Despre conținutul de securitate din iOS 9
Acest document descrie conținutul de securitate din iOS 9.
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.
Pentru informații despre cheia PGP pentru securitatea produselor Apple, consultă Utilizarea cheii PGP pentru securitatea produselor Apple.
Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.
Pentru a afla mai multe despre alte actualizări de securitate, consultă Actualizările de securitate Apple.
iOS 9
Apple Pay
Disponibilitate pentru: iPhone 6 și iPhone 6 Plus
Impact: unele carduri pot permite unui terminal să regăsească informații limitate despre tranzacțiile recente la efectuarea unei plăți
Descriere: funcționalitatea de jurnalizare a tranzacțiilor a fost activată în anumite configurații. Această problemă a fost rezolvată prin eliminarea funcționalității de jurnalizare a tranzacțiilor. Această problemă nu a afectat dispozitive iPad.
CVE-ID
CVE-2015-5916
AppleKeyStore
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator local poate avea posibilitatea să reseteze încercări nereușite de introducere a codului de acces cu un backup iOS
Descriere: a existat o problemă la resetarea încercărilor nereușite de introducere a codului de acces cu un backup al dispozitivului iOS. Problema a fost rezolvată prin îmbunătățirea logicii de tratare a încercărilor nereușite de introducere a codului de acces.
CVE-ID
CVE-2015-5850: un cercetător anonim
Application Store
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: efectuarea de clic pe un link ITMS rău intenționat poate cauza o refuzare a serviciului într-o aplicație semnat de companie
Descriere: a existat o problemă la instalarea prin linkuri ITMS. Problema a fost rezolvată prin verificarea suplimentară a instalării.
CVE-ID
CVE-2015-5856: Zhaofeng Chen, Hui Xue i Tao (Lenx) Wei (FireEye, Inc.)
Audio
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: redarea un fișier audio modificat cu rea intenție poate cauza terminarea neașteptată a aplicației
Descriere: a existat o problemă de alterare a memoriei la tratarea fișierelor audio. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.
CVE-ID
CVE-2015-5862: YoungJin Yoon (Information Security Lab). (Adv.: Prof. Taekyoung Kwon), Yonsei University, Seul, Coreea
Politica de încredere în certificate
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: actualizare a politicii de încredere în certificate
Descriere: Politica de încredere în certificate a fost actualizată. Lista completă de certificate poate fi vizualizată la adresa https://support.apple.com/ro-ro/HT204132.
CFNetwork
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un URL rău intenționat poate ocoli HTTP Strict Transport Security (HSTS) și accesa date sensibile
Descriere: a existat o vulnerabilitate la analizarea URL-urilor la tratarea HSTS. Această problemă a fost rezolvată prin îmbunătățirea analizării URL-urilor.
CVE-ID
CVE-2015-5858: Xiaofeng Zheng (Blue Lotus Team, Tsinghua University)
CFNetwork
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un site web rău intenționat poate urmări utilizatori în modul de navigare privată din Safari
Descriere: a existat o problemă la tratarea stării HSTS în modul de navigare privată din Safari. Această problemă a fost rezolvată prin îmbunătățirea gestionării stărilor.
CVE-ID
CVE-2015-5860: Sam Greenhalgh (RadicalResearch Ltd.)
CFNetwork
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o persoană cu acces fizic la un dispozitiv iOS poate citi date memorate în cache din aplicații Apple
Descriere: datele memorate în cache au fost criptate cu o cheie protejată numai prin identificarea UID-ului hardware-ului. Această problemă a fost rezolvată prin criptarea datelor memorate în cache cu o cheie protejată de UID-ul hardware-ului și codul de acces al utilizatorului.
CVE-ID
CVE-2015-5898: Andreas Kurtz (NESO Security Labs)
Cookie-uri CFNetwork
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator dintr-o poziție privilegiată în rețea poate urmări activitatea unui utilizator
Descriere: a existat o problemă legată de cookie-urile între domenii la tratarea domeniilor de nivel superior. Această problemă a fost rezolvată prin îmbunătățirea restricțiilor la crearea cookie-urilor.
CVE-ID
CVE-2015-5885: Xiaofeng Zheng (Blue Lotus Team, Tsinghua University)
Cookie-uri CFNetwork
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator poate crea cookie-uri neintenționate pentru un site web
Descriere: WebKit acceptă configurarea de cookie-uri multiple în interfața API document.cookie. Această problemă a fost rezolvată prin îmbunătățirea analizării.
CVE-ID
CVE-2015-3801: Erling Ellingsen (Facebook)
CFNetwork FTPProtocol
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: serverele FTP rău intenționate pot determina efectuarea de recunoaștere de către client pe alte gazde
Descriere: a existat o problemă la tratarea pachetelor FTP la utilizarea comenzii PASV. Această problemă a fost rezolvată prin îmbunătățirea validării.
CVE-ID
CVE-2015-5912: Amit Klein
CFNetwork HTTPProtocol
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator cu poziție privilegiată în rețea poate intercepta traficul de rețea
Descriere: a existat o problemă la tratarea intrărilor din lista de preîncărcare HSTS în modul de navigare privată din Safari. Această problemă a fost rezolvată prin îmbunătățirea gestionării stărilor.
CVE-ID
CVE-2015-5859: Rosario Giustolisi (University of Luxembourg)
Servere proxy CFNetwork
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: conectarea la un server proxy web poate seta cookie-uri rău intenționate pentru un site web
Descriere: a existat o problemă în tratarea răspunsurilor de conectare ale serverelor proxy. Această problemă a fost rezolvată prin eliminarea antetului de setare a cookie-urilor la analizarea răspunsului de conectare.
CVE-ID
CVE-2015-5841: Xiaofeng Zheng (Blue Lotus Team, Tsinghua University)
SSL CFNetwork
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator cu o poziție favorabilă în rețea poate intercepta conexiuni SSL/TLS
Descriere: a existat o problemă de validare a certificatului în NSURL după schimbarea unui certificat. Această problemă a fost rezolvată prin îmbunătățirea validării URL-urilor.
CVE-ID
CVE-2015-5824: Timothy J. Wood (The Omni Group)
SSL CFNetwork
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator poate decripta date protejate de protocolul SSL
Descriere: există atacuri cunoscute vizând confidențialitatea RC4. Un atacator poate forța utilizarea RC4 chiar dacă serverul prefera cifruri mai bune prin blocarea TLS 1.0 și conexiunilor superioare până când CFNetwork încerca SSL 3.0, care permite numai RC4. Această problemă a fost rezolvată prin eliminarea revenirii la SSL 3.0.
CoreAnimation
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație rău intenționată poate colecta informații sensibile ale utilizatorilor
Descriere: aplicațiile pot accesa tamponul de cadre al ecranului în timp ce se execută în fundal. Această problemă a fost rezolvată prin îmbunătățirea controlului accesului la IOSurfaces.
CVE-ID
CVE-2015-5880: Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li (School of Information Systems, Singapore Management University), Feng Bao and Jianying Zhou (Cryptography and Security Department Institute for Infocomm Research)
CoreCrypto
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator poate afla o cheie privată
Descriere: observând numeroase încercări de semnare sau decriptare, un atacator putea afla cheia privată RSA. Această problemă a fost rezolvată prin utilizarea unor algoritmi de criptare îmbunătățiți.
CoreText
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a existat o problemă de alterare a memoriei la procesarea fișierelor de fonturi. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-ID
CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team
Data Detectors Engine
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: procesarea unui fișier text creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: au existat probleme de alterare a memoriei la procesarea fișierelor text. Aceste probleme au fost rezolvate printr-o verificare îmbunătățită a limitelor.
CVE-ID
CVE-2015-5829: M1x7e1 (Safeye Team (www.safeye.org))
Dev Tools
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație rău intenționată poate executa un cod arbitrar cu privilegii de sistem
Descriere: a existat o problemă de alterare a memoriei în dyld. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.
CVE-ID
CVE-2015-5876: beist (grayhash)
Disk Images
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: este posibil ca un utilizator local să poată executa un cod aleatoriu cu privilegii de sistem
Descriere: a existat o problemă de alterare a memoriei în DiskImages. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.
CVE-ID
CVE-2015-5847: Filippo Bigarella, Luca Todesco
dyld
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație poate ocoli semnarea codului
Descriere: a existat o problemă la validarea semnăturilor codurilor executabilelor. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-ID
CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team
Game Center
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact : o aplicație Game Center rău intenționată poate accesa adresa de e-mail a unui jucător
Descriere: a existat o problemă în Game Center la tratarea e-mailului unui jucător. Această problemă a fost rezolvată prin îmbunătățirea restricțiilor de accesare.
CVE-ID
CVE-2015-5855: Nasser Alnasser
ICU
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: vulnerabilități multiple în ICU
Descriere: au existat vulnerabilități multiple în versiunile de ICU anterioare versiunii 53.1.0. Aceste vulnerabilități au fost rezolvate prin actualizarea ICU la versiunea 55.1.
CVE-ID
CVE-2014-8146: Marc Deslauriers
CVE-2014-8147: Marc Deslauriers
CVE-2015-5922: Mark Brand (Google Project Zero)
IOAcceleratorFamily
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să determine aspectul memoriei kernel
Descriere: A existat o problemă care conducea la divulgarea conținutului memoriei nucleului. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-ID
CVE-2015-5834: Cererdlong (Alibaba Mobile Security Team)
IOAcceleratorFamily
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: este posibil ca un utilizator local să poată executa un cod aleatoriu cu privilegii de sistem
Descriere: a existat o problemă de alterare a memoriei în IOAcceleratorFamily. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.
CVE-ID
CVE-2015-5848: Filippo Bigarella
IOHIDFamily
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație rău intenționată poate executa un cod arbitrar cu privilegii de sistem
Descriere: a existat o problemă de alterare a memoriei în IOHIDFamily. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.
CVE-ID
CVE-2015-5867: moony li (Trend Micro)
IOKit
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație rău intenționată poate executa un cod arbitrar cu privilegii de sistem
Descriere: a existat o problemă de alterare a memoriei în kernel. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.
CVE-ID
CVE-2015-5844: Filippo Bigarella
CVE-2015-5845: Filippo Bigarella
CVE-2015-5846: Filippo Bigarella
IOMobileFrameBuffer
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: este posibil ca un utilizator local să poată executa un cod aleatoriu cu privilegii de sistem
Descriere: a existat o problemă de alterare a memoriei în IOMobileFrameBuffer. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.
CVE-ID
CVE-2015-5843: Filippo Bigarella
IOStorageFamily
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator local poate citi memoria nucleului
Descriere: a existat o problemă de inițializare a memoriei în nucleu. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.
CVE-ID
CVE-2015-5863: Ilja van Sprundel (IOActive)
iTunes Store
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: acreditările pentru ID-ul Apple pot persista în portchei după ieșire
Descriere: a existat o problemă la ștergerea portcheiului. Această problemă a fost rezolvată prin îmbunătățirea curățării contului.
CVE-ID
CVE-2015-5832: Kasif Dekel (Check Point Software Technologies)
JavaScriptCore
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: accesarea unui site rău intenționat poate cauza executarea unui cod arbitrar
Descriere: au existat probleme de alterare a memoriei în WebKit. Pentru rezolvarea acestor probleme s-a implementat o mai bună gestionare a memoriei.
CVE-ID
CVE-2015-5791: Apple
CVE-2015-5793: Apple
CVE-2015-5814: Apple
CVE-2015-5816: Apple
CVE-2015-5822: Mark S. Miller (Google)
CVE-2015-5823: Apple
Kernel
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un utilizator local poate executa un cod arbitrar cu privilegii kernel
Descriere: a existat o problemă de alterare a memoriei în kernel. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.
CVE-ID
CVE-2015-5868: Cererdlong (Alibaba Mobile Security Team)
CVE-2015-5896: Maxime Villard (m00nbsd)
CVE-2015-5903: CESG
Intrare actualizată la 21 decembrie 2016
Kernel
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator local poate controla valoarea cookie-urilor de stivă
Descriere: au existat slăbiciuni multiple la generarea cookie-urilor de stivă de spațiu utilizator. Această problemă a fost rezolvată prin îmbunătățirea generării cookie-urilor de stivă.
CVE-ID
CVE-2013-3951: Stefan Esser
Kernel
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un proces local poate modifica alte procese fără verificări ale drepturilor
Descriere: a existat o problemă legată de faptul că procesele-rădăcină care utilizează interfața API processor_set_tasks API aveau permisiunea să regăsească porturile de activități ale altor procese. Această problemă a fost rezolvată prin suplimentarea verificărilor drepturilor.
CVE-ID
CVE-2015-5882: Pedro Vilaça, lucrând din cercetarea originală efectuată de Ming-chieh Pan și Sung-ting Tsai; Jonathan Levin
Kernel
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator poate lansa atacuri de refuzare a serviciilor asupra conexiunilor TCP vizate fără să cunoască numărul de secvență corect
Descriere: a existat o problemă la validarea nucleelor XNU ale anteturilor pachetelor TCP. Această problemă a fost rezolvată prin îmbunătățirea validării anteturilor pachetelor TCP.
CVE-ID
CVE-2015-5879: Jonathan Looney
Kernel
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator dintr-un segment LAN local poate dezactiva rutarea IPv6
Descriere: a existat o problemă de validare insuficientă la tratarea publicității ruterelor IPv6 care permitea unui atacator să seteze limita de tronsoane (hop limit) la o valoare arbitrară. Această problemă a fost rezolvată prin aplicarea unei limite minime de tronsoane.
CVE-ID
CVE-2015-5869: Dennis Spindel Ljungmark
Kernel
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: se poate ca un utilizator local să aibă posibilitatea să determine aspectul memoriei kernel
Descriere: a existat o problemă în procesorul XNU care cauza divulgarea memorie nucleului. Această problemă a fost rezolvată prin îmbunătățirea structurilor de memorie ale nucleului.
CVE-ID
CVE-2015-5842: beist (grayhash)
Kernel
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un utilizator local poate provoca un refuz al serviciului la nivelul sistemului
Descriere: a existat o problemă la montarea unităților HFS. Această problemă a fost rezolvată prin adăugarea de verificări de validare.
CVE-ID
CVE-2015-5748: Maxime Villard (m00nbsd)
libc
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator la distanță poate cauza executarea unui cod arbitrar
Descriere: a existat o problemă de alterare a memoriei în funcția fflush. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.
CVE-ID
CVE-2014-8611: Adrian Chadd și Alfred Perlstein (Norse Corporation)
libpthread
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un utilizator local poate executa un cod arbitrar cu privilegii kernel
Descriere: a existat o problemă de alterare a memoriei în kernel. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.
CVE-ID
CVE-2015-5899: Lufeng Li (Qihoo 360 Vulcan Team)
Mail
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator poate trimite un e-mail care pare să provină de la un contact din agenda de destinatari
Descriere: a existat o problemă la tratarea adresei destinatarului. Această problemă a fost rezolvată prin îmbunătățirea validării.
CVE-ID
CVE-2015-5857: Emre Saglam (salesforce.com)
Conectivitate multipeer
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator poate observa date multipeer neprotejate
Descriere: a existat o problemă la tratarea inițializatorilor „convenience” legată de posibilitatea de retrogradare activă a criptării la o sesiune necriptată. Această problemă a fost rezolvată prin schimbarea inițializatorului „convenience” la solicitarea de criptare.
CVE-ID
CVE-2015-5851: Alban Diquet (@nabla_c0d3) (Data Theorem)
NetworkExtension
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să determine aspectul memoriei kernel
Descriere: o problemă legată de memoria neinițializată a nucleului cauza divulgarea conținutului memoriei nucleului. Această problemă a fost rezolvată prin inițializarea memoriei.
CVE-ID
CVE-2015-5831: Maxime Villard (m00nbsd)
OpenSSL
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: vulnerabilități multiple în OpenSSL
Descriere: au existat vulnerabilități multiple în versiunile de OpenSSL anterioare versiunii 0.9.8zg. Aceste vulnerabilități au fost rezolvate prin actualizarea OpenSSL la versiunea 0.9.8zg.
CVE-ID
CVE-2015-0286
CVE-2015-0287
PluginKit
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație de companie rău intenționată poate instala extensii înainte ca aplicația să fie considerată de încredere
Descriere: a existat o problemă la validarea extensiilor în timpul instalării. Această problemă a fost rezolvată prin îmbunătățirea verificării aplicației.
CVE-ID
CVE-2015-5837: Zhaofeng Chen, Hui Xue i Tao (Lenx) Wei (FireEye, Inc.)
removefile
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: procesarea unor date rău intenționate poate cauza terminarea neașteptată a aplicației
Descriere: a existat o eroare de depășire în rutinele de divizare checkint. Această problemă a fost rezolvată prin îmbunătățirea rutinelor de divizare.
CVE-ID
CVE-2015-5840: un cercetător anonim
Safari
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un utilizator local poate citi favorite Safari pe un dispozitiv iOS blocat fără un cod de acces
Descriere: datele favoritelor Safari au fost criptate cu o cheie protejată numai prin identificarea UID-ului hardware-ului. Această problemă a fost rezolvată prin criptarea datelor favoritelor Safari cu o cheie protejată de UID-ul hardware-ului și codul de acces al utilizatorului.
CVE-ID
CVE-2015-7118: Jonathan Zdziarski
Intrare actualizată la 21 decembrie 2016
Safari
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: accesarea unui site web rău intenționat poate cauza falsificarea interfeței cu utilizatorul
Descriere: o problemă putea permite unui site web să afișeze conținut cu un URL din alt site web. Această problemă a fost rezolvată prin îmbunătățirea tratării URL-urilor.
CVE-ID
CVE-2015-5904: Erling Ellingsen (Facebook), Łukasz Pilorz
Safari
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: accesarea unui site web rău intenționat poate cauza falsificarea interfeței cu utilizatorul
Descriere: navigarea la un site web rău intenționat cu un mecanism malformat de deschidere a ferestrelor putea permite afișarea unor URL-uri arbitrare. Această problemă a fost rezolvată prin îmbunătățirea tratării mecanismelor de deschidere a ferestrelor.
CVE-ID
CVE-2015-5905: Keita Haga (keitahaga.com)
Safari
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: utilizatorii pot fi urmăriți de site-uri web rău intenționate utilizând certificate de client
Descriere: a existat o problemă de corelare a certificatelor de client Safari pentru autentificare SSL. Această problemă a fost rezolvată prin îmbunătățirea corelării certificatelor de client valide.
CVE-ID
CVE-2015-1129: Stefan Kraus (fluid Operations AG), Sylvain Munaut (Whatever s.a.)
Safari
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: accesarea unui site web rău intenționat poate cauza falsificarea interfeței cu utilizatorul
Descriere: mai multe inconsecvențe în interfața cu utilizatorul puteau permite unui site web rău intenționat să afișeze un URL arbitrar. Această problemă a fost rezolvată prin îmbunătățirea logicii de afișare a URL-urilor.
CVE-ID
CVE-2015-5764: Antonio Sanso (@asanso) (Adobe)
CVE-2015-5765: Ron Masas
CVE-2015-5767: Krystian Kloskowski via Secunia, Masato Kinugawa
Safari Safe Browsing
iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: este posibil ca navigarea la adresa IP a unui site web cunoscut ca fiind rău intenționat să nu declanșeze o avertizare de securitate
Descriere: caracteristica Safe Browsing din Safari nu a avertizat utilizatorii la accesarea site-urilor web cunoscute ca fiind rău intenționate prin adresele lor IP. Această problemă a fost rezolvată prin selectarea îmbunătățită a site-urilor rău intenționate.
Rahul M (TagsDock)
Securitate
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație rău intenționată poate intercepta comunicația între aplicații
Descriere: a existat o problemă care permitea unei aplicații rău intenționate să intercepteze comunicațiile de scheme URL între aplicații. Această problemă a fost limitată prin afișarea unui dialog la prima utilizare a unei scheme de URL-uri.
CVE-ID
CVE-2015-5835: Teun van Run (FiftyTwoDegreesNorth B.V.); XiaoFeng Wang (Indiana University), Luyi Xing (Indiana University), Tongxin Li (Peking University), Tongxin Li (Peking University), Xiaolong Bai (Tsinghua University)
Siri
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o persoană cu acces fizic la un dispozitiv iOS poate folosi Siri pentru a citi notificări despre conținut care este configurat să nu fie afișat pe ecranul de blocare
Descriere: atunci când se efectua o solicitare către Siri, restricțiile pe partea de client nu erau verificate de server. Această problemă a fost rezolvată printr-o verificare îmbunătățită a restricțiilor.
CVE-ID
CVE-2015-5892: Robert S Mozayeni, Joshua Donvito
SpringBoard
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o persoană cu acces fizic la un dispozitiv iOS poate răspunde unui mesaj audio din ecranul de blocare atunci când previzualizările mesajelor din ecranul de blocare sunt dezactivate
Descriere: o problemă legată de ecranul de blocare permitea utilizatorilor să răspundă mesajelor audio atunci când previzualizările mesajelor erau dezactivate. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-ID
CVE-2015-5861: Daniel Miedema (Meridian Apps)
SpringBoard
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație rău intenționată poate falsifica ferestrele de dialog ale altei aplicații
Descriere: a existat o problemă de acces la apelurile API privilegiate. Această problemă a fost rezolvată prin restricții suplimentare.
CVE-ID
CVE-2015-5838: Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei, John C.S. Lui
SQLite
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: vulnerabilități multiple în SQLite v3.8.5
Descriere: au existat vulnerabilități multiple în SQLite v3.8.5. Aceste probleme au fost rezolvate prin actualizarea SQLite la versiunea 3.8.10.2.
CVE-ID
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
tidy
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: accesarea unui site rău intenționat poate cauza executarea unui cod arbitrar
Descriere: a existat o problemă de alterare a memoriei în Tidy. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.
CVE-ID
CVE-2015-5522: Fernando Muñoz (NULLGroup.com)
CVE-2015-5523: Fernando Muñoz (NULLGroup.com)
WebKit
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: referințele la obiecte pot fi trecute între origini izolate la evenimente particularizate, evenimente de mesaje și evenimente de stare pop
Descriere: o problemă de trecere a obiectelor anula limita de izolare între origini. Această problemă a fost rezolvată prin îmbunătățirea izolării originilor.
CVE-ID
CVE-2015-5827: Gildas
WebKit
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: accesarea unui site rău intenționat poate cauza executarea unui cod arbitrar
Descriere: au existat probleme de alterare a memoriei în WebKit. Pentru rezolvarea acestor probleme s-a implementat o mai bună gestionare a memoriei.
CVE-ID
CVE-2015-5789: Apple
CVE-2015-5790: Apple
CVE-2015-5792: Apple
CVE-2015-5794: Apple
CVE-2015-5795: Apple
CVE-2015-5796: Apple
CVE-2015-5797: Apple
CVE-2015-5799: Apple
CVE-2015-5800: Apple
CVE-2015-5801: Apple
CVE-2015-5802: Apple
CVE-2015-5803: Apple
CVE-2015-5804: Apple
CVE-2015-5805
CVE-2015-5806: Apple
CVE-2015-5807: Apple
CVE-2015-5809: Apple
CVE-2015-5810: Apple
CVE-2015-5811: Apple
CVE-2015-5812: Apple
CVE-2015-5813: Apple
CVE-2015-5817: Apple
CVE-2015-5818: Apple
CVE-2015-5819: Apple
CVE-2015-5821: Apple
WebKit
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: accesarea unui site web rău intenționat poate cauza o apelare neintenționată
Descriere: a existat o problemă la tratarea URL-urilor tel://, facetime:// și facetime-audio://. Această problemă a fost rezolvată prin îmbunătățirea tratării URL-urilor.
CVE-ID
CVE-2015-5820: Andrei Neculaesei, Guillaume Ross
WebKit
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: QuickType poate afla ultimul caracter al unei parole dintr-un formular web completat
Descriere: a existat o problemă în tratarea de către WebKit a contextului de introducere a parolelor. Această problemă a fost rezolvată prin îmbunătățirea tratării contextului de introducere.
CVE-ID
CVE-2015-5906: Louis Romero (Google Inc.)
WebKit
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator cu poziție privilegiată în rețea poate redirecționa către un domeniu rău intenționat
Descriere: a existat o problemă la tratarea memoriilor cache ale resurselor în site-urile cu certificate nevalide. Această problemă a fost rezolvată prin respingerea memoriilor cache de aplicație ale domeniilor cu certificate nevalide.
CVE-ID
CVE-2015-5907: Yaoqi Jia (National University of Singapore (NUS))
WebKit
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un site web rău intenționat poate exfiltra date cu origini încrucișate
Descriere: Safari permite foilor de stil cu origine încrucișată să fie încărcate cu tipuri MIME non-CSS care puteau fi utilizate pentru exfiltrarea de date cu origine încrucișată. Această problemă a fost rezolvată prin limitarea tipurilor MIME pentru file de stil cu origine încrucișată.
CVE-ID
CVE-2015-5826 : filedescriptor, Chris Evans
WebKit
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: interfața API Performance poate permite unui site web rău intenționat să colecteze istoricul de navigare, activitatea în rețea și mișcările mouse-ului
Descriere: interfața API Performance din WebKit putea permite unui site web rău intenționat să colecteze istoricul de navigare, activitatea în rețea și mișcările mouse-ului prin măsurarea timpului. Această problemă a fost rezolvată prin limitarea rezolvării timpului.
CVE-ID
CVE-2015-5825: Yossi Oren et al. (Columbia University's Network Security Lab)
WebKit
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator cu poziție privilegiată în rețea poate colecta informații sensibile ale utilizatorilor
Descriere: a existat o problemă la anteturi Content-Disposition care conțin atașări de tip. Această problemă a fost rezolvată prin nepermiterea unor funcționalități pentru paginile cu atașări de tip.
CVE-ID
CVE-2015-5921: Mickey Shkatov (Intel(r) Advanced Threat Research Team), Daoyuan Wu (Singapore Management University), Rocky K. C. Chang (Hong Kong Polytechnic University), Łukasz Pilorz, superhei (www.knownsec.com)
Canvas WebKit
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: accesarea unui site web rău intenționat poate divulga date de imagini din alt site web
Descriere: a existat o problemă de origine încrucișată la imaginile cu elemente „canvas” în WebKit. Această problemă a fost rezolvată prin îmbunătățirea urmăririi originilor securității.
CVE-ID
CVE-2015-5788: Apple
Încărcare pagină WebKit
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: elementele WebSocket pot ocoli aplicarea politicilor privind conținutul combinat
Descriere: o problemă de aplicare insuficientă a politicilor permite elementelor WebSocket să încarce conținut combinat. Această problemă a fost rezolvată prin extinderea aplicării politicilor privind conținutul combinat la elementelor WebSocket.
Kevin G. Jones (Higher Logic)
Serviciul FaceTime nu este disponibil în toate țările sau regiunile.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.