Despre conținutul de securitate din iOS 9.3

Acest document descrie conținutul de securitate din iOS 9.3.

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.

Pentru informații despre cheia PGP pentru securitatea produselor Apple, consultă Utilizarea cheii PGP pentru securitatea produselor Apple.

Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.

Pentru a afla mai multe despre alte actualizări de securitate, consultă Actualizările de securitate Apple.

iOS 9.3

  • AppleUSBNetworking

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un dispozitiv USB poate provoca un refuz al serviciului

    Descriere: a existat o problemă de tratare a erorilor la validarea pachetelor. Această problemă a fost rezolvată prin îmbunătățirea gestionării erorilor.

    CVE-ID

    CVE-2016-1734: Andrea Barisani și Andrej Rosano (Inverse Path)

  • FontParser

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: deschiderea unui fișier PDF creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu

    Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

    CVE-ID

    CVE-2016-1740: HappilyCoded (ant4g0nist and r3dsm0k3) în colaborare cu Zero Day Initiative (ZDI) (Trend Micro)

  • HTTPProtocol

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator la distanţă poate executa unui cod arbitrar

    Descriere: au existat mai multe vulnerabilități la versiunile de nghttp2 anterioare versiunii 1.6.0, cea mai gravă putând cauza executarea unui cod la distanță. Aceste vulnerabilități au fost rezolvate prin actualizarea nghttp2 la versiunea 1.6.0.

    CVE-ID

    CVE-2015-8659

  • IOHIDFamily

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicaţie rău intenționată poate determina aspectul memoriei kernel

    Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

    CVE-ID

    CVE-2016-1748: Brandon Azad

  • Nucleu

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație poate provoca o refuzare a serviciului

    Descriere: a fost rezolvată o problemă de refuzare a serviciului printr-o validare îmbunătățită.

    CVE-ID

    CVE-2016-1752: CESG

  • Nucleu

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

    Descriere: a fost rezolvată o problemă de „utilizare după eliberare” prin îmbunătățirea gestionării memoriei.

    CVE-ID

    CVE-2016-1750: CESG

  • Nucleu

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

    Descriere: au fost rezolvate mai multe probleme de „depășire de întreg” prin îmbunătățirea validării intrării.

    CVE-ID

    CVE-2016-1753: Juwei Lin (Trend Micro) în colaborare cu Zero Day Initiative (ZDI) (Trend Micro)

  • Nucleu

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație poate ocoli semnarea codului

    Descriere: a existat o problemă de acordare incorectă a permisiunii de executare. Această problemă a fost rezolvată prin îmbunătăţirea validării permisiunilor.

    CVE-ID

    CVE-2016-1751: Eric Monti (Square Mobile Security)

  • Nucleu

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

    Descriere: a existat o condiție de rulare la crearea de procese noi. Această problemă a fost rezolvată prin îmbunătăţirea tratării stării.

    CVE-ID

    CVE-2016-1757: Ian Beer (Google Project Zero) și Pedro Vilaça

  • Nucleu

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

    Descriere: a fost rezolvată o problemă de dereferire de pointer NULL prin îmbunătățirea validării intrării.

    CVE-ID

    CVE-2016-1756: Lufeng Li (Qihoo 360 Vulcan Team)

  • Nucleu

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

    Descriere: mai multe probleme de alterare a memoriei au fost rezolvate prin îmbunătăţirea tratării memoriei.

    CVE-ID

    CVE-2016-1754: Lufeng Li (Qihoo 360 Vulcan Team)

    CVE-2016-1755: Ian Beer (Google Project Zero)

  • Nucleu

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicaţie rău intenționată poate determina aspectul memoriei kernel

    Descriere: A existat o problemă de citire în afara limitelor care conducea la divulgarea conținutului memoriei kernelului. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

    CVE-ID

    CVE-2016-1758: Brandon Azad

  • LaunchServices

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație poate modifica evenimente din alte aplicații

    Descriere: a existat o problemă de validării rutinei de tratare a evenimentelor în XPC Services API. Această problemă a fost rezolvată prin îmbunătăţirea validării mesajelor.

    CVE-ID

    CVE-2016-1760: Proteas (Qihoo 360 Nirvan Team)

  • libxml2

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: procesarea unor coduri XML create cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar

    Descriere: mai multe probleme de alterare a memoriei au fost rezolvate prin îmbunătăţirea tratării memoriei.

    CVE-ID

    CVE-2015-1819

    CVE-2015-5312: David Drysdale (Google)

    CVE-2015-7499

    CVE-2015-7500: Kostya Serebryany (Google)

    CVE-2015-7942: Kostya Serebryany (Google)

    CVE-2015-8035: gustavo.grieco

    CVE-2015-8242: Hugh Davenport

    CVE-2016-1761: wol0xff în colaborare cu Zero Day Initiative (ZDI) (Trend Micro)

    CVE-2016-1762

  • Mesaje

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site web creat cu rea intenție poate cauza completarea automată de text în alte fire Mesaj

    Descriere: a existat o problemă la analizarea URL-urilor SMS. Această problemă a fost rezolvată prin îmbunătățirea validării adreselor URL.

    CVE-ID

    CVE-2016-1763: CityTog

  • Mesaje

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator care poate să ocolească fixarea certificatelor Apple, să intercepteze conexiuni TLS, să injecteze mesaje și să citească atașările din mesajele de tipul atașare criptate

    Descriere: a fost rezolvată o problemă criptografică prin respingerea mesajelor duplicate pe client.

    CVE-ID

    CVE-2016-1788: Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers și Michael Rushanan (Johns Hopkins University)

  • Profiluri

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un profil MDM care nu este de încredere poate fi afișat incorect ca fiind verificat

    Descriere: a existat o problemă de validare a certificatelor în profilurile MDM. Această problemă a fosr rezolvată prin verificări suplimentare.

    CVE-ID

    CVE-2016-1766: Taylor Boyoko în colaborare cu Zero Day Initiative (ZDI) (Trend Micro)

  • Security

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: Procesarea unui certificat creat cu rea intenție poate cauza executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei în decodificatorul ASN.1. Această problemă a fost rezolvată printr-o validare îmbunătățită a intrării.

    CVE-ID

    CVE-2016-1950: Francis Gabriel (Quarkslab)

  • TrueTypeScaler

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: Procesarea unui fișier de font creat cu rea intenție poate duce la executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei la procesarea fișierelor de fonturi. Această problemă a fost rezolvată printr-o validare îmbunătățită a intrării.

    CVE-ID

    CVE-2016-1775: 0x1byte în colaborare cu Zero Day Initiative (ZDI) (Trend Micro)

  • WebKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: procesarea unui conținut web creat cu rea intenţie poate cauza executarea unui cod arbitrar

    Descriere: mai multe probleme de alterare a memoriei au fost rezolvate prin îmbunătăţirea tratării memoriei.

    CVE-ID

    CVE-2016-1778: 0x1byte în colaborare cu Zero Day Initiative (ZDI) (Trend Micro) și Yang Zhao (CM Security)

    CVE-2016-1783: Mihai Parparita (Google)

  • WebKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un site web poate urmări informații sensibile ale utilizatorilor

    Descriere: a existat o problemă la tratarea URL-urilor atașărilor. Această problemă a fost rezolvată prin îmbunătățirea tratării URL-urilor.

    CVE-ID

    CVE-2016-1781: Devdatta Akhawe (Dropbox, Inc.)

  • WebKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un site web poate urmări informații sensibile ale utilizatorilor

    Descriere: o pagină web ascunsă poate accesa date de orientare a dispozitivului și de mișcare a dispozitivului. Această problemă a fost rezolvată prin suspendarea disponibilității acestor date atunci când vizualizarea web este ascunsă.

    CVE-ID

    CVE-2016-1780: Maryam Mehrnezhad, Ehsan Toreini, Siamak F. Shahandashti și Feng Hao (School of Computing Science, Newcastle University, UK)

  • WebKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site web creat cu rea intenție poate dezvălui locația curentă a unui utilizator

    Descriere: a existat o problemă la analizarea solicitărilor de geolocalizare. Această problemă a fost rezolvată prin îmbunătățirea validării originii securității pentru solicitările de geolocalizare.

    CVE-ID

    CVE-2016-1779: xisigr (Tencent's Xuanwu Lab (http://www.tencent.com))

  • WebKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un site web rău intenționat poate accesa porturi restricționate pe servere arbitrare

    Descriere: a fost rezolvată o problemă de redirecționare prin validarea suplimentară a porturilor.

    CVE-ID

    CVE-2016-1782: Muneaki Nishimura (nishimunea) (Recruit Technologies Co.,Ltd.)

  • WebKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: deschiderea unui URL creat cu rea intenție poate duce la divulgarea unor informații confidențiale despre utilizator

    Descriere: a existat o problemă la redirecționarea URL-urilor atunci când auditorul XSS era folosit în modul de blocare. Această problemă a fost rezolvată prin îmbunătățirea navigării în cadrul URL-urilor.

    CVE-ID

    CVE-2016-1864 : Takeshi Terada, Mitsui Bussan Secure Directions, Inc.

  • Istoric WebKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a browserului Safari

    Descriere: a fost rezolvată o problemă de epuizare a resurselor prin îmbunătățirea validării intrării.

    CVE-ID

    CVE-2016-1784: Moony Li and Jack Tang (TrendMicro și 李普君 of 无声信息技术PKAV Team (PKAV.net))

  • Încărcare pagină WebKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site web rău intenționat poate cauza falsificarea interfeței cu utilizatorul

    Descriere: răspunsurile la redirecționare putea permite unui site web rău intenționat să afișeze un URL arbitrar și să citească conținut din cache-ul originii edstinației. Această problemă a fost rezolvată prin îmbunătăţirea logicii de afișare a URL-urilor.

    CVE-ID

    CVE-2016-1786: ma.la (LINE Corporation)

  • Încărcare pagină WebKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un site web rău intenționat poate exfiltra date cu origini încrucișate

    Descriere: a existat o problemă la codificarea caracterelor. Această problemă a fost rezolvată prin verificarea suplimentară a solicitărilor.

    CVE-ID

    CVE-2016-1785: un cercetător anonim

  • Wi-Fi

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator cu poziție privilegiată în rețea poate executa un cod arbitrar

    Descriere: a existat o problemă de validare a cadrelor și alterare a memoriei pentru un câmp EtherType dat. Această problemă a fost rezolvată prin validarea suplimentară a câmpului EtherType și îmbunătățirea gestionării memorie.

    CVE-ID

    CVE-2016-0801: un cercetător anonim

    CVE-2016-0802: un cercetător anonim

Informaţiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu îşi asumă nicio responsabilitate în ceea ce priveşte selectarea, funcţionarea sau utilizarea site-urilor web sau produselor de la terţi. Apple nu face niciun fel de declaraţii privind acurateţea sau fiabilitatea site-urilor web terţe. La utilizarea Internetului, riscurile sunt inerente. Contactează distribuitorul pentru informaţii suplimentare. Alte nume de companii şi produse pot fi mărci comerciale ale proprietarilor respectivi.

Data publicării: