Obsah zabezpečenia v systéme iOS 10.1

V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 10.1.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.

Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.

Ak je to možné, dokumenty spoločnosti Apple týkajúce sa zabezpečenia odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

iOS 10.1

Vydané 24. októbra 2016

AppleMobileFileIntegrity

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Podpísaný spustiteľný súbor môže nahradiť kód iným kódom s rovnakým ID tímu

Popis: Pri spracovávaní podpisov kódu dochádzalo k problému s overovaním. Tento problém bol vyriešený dodatočným overovaním.

CVE-2016-7584: Mark Mentovai a Boris Vidolov zo spoločnosti Google Inc.

Dátum pridania záznamu: 6. decembra 2016

Servery proxy CFNetwork

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Útočník s oprávneniami v sieti môže byť schopný spôsobiť únik citlivých používateľských informácií

Popis: Pri spracovávaní overovacích údajov proxy serverov dochádzalo k problému s phishingom. Tento problém bol vyriešený odstránením neoprávnených výziev na zadanie hesla proxy servera.

CVE-2016-7579: Jerry Decime

Kontakty

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Aplikácia môže byť schopná zachovať si prístup k Adresáru, aj keď jej bol v Nastaveniach odobraný

Popis: Dochádzalo k problému s riadením prístupu v Adresári, ktorý bol vyriešený vylepšením overovania odkazov na súbory.

CVE-2016-4686: Razvan Deaconescu, Mihai Chiroiu (Polytechnická univerzita v Bukurešti), Luke Deshotels, William Enck (Štátna univerzita v Severnej Karolíne), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (Technická univerzita Darmstadt)

CoreGraphics

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Zobrazenie súboru JPEG so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2016-4673: Marco Grassi (@marcograss) z tímu KeenLab (@keen_lab), Tencent

FaceTime

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Útočník s oprávneniami v sieti môže byť schopný spôsobiť, že vysielanie zvuku prenášaného hovoru bude pokračovať, aj keď bol hovor zdanlivo ukončený

Popis: Pri spracovávaní prenášaných hovorov dochádzalo k nekonzistenciám v používateľskom rozhraní. Tieto problémy boli vyriešené vylepšením logiky protokolu.

CVE-2016-7577: Martin Vigo (@martin_vigo) zo salesforce.com

Dátum pridania záznamu: 27. októbra 2016

FontParser

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Analýza písma so škodlivým kódom môže viesť k úniku citlivých informácií používateľa

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2016-4660: Ke Liu z tímu Xuanwu Lab spoločnosti Tencent

FontParser

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Pri spracovávaní súborov písiem dochádzalo k pretečeniu medzipamäte. Tento problém bol vyriešený vylepšením kontroly rozsahu.

CVE-2016-4688: Simon Huang zo spoločnosti Alipay, thelongestusernameofall@gmail.com

Dátum pridania záznamu: 27. novembra 2016

IDS – pripojenie

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Útočník s oprávneniami v sieti môže byť schopný podvodom presvedčiť používateľa hovoru s viacerými účastníkmi, že hovorí s niekým iným

Popis: Pri spracovávaní prepájania hovorov dochádzalo k problému s napodobňovaním identity. Tento problém bol vyriešený vylepšením spracovania hlásení typu „prepojenie volajúceho“.

CVE-2016-4721: Martin Vigo (@martin_vigo) zo salesforce.com

Dátum pridania záznamu: 27. októbra 2016

Záloha v iTunes

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Útočník s prístupom k zašifrovanej zálohe v iTunes môže byť schopný určiť heslo zálohy

Popis: Pri spracovávaní zašifrovaných záloh v iTunes dochádzalo k problému s nedostatočným zabezpečením hašovania hesiel. Tento problém bol vyriešený odstránením nedostatočne zabezpečeného hašovania.

CVE-2016-4685: Elcomsoft

Dátum pridania záznamu: 14. novembra 2016

Jadro

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Lokálny používateľ môže spôsobiť neočakávané ukončenie systému alebo spustenie ľubovoľného kódu v jadre

Popis: V generovanom kóde MIG dochádzalo k viacerým problémom s overovaním vstupu. Tieto problémy boli vyriešené vylepšením overovania.

CVE-2016-4669: Ian Beer z tímu Google Project Zero

Dátum aktualizovania záznamu: 2. novembra 2016

Jadro

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Aplikácia môže byť schopná odhaliť obsah pamäte jadra

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2016-4680: Max Bazaliy zo spoločnosti Lookout a in7egral

Jadro

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Lokálna aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami koreňového používateľa

Popis: Pri vytváraní nových procesov dochádzalo k viacerým problémom so životnosťou objektov. Tieto problémy boli vyriešené vylepšením overovania.

CVE-2016-7613: Ian Beer z tímu Google Project Zero

Dátum pridania záznamu: 1. novembra 2016

libarchive

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Archív so škodlivým kódom môže byť schopný prepísať ľubovoľné súbory

Popis: V logike overovania ciest symbolických odkazov dochádzalo k problému. Tento problém bol vyriešený vylepšením čistenia ciest.

CVE-2016-4679: Omer Medan zo spoločnosti enSilo Ltd

libxpc

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s koreňovými oprávneniami

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2016-4675: Ian Beer z tímu Google Project Zero

Safari

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Webová stránka so škodlivým kódom môže byť schopná spôsobiť odmietnutie služby

Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením spracovania adries URL.

CVE-2016-7581: Sabri Haddouche (@pwnsdx)

Dátum aktualizovania záznamu: 1. decembra 2016

Profily izolovaného priestoru

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Aplikácia môže byť schopná získať metadáta adresárov s fotkami

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený pridaním ďalších obmedzení izolovaného priestoru pre aplikácie od iných výrobcov.

CVE-2016-4664: Razvan Deaconescu, Mihai Chiroiu (Polytechnická univerzita v Bukurešti), Luke Deshotels, William Enck (Štátna univerzita v Severnej Karolíne), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (Technická univerzita Darmstadt)

Profily izolovaného priestoru

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Aplikácia môže byť schopná získať metadáta adresárov so zvukovými nahrávkami

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený pridaním ďalších obmedzení izolovaného priestoru pre aplikácie od iných výrobcov.

CVE-2016-4665: Razvan Deaconescu, Mihai Chiroiu (Polytechnická univerzita v Bukurešti), Luke Deshotels, William Enck (Štátna univerzita v Severnej Karolíne), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (Technická univerzita Darmstadt)

Zabezpečenie

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Lokálny útočník môže pozorovať dĺžku prihlasovacieho hesla, keď ho používateľ zadáva

Popis: Pri spracovávaní hesiel dochádzalo k problému s protokolovaním. Tento problém bol vyriešený odstránením protokolovania dĺžky hesla.

CVE-2016-4670: Daniel Jalkut zo spoločnosti Red Sweater Software

WebKit

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2016-4666: Apple

CVE-2016-4677: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

WebKit

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2016-7578: Apple

Dátum pridania záznamu: 27. októbra 2016

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: