Security Department Institute for Infocomm Research)

  • CoreCrypto

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator poate afla o cheie privată

    Descriere: observând numeroase încercări de semnare sau decriptare, un atacator putea afla cheia privată RSA. Această problemă a fost rezolvată prin utilizarea unor algoritmi de criptare îmbunătățiți.

  • CoreText

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei la procesarea fișierelor de fonturi. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

    CVE-ID

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Data Detectors Engine

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: procesarea unui fișier text creat cu rea intenție poate cauza executarea unui cod arbitrar

    Descriere: au existat probleme de alterare a memoriei la procesarea fișierelor text. Aceste probleme au fost rezolvate printr-o verificare îmbunătățită a limitelor.

    CVE-ID

    CVE-2015-5829: M1x7e1 (Safeye Team (www.safeye.org))

  • Dev Tools

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată poate executa un cod arbitrar cu privilegii de sistem

    Descriere: a existat o problemă de alterare a memoriei în dyld. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

    CVE-ID

    CVE-2015-5876: beist (grayhash)

  • Disk Images

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: este posibil ca un utilizator local să poată executa un cod aleatoriu cu privilegii de sistem

    Descriere: a existat o problemă de alterare a memoriei în DiskImages. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

    CVE-ID

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație poate ocoli semnarea codului

    Descriere: a existat o problemă la validarea semnăturilor codurilor executabilelor. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.

    CVE-ID

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • Game Center

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact : o aplicație Game Center rău intenționată poate accesa adresa de e-mail a unui jucător

    Descriere: a existat o problemă în Game Center la tratarea e-mailului unui jucător. Această problemă a fost rezolvată prin îmbunătățirea restricțiilor de accesare.

    CVE-ID

    CVE-2015-5855: Nasser Alnasser

  • ICU

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: vulnerabilități multiple în ICU

    Descriere: au existat vulnerabilități multiple în versiunile de ICU anterioare versiunii 53.1.0. Aceste vulnerabilități au fost rezolvate prin actualizarea ICU la versiunea 55.1.

    CVE-ID

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922: Mark Brand (Google Project Zero)

  • IOAcceleratorFamily

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să determine aspectul memoriei kernel

    Descriere: A existat o problemă care conducea la divulgarea conținutului memoriei nucleului. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.

    CVE-ID

    CVE-2015-5834: Cererdlong (Alibaba Mobile Security Team)

  • IOAcceleratorFamily

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: este posibil ca un utilizator local să poată executa un cod aleatoriu cu privilegii de sistem

    Descriere: a existat o problemă de alterare a memoriei în IOAcceleratorFamily. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

    CVE-ID

    CVE-2015-5848: Filippo Bigarella

  • IOHIDFamily

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată poate executa un cod arbitrar cu privilegii de sistem

    Descriere: a existat o problemă de alterare a memoriei în IOHIDFamily. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

    CVE-ID

    CVE-2015-5867: moony li (Trend Micro)

  • IOKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată poate executa un cod arbitrar cu privilegii de sistem

    Descriere: a existat o problemă de alterare a memoriei în kernel. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

    CVE-ID

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: este posibil ca un utilizator local să poată executa un cod aleatoriu cu privilegii de sistem

    Descriere: a existat o problemă de alterare a memoriei în IOMobileFrameBuffer. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

    CVE-ID

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator local poate citi memoria nucleului

    Descriere: a existat o problemă de inițializare a memoriei în nucleu. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

    CVE-ID

    CVE-2015-5863: Ilja van Sprundel (IOActive)

  • iTunes Store

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: acreditările pentru ID-ul Apple pot persista în portchei după ieșire

    Descriere: a existat o problemă la ștergerea portcheiului. Această problemă a fost rezolvată prin îmbunătățirea curățării contului.

    CVE-ID

    CVE-2015-5832: Kasif Dekel (Check Point Software Technologies)

  • JavaScriptCore

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site rău intenționat poate cauza executarea unui cod arbitrar

    Descriere: au existat probleme de alterare a memoriei în WebKit. Pentru rezolvarea acestor probleme s-a implementat o mai bună gestionare a memoriei.

    CVE-ID

    CVE-2015-5791: Apple

    CVE-2015-5793: Apple

    CVE-2015-5814: Apple

    CVE-2015-5816: Apple

    CVE-2015-5822: Mark S. Miller (Google)

    CVE-2015-5823: Apple

  • Kernel

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un utilizator local poate executa un cod arbitrar cu privilegii kernel

    Descriere: a existat o problemă de alterare a memoriei în kernel. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

    CVE-ID

    CVE-2015-5868: Cererdlong (Alibaba Mobile Security Team)

    CVE-2015-5896: Maxime Villard (m00nbsd)

    CVE-2015-5903: CESG

    Intrare actualizată la 21 decembrie 2016

  • Kernel

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator local poate controla valoarea cookie-urilor de stivă

    Descriere: au existat slăbiciuni multiple la generarea cookie-urilor de stivă de spațiu utilizator. Această problemă a fost rezolvată prin îmbunătățirea generării cookie-urilor de stivă.

    CVE-ID

    CVE-2013-3951: Stefan Esser

  • Kernel

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un proces local poate modifica alte procese fără verificări ale drepturilor

    Descriere: a existat o problemă legată de faptul că procesele-rădăcină care utilizează interfața API processor_set_tasks API aveau permisiunea să regăsească porturile de activități ale altor procese. Această problemă a fost rezolvată prin suplimentarea verificărilor drepturilor.

    CVE-ID

    CVE-2015-5882: Pedro Vilaça, lucrând din cercetarea originală efectuată de Ming-chieh Pan și Sung-ting Tsai; Jonathan Levin

  • Kernel

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator poate lansa atacuri de refuzare a serviciilor asupra conexiunilor TCP vizate fără să cunoască numărul de secvență corect

    Descriere: a existat o problemă la validarea nucleelor XNU ale anteturilor pachetelor TCP. Această problemă a fost rezolvată prin îmbunătățirea validării anteturilor pachetelor TCP.

    CVE-ID

    CVE-2015-5879: Jonathan Looney

  • Kernel

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator dintr-un segment LAN local poate dezactiva rutarea IPv6

    Descriere: a existat o problemă de validare insuficientă la tratarea publicității ruterelor IPv6 care permitea unui atacator să seteze limita de tronsoane (hop limit) la o valoare arbitrară. Această problemă a fost rezolvată prin aplicarea unei limite minime de tronsoane.

    CVE-ID

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: se poate ca un utilizator local să aibă posibilitatea să determine aspectul memoriei kernel

    Descriere: a existat o problemă în procesorul XNU care cauza divulgarea memorie nucleului. Această problemă a fost rezolvată prin îmbunătățirea structurilor de memorie ale nucleului.

    CVE-ID

    CVE-2015-5842: beist (grayhash)

  • Kernel

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un utilizator local poate provoca un refuz al serviciului la nivelul sistemului

    Descriere: a existat o problemă la montarea unităților HFS. Această problemă a fost rezolvată prin adăugarea de verificări de validare.

    CVE-ID

    CVE-2015-5748: Maxime Villard (m00nbsd)

  • libc

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator la distanță poate cauza executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei în funcția fflush. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

    CVE-ID

    CVE-2014-8611: Adrian Chadd și Alfred Perlstein (Norse Corporation)

  • libpthread

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un utilizator local poate executa un cod arbitrar cu privilegii kernel

    Descriere: a existat o problemă de alterare a memoriei în kernel. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

    CVE-ID

    CVE-2015-5899: Lufeng Li (Qihoo 360 Vulcan Team)

  • Mail

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator poate trimite un e-mail care pare să provină de la un contact din agenda de destinatari

    Descriere: a existat o problemă la tratarea adresei destinatarului. Această problemă a fost rezolvată prin îmbunătățirea validării.

    CVE-ID

    CVE-2015-5857: Emre Saglam (salesforce.com)

  • Conectivitate multipeer

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator poate observa date multipeer neprotejate

    Descriere: a existat o problemă la tratarea inițializatorilor „convenience” legată de posibilitatea de retrogradare activă a criptării la o sesiune necriptată. Această problemă a fost rezolvată prin schimbarea inițializatorului „convenience” la solicitarea de criptare.

    CVE-ID

    CVE-2015-5851: Alban Diquet (@nabla_c0d3) (Data Theorem)

  • NetworkExtension

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să determine aspectul memoriei kernel

    Descriere: o problemă legată de memoria neinițializată a nucleului cauza divulgarea conținutului memoriei nucleului. Această problemă a fost rezolvată prin inițializarea memoriei.

    CVE-ID

    CVE-2015-5831: Maxime Villard (m00nbsd)

  • OpenSSL

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: vulnerabilități multiple în OpenSSL

    Descriere: au existat vulnerabilități multiple în versiunile de OpenSSL anterioare versiunii 0.9.8zg. Aceste vulnerabilități au fost rezolvate prin actualizarea OpenSSL la versiunea 0.9.8zg.

    CVE-ID

    CVE-2015-0286

    CVE-2015-0287

  • PluginKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație de companie rău intenționată poate instala extensii înainte ca aplicația să fie considerată de încredere

    Descriere: a existat o problemă la validarea extensiilor în timpul instalării. Această problemă a fost rezolvată prin îmbunătățirea verificării aplicației.

    CVE-ID

    CVE-2015-5837: Zhaofeng Chen, Hui Xue i Tao (Lenx) Wei (FireEye, Inc.)

  • removefile

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: procesarea unor date rău intenționate poate cauza terminarea neașteptată a aplicației

    Descriere: a existat o eroare de depășire în rutinele de divizare checkint. Această problemă a fost rezolvată prin îmbunătățirea rutinelor de divizare.

    CVE-ID

    CVE-2015-5840: un cercetător anonim

  • Safari

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un utilizator local poate citi favorite Safari pe un dispozitiv iOS blocat fără un cod de acces

    Descriere: datele favoritelor Safari au fost criptate cu o cheie protejată numai prin identificarea UID-ului hardware-ului. Această problemă a fost rezolvată prin criptarea datelor favoritelor Safari cu o cheie protejată de UID-ul hardware-ului și codul de acces al utilizatorului.

    CVE-ID

    CVE-2015-7118: Jonathan Zdziarski

    Intrare actualizată la 21 decembrie 2016

  • Safari

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site web rău intenționat poate cauza falsificarea interfeței cu utilizatorul

    Descriere: o problemă putea permite unui site web să afișeze conținut cu un URL din alt site web. Această problemă a fost rezolvată prin îmbunătățirea tratării URL-urilor.

    CVE-ID

    CVE-2015-5904: Erling Ellingsen (Facebook), Łukasz Pilorz

  • Safari

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site web rău intenționat poate cauza falsificarea interfeței cu utilizatorul

    Descriere: navigarea la un site web rău intenționat cu un mecanism malformat de deschidere a ferestrelor putea permite afișarea unor URL-uri arbitrare. Această problemă a fost rezolvată prin îmbunătățirea tratării mecanismelor de deschidere a ferestrelor.

    CVE-ID

    CVE-2015-5905: Keita Haga (keitahaga.com)

  • Safari

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: utilizatorii pot fi urmăriți de site-uri web rău intenționate utilizând certificate de client

    Descriere: a existat o problemă de corelare a certificatelor de client Safari pentru autentificare SSL. Această problemă a fost rezolvată prin îmbunătățirea corelării certificatelor de client valide.

    CVE-ID

    CVE-2015-1129: Stefan Kraus (fluid Operations AG), Sylvain Munaut (Whatever s.a.)

  • Safari

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site web rău intenționat poate cauza falsificarea interfeței cu utilizatorul

    Descriere: mai multe inconsecvențe în interfața cu utilizatorul puteau permite unui site web rău intenționat să afișeze un URL arbitrar. Această problemă a fost rezolvată prin îmbunătățirea logicii de afișare a URL-urilor.

    CVE-ID

    CVE-2015-5764: Antonio Sanso (@asanso) (Adobe)

    CVE-2015-5765: Ron Masas

    CVE-2015-5767: Krystian Kloskowski via Secunia, Masato Kinugawa

  • Safari Safe Browsing

    iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: este posibil ca navigarea la adresa IP a unui site web cunoscut ca fiind rău intenționat să nu declanșeze o avertizare de securitate

    Descriere: caracteristica Safe Browsing din Safari nu a avertizat utilizatorii la accesarea site-urilor web cunoscute ca fiind rău intenționate prin adresele lor IP. Această problemă a fost rezolvată prin selectarea îmbunătățită a site-urilor rău intenționate.

    Rahul M (TagsDock)

  • Securitate

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată poate intercepta comunicația între aplicații

    Descriere: a existat o problemă care permitea unei aplicații rău intenționate să intercepteze comunicațiile de scheme URL între aplicații. Această problemă a fost limitată prin afișarea unui dialog la prima utilizare a unei scheme de URL-uri.

    CVE-ID

    CVE-2015-5835: Teun van Run (FiftyTwoDegreesNorth B.V.); XiaoFeng Wang (Indiana University), Luyi Xing (Indiana University), Tongxin Li (Peking University), Tongxin Li (Peking University), Xiaolong Bai (Tsinghua University)

  • Siri

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o persoană cu acces fizic la un dispozitiv iOS poate folosi Siri pentru a citi notificări despre conținut care este configurat să nu fie afișat pe ecranul de blocare

    Descriere: atunci când se efectua o solicitare către Siri, restricțiile pe partea de client nu erau verificate de server. Această problemă a fost rezolvată printr-o verificare îmbunătățită a restricțiilor.

    CVE-ID

    CVE-2015-5892: Robert S Mozayeni, Joshua Donvito

  • SpringBoard

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o persoană cu acces fizic la un dispozitiv iOS poate răspunde unui mesaj audio din ecranul de blocare atunci când previzualizările mesajelor din ecranul de blocare sunt dezactivate

    Descriere: o problemă legată de ecranul de blocare permitea utilizatorilor să răspundă mesajelor audio atunci când previzualizările mesajelor erau dezactivate. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

    CVE-ID

    CVE-2015-5861: Daniel Miedema (Meridian Apps)

  • SpringBoard

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată poate falsifica ferestrele de dialog ale altei aplicații

    Descriere: a existat o problemă de acces la apelurile API privilegiate. Această problemă a fost rezolvată prin restricții suplimentare.

    CVE-ID

    CVE-2015-5838: Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei, John C.S. Lui

  • SQLite

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: vulnerabilități multiple în SQLite v3.8.5

    Descriere: au existat vulnerabilități multiple în SQLite v3.8.5. Aceste probleme au fost rezolvate prin actualizarea SQLite la versiunea 3.8.10.2.

    CVE-ID

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • tidy

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site rău intenționat poate cauza executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei în Tidy. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

    CVE-ID

    CVE-2015-5522: Fernando Muñoz (NULLGroup.com)

    CVE-2015-5523: Fernando Muñoz (NULLGroup.com)

  • WebKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: referințele la obiecte pot fi trecute între origini izolate la evenimente particularizate, evenimente de mesaje și evenimente de stare pop

    Descriere: o problemă de trecere a obiectelor anula limita de izolare între origini. Această problemă a fost rezolvată prin îmbunătățirea izolării originilor.

    CVE-ID

    CVE-2015-5827: Gildas

  • WebKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site rău intenționat poate cauza executarea unui cod arbitrar

    Descriere: au existat probleme de alterare a memoriei în WebKit. Pentru rezolvarea acestor probleme s-a implementat o mai bună gestionare a memoriei.

    CVE-ID

    CVE-2015-5789: Apple

    CVE-2015-5790: Apple

    CVE-2015-5792: Apple

    CVE-2015-5794: Apple

    CVE-2015-5795: Apple

    CVE-2015-5796: Apple

    CVE-2015-5797: Apple

    CVE-2015-5799: Apple

    CVE-2015-5800: Apple

    CVE-2015-5801: Apple

    CVE-2015-5802: Apple

    CVE-2015-5803: Apple

    CVE-2015-5804: Apple

    CVE-2015-5805

    CVE-2015-5806: Apple

    CVE-2015-5807: Apple

    CVE-2015-5809: Apple

    CVE-2015-5810: Apple

    CVE-2015-5811: Apple

    CVE-2015-5812: Apple

    CVE-2015-5813: Apple

    CVE-2015-5817: Apple

    CVE-2015-5818: Apple

    CVE-2015-5819: Apple

    CVE-2015-5821: Apple

  • WebKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site web rău intenționat poate cauza o apelare neintenționată

    Descriere: a existat o problemă la tratarea URL-urilor tel://, facetime:// și facetime-audio://. Această problemă a fost rezolvată prin îmbunătățirea tratării URL-urilor.

    CVE-ID

    CVE-2015-5820: Andrei Neculaesei, Guillaume Ross

  • WebKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: QuickType poate afla ultimul caracter al unei parole dintr-un formular web completat

    Descriere: a existat o problemă în tratarea de către WebKit a contextului de introducere a parolelor. Această problemă a fost rezolvată prin îmbunătățirea tratării contextului de introducere.

    CVE-ID

    CVE-2015-5906: Louis Romero (Google Inc.)

  • WebKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator cu poziție privilegiată în rețea poate redirecționa către un domeniu rău intenționat

    Descriere: a existat o problemă la tratarea memoriilor cache ale resurselor în site-urile cu certificate nevalide. Această problemă a fost rezolvată prin respingerea memoriilor cache de aplicație ale domeniilor cu certificate nevalide.

    CVE-ID

    CVE-2015-5907: Yaoqi Jia (National University of Singapore (NUS))

  • WebKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un site web rău intenționat poate exfiltra date cu origini încrucișate

    Descriere: Safari permite foilor de stil cu origine încrucișată să fie încărcate cu tipuri MIME non-CSS care puteau fi utilizate pentru exfiltrarea de date cu origine încrucișată. Această problemă a fost rezolvată prin limitarea tipurilor MIME pentru file de stil cu origine încrucișată.

    CVE-ID

    CVE-2015-5826 : filedescriptor, Chris Evans

  • WebKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: interfața API Performance poate permite unui site web rău intenționat să colecteze istoricul de navigare, activitatea în rețea și mișcările mouse-ului

    Descriere: interfața API Performance din WebKit putea permite unui site web rău intenționat să colecteze istoricul de navigare, activitatea în rețea și mișcările mouse-ului prin măsurarea timpului. Această problemă a fost rezolvată prin limitarea rezolvării timpului.

    CVE-ID

    CVE-2015-5825: Yossi Oren et al. (Columbia University's Network Security Lab)

  • WebKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator cu poziție privilegiată în rețea poate colecta informații sensibile ale utilizatorilor

    Descriere: a existat o problemă la anteturi Content-Disposition care conțin atașări de tip. Această problemă a fost rezolvată prin nepermiterea unor funcționalități pentru paginile cu atașări de tip.

    CVE-ID

    CVE-2015-5921: Mickey Shkatov (Intel(r) Advanced Threat Research Team), Daoyuan Wu (Singapore Management University), Rocky K. C. Chang (Hong Kong Polytechnic University), Łukasz Pilorz, superhei (www.knownsec.com)

  • Canvas WebKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site web rău intenționat poate divulga date de imagini din alt site web

    Descriere: a existat o problemă de origine încrucișată la imaginile cu elemente „canvas” în WebKit. Această problemă a fost rezolvată prin îmbunătățirea urmăririi originilor securității.

    CVE-ID

    CVE-2015-5788: Apple

  • Încărcare pagină WebKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: elementele WebSocket pot ocoli aplicarea politicilor privind conținutul combinat

    Descriere: o problemă de aplicare insuficientă a politicilor permite elementelor WebSocket să încarce conținut combinat. Această problemă a fost rezolvată prin extinderea aplicării politicilor privind conținutul combinat la elementelor WebSocket.

    Kevin G. Jones (Higher Logic)

Serviciul FaceTime nu este disponibil în toate țările sau regiunile.

Informaţiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu îşi asumă nicio responsabilitate în ceea ce priveşte selectarea, funcţionarea sau utilizarea site-urilor web sau produselor de la terţi. Apple nu face niciun fel de declaraţii privind acurateţea sau fiabilitatea site-urilor web terţe. La utilizarea Internetului, riscurile sunt inerente. Contactează distribuitorul pentru informaţii suplimentare. Alte nume de companii şi produse pot fi mărci comerciale ale proprietarilor respectivi.

Data publicării: