Obsah zabezpečenia v systéme iOS 10
V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 10.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.
Ďalšie informácie o zabezpečení nájdete na stránke zabezpečenia produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.
Ak je to možné, dokumenty spoločnosti Apple týkajúce sa zabezpečenia odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
iOS 10
AppleMobileFileIntegrity
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Lokálna aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: V politike dedenia portov úloh dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania nárokov procesov a ID tímov.
CVE-2016-4698: Pedro Vilaça
Materiály
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Útočník s oprávneniami v sieti môže byť schopný zablokovať v zariadení prijímanie aktualizácií softvéru
Popis: V aktualizáciách systému iOS dochádzalo k problému, v dôsledku ktorého nebola správne zabezpečená komunikácia používateľa. Tento problém bol vyriešený použitím protokolu HTTPS pre aktualizácie softvéru.
CVE-2016-4741: Raul Siles zo spoločnosti DinoSec
Zvuk
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Vzdialený útočník môže byť schopný spustiť ľubovoľný kód
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park a Taekyoung Kwon z laboratória Information Security Lab na univerzite Yonsei
Pravidlá dôveryhodnosti certifikátov
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Aktualizácia pravidiel dôveryhodnosti certifikátov
Popis: Pravidlá dôveryhodnosti certifikátov sa aktualizovali. Úplný zoznam certifikátov nájdete v článku https://support.apple.com/sk-sk/HT204132.
CFNetwork
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Lokálny používateľ môže byť schopný odhaliť webové stránky navštívené používateľom
Popis: Pri vymazávaní lokálneho úložiska dochádzalo k problému. Tento problém bol vyriešený vylepšením čistenia lokálneho úložiska.
CVE-2016-4707: Anonymný výskumník
CFNetwork
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k úniku informácií používateľa
Popis: Pri analýze hlavičky set-cookie dochádzalo k problému súvisiacemu s overovaním vstupu. Tento problém bol vyriešený vylepšením kontroly overovania.
CVE-2016-4708: Dawid Czagan zo spoločnosti Silesia Security Lab
CommonCrypto
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Aplikácia používajúca utilitu CCrypt môže odhaliť citlivé informácie vo formáte obyčajného textu, ak je výstupná a vstupná medzipamäť rovnaká
Popis: V knižnici corecrypto dochádzalo k problému súvisiacemu s overovaním vstupu. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2016-4711: Max Lohrmann
CoreCrypto
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód
Popis: Dochádzalo k problému so zápisom do zakázaných oblastí, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2016-4712: Gergo Koteles
FontParser
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Spracovanie webovej stránky so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Pri spracovávaní súborov písiem dochádzalo k pretečeniu medzipamäte.
Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-2016-4718: Apple
GeoServices
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Aplikácia môže byť schopná čítať citlivé informácie o polohe
Popis: V triede PlaceData dochádzalo k problému s povoleniami. Tento problém bol vyriešený vylepšením overovania povolení.
CVE-2016-4719: Razvan Deaconescu, Mihai Chiroiu (Polytechnická univerzita v Bukurešti), Luke Deshotels, William Enck (Štátna univerzita v Severnej Karolíne), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (Technická univerzita Darmstadt)
IDS – pripojenie
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Útočník s oprávneniami v sieti môže byť schopný spôsobiť odmietnutie služby
Popis: Pri spracovávaní prenosu hovoru dochádzalo k problému s falšovaním. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2016-4722: Martin Vigo (@martin_vigo) zo salesforce.com
IOAcceleratorFamily
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s dereferenciou nulového smerníka, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2016-4724: Cererdlong, Eakerqiu z tímu OverSky
IOAcceleratorFamily
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2016-4725: Rodger Combs zo spoločnosti Plex, Inc.
IOAcceleratorFamily
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2016-4726: Anonymný výskumník
Jadro
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Lokálna aplikácia môže byť schopná získať prístup k obmedzeným súborom
Popis: Dochádzalo k problému s analýzou pri spracovávaní ciest adresárov, ktorý bol vyriešený vylepšením overovania ciest.
CVE-2016-4771: Balazs Bucsay, riaditeľ výskumu v spoločnosti MRG Effitas
Jadro
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby
Popis: Dochádzalo k problému so spracovaním zámku, ktorý bol vyriešený vylepšením spracovania zámku.
CVE-2016-4772: Marc Heuse zo spoločnosti mh-sec
Jadro
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Aplikácia môže byť schopná určiť rozloženie pamäte jadra
Popis: Dochádzalo k viacerým problémom s čítaním dát v zakázaných oblastiach, ktoré viedli k odhaleniu pamäte jadra. Tieto problémy boli vyriešené vylepšením overovania vstupu.
CVE-2016-4773: Brandon Azad
CVE-2016-4774: Brandon Azad
CVE-2016-4776: Brandon Azad
Jadro
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s dereferenciou nedôveryhodného ukazovateľa, ktorý bol vyriešený odstránením príslušného kódu.
CVE-2016-4777: Lufeng Li z tímu Qihoo 360 Vulcan Team
Jadro
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2016-4778: CESG
Klávesnice
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Návrhy automatických opráv pri písaní na klávesnici môžu zobrazovať citlivé informácie
Popis: Klávesnica systému iOS neúmyselne ukladala do vyrovnávacej pamäte citlivé informácie. Tento problém bol vyriešený vylepšením heuristiky.
CVE-2016-4746: Antoine M z Francúzska
libxml2
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: V knižnici libxml2 dochádzalo k viacerým problémom, z ktorých tie najvážnejšie mohli viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2016-4658: Nick Wellnhofer
CVE-2016-5131: Nick Wellnhofer
libxslt
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2016-4738: Nick Wellnhofer
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Útočník s oprávneniami v sieti môže byť schopný zaznamenávať prihlasovacie údaje aplikácie Mail
Popis: Pri spracovávaní nedôveryhodných certifikátov dochádzalo k problému. Tento problém bol vyriešený ukončením nedôveryhodných pripojení.
CVE-2016-4747: Dave Aitel
Správy
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Správy sa môžu zobrazovať na zariadení, ktoré nie je prihlásené do aplikácie Správy
Popis: Pri používaní funkcie Handoff pre aplikáciu Správy dochádzalo k problému. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2016-4740: Step Wallace
UIKit tlače
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Pri používaní náhľadu funkcie AirPrint sa môže nezašifrovaný dokument zapísať do dočasného súboru
Popis: V náhľade funkcie AirPrint dochádzalo k problému. Tento problém bol vyriešený vylepšením čistenia prostredia.
CVE-2016-4749: Scott Alexander (@gooshy)
Kamera S2
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2016-4750: Jack Tang (@jacktang310) a Moony Li zo spoločnosti Trend Micro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Čítačka Safari
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Povolenie funkcie čítačky Safari na webovej stránke so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Dochádzalo k viacerým problémom s overovaním, ktoré boli vyriešené vylepšením čistenia vstupu.
CVE-2016-4618: Erling Ellingsen
Profily izolovaného priestoru
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná určiť, komu používateľ posiela textové správy
Popis: V adresároch konceptov SMS správ dochádzalo k problému s riadením prístupu. Tento problém bol vyriešený tak, že aplikáciám bolo zabránené používať volania stat pre príslušné adresáre.
CVE-2016-4620: Razvan Deaconescu, Mihai Chiroiu (Polytechnická univerzita v Bukurešti), Luke Deshotels, William Enck (Štátna univerzita v Severnej Karolíne), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (Technická univerzita Darmstadt)
Zabezpečenie
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: V podpísaných obrazoch diskov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania veľkosti.
CVE-2016-4753: Mark Mentovai zo spoločnosti Google Inc.
Springboard
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Na snímkach aplikácií zobrazených v prepínači úloh sa môžu zobrazovať citlivé dáta
Popis: V Springboarde dochádzalo k problému, v dôsledku ktorého sa v prepínači úloh zobrazovali snímky z vyrovnávacej pamäte obsahujúce citlivé dáta. Tento problém bol vyriešený zobrazovaním aktualizovaných snímok.
CVE-2016-7759: Fatma Yılmaz zo spoločnosti Ptt Genel Müdürlüğü z Ankary
WebKit
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Pri spracovávaní prototypov chýb dochádzalo k problému s analýzou. Tento problém bol vyriešený vylepšením overovania.
CVE-2016-4728: Daniel Divricean
WebKit
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Následok: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku citlivých dát
Popis: Pri spracovávaní premennej umiestnenia dochádzalo k problému s povoleniami. Tento problém bol vyriešený pridaním ďalších kontrol vlastníctva.
CVE-2016-4758: Masato Kinugawa zo spoločnosti Cure53
WebKit
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2016-4611: Apple
CVE-2016-4729: Apple
CVE-2016-4730: Apple
CVE-2016-4731: Apple
CVE-2016-4734: Natalie Silvanovich z tímu Google Project Zero
CVE-2016-4735: André Bargull
CVE-2016-4737: Apple
CVE-2016-4759: Tongbo Luo zo spoločnosti Palo Alto Networks
CVE-2016-4762: Zheng Huang zo spoločnosti Baidu Security Lab
CVE-2016-4766: Apple
CVE-2016-4767: Apple
CVE-2016-4768: Hnutie Anonymous v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
WebKit
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Webová stránka so škodlivým kódom môže byť schopná získať prístup k službám, ktoré nepoužívajú protokol HTTP
Popis: Podpora protokolu HTTP/0.9 v Safari umožňovala viacprotokolové zneužitie služieb nepoužívajúcich protokol HTTP pomocou zmeny priradení DNS. Tento problém bol vyriešený obmedzením odpovedí protokolu HTTP/0.9 na predvolené porty a zrušením načítania prostriedkov, ak bol dokument načítaný pomocou inej verzie protokolu HTTP.
CVE-2016-4760: Jordan Milne
WebKit
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením správy stavu.
CVE-2016-4733: Natalie Silvanovich z tímu Google Project Zero
CVE-2016-4765: Apple
WebKit
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Útočník s oprávneniami v sieti môže byť schopný zaznamenávať a upravovať sieťové prenosy do aplikácií používajúcich zobrazenie WKWebView s protokolom HTTPS
Popis: Pri spracovávaní zobrazenia WKWebView dochádzalo k problému s overením certifikátu. Tento problém bol vyriešený vylepšením overovania.
CVE-2016-4763: Anonymný výskumník
WebKit
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením správy stavu.
CVE-2016-4764: Apple
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.