Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.
Pentru informații despre cheia PGP pentru securitatea produselor Apple, consultă Utilizarea cheii PGP pentru securitatea produselor Apple.
Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.
Pentru a afla mai multe despre alte actualizări de securitate, consultă Actualizările de securitate Apple.
iOS 9.3
AppleUSBNetworking
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un dispozitiv USB poate provoca un refuz al serviciului
Descriere: a existat o problemă de tratare a erorilor la validarea pachetelor. Această problemă a fost rezolvată prin îmbunătățirea gestionării erorilor.
CVE-ID
CVE-2016-1734: Andrea Barisani și Andrej Rosano (Inverse Path)
FontParser
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: deschiderea unui fișier PDF creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-ID
CVE-2016-1740: HappilyCoded (ant4g0nist and r3dsm0k3) în colaborare cu Zero Day Initiative (ZDI) (Trend Micro)
HTTPProtocol
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator la distanţă poate executa unui cod arbitrar
Descriere: au existat mai multe vulnerabilități la versiunile de nghttp2 anterioare versiunii 1.6.0, cea mai gravă putând cauza executarea unui cod la distanță. Aceste vulnerabilități au fost rezolvate prin actualizarea nghttp2 la versiunea 1.6.0.
CVE-ID
CVE-2015-8659
IOHIDFamily
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicaţie rău intenționată poate determina aspectul memoriei kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-ID
CVE-2016-1748: Brandon Azad
Nucleu
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație poate provoca o refuzare a serviciului
Descriere: a fost rezolvată o problemă de refuzare a serviciului printr-o validare îmbunătățită.
CVE-ID
CVE-2016-1752: CESG
Nucleu
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de „utilizare după eliberare” prin îmbunătățirea gestionării memoriei.
CVE-ID
CVE-2016-1750: CESG
Nucleu
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: au fost rezolvate mai multe probleme de „depășire de întreg” prin îmbunătățirea validării intrării.
CVE-ID
CVE-2016-1753: Juwei Lin (Trend Micro) în colaborare cu Zero Day Initiative (ZDI) (Trend Micro)
Nucleu
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație poate ocoli semnarea codului
Descriere: a existat o problemă de acordare incorectă a permisiunii de executare. Această problemă a fost rezolvată prin îmbunătăţirea validării permisiunilor.
CVE-ID
CVE-2016-1751: Eric Monti (Square Mobile Security)
Nucleu
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a existat o condiție de rulare la crearea de procese noi. Această problemă a fost rezolvată prin îmbunătăţirea tratării stării.
CVE-ID
CVE-2016-1757: Ian Beer (Google Project Zero) și Pedro Vilaça
Nucleu
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de dereferire de pointer NULL prin îmbunătățirea validării intrării.
CVE-ID
CVE-2016-1756: Lufeng Li (Qihoo 360 Vulcan Team)
Nucleu
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: mai multe probleme de alterare a memoriei au fost rezolvate prin îmbunătăţirea tratării memoriei.
CVE-ID
CVE-2016-1754: Lufeng Li (Qihoo 360 Vulcan Team)
CVE-2016-1755: Ian Beer (Google Project Zero)
Nucleu
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicaţie rău intenționată poate determina aspectul memoriei kernel
Descriere: A existat o problemă de citire în afara limitelor care conducea la divulgarea conținutului memoriei kernelului. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-ID
CVE-2016-1758: Brandon Azad
LaunchServices
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație poate modifica evenimente din alte aplicații
Descriere: a existat o problemă de validării rutinei de tratare a evenimentelor în XPC Services API. Această problemă a fost rezolvată prin îmbunătăţirea validării mesajelor.
CVE-ID
CVE-2016-1760: Proteas (Qihoo 360 Nirvan Team)
libxml2
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: procesarea unor coduri XML create cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: mai multe probleme de alterare a memoriei au fost rezolvate prin îmbunătăţirea tratării memoriei.
CVE-ID
CVE-2015-1819
CVE-2015-5312: David Drysdale (Google)
CVE-2015-7499
CVE-2015-7500: Kostya Serebryany (Google)
CVE-2015-7942: Kostya Serebryany (Google)
CVE-2015-8035: gustavo.grieco
CVE-2015-8242: Hugh Davenport
CVE-2016-1761: wol0xff în colaborare cu Zero Day Initiative (ZDI) (Trend Micro)
CVE-2016-1762
Mesaje
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: accesarea unui site web creat cu rea intenție poate cauza completarea automată de text în alte fire Mesaj
Descriere: a existat o problemă la analizarea URL-urilor SMS. Această problemă a fost rezolvată prin îmbunătățirea validării adreselor URL.
CVE-ID
CVE-2016-1763: CityTog
Mesaje
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator care poate să ocolească fixarea certificatelor Apple, să intercepteze conexiuni TLS, să injecteze mesaje și să citească atașările din mesajele de tipul atașare criptate
Descriere: a fost rezolvată o problemă criptografică prin respingerea mesajelor duplicate pe client.
CVE-ID
CVE-2016-1788: Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers și Michael Rushanan (Johns Hopkins University)
Profiluri
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un profil MDM care nu este de încredere poate fi afișat incorect ca fiind verificat
Descriere: a existat o problemă de validare a certificatelor în profilurile MDM. Această problemă a fosr rezolvată prin verificări suplimentare.
CVE-ID
CVE-2016-1766: Taylor Boyoko în colaborare cu Zero Day Initiative (ZDI) (Trend Micro)
Security
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: Procesarea unui certificat creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a existat o problemă de alterare a memoriei în decodificatorul ASN.1. Această problemă a fost rezolvată printr-o validare îmbunătățită a intrării.
CVE-ID
CVE-2016-1950: Francis Gabriel (Quarkslab)
TrueTypeScaler
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: Procesarea unui fișier de font creat cu rea intenție poate duce la executarea unui cod arbitrar
Descriere: a existat o problemă de alterare a memoriei la procesarea fișierelor de fonturi. Această problemă a fost rezolvată printr-o validare îmbunătățită a intrării.
CVE-ID
CVE-2016-1775: 0x1byte în colaborare cu Zero Day Initiative (ZDI) (Trend Micro)
WebKit
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: procesarea unui conținut web creat cu rea intenţie poate cauza executarea unui cod arbitrar
Descriere: mai multe probleme de alterare a memoriei au fost rezolvate prin îmbunătăţirea tratării memoriei.
CVE-ID
CVE-2016-1778: 0x1byte în colaborare cu Zero Day Initiative (ZDI) (Trend Micro) și Yang Zhao (CM Security)
CVE-2016-1783: Mihai Parparita (Google)
WebKit
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un site web poate urmări informații sensibile ale utilizatorilor
Descriere: a existat o problemă la tratarea URL-urilor atașărilor. Această problemă a fost rezolvată prin îmbunătățirea tratării URL-urilor.
CVE-ID
CVE-2016-1781: Devdatta Akhawe (Dropbox, Inc.)
WebKit
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un site web poate urmări informații sensibile ale utilizatorilor
Descriere: o pagină web ascunsă poate accesa date de orientare a dispozitivului și de mișcare a dispozitivului. Această problemă a fost rezolvată prin suspendarea disponibilității acestor date atunci când vizualizarea web este ascunsă.
CVE-ID
CVE-2016-1780: Maryam Mehrnezhad, Ehsan Toreini, Siamak F. Shahandashti și Feng Hao (School of Computing Science, Newcastle University, UK)
WebKit
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: accesarea unui site web creat cu rea intenție poate dezvălui locația curentă a unui utilizator
Descriere: a existat o problemă la analizarea solicitărilor de geolocalizare. Această problemă a fost rezolvată prin îmbunătățirea validării originii securității pentru solicitările de geolocalizare.
CVE-ID
CVE-2016-1779: xisigr (Tencent's Xuanwu Lab (http://www.tencent.com))
WebKit
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un site web rău intenționat poate accesa porturi restricționate pe servere arbitrare
Descriere: a fost rezolvată o problemă de redirecționare prin validarea suplimentară a porturilor.
CVE-ID
CVE-2016-1782: Muneaki Nishimura (nishimunea) (Recruit Technologies Co.,Ltd.)
WebKit
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: deschiderea unui URL creat cu rea intenție poate duce la divulgarea unor informații confidențiale despre utilizator
Descriere: a existat o problemă la redirecționarea URL-urilor atunci când auditorul XSS era folosit în modul de blocare. Această problemă a fost rezolvată prin îmbunătățirea navigării în cadrul URL-urilor.
CVE-ID
CVE-2016-1864 : Takeshi Terada, Mitsui Bussan Secure Directions, Inc.
Istoric WebKit
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a browserului Safari
Descriere: a fost rezolvată o problemă de epuizare a resurselor prin îmbunătățirea validării intrării.
CVE-ID
CVE-2016-1784: Moony Li and Jack Tang (TrendMicro și 李普君 of 无声信息技术PKAV Team (PKAV.net))
Încărcare pagină WebKit
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: accesarea unui site web rău intenționat poate cauza falsificarea interfeței cu utilizatorul
Descriere: răspunsurile la redirecționare putea permite unui site web rău intenționat să afișeze un URL arbitrar și să citească conținut din cache-ul originii edstinației. Această problemă a fost rezolvată prin îmbunătăţirea logicii de afișare a URL-urilor.
CVE-ID
CVE-2016-1786: ma.la (LINE Corporation)
Încărcare pagină WebKit
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un site web rău intenționat poate exfiltra date cu origini încrucișate
Descriere: a existat o problemă la codificarea caracterelor. Această problemă a fost rezolvată prin verificarea suplimentară a solicitărilor.
CVE-ID
CVE-2016-1785: un cercetător anonim
Wi-Fi
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator cu poziție privilegiată în rețea poate executa un cod arbitrar
Descriere: a existat o problemă de validare a cadrelor și alterare a memoriei pentru un câmp EtherType dat. Această problemă a fost rezolvată prin validarea suplimentară a câmpului EtherType și îmbunătățirea gestionării memorie.
CVE-ID
CVE-2016-0801: un cercetător anonim
CVE-2016-0802: un cercetător anonim