Despre conținutul de securitate din iOS 9.3.2

Acest document descrie conținutul de securitate din iOS 9.3.2.

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.

Pentru informații despre cheia PGP pentru securitatea produselor Apple, consultă Utilizarea cheii PGP pentru securitatea produselor Apple.

Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.

Pentru a afla mai multe despre alte actualizări de securitate, consultă Actualizările de securitate Apple.

iOS 9.3.2

  • Accesibilitate

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată poate colecta informații sensibile ale utilizatorilor

    Descriere: s-a rezolvat o problemă legată de citirea dincolo de limite prin îmbunătățirea validării datelor introduse.

    CVE-ID

    CVE-2016-1790: Rapelly Akhil

  • Servere proxy CFNetwork

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator cu poziție privilegiată în rețea poate colecta informații sensibile ale utilizatorilor

    Descriere: a existat o scurgere de informații la tratarea solicitărilor HTTP și HTTPS. Această problemă a fost rezolvată prin îmbunătățirea tratării URL-urilor.

    CVE-ID

    CVE-2016-1801: Alex Chapman și Paul Stone (Context Information Security)

  • CommonCrypto

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată poate colecta informații sensibile ale utilizatorilor

    Descriere: a existat o problemă la tratarea valorilor returnate în CCCrypt. Această problemă a fost rezolvată prin îmbunătățirea gestionării lungimii cheilor.

    CVE-ID

    CVE-2016-1802: Klaus Rodewig

  • CoreCapture

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

    Descriere: a fost rezolvată o problemă de dereferire de pointer NULL prin îmbunătățirea validării.

    CVE-ID

    CVE-2016-1803: Ian Beer (Google Project Zero), daybreaker în colaborare cu Trend Micro Zero Day Initiative

  • DiskImages

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator local poate citi mamoria nucleului

    Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.

    CVE-ID

    CVE-2016-1807: Ian Beer (Google Project Zero)

  • DiskImages

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

    Descriere: A existat o problemă de corupere a memoriei în timpul analizării imaginilor de disc. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

    CVE-ID

    CVE-2016-1808: Moony Li (@Flyic) i Jack Tang (@jacktang310) (Trend Micro)

  • ImageIO

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: procesarea unei imagine cu rea intenție poate cauza o refuzare a serviciului (DoS)

    Descriere: a fost rezolvată o problemă de dereferire de pointer NULL prin îmbunătățirea validării.

    CVE-ID

    CVE-2016-1811: Lander Brandt (@landaire)

  • IOAcceleratorFamily

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

    Descriere: au fost rezolvate mai multe probleme de alterare a memoriei prin îmbunătăţirea tratării memoriei.

    CVE-ID

    CVE-2016-1817: Moony Li (@Flyic) i Jack Tang (@jacktang310) (Trend Micro) în colaborare cu Trend Micro Zero Day Initiative

    CVE-2016-1818: Juwei Lin (TrendMicro), sweetchip@GRAYHASH în colaborare cu Zero Day Initiative (Trend Micro)

    CVE-2016-1819: Ian Beer (Google Project Zero)

    Intrare actualizată la 13 decembrie 2016

  • IOAcceleratorFamily

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație poate provoca o refuzare a serviciului

    Descriere: a fost rezolvată o problemă de dereferire de pointer NULL prin îmbunătățirea blocării.

    CVE-ID

    CVE-2016-1814: Juwei Lin (Trend Micro)

  • IOAcceleratorFamily

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

    Descriere: a fost rezolvată o problemă de dereferire de pointer NULL prin îmbunătățirea validării.

    CVE-ID

    CVE-2016-1813: Ian Beer (Google Project Zero)

  • IOHIDFamily

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

    Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

    CVE-ID

    CVE-2016-1823: Ian Beer (Google Project Zero)

    CVE-2016-1824: Marco Grassi (@marcograss) (KeenLab) (@keen_lab), Tencent

    CVE-2016-4650: Peter Pi (Trend Micro) în colaborare cu HPs Zero Day Initiative

  • Nucleu

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

    Descriere: au fost rezolvate mai multe probleme de alterare a memoriei prin îmbunătăţirea tratării memoriei.

    CVE-ID

    CVE-2016-1827: Brandon Azad

    CVE-2016-1828: Brandon Azad

    CVE-2016-1829: CESG

    CVE-2016-1830: Brandon Azad

    CVE-2016-1831: Brandon Azad

  • libc

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator local poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

    Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.

    CVE-ID

    CVE-2016-1832: Karl Williamson

  • libxml2

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: procesarea unor coduri XML create cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar

    Descriere: au fost rezolvate mai multe probleme de alterare a memoriei prin îmbunătăţirea tratării memoriei.

    CVE-ID

    CVE-2016-1833: Mateusz Jurczyk

    CVE-2016-1834: Apple

    CVE-2016-1835: Wei Lei și Liu Yang (Nanyang Technological University)

    CVE-2016-1836: Wei Lei și Liu Yang (Nanyang Technological University)

    CVE-2016-1837: Wei Lei și Liu Yang (Nanyang Technological University)

    CVE-2016-1838: Mateusz Jurczyk

    CVE-2016-1839: Mateusz Jurczyk

    CVE-2016-1840: Kostya Serebryany

  • libxslt

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site rău intenționat poate cauza executarea unui cod arbitrar

    Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

    CVE-ID

    CVE-2016-1841: Sebastian Apelt

  • MapKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator cu poziție privilegiată în rețea poate colecta informații sensibile ale utilizatorilor

    Descriere: au fost trimise linkuri partajate prin HTTP, nu prin HTTPS. Această problemă a fost rezolvată prin activarea HTTPS pentru linkuri partajare.

    CVE-ID

    CVE-2016-1842: Richard Shupak (https://www.linkedin.com/in/rshupak)

  • OpenGL

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

    Descriere: au fost rezolvate mai multe probleme de alterare a memoriei prin îmbunătăţirea tratării memoriei.

    CVE-ID

    CVE-2016-1847: Tongbo Luo și Bo Qu (Palo Alto Networks)

  • Safari

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: este posibil ca un utilizator să nu poată șterge întregul istoric de navigare

    Descriere: „Clear History and Website Data” („Ștergere istoric și date despre site-uri web”) mu golea istoricul. Problema a fost rezolvată prin îmbunătățirea ștergerii datelor.

    CVE-ID

    CVE-2016-1849 : un cercetător anonim

  • Siri

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o persoană cu acces fizic la un dispozitiv iOS poate utiliza Siri pentru a accesa contacte și fotografii din ecranul de blocare

    Descriere: a existat o problemă de gestionare a stării la accesarea rezultatelor Siri în ecranul de blocare. Această problemă a fost rezolvată prin dezactivarea detectoarelor de date în rezultatele Twitter atunci când dispozitivul este blocat.

    CVE-ID

    CVE-2016-1852: videosdebarraquito

  • WebKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site web rău intenționat poate divulga date din alt site web

    Descriere: a fost rezolvată o problemă de urmărire insuficientă a contaminării la analizarea imaginilor svg prin îmbunătățirea urmăririi contaminării (taint tracking).

    CVE-ID

    CVE-2016-1858: un cercetător anonim

  • WebKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site rău intenționat poate cauza executarea unui cod arbitrar

    Descriere: au fost rezolvate mai multe probleme de alterare a memoriei prin îmbunătăţirea tratării memoriei.

    CVE-ID

    CVE-2016-1854: anonim în colaborare cu Trend Micro Zero Day Initiative

    CVE-2016-1855: Tongbo Luo și Bo Qu (Palo Alto Networks)

    CVE-2016-1856: lokihardt în colaborare cu Trend Micro Zero Day Initiative

    CVE-2016-1857: Jeonghoon Shin@A.D.D și Liang Chen, Zhen Feng, wushi (KeenLab), Tencent în colaborare cu Trend Micro Zero Day Initiative

  • Canvas WebKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site rău intenționat poate cauza executarea unui cod arbitrar

    Descriere: au fost rezolvate mai multe probleme de alterare a memoriei prin îmbunătăţirea tratării memoriei.

    CVE-ID

    CVE-2016-1859: Liang Chen, wushi (KeenLab), Tencent în colaborare cu Trend Micros Zero Day Initiative

Informaţiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu îşi asumă nicio responsabilitate în ceea ce priveşte selectarea, funcţionarea sau utilizarea site-urilor web sau produselor de la terţi. Apple nu face niciun fel de declaraţii privind acurateţea sau fiabilitatea site-urilor web terţe. La utilizarea Internetului, riscurile sunt inerente. Contactează distribuitorul pentru informaţii suplimentare. Alte nume de companii şi produse pot fi mărci comerciale ale proprietarilor respectivi.

Data publicării: