Сведения о проблемах безопасности, устраняемых в ОС iOS 8.2

В этом документе описываются проблемы безопасности, устраняемые обновлением ОС iOS 8.2.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на веб-сайте Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

iOS 8.2

  • CoreTelephony

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Злоумышленник может удаленно вызвать внезапную перезагрузку устройства.

    Описание. При обработке сообщений SMS Класса 0 в CoreTelephony возникала проблема разыменования нулевого указателя. Проблема устранена путем улучшенной проверки сообщений.

    Идентификатор CVE

    CVE-2015-1063: Роман Дигерберг (Roman Digerberg), Швеция

  • Связка ключей iCloud

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может выполнить произвольный код.

    Описание. При обработке данных во время восстановления Связки ключей iCloud возникало множественное переполнение буфера. Эти проблемы были устранены путем улучшенной проверки границ.

    Идентификатор CVE

    CVE-2015-1065: Андрей Беленко (Andrey Belenko) из NowSecure

  • IOSurface

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.

    Описание. При обработке сериализованных объектов в IOSurface возникала путаница типов. Проблема устранена путем дополнительной проверки типа.

    Идентификатор CVE

    CVE-2015-1061: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • MobileStorageMounter

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Вредоносная программа может создавать папки в надежных каталогах файловой системы

    Описание. В логике установки диска разработчика существовала проблема, в результате которой не удалялись ненужные папки образа диска. Проблема устранена путем улучшенной обработки ошибок.

    Идентификатор CVE

    CVE-2015-1062: коллектив TaiG Jailbreak

  • Secure Transport

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Злоумышленник с преимущественным положением в сети может перехватывать подключения SSL/TLS.

    Описание. Протокол Secure Transport принимал краткосрочные ключи RSA, обычно используемые только в комплектах шифров RSA на уровне экспорта. Эта проблема, также известная как FREAK, затрагивала только подключения к серверам, которые поддерживают комплекты шифров RSA на уровне экспорта, и устранена путем удаления поддержки краткосрочных ключей RSA.

    Идентификатор CVE

    CVE-2015-1067: Бенджамин Бордуш (Benjamin Beurdouche), Картикеян Бхаргаван (Karthikeyan Bhargavan), Антуан Делиньят-Лаво (Antoine Delignat-Lavaud), Альфредо Пиронти (Alfredo Pironti) и Жан Карим Зинзиндоху (Jean Karim Zinzindohoue) из Prosecco в Inria Paris

  • Springboard

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Лицо, имеющее физический доступ к устройству, может увидеть стартовый экран устройства, даже если устройство не активировано.

    Описание. Неожиданное прекращение работы программы во время активации могла вызвать показ стартового экрана устройства. Проблема устранена путем улучшенной обработки ошибок во время активации.

    Идентификатор CVE

    CVE-2015-1064

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: