Despre conținutul de securitate din iOS 9.2

Acest document descrie conținutul de securitate din iOS 9.2.

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.

Pentru informații despre cheia PGP pentru securitatea produselor Apple, consultă Utilizarea cheii PGP pentru securitatea produselor Apple.

Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.

Pentru a afla mai multe despre alte actualizări de securitate, consultă Actualizările de securitate Apple.

iOS 9.2

  • AppleMobileFileIntegrity

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată poate executa un cod arbitrar cu privilegii de sistem

    Descriere: a fost rezolvată o problemă de control la acces prin împiedicarea modificării structurilor de control la acces.

    CVE-ID

    CVE-2015-7055: Apple

  • AppSandbox

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată poate menține accesul la Contacte după revocarea accesului

    Descriere: a existat o problemă la tratarea de către sandbox a legăturilor fizice. Această problemă a fost rezolvată prin consolidarea îmbunătățită a sandboxurilor aplicațiilor.

    CVE-ID

    CVE-2015-7001: Răzvan Deaconescu și Mihai Bucicoiu (Universitatea Politehnică București); Luke Deshotels și William Enck (North Carolina State University); Lucas Vincenzo Davi și Ahmad-Reza Sadeghi (Technische Universität Darmstadt)

  • CFNetwork HTTPProtocol

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator cu poziție privilegiată în rețea poate ocoli HSTS

    Descriere: A existat o problemă de validare a intrărilor la procesarea adreselor URL. Această problemă a fost rezolvată prin îmbunătățirea validării adreselor URL.

    CVE-ID

    CVE-2015-7094: Tsubasa Iinuma (@llamakko_cafe) (Gehirn Inc.) și Muneaki Nishimura (nishimunea)

  • Comprimare

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site rău intenționat poate cauza executarea unui cod arbitrar

    Descriere: a existat o problemă de acces la memoria neinițializată în zlib. Această problemă a fost rezolvată prin îmbunătățirea inițializării memoriei și validarea suplimentară a fluxurilor zlib.

    CVE-ID

    CVE-2015-7054: j00ru

  • CoreGraphics

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: Procesarea unui fișier de font creat cu rea intenție poate duce la executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei la procesarea fișierelor de fonturi. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

    CVE-ID

    CVE-2015-7105: John Villamil (@day6reak), Yahoo Pentest Team

  • CoreMedia Playback

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site rău intenționat poate cauza executarea unui cod arbitrar

    Descriere: au existat probleme multiple de alterare a memoriei la procesarea fișierelor media malformate. Pentru rezolvarea acestor probleme s-a implementat o mai bună gestionare a memoriei.

    CVE-ID

    CVE-2015-7074: Apple

    CVE-2015-7075

  • dyld

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată poate executa un cod arbitrar cu privilegii de sistem

    Descriere: au existat probleme multiple de validare a segmentelor în dyld. Aceste probleme au fost rezolvate prin îmbunătățirea igienizării mediului.

    CVE-ID

    CVE-2015-7072: Apple

    CVE-2015-7079: PanguTeam

  • GPUTools.framework

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată poate executa un cod arbitrar cu privilegii de sistem

    Descriere: au existat probleme multiple de validare a căilor în Mobile Replayer. Aceste probleme au fost rezolvate prin îmbunătățirea igienizării mediului.

    CVE-ID

    CVE-2015-7069: Luca Todesco (@qwertyoruiop)

    CVE-2015-7070: Luca Todesco (@qwertyoruiop)

  • iBooks

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: analizarea unui fișier iBooks creat cu rea intenție poate cauza divulgarea informațiilor despre utilizator

    Descriere: a existat o problemă de referire a entităților externe XML la analizarea iBook. Această problemă a fost rezolvată prin îmbunătățirea analizării.

    CVE-ID

    CVE-2015-7081: Behrouz Sadeghipour (@Nahamsec) și Patrik Fehrenbach (@ITSecurityguard)

  • ImageIO

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei în ImageIO. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

    CVE-ID

    CVE-2015-7053: Apple

  • IOHIDFamily

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată poate executa un cod arbitrar cu privilegii de sistem

    Descriere: Au existat multiple probleme de alterare a memoriei în interfața API IOHIDFamily. Pentru rezolvarea acestor probleme s-a implementat o mai bună gestionare a memoriei.

    CVE-ID

    CVE-2015-7111: beist și ABH (BoB)

    CVE-2015-7112: Ian Beer (Google Project Zero)

  • IOKit SCSI

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să execute cod arbitrar cu privilegii de kernel

    Descriere: a existat o dereferire de pointer NULL la tratarea unui anumit tip userclient. Această problemă a fost rezolvată prin îmbunătățirea validării.

    CVE-ID

    CVE-2015-7068: Ian Beer (Google Project Zero)

  • Nucleu

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: O aplicație locală poate cauza un refuz al serviciului

    Descriere: mai multe probleme de refuzare a serviciilor au fost rezolvate prin îmbunătățirea tratării memoriei.

    CVE-ID

    CVE-2015-7040: Lufeng Li (Qihoo 360 Vulcan Team)

    CVE-2015-7041: Lufeng Li (Qihoo 360 Vulcan Team)

    CVE-2015-7042: Lufeng Li (Qihoo 360 Vulcan Team)

    CVE-2015-7043: Tarjei Mandt (@kernelpool)

  • Nucleu

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un utilizator local poate executa un cod arbitrar cu privilegii de nucleu

    Descriere: au existat probleme multiple de alterare a memoriei în nucleu. Pentru rezolvarea acestor probleme s-a implementat o mai bună gestionare a memoriei.

    CVE-ID

    CVE-2015-7083: Ian Beer (Google Project Zero)

    CVE-2015-7084: Ian Beer (Google Project Zero)

  • Nucleu

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un utilizator local poate executa un cod arbitrar cu privilegii de nucleu

    Descriere: a existat o problemă la analizarea mesajelor mach. Această problemă a fost rezolvată prin validarea îmbunătățită a mesajelor mach.

    CVE-ID

    CVE-2015-7047: Ian Beer (Google Project Zero)

  • LaunchServices

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată poate executa un cod arbitrar cu privilegii de sistem

    Descriere: a existat o problemă de alterare a memoriei la procesarea fișierelor plist malformate. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

    CVE-ID

    CVE-2015-7113: Olivier Goguel (Free Tools Association)

  • libarchive

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site rău intenționat poate cauza executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei la procesarea arhivelor. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

    CVE-ID

    CVE-2011-2895: @practicalswift

  • libc

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: Procesarea unui pachet creat cu rea intenție poate cauza executarea unui cod arbitrar

    Descriere: au existat depășiri multiple ale memoriei-tampon în biblioteca standard C. Aceste probleme au fost rezolvate printr-o verificare îmbunătățită a limitelor.

    CVE-ID

    CVE-2015-7038 : Brian D. Wells (E. W. Scripps),  Narayan Subramanian (Symantec Corporation/Veritas LLC)

    CVE-2015-7039: Maksymilian Arciemowicz (CXSECURITY.COM)

    Intrare actualizată la data de 3 martie 2017

  • libxml2

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: analizarea unui document XML creat cu rea intenție poate cauza divulgarea informațiilor despre utilizator

    Descriere: a existat o problemă de alterare a memoriei la analizarea fișierelor XML. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

    CVE-ID

    CVE-2015-7115 : Wei Lei și Liu Yang (Nanyang Technological University)

    CVE-2015-7116 : Wei Lei și Liu Yang (Nanyang Technological University)

  • MobileStorageMounter

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată poate executa un cod arbitrar cu privilegii de sistem

    Descriere: a existat o problemă de temporizare la încărcarea cache-ului pentru încredere. Această problemă a fost rezolvată prin validarea mediului de sistem înaintea încărcării cache-ului pentru încredere.

    CVE-ID

    CVE-2015-7051: PanguTeam

  • OpenGL

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site rău intenționat poate cauza executarea unui cod arbitrar

    Descriere: Au existat multiple probleme de corupere a memoriei în OpenGL. Pentru rezolvarea acestor probleme s-a implementat o mai bună gestionare a memoriei.

    CVE-ID

    CVE-2015-7064: Apple

    CVE-2015-7065: Apple

    CVE-2015-7066: Tongbo Luo și Bo Qu (Palo Alto Networks)

  • Fotografii

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator poate utiliza sistemul de backup pentru a accesa zone restricționate ale sistemului de fișiere

    Descriere: a existat o problemă de validare a căilor în Mobile Backup. Această problemă a fost rezolvată prin îmbunătățirea igienizării mediului.

    CVE-ID

    CVE-2015-7037: PanguTeam

  • QuickLook

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: deschiderea unui fișier iWork creat cu rea intenție poate duce la executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei la tratarea fișierelor iWork. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

    CVE-ID

    CVE-2015-7107

  • Safari

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site web rău intenționat poate cauza falsificarea interfeței cu utilizatorul

    Descriere: o problemă putea permite unui site web să afișeze conținut cu un URL din alt site web. Această problemă a fost rezolvată prin îmbunătățirea tratării URL-urilor.

    CVE-ID

    CVE-2015-7093: xisigr (Tencent's Xuanwu LAB (www.tencent.com))

  • Sandbox

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată cu privilegii de rădăcină poate avea posibilitatea să ocolească randomizarea aspectului spațiului de adrese al nucleului

    Descriere: a existat o problemă de separare insuficientă a privilegiilor în xnu. Această problemă a fost rezolvată prin îmbunătățirea verificărilor de autorizare.

    CVE-ID

    CVE-2015-7046: Apple

  • Securitate

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei la tratarea protocoalelor de acord (handshakes) SSL. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

    CVE-ID

    CVE-2015-7073: Benoit Foucher (ZeroC, Inc.)

  • Securitate

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată poate obține acces la elementele Portchei ale unui utilizator

    Descriere: a existat o problemă la validarea listelor de control la acces pentru elemente Portchei. Această problemă a fost rezolvată prin îmbunătățirea verificării listelor de control la acces.

    CVE-ID

    CVE-2015-7058

  • Siri

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o persoană cu acces fizic la un dispozitiv iOS poate utiliza Siri pentru a citi notificări despre conținut care este configurat să nu fie afișat pe ecranul de blocare

    Descriere: atunci când se efectua o solicitare către Siri, restricțiile pe partea de client nu erau verificate de server. Această problemă a fost rezolvată printr-o verificare îmbunătățită a restricțiilor.

    CVE-ID

    CVE-2015-7080: Or Safran (www.linkedin.com/profile/view?id=33912591)

  • WebKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site rău intenționat poate cauza executarea unui cod arbitrar

    Descriere: în WebKit erau mai multe probleme de corupere a memoriei. Pentru rezolvarea acestor probleme s-a implementat o mai bună gestionare a memoriei.

    CVE-ID

    CVE-2015-7048: Apple

    CVE-2015-7095: Apple

    CVE-2015-7096: Apple

    CVE-2015-7097: Apple

    CVE-2015-7098: Apple

    CVE-2015-7099: Apple

    CVE-2015-7100: Apple

    CVE-2015-7101: Apple

    CVE-2015-7102: Apple

    CCVE-2015-7103: Apple

  • WebKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site web creat cu rea intenție poate dezvălui istoricul de navigare al unui utilizator

    Descriere: a existat o problemă de validare insuficientă a intrării în blocarea conținutului. Această problemă a fost rezolvată prin îmbunătățirea analizării extensiilor de conținut.

    CVE-ID

    CVE-2015-7050: Luke Li și Jonathan Metzman

Informaţiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu îşi asumă nicio responsabilitate în ceea ce priveşte selectarea, funcţionarea sau utilizarea site-urilor web sau produselor de la terţi. Apple nu face niciun fel de declaraţii privind acurateţea sau fiabilitatea site-urilor web terţe. La utilizarea Internetului, riscurile sunt inerente. Contactează distribuitorul pentru informaţii suplimentare. Alte nume de companii şi produse pot fi mărci comerciale ale proprietarilor respectivi.

Data publicării: