Сведения о проблемах системы безопасности, устраняемых обновлением ОС iOS 8.4.1

В этом документе описываются проблемы безопасности, устраняемые в ОС iOS 8.4.1.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на веб-сайте Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

ОС iOS 8.4.1

  • AppleFileConduit

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Умышленно вредоносная команда afc может открыть доступ к защищенным участкам файловой системы.

    Описание. Существовала проблема символьного механизма связывания afc. Проблема устранена путем ввода дополнительных проверок пути.

    Идентификатор CVE

    CVE-2015-5746: evad3rs, команда TaiG Jailbreak

  • Air Traffic

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Программа AirTraffic могла разрешить доступ к защищенным частям файловой системы.

    Описание. При обработке ресурсов существовала проблема обхода путей. Проблема устранена путем усовершенствования проверки.

    Идентификатор CVE

    CVE-2015-5766: команда TaiG Jailbreak

  • Резервное копирование

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Вредоносная программа может создавать символьные ссылки на защищенные области диска.

    Описание. В логике проверки путей символьных ссылок существовала проблема. Проблема устранена путем усовершенствования очистки путей.

    Идентификатор CVE

    CVE-2015-5752: команда TaiG Jailbreak

  • bootp

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Злоумышленник может узнать, к каким сетям Wi-Fi подключалось устройство.

    Описание. После подключения к сети Wi-Fi устройство могло транслировать MAC-адреса сетей, в которых оно использовалось ранее. Проблема устранена путем обеспечения трансляции только тех MAC-адресов, которые связаны с текущим идентификатором SSID.

    Идентификатор CVE

    CVE-2015-3778: Пирс О'Хэнлон (Piers O'Hanlon) из Оксфордского института Интернета, Оксфордский университет (в рамках проекта EPSRC Being There)

  • Пользовательский интерфейс сертификатов

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Злоумышленник, находящийся в привилегированном участке сети, может принять недоверенные сертификаты с экрана блокировки.

    Описание. При определенных обстоятельствах устройство могло отобразить диалоговое окно настройки доверия сертификата в заблокированном состоянии. Эта проблема устранена путем усовершенствования управления состоянием.

    Идентификатор CVE

    CVE-2015-3756: Энди Грант (Andy Grant) из компании NCC Group

  • CloudKit

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Вредоносная программа может получить доступ к записи ранее вошедшего в iCloud пользователя.

    Описание. При выходе пользователей из службы в CloudKit возникало несоответствие состояний. Проблема устранена путем усовершенствования управления состояниями.

    Идентификатор CVE

    CVE-2015-3782: Дипканвал Плаха (Deepkanwal Plaha) из Торонтского университета

  • CFPreferences

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Вредоносная программа может прочитать настраиваемые параметры других программ.

    Описание. В изолированной среде программы сторонних разработчиков возникала проблема. Проблема устранена путем усовершенствования профиля сторонней изолированной среды.

    Идентификатор CVE

    CVE-2015-3793: Андреас Вайнлайн (Andreas Weinlein) из подразделения Appthority Mobility Threat

  • Подпись кода

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Вредоносная программа может вызвать выполнение неподписанного кода.

    Описание. Существовала проблема, которая позволяла добавлять неподписанный код к подписанному коду в специально созданном исполняемом файле. Проблема устранена путем усовершенствования проверки подписи кода.

    Идентификатор CVE

    CVE-2015-3806: команда TaiG Jailbreak

  • Подпись кода

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Специально созданный исполняемый файл мог разрешить выполнение неподписанного вредоносного кода.

    Описание. В способе оценки многоархитектурных исполняемых файлов существовала проблема, которая позволяла выполнять неподписанный код. Проблема устранена путем усовершенствования проверки исполняемых файлов.

    Идентификатор CVE

    CVE-2015-3803: команда TaiG Jailbreak

  • Подпись кода

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Локальный пользователь может запускать на выполнение неподписанный код.

    Описание. При обработке файлов Mach-O существовала проблема проверки. Проблема устранена путем ввода дополнительных проверок.

    Идентификатор CVE

    CVE-2015-3802: команда TaiG Jailbreak

    CVE-2015-3805: команда TaiG Jailbreak

  • Воспроизведение CoreMedia

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. В механизме воспроизведения CoreMedia была проблема, связанная с ошибками в памяти. Проблема устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-5777: Apple

    CVE-2015-5778: Apple

  • CoreText

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Обработка вредоносного файла шрифта могла приводить к неожиданному завершению программы или выполнению произвольного кода.

    Описание. При обработке файлов шрифтов существовала проблема, связанная с ошибками в памяти. Проблема устранена путем усовершенствования проверки ввода.

    Идентификатор CVE

    CVE-2015-5755: Джон Вилламил (John Villamil) (@day6reak), команда Yahoo Pentest 

    CVE-2015-5761: Джон Вилламил (John Villamil) (@day6reak), команда Yahoo Pentest

  • DiskImages

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Обработка вредоносного DMG-файла могла приводить к неожиданному завершению программы или выполнению произвольного кода с системными привилегиями.

    Описание. Анализ неверно сформированных DMG-изображений приводил к ошибкам в памяти. Проблема устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-3800: Фрэнк Грациано (Frank Graziano) из отдела Yahoo Pentest

  • FontParser

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Обработка вредоносного файла шрифта могла приводить к неожиданному завершению программы или выполнению произвольного кода.

    Описание. При обработке файлов шрифтов существовала проблема, связанная с ошибками в памяти. Проблема устранена путем усовершенствования проверки ввода.

    Идентификатор CVE

    CVE-2015-3804: Apple

    CVE-2015-5756: Джон Вилламил (John Villamil) (@day6reak), отдел Yahoo Pentest

    CVE-2015-5775: Apple

  • ImageIO

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Обработка вредоносного файла .tiff могла приводить к неожиданному завершению программы или выполнению произвольного кода.

    Описание. При обработке файлов .tiff существовала проблема повреждения данных в памяти. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2015-5758: Apple

  • ImageIO

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Посещение вредоносного веб-сайта может привести к раскрытию памяти процесса.

    Описание. При обработке PNG-изображений в ImageIO был возможен неинициализированный доступ к памяти. Посещение вредоносного веб-сайта может привести к отправке данных на веб-сайт из памяти процесса. Проблема устранена путем усовершенствования инициализации памяти и дополнительной проверки PNG-изображений.

    Идентификатор CVE

    CVE-2015-5781: Михал Залевски (Michal Zalewski)

  • ImageIO

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Посещение вредоносного веб-сайта может привести к раскрытию памяти процесса.

    Описание. При обработке TIFF-изображений в ImageIO был возможен неинициализированный доступ к памяти. Посещение вредоносного веб-сайта может привести к отправке данных на веб-сайт из памяти процесса. Проблема устранена путем усовершенствования инициализации памяти и дополнительной проверки TIFF-изображений.

    Идентификатор CVE

    CVE-2015-5782: Михал Залевски (Michal Zalewski)

  • IOKit

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Анализ вредоносного PLIST-файла может привести к неожиданному завершению работы программы или выполнению произвольного кода с системными правами.

    Описание. При обработке неверно сформированных PLIST-файлов возникали ошибки в памяти. Проблема устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-3776: Тедди Рид (Teddy Reed) из подразделения Facebook Security, Патрик Штайн (Patrick Stein) (@jollyjinx) из компании Jinx, Германия

  • IOHIDFamily

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Локальный пользователь может выполнить произвольный код с системными правами.

    Описание. В IOHIDFamily возникала проблема переполнения буфера. Проблема устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-5774: команда TaiG Jailbreak

  • Ядро

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Вредоносная программа может выявлять схему распределения памяти в ядре.

    Описание. В интерфейсе mach_port_space_info существовала проблема, которая могла привести к раскрытию схемы распределения памяти в ядре. Проблема устранена путем отключения интерфейса mach_port_space_info.

    Идентификатор CVE

    CVE-2015-3766: Cererdlong из отдела безопасности мобильных устройств в Alibaba, @PanguTeam

  • Ядро

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.

    Описание. При обработке функций IOKit существовала проблема целочисленного переполнения. Проблема устранена путем усовершенствования проверки аргументов IOKit API-интерфейса.

    Идентификатор CVE

    CVE-2015-3768: Илья ван Спрюндел (Ilja van Sprundel)

  • Ядро

    iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Вредоносная программа может обойти ограничения на выполнение в фоновом режиме.

    Описание. При работе некоторых механизмов отладки возникала проблема доступа. Проблема устранена путем ввода дополнительных проверок подтверждения действий.

    Идентификатор CVE

    CVE-2015-5787: Алессандро Рейна (Alessandro Reina), Маттиа Паньоцци (Mattia Pagnozzi) и Стефано Бьянки Маццоне (Stefano Bianchi Mazzone) из компании FireEye

  • Libc

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Обработка вредоносного регулярного выражения могла приводить к неожиданному завершению программы или выполнению произвольного кода.

    Описание. В библиотеке TRE существовала проблема, приводящая к ошибкам в памяти. Проблема устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-3796: Иэн Бир (Ian Beer) из подразделения Google Project Zero

    CVE-2015-3797: Иэн Бир (Ian Beer) из подразделения Google Project Zero

    CVE-2015-3798: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • Libinfo

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Удаленный злоумышленник может вызвать неожиданное завершение работы программы или выполнить произвольный код.

    Описание. При обработке сокетов AF_INET6 возникала проблема, приводящая к ошибкам в памяти. Проблема устранена путем усовершенствования обработки памяти.

    Идентификатор CVE

    CVE-2015-5776: Apple

  • libpthread

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.

    Описание. При обработке системных вызовов возникала проблема, приводящая к ошибкам в памяти. Проблема устранена путем усовершенствования проверки состояния блокировки.

    Идентификатор CVE

    CVE-2015-5757: Луфэн Ли (Lufeng Li) из компании Qihoo 360

  • libxml2

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Анализ вредоносного документа XML может привести к разглашению информации пользователя.

    Описание. При анализе файлов XML возникала проблема, приводящая к ошибкам в памяти. Проблема устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-3807: Михал Залевски (Michal Zalewski)

  • libxml2

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. В libxml2 версий, предшествующих 2.9.2, существовал ряд уязвимостей, самые серьезные из которых могли позволить удаленному злоумышленнику вызвать отказ в обслуживании.

    Описание. В libxml2 версий, предшествующих 2.9.2, существовал ряд уязвимостей. Они устранены путем обновления libxml2 до версии 2.9.2.

    Идентификатор CVE

    CVE-2014-0191: Феликс Греберт (Felix Groebert), подразделение Google

    CVE-2014-3660: Феликс Греберт (Felix Groebert), подразделение Google

  • libxpc

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.

    Описание. При обработке неверно сформированных XPC-сообщений возникала проблема, приводящая к ошибкам в памяти. Проблема устранена путем усовершенствования проверки границ памяти.

    Идентификатор CVE

    CVE-2015-3795: Мэтью Роули (Mathew Rowley)

  • Платформа определения расположения

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Локальный пользователь может изменять защищенные участки файловой системы.

    Описание. Проблема с символьными ссылками устранена путем усовершенствования проверки путей.

    Идентификатор CVE

    CVE-2015-3759: Cererdlong из отдела безопасности мобильных устройств в Alibaba

  • MobileInstallation

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Вредоносная корпоративная программа может заменять расширения для других программ.

    Описание. В логике установки для программ с универсальным профилем обеспечения существовала проблема, в результате которой возникал конфликт с существующими идентификаторами пакетов. Проблема устранена путем усовершенствования проверки идентификатора пакета.

    Идентификатор CVE

    CVE-2015-5770: Чжаофэн Чэнь (Zhaofeng Chen), Юйлун Чжан (Yulong Zhang) и Тао Вэй (Tao Wei) из компании FireEye, Inc

  • Драйвер MSVDX

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Просмотр видео с вредоносным кодом может привести к непредвиденному завершению работы системы.

    Описание. Проблема отказа в обслуживании устранена путем усовершенствования обработки памяти.

    Идентификатор CVE

    CVE-2015-5769: Proteas из подразделения Qihoo 360 Nirvan

  • Office Viewer

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Анализ вредоносного XML-файла может привести к разглашению информации пользователя.

    Описание. При анализе XML-файла возникала проблема со ссылкой на элемент внешней системы. Проблема устранена путем усовершенствования анализа.

    Идентификатор CVE

    CVE-2015-3784: Бруно Мориссон (Bruno Morisson) из компании INTEGRITY S.A. 

  • QL Office

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Анализ вредоносного документа Office мог приводить к неожиданному завершению программы или выполнению произвольного кода.

    Описание. При анализе документов Office возникала проблема, приводящая к ошибкам в памяти. Проблема устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-5773: Apple

  • Safari

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Посещение вредоносного веб-сайта может привести к подмене пользовательского интерфейса.

    Описание. Вредоносный веб-сайт мог открыть другой сайт и запросить у пользователя ввод данных, не сообщая ему источник запроса. Проблема устранена путем отображения источника запроса для пользователя.

    Идентификатор CVE

    CVE-2015-3729: лаборатории аудита кода компании VulnHunt.com

  • Safari

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Вредоносный веб-сайт может инициировать неограниченное число предупреждений.

    Описание. Существовала проблема, при которой вредоносный или взломанный веб-сайт мог отображать неограниченное число предупреждений, заставляя пользователей поверить в то, что их браузер заблокирован. Проблема устранена путем регулирования количества предупреждений JavaScript.

    Идентификатор CVE

    CVE-2015-3763

  • Sandbox_profiles

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Вредоносная программа может прочитать настраиваемые параметры других программ.

    Описание. В изолированной среде программы сторонних разработчиков возникала проблема. Проблема устранена путем усовершенствования профиля сторонней изолированной среды.

    Идентификатор CVE

    CVE-2015-5749: Андреас Вайнлайн (Andreas Weinlein) из подразделения Appthority Mobility Threat

  • UIKit WebView

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Вредоносная программа может инициировать вызовы FaceTime без авторизации пользователя.

    Описание. При анализе URL-ссылок FaceTime в рамках классов WebView существовала проблема. Проблема устранена путем усовершенствования проверки URL.

    Идентификатор CVE

    CVE-2015-3758: Брайан Симмонс (Brian Simmons) из компании Salesforce, Гийом Росс (Guillaume Ross)

  • WebKit

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. В библиотеке WebKit возникало несколько ошибок, приводящих к повреждению данных в памяти. Проблемы устранены путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-3730: Apple

    CVE-2015-3731: Apple

    CVE-2015-3732: Apple

    CVE-2015-3733: Apple

    CVE-2015-3734: Apple

    CVE-2015-3735: Apple

    CVE-2015-3736: Apple

    CVE-2015-3737: Apple

    CVE-2015-3738: Apple

    CVE-2015-3739: Apple

    CVE-2015-3740: Apple

    CVE-2015-3741: Apple

    CVE-2015-3742: Apple

    CVE-2015-3743: Apple

    CVE-2015-3744: Apple

    CVE-2015-3745: Apple

    CVE-2015-3746: Apple

    CVE-2015-3747: Apple

    CVE-2015-3748: Apple

    CVE-2015-3749: Apple

  • Интернет

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Посещение вредоносного веб-сайта может привести к подмене пользовательского интерфейса.

    Описание. Переход по неправильно сформированному URL-адресу давал возможность вредоносному веб-сайту отобразить произвольный URL-адрес. Проблема устранена путем усовершенствования обработки URL-адресов.

    Идентификатор CVE

    CVE-2015-3755: xisigr из лаборатории Xuanwu Lab компании Tencent

  • WebKit

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Вредоносный веб-сайт может извлекать данные изображений из различных источников.

    Описание. Изображения, полученные посредством URL-адресов, перенаправляющих на ресурс data:image, могли извлекаться из разных источников. Проблема устранена путем усовершенствования отслеживания заражений холста.

    Идентификатор CVE

    CVE-2015-3753: Антонио Сансо (Antonio Sanso) и Дэмиен Антипа (Damien Antipa) из компании Adobe

  • WebKit

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Вредоносный веб-сайт может инициировать текстовые запросы к источнику в режиме HTTP Strict Transport Security.

    Описание. Существовала проблема, при которой запросы отчетов о политике безопасности содержимого не учитывали механизм HTTP Strict Transport Security (HSTS). Проблема устранена путем применения HSTS к CSP.

    Идентификатор CVE

    CVE-2015-3750: Мунэаки Нишимура (Muneaki Nishimura) (nishimunea)

  • WebKit

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Вредоносный веб-сайт может создать событие касания, генерирующее синтетический щелчок на другой странице.

    Описание. С генерированием синтетических щелчков на основе событий касания была связана проблема, которая могла приводить к направлению щелчков на другие страницы. Проблема устранена путем ограничения распространения щелчков.

    Идентификатор CVE

    CVE-2015-5759: Филлип Мун (Phillip Moon) и Мэтт Вестон (Matt Weston) из компании Sandfield

  • WebKit

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Запросы отчетов о политике безопасности содержимого могут приводить к утечке файлов cookie.

    Описание. С добавлением файлов cookie в запросы отчетов о политике безопасности содержимого было связано две проблемы. Файлы cookie отправлялись в запросах отчетов из различных источников с нарушением стандарта. Файлы cookie, настроенные во время обычного просмотра, отправлялись в режиме частного доступа. Проблемы устранены путем усовершенствования обработки файлов cookie.

    Идентификатор CVE

    CVE-2015-3752: Мунэаки Нишимура (Muneaki Nishimura) (nishimunea)

  • WebKit

    Доступно для iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Загрузка изображений может нарушать директиву политики безопасности содержимого веб-сайта.

    Описание. Существовала проблема, при которой веб-сайты с элементами управления видео могли загружать изображения, вложенные в элементы объектов, с нарушением директивы политики безопасности содержимого веб-сайта. Проблема устранена путем применения усовершенствованной политики безопасности содержимого.

    Идентификатор CVE

    CVE-2015-3751: Мунэаки Нишимура (Muneaki Nishimura) (nishimunea)

Служба FaceTime доступна не во всех странах и регионах.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: