Despre conținutul de securitate din iOS 9.1

Acest document descrie conținutul de securitate din iOS 9.1.

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.

Pentru informații despre cheia PGP pentru securitatea produselor Apple, consultă Utilizarea cheii PGP pentru securitatea produselor Apple.

Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.

Pentru a afla mai multe despre alte actualizări de securitate, consultă Actualizările de securitate Apple.

iOS 9.1

  • Accelerate Framework

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: Accesarea unui site rău intenționat poate cauza executarea unui cod arbitrar

    Descriere: A existat o problemă de corupere a memoriei în modul multi-fir din Accelerate Framework. Această problemă a fost rezolvată prin validarea îmbunătățită a elementului de accesare și prin blocarea îmbunătățită a obiectelor.

    CVE-ID

    CVE-2015-5940: Apple

  • Bom

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: Despachetarea unei arhive create cu rea intenție poate cauza executarea unui cod arbitrar

    Descriere: A existat o vulnerabilitate transversală în fișiere la tratarea arhivelor CPIO. Această problemă a fost rezolvată prin validarea îmbunătățită a metadatelor.

    CVE-ID

    CVE-2015-7006: Mark Dowd (Azimuth Security)

  • CFNetwork

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: Accesarea unui site creat cu rea intenție poate cauza suprascrierea modulelor cookie

    Descriere: A existat o problemă de analizare la tratarea modulelor cookie ale căror nume conțineau litere mari și mici. Această problemă a fost rezolvată prin îmbunătățirea analizării.

    CVE-ID

    CVE-2015-7023: Marvin Scholz și Michael Lutonsky; Xiaofeng Zheng și Jinjin Liang (Tsinghua University), Jian Jiang (University of California, Berkeley), Haixin Duan (Tsinghua University și International Computer Science Institute), Shuo Chen (Microsoft Research Redmond), Tao Wan (Huawei Canada), Nicholas Weaver (International Computer Science Institute și University of California, Berkeley), coordinați prin CERT/CC

  • configd

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: O aplicație rău intenționată poate să acorde privilegii superioare

    Descriere: A existat o problemă de depășire a memoriei tampon bazată pe segmente în biblioteca de clienți DNS. O aplicație rău intenționată cu capacitatea de a falsifica răspunsurile de la serviciul configd local poate cauza executarea unui cod arbitrar în clienții DNS.

    CVE-ID

    CVE-2015-7015: PanguTeam

  • CoreGraphics

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: Accesarea unui site rău intenționat poate cauza executarea unui cod arbitrar

    Descriere: Au existat multiple probleme de corupere a memoriei în CoreGraphics. Pentru rezolvarea acestor probleme s-a implementat o mai bună gestionare a memoriei.

    CVE-ID

    CVE-2015-5925: Apple

    CVE-2015-5926: Apple

  • CoreText

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: Procesarea unui fișier de font creat cu rea intenție poate duce la executarea unui cod arbitrar

    Descriere: Au existat multiple probleme de alterare a memoriei la tratarea fișierelor de fonturi. Aceste probleme au fost rezolvate printr-o verificare îmbunătățită a limitelor.

    CVE-ID

    CVE-2015-6975: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6992: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7017: John Villamil (@day6reak), Yahoo Pentest Team

  • DiskImages

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem

    Descriere: A existat o problemă de corupere a memoriei în timpul analizării imaginilor de disc. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

    CVE-ID

    CVE-2015-6995: Ian Beer (Google Project Zero)

  • FontParser

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: Procesarea unui fișier de font creat cu rea intenție poate duce la executarea unui cod arbitrar

    Descriere: Au existat multiple probleme de alterare a memoriei la tratarea fișierelor de fonturi. Aceste probleme au fost rezolvate printr-o verificare îmbunătățită a limitelor.

    CVE-ID

    CVE-2015-5927: Apple

    CVE-2015-5942

    CVE-2015-6976: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6977: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6978: Jaanus Kp (Clarified Security) în colaborare cu Zero Day Initiative (HP)

    CVE-2015-6990: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6991: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6993: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7008: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7009: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7010: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7018: John Villamil (@day6reak), Yahoo Pentest Team

  • GasGauge

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să execute cod arbitrar cu privilegii de kernel

    Descriere: a existat o problemă de alterare a memoriei în kernel. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

    CVE-ID

    CVE-2015-6979: PanguTeam

  • Grand Central Dispatch

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: Procesarea unui pachet creat cu rea intenție poate cauza executarea unui cod arbitrar

    Descriere: A existat o problemă de corupere a memoriei în timpul tratării apelurilor de distribuit. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

    CVE-ID

    CVE-2015-6989: Apple

  • Driverul video

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: executarea unei aplicații rău intenționate poate duce la executarea unui cod aleatoriu în nucleu

    Descriere: A existat o confuzie de tip în AppleVXD393. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

    CVE-ID

    CVE-2015-6986: Proteas (Qihoo 360 Nirvan Team)

  • ImageIO

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: Vizualizarea unei imagini create cu rea intenție poate duce la executarea unui cod arbitrar

    Descriere: Au existat multiple probleme de corupere a memoriei în timpul analizării metadatelor imaginilor. Aceste probleme au fost rezolvate printr-o validare îmbunătățită a metadatelor.

    CVE-ID

    CVE-2015-5935: Apple

    CVE-2015-5936: Apple

    CVE-2015-5937: Apple

    CVE-2015-5939: Apple

  • IOAcceleratorFamily

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem

    Descriere: a existat o problemă de alterare a memoriei în IOAcceleratorFamily. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

    CVE-ID

    CVE-2015-6996: Ian Beer (Google Project Zero)

  • IOHIDFamily

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să execute cod arbitrar cu privilegii de kernel

    Descriere: a existat o problemă de alterare a memoriei în kernel. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

    CVE-ID

    CVE-2015-6974: Luca Todesco (@qwertyoruiop)

  • Nucleu

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: O aplicație locală poate cauza un refuz al serviciului

    Descriere: A existat o problemă de validare a intrărilor în nucleu. Această problemă a fost rezolvată printr-o validare îmbunătățită a intrării.

    CVE-ID

    CVE-2015-7004: Sergi Alvarez (pancake) (NowSecure Research Team)

  • Nucleu

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: Un atacator cu poziție privilegiată în rețea poate executa un cod arbitrar

    Descriere: A existat o problemă de memorie neinițializată în nucleu. Această problemă a fost rezolvată prin îmbunătățirea inițializării memoriei.

    CVE-ID

    CVE-2015-6988: The Brainy Code Scanner (m00nbsd)

  • Nucleu

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: O aplicație locală poate cauza un refuz al serviciului

    Descriere: A existat o problemă la reutilizarea memoriei virtuale. Această problemă a fost rezolvată prin îmbunătățirea validării.

    CVE-ID

    CVE-2015-6994: Mark Mentovai (Google Inc.)

  • mDNSResponder

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

    Descriere: au existat mai multe probleme de deteriorare a memoriei la analizarea datelor DNS. Aceste probleme au fost rezolvate printr-o verificare îmbunătățită a limitelor.

    CVE-ID

    CVE-2015-7987 : Alexandre Helie

  • mDNSResponder

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: O aplicație locală poate cauza un refuz al serviciului

    Descriere: a fost rezolvată o problemă de anulare a referinței pentru indicatorul nul prin îmbunătățirea tratării memoriei.

    CVE-ID

    CVE-2015-7988 : Alexandre Helie

  • Centrul de notificări

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: Notificările aplicațiilor Telefon și Mesaje pot apărea pe ecranul de blocare, chiar și atunci când sunt dezactivate

    Descriere: Când opțiunea „Afișare pe ecranul de blocare” era dezactivată pentru aplicațiile Telefon și Mesaje, modificările configurației nu erau aplicate imediat. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

    CVE-ID

    CVE-2015-7000: William Redwood (Hampton School)

  • OpenGL

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site rău intenționat poate cauza executarea unui cod arbitrar

    Descriere: A existat o problemă de corupere a memoriei în OpenGL. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

    CVE-ID

    CVE-2015-5924: Apple

  • Securitate

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: Procesarea unui certificat creat cu rea intenție poate cauza executarea unui cod arbitrar

    Descriere: au existat probleme multiple de alterare a memoriei în decodificatorul ASN.1. Aceste probleme au fost rezolvate printr-o validare îmbunătățită a intrărilor.

    CVE-ID

    CVE-2015-7059: David Keeler (Mozilla)

    CVE-2015-7060: Tyson Smith (Mozilla)

    CVE-2015-7061: Ryan Sleevi (Google)

  • Securitate

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: O aplicație rău intenționată poate suprascrie fișiere în mod arbitrar

    Descriere: A existat o problemă de tipul „double free” la tratarea descriptorilor AtomicBufferedFile. Această problemă a fost rezolvată prin validarea îmbunătățită a descriptorilor AtomicBufferedFile.

    CVE-ID

    CVE-2015-6983: David Benjamin, Greg Kerr, Mark Mentovai și Sergey Ulanov (Chrome Team)

  • Securitate

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: Un atacator poate face ca un certificat revocat să pară valid

    Descriere: A existat o problemă de validare în clientul OCSP. Această problemă a fost rezolvată prin verificarea orei de expirare a certificatului OCSP.

    CVE-ID

    CVE-2015-6999: Apple

  • Securitate

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: O evaluare a încrederii configurată să solicite verificarea revocării se poate finaliza cu succes chiar dacă verificarea revocării eșuează

    Descriere: Semnalizatorul kSecRevocationRequirePositiveResponse a fost specificat, dar nu a fost implementat. Această problemă a fost rezolvată prin implementarea semnalizatorului.

    CVE-ID

    CVE-2015-6997: Apple

  • Telefonie

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată poate colecta informații sensibile ale utilizatorilor

    Descriere: A existat o problemă la verificările de actualizare pentru interogarea stării apelurilor telefonice. Această problemă a fost rezolvată prin suplimentarea interogărilor privind starea de autorizare.

    CVE-ID

    CVE-2015-7022: Andreas Kurtz (NESO Security Labs)

  • WebKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site rău intenționat poate cauza executarea unui cod arbitrar

    Descriere: în WebKit erau mai multe probleme de corupere a memoriei. Pentru rezolvarea acestor probleme s-a implementat o mai bună gestionare a memoriei.

    CVE-ID

    CVE-2015-5928: Apple

    CVE-2015-5929: Apple

    CVE-2015-5930: Apple

    CVE-2015-6981

    CVE-2015-6982

    CVE-2015-7002: Apple

    CVE-2015-7005: Apple

    CVE-2015-7012: Apple

    CVE-2015-7014

    CVE-2015-7104: Apple

Informaţiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu îşi asumă nicio responsabilitate în ceea ce priveşte selectarea, funcţionarea sau utilizarea site-urilor web sau produselor de la terţi. Apple nu face niciun fel de declaraţii privind acurateţea sau fiabilitatea site-urilor web terţe. La utilizarea Internetului, riscurile sunt inerente. Contactează distribuitorul pentru informaţii suplimentare. Alte nume de companii şi produse pot fi mărci comerciale ale proprietarilor respectivi.

Data publicării: