Obsah zabezpečenia v systéme iOS 9.2
V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 9.2.
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.
Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.
Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.
Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.
iOS 9.2
AppleMobileFileIntegrity
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Problém s riadením prístupu bol vyriešený znemožnením úpravy štruktúr riadenia prístupu.
CVE-ID
CVE-2015-7055: Apple
AppSandbox
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže mať prístup ku kontaktom aj po zrušení prístupu
Popis: Pri spracovávaní pevných odkazov v izolovanom priestore dochádzalo k problému. Tento problém bol vyriešený vylepšením zabezpečenia izolovaného priestoru aplikácií.
CVE-ID
CVE-2015-7001: Razvan Deaconescu a Mihai Bucicoiu z Polytechnickej univerzity v Bukurešti, Luke Deshotels a William Enck zo Štátnej univerzity v Severnej Karolíne, Lucas Vincenzo Davi a Ahmad-Reza Sadeghi z Technickej univerzity v Darmstadte
CFNetwork HTTPProtocol
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Útočník s oprávneniami v sieti môže byť schopný obísť zabezpečenie HSTS
Popis: Pri spracovávaní adries URL dochádzalo k problému s overovaním vstupu. Tento problém bol vyriešený vylepšením overovania adries URL.
CVE-ID
CVE-2015-7094: Tsubasa Iinuma (@llamakko_cafe) zo spoločnosti Gehirn Inc. a Muneaki Nishimura (nishimunea)
Kompresia
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: V knižnici zlib dochádzalo k problému s prístupom k neinicializovanej pamäti. Tento problém bol vyriešený vylepšením inicializácie pamäte a dodatočným overovaním streamov zlib.
CVE-ID
CVE-2015-7054: j00ru
CoreGraphics
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Pri spracovávaní súborov písiem dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-ID
CVE-2015-7105: John Villamil (@day6reak), Yahoo Pentest Team
Prehrávanie CoreMedia
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Pri spracovávaní deformovaných mediálnych súborov dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.
CVE-ID
CVE-2015-7074: Apple
CVE-2015-7075
dyld
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: V súčasti dyld dochádzalo k viacerým problémom s overovaním segmentov. Tieto problémy boli vyriešené vylepšením čistenia prostredia.
CVE-ID
CVE-2015-7072: Apple
CVE-2015-7079: PanguTeam
GPUTools Framework
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: V súčasti Mobile Replayer dochádzalo k viacerým problémom s overovaním ciest. Tieto problémy boli vyriešené vylepšením čistenia prostredia.
CVE-ID
CVE-2015-7069: Luca Todesco (@qwertyoruiop)
CVE-2015-7070: Luca Todesco (@qwertyoruiop)
iBooks
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dosah: Analýza súboru aplikácie iBooks so škodlivým kódom môže viesť k sprístupneniu informácií používateľa
Popis: Pri analýze obsahu aplikácie iBooks dochádzalo k problému s odkazmi na externé entity XML. Tento problém bol vyriešený vylepšením analýzy.
CVE-ID
CVE-2015-7081: Behrouz Sadeghipour (@Nahamsec) a Patrik Fehrenbach (@ITSecurityguard)
ImageIO
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: V súčasti ImageIO dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2015-7053: Apple
IOHIDFamily
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: V rozhraní IOHIDFamily API dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.
CVE-ID
CVE-2015-7111: beist a ABH z BoB
CVE-2015-7112: Ian Beer z tímu Google Project Zero
IOKit SCSI
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Pri spracovávaní určitého typu klienta používateľa dochádzalo k dereferencii nulového ukazovateľa. Tento problém bol vyriešený vylepšením overovania.
CVE-ID
CVE-2015-7068: Ian Beer z tímu Google Project Zero
Jadro
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Lokálna aplikácia môže byť schopná spôsobiť odmietnutie služby
Popis: Viaceré problémy súvisiace s odmietnutím služby boli vyriešené vylepšením spracovania pamäte.
CVE-ID
CVE-2015-7040: Lufeng Li z tímu Qihoo 360 Vulcan Team
CVE-2015-7041: Lufeng Li z tímu Qihoo 360 Vulcan Team
CVE-2015-7042: Lufeng Li z tímu Qihoo 360 Vulcan Team
CVE-2015-7043: Tarjei Mandt (@kernelpool)
Jadro
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Lokálny používateľ môže byť schopný spustiť ľubovoľný kód s oprávneniami jadra
Popis: V jadre dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.
CVE-ID
CVE-2015-7083: Ian Beer z tímu Google Project Zero
CVE-2015-7084: Ian Beer z tímu Google Project Zero
Jadro
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Lokálny používateľ môže byť schopný spustiť ľubovoľný kód s oprávneniami jadra
Popis: Pri analýze správ jadra Mach dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania správ jadra Mach.
CVE-ID
CVE-2015-7047: Ian Beer z tímu Google Project Zero
LaunchServices
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Pri spracovávaní deformovaných súborov plist dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2015-7113: Olivier Goguel zo združenia Free Tools Association
libarchive
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Pri spracovávaní archívov dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2011-2895: @practicalswift
libc
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Spracovanie balíka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: V štandardnej knižnici jazyka C dochádzalo k viacerým pretečeniam medzipamäte. Tieto problémy boli vyriešené vylepšením kontroly rozsahu.
CVE-ID
CVE-2015-7038: Brian D. Wells zo spoločnosti E. W. Scripps, Narayan Subramanian zo spoločnosti Symantec Corporation/Veritas LLC
CVE-2015-7039: Maksymilian Arciemowicz (CXSECURITY.COM)
Položka sa aktualizovala 3. marca 2017
libxml2
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Analýza dokumentu XML so škodlivým kódom môže viesť k odhaleniu informácií používateľa
Popis: Pri analýze súborov XML dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2015-7115: Wei Lei a Liu Yang z Technologickej univerzity v Nanyangu
CVE-2015-7116: Wei Lei a Liu Yang z Technologickej univerzity v Nanyangu
MobileStorageMounter
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Pri načítavaní cache dôveryhodnosti dochádzalo k problému s časovým limitom. Tento problém bol vyriešený overovaním systémového prostredia pred načítaním cache dôveryhodnosti.
CVE-ID
CVE-2015-7051: PanguTeam
OpenGL
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: V súčasti OpenGL dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.
CVE-ID
CVE-2015-7064: Apple
CVE-2015-7065: Apple
CVE-2015-7066: Tongbo Luo a Bo Qu zo spoločnosti Palo Alto Networks
Fotky
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Útočník môže byť schopný použiť systém zálohovania na získanie prístupu k zakázaným oblastiam súborového systému
Popis: V súčasti Mobile Backup dochádzalo k problému s overovaním cesty. Tento problém bol vyriešený vylepšením čistenia prostredia.
CVE-ID
CVE-2015-7037: PanguTeam
QuickLook
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Otvorenie súboru iWork so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Pri spracovávaní súborov iWork dochádzalo k problému s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2015-7107
Safari
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k predstieraniu iného zdroja v používateľskom rozhraní
Popis: Existoval problém, ktorý mohol umožňovať, aby sa na webovej stránke zobrazil obsah s adresou URL inej webovej stránky. Tento problém bol vyriešený vylepšením spracovávania URL adries.
CVE-ID
CVE-2015-7093: xisigr z Xuanwu LAB spoločnosti Tencent (www.tencent.com)
Izolovaný priestor
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom a oprávneniami koreňového používateľa môže byť schopná obísť náhodné usporiadanie rozloženia priestoru adries jadra
Popis: V súčasti xnu dochádzalo k problému s nedostatočným oddelením privilégií. Tento problém bol vyriešený vylepšením kontrol autorizácie.
CVE-ID
CVE-2015-7046: Apple
Zabezpečenie
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Vzdialený útočník môže spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Popis: Pri spracovávaní synchronizácií SSL dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2015-7073: Benoit Foucher zo spoločnosti ZeroC, Inc.
Zabezpečenie
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže získať prístup k položkám kľúčenky používateľa
Popis: Pri overovaní zoznamov riadenia prístupu k položkám kľúčenky dochádzalo k problému. Tento problém bol vyriešený vylepšením kontrol zoznamov riadenia prístupu.
CVE-ID
CVE-2015-7058
Siri
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Osoba s fyzickým prístupom k iOS zariadeniu môže byť schopná používať Siri na čítanie hlásení obsahu, ktorý je nastavený tak, aby sa nezobrazoval na zamknutej ploche
Popis: Pri požiadavke na Siri server nekontroloval obmedzenia na strane klienta. Tento problém bol vyriešený vylepšením kontroly obmedzení.
CVE-ID
CVE-2015-7080: Or Safran (www.linkedin.com/profile/view?id=33912591)
WebKit
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: V mechanizme WebKit dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.
CVE-ID
CVE-2015-7048: Apple
CVE-2015-7095: Apple
CVE-2015-7096: Apple
CVE-2015-7097: Apple
CVE-2015-7098: Apple
CVE-2015-7099: Apple
CVE-2015-7100: Apple
CVE-2015-7101: Apple
CVE-2015-7102: Apple
CVE-2015-7103: Apple
WebKit
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k odhaleniu histórie prezerania používateľa
Popis: Pri blokovaní obsahu dochádzalo k problému súvisiacemu s nedostatočným overovaním vstupu. Tento problém bol vyriešený vylepšením analýzy rozšírení obsahu.
CVE-ID
CVE-2015-7050: Luke Li a Jonathan Metzman
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.