Obsah zabezpečenia v systéme iOS 10.1
V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 10.1.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.
Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.
Ak je to možné, dokumenty spoločnosti Apple týkajúce sa zabezpečenia odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
iOS 10.1
AppleMobileFileIntegrity
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Podpísaný spustiteľný súbor môže nahradiť kód iným kódom s rovnakým ID tímu
Popis: Pri spracovávaní podpisov kódu dochádzalo k problému s overovaním. Tento problém bol vyriešený dodatočným overovaním.
CVE-2016-7584: Mark Mentovai a Boris Vidolov zo spoločnosti Google Inc.
Servery proxy CFNetwork
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Útočník s oprávneniami v sieti môže byť schopný spôsobiť únik citlivých používateľských informácií
Popis: Pri spracovávaní overovacích údajov proxy serverov dochádzalo k problému s phishingom. Tento problém bol vyriešený odstránením neoprávnených výziev na zadanie hesla proxy servera.
CVE-2016-7579: Jerry Decime
Kontakty
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Aplikácia môže byť schopná zachovať si prístup k Adresáru, aj keď jej bol v Nastaveniach odobraný
Popis: Dochádzalo k problému s riadením prístupu v Adresári, ktorý bol vyriešený vylepšením overovania odkazov na súbory.
CVE-2016-4686: Razvan Deaconescu, Mihai Chiroiu (Polytechnická univerzita v Bukurešti), Luke Deshotels, William Enck (Štátna univerzita v Severnej Karolíne), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (Technická univerzita Darmstadt)
CoreGraphics
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Zobrazenie súboru JPEG so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2016-4673: Marco Grassi (@marcograss) z tímu KeenLab (@keen_lab), Tencent
FaceTime
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Útočník s oprávneniami v sieti môže byť schopný spôsobiť, že vysielanie zvuku prenášaného hovoru bude pokračovať, aj keď bol hovor zdanlivo ukončený
Popis: Pri spracovávaní prenášaných hovorov dochádzalo k nekonzistenciám v používateľskom rozhraní. Tieto problémy boli vyriešené vylepšením logiky protokolu.
CVE-2016-7577: Martin Vigo (@martin_vigo) zo salesforce.com
FontParser
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Analýza písma so škodlivým kódom môže viesť k úniku citlivých informácií používateľa
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2016-4660: Ke Liu z tímu Xuanwu Lab spoločnosti Tencent
FontParser
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Pri spracovávaní súborov písiem dochádzalo k pretečeniu medzipamäte. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-2016-4688: Simon Huang zo spoločnosti Alipay, thelongestusernameofall@gmail.com
IDS – pripojenie
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Útočník s oprávneniami v sieti môže byť schopný podvodom presvedčiť používateľa hovoru s viacerými účastníkmi, že hovorí s niekým iným
Popis: Pri spracovávaní prepájania hovorov dochádzalo k problému s napodobňovaním identity. Tento problém bol vyriešený vylepšením spracovania hlásení typu „prepojenie volajúceho“.
CVE-2016-4721: Martin Vigo (@martin_vigo) zo salesforce.com
Záloha v iTunes
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Útočník s prístupom k zašifrovanej zálohe v iTunes môže byť schopný určiť heslo zálohy
Popis: Pri spracovávaní zašifrovaných záloh v iTunes dochádzalo k problému s nedostatočným zabezpečením hašovania hesiel. Tento problém bol vyriešený odstránením nedostatočne zabezpečeného hašovania.
CVE-2016-4685: Elcomsoft
Jadro
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Lokálny používateľ môže spôsobiť neočakávané ukončenie systému alebo spustenie ľubovoľného kódu v jadre
Popis: V generovanom kóde MIG dochádzalo k viacerým problémom s overovaním vstupu. Tieto problémy boli vyriešené vylepšením overovania.
CVE-2016-4669: Ian Beer z tímu Google Project Zero
Jadro
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Aplikácia môže byť schopná odhaliť obsah pamäte jadra
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2016-4680: Max Bazaliy zo spoločnosti Lookout a in7egral
Jadro
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Lokálna aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami koreňového používateľa
Popis: Pri vytváraní nových procesov dochádzalo k viacerým problémom so životnosťou objektov. Tieto problémy boli vyriešené vylepšením overovania.
CVE-2016-7613: Ian Beer z tímu Google Project Zero
libarchive
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Archív so škodlivým kódom môže byť schopný prepísať ľubovoľné súbory
Popis: V logike overovania ciest symbolických odkazov dochádzalo k problému. Tento problém bol vyriešený vylepšením čistenia ciest.
CVE-2016-4679: Omer Medan zo spoločnosti enSilo Ltd
libxpc
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s koreňovými oprávneniami
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2016-4675: Ian Beer z tímu Google Project Zero
Safari
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Webová stránka so škodlivým kódom môže byť schopná spôsobiť odmietnutie služby
Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením spracovania adries URL.
CVE-2016-7581: Sabri Haddouche (@pwnsdx)
Profily izolovaného priestoru
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Aplikácia môže byť schopná získať metadáta adresárov s fotkami
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený pridaním ďalších obmedzení izolovaného priestoru pre aplikácie od iných výrobcov.
CVE-2016-4664: Razvan Deaconescu, Mihai Chiroiu (Polytechnická univerzita v Bukurešti), Luke Deshotels, William Enck (Štátna univerzita v Severnej Karolíne), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (Technická univerzita Darmstadt)
Profily izolovaného priestoru
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Aplikácia môže byť schopná získať metadáta adresárov so zvukovými nahrávkami
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený pridaním ďalších obmedzení izolovaného priestoru pre aplikácie od iných výrobcov.
CVE-2016-4665: Razvan Deaconescu, Mihai Chiroiu (Polytechnická univerzita v Bukurešti), Luke Deshotels, William Enck (Štátna univerzita v Severnej Karolíne), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (Technická univerzita Darmstadt)
Zabezpečenie
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Lokálny útočník môže pozorovať dĺžku prihlasovacieho hesla, keď ho používateľ zadáva
Popis: Pri spracovávaní hesiel dochádzalo k problému s protokolovaním. Tento problém bol vyriešený odstránením protokolovania dĺžky hesla.
CVE-2016-4670: Daniel Jalkut zo spoločnosti Red Sweater Software
WebKit
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2016-4666: Apple
CVE-2016-4677: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
WebKit
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2016-7578: Apple
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.