Obsah zabezpečenia v systéme iOS 9
V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 9.
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.
Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.
Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.
Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.
iOS 9
Apple Pay
K dispozícii pre: iPhone 6 a iPhone 6 Plus
Dopad: Niektoré karty môžu pri platení umožniť terminálu získať obmedzené množstvo informácií o nedávnych transakciách
Popis: Pri určitých konfiguráciách bola povolená funkcia protokolu transakcií. Tento problém bol vyriešený odstránením funkcie protokolu transakcií. Tento problém neovplyvňuje zariadenia iPad.
CVE-ID
CVE-2015-5916
AppleKeyStore
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Lokálny útočník môže byť schopný resetovať neúspešné pokusy o zadanie hesla pomocou iOS zálohy
Popis: Existoval problém, ktorý umožňoval resetovať neúspešné pokusy o zadanie hesla pomocou zálohy iOS zariadenia. Tento problém bol vyriešený vylepšením logiky spracovania neúspešného zadania hesla.
CVE-ID
CVE-2015-5850: anonymný výskumník
Ukladací priestor aplikácií
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Kliknutie na odkaz ITMS so škodlivým kódom môže viesť k odmietnutiu služby v aplikácii s podnikovým podpisom
Popis: Pri inštalácii prostredníctvom odkazov ITMS dochádzalo k problému. Tento problém bol vyriešený dodatočným overením inštalácie.
CVE-ID
CVE-2015-5856: Zhaofeng Chen, Hui Xue a Tao (Lenx) Wei zo spoločnosti FireEye, Inc.
Zvuk
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Prehrávanie zvukového súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie
Popis: Pri spracovávaní zvukových súborov dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2015-5862: YoungJin Yoon zo spoločnosti Information Security Lab. (Poradenstvo: Prof. Taekyoung Kwon), Univerzita Yonsei, Soul, Kórea
Pravidlá dôveryhodnosti certifikátov
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aktualizácia pravidiel dôveryhodnosti certifikátov
Popis: Pravidlá dôveryhodnosti certifikátov sa aktualizovali. Úplný zoznam certifikátov nájdete v článku Zoznam dostupných dôveryhodných koreňových certifikátov v systéme.
CFNetwork
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Adresa URL so škodlivým kódom môže byť schopná obchádzať zabezpečenie HTTP Strict Transport Security (HSTS) a spôsobiť únik citlivých dát
Popis: V spracovávaní zabezpečenia HSTS existovalo nedostatočne zabezpečené miesto súvisiace s analýzou adries URL. Tento problém bol vyriešený vylepšením analýzy adries URL.
CVE-ID
CVE-2015-5858: Xiaofeng Zheng z tímu Blue Lotus Team, Univerzita Tsinghua
CFNetwork
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Webová stránka so škodlivým kódom môže byť schopná sledovať používateľov v režime anonymného prezerania v Safari
Popis: Pri spracovávaní stavu zabezpečenia HSTS v režime anonymného prezerania v Safari dochádzalo k problému. Tento problém bol vyriešený vylepšením spracovávania stavu.
CVE-ID
CVE-2015-5860: Sam Greenhalgh zo spoločnosti RadicalResearch Ltd
CFNetwork
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Osoba s fyzickým prístupom k iOS zariadeniu môže čítať dáta aplikácií Apple uložené vo vyrovnávacej pamäti
Popis: Dáta vo vyrovnávacej pamäti boli šifrované pomocou kľúča, ktorý bol chránený len hardvérovým identifikátorom UID. Tento problém bol vyriešený šifrovaním dát vo vyrovnávacej pamäti pomocou kľúča, ktorý je chránený hardvérovým identifikátorom UID a heslom používateľa.
CVE-ID
CVE-2015-5898: Andreas Kurtz zo spoločnosti NESO Security Labs
Súbory cookie CFNetwork
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Útočník s oprávneniami v sieti môže sledovať aktivitu používateľa
Popis: Pri spracovávaní domén najvyššej úrovne dochádzalo k problému s odosielaním súborov cookie medzi rôznymi doménami. Tento problém bol vyriešený vylepšením obmedzení pri vytváraní súborov cookie.
CVE-ID
CVE-2015-5885: Xiaofeng Zheng z tímu Blue Lotus Team, Univerzita Tsinghua
Súbory cookie CFNetwork
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Útočník môže byť schopný vytvoriť pre webovú stránku súbory cookie bez vedomia používateľa
Popis: Mechanizmus WebKit akceptoval nastavenie viacerých súborov cookie v rozhraní document.cookie API. Tento problém bol vyriešený vylepšením analýzy.
CVE-ID
CVE-2015-3801: Erling Ellingsen zo spoločnosti Facebook
CFNetwork FTPProtocol
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Škodlivé servery FTP môžu byť schopné spôsobiť, že klient vykoná prieskum na iných hostiteľoch
Popis: Pri spracovávaní paketov FTP pomocou príkazu PASV dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania.
CVE-ID
CVE-2015-5912: Amit Klein
CFNetwork HTTPProtocol
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Útočník s oprávneniami v sieti môže byť schopný zaznamenávať sieťové prenosy
Popis: Pri spracovávaní položiek zoznamu predbežného načítavania HSTS v režime anonymného prezerania v Safari dochádzalo k problému. Tento problém bol vyriešený vylepšením spracovávania stavu.
CVE-ID
CVE-2015-5859: Rosario Giustolisi z Luxemburskej univerzity
Servery proxy CFNetwork
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Pripojenie k škodlivému webovému serveru proxy môže spôsobiť nastavenie škodlivých súborov cookie pre webovú stránku
Popis: Pri spracovávaní odpovedí na pripojenie k serveru proxy dochádzalo k problému. Tento problém bol vyriešený odstránením hlavičky set-cookie pri analýze odpovede na pripojenie.
CVE-ID
CVE-2015-5841: Xiaofeng Zheng z tímu Blue Lotus Team, Univerzita Tsinghua
CFNetwork SSL
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Útočník s oprávneniami v sieti môže zachytávať dáta prenášané cez pripojenia SSL/TLS
Popis: V súčasti NSURL dochádzalo k problému s overením certifikátu pri jeho zmene. Tento problém bol vyriešený vylepšením overovania certifikátov.
CVE-ID
CVE-2015-5824: Timothy J. Wood zo spoločnosti The Omni Group
CFNetwork SSL
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Útočník môže byť schopný dešifrovať dáta chránené šifrovaním SSL
Popis: Existujú známe útoky na dôvernosť algoritmu RC4. Útočník môže spôsobiť použitie algoritmu RC4, aj keď server uprednostňuje lepšie šifrovanie, blokovaním pripojení so zabezpečením TLS 1.0 alebo novším, až kým súčasť CFNetwork neskúsi použiť zabezpečenie SSL 3.0, ktoré povoľuje len algoritmus RC4. Tento problém bol vyriešený odstránením prepínania na zabezpečenie SSL 3.0.
CoreAnimation
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom byť schopná spôsobiť únik citlivých používateľských informácií
Popis: Aplikácie mohli získať prístup k medzipamäti snímok obrazovky, keď sa nachádzali na pozadí. Tento problém bol vyriešený vylepšením riadenia prístupu v súčastiach IOSurface.
CVE-ID
CVE-2015-5880: Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li zo Školy informačných systémov na Singapurskej univerzite manažmentu, Feng Bao a Jianying Zhou z oddelenia Cryptography and Security Department inštitútu Institute for Infocomm Research
CoreCrypto
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Útočník môže byť schopný určiť súkromný kľúč
Popis: Sledovaním mnohých pokusov o prihlásenie alebo dešifrovanie môže byť útočník schopný určiť súkromný kľúč RSA. Tento problém bol vyriešený používaním vylepšených algoritmov šifrovania.
CoreText
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Pri spracovávaní súborov písiem dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-ID
CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team
Mechanizmus detektorov dát
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Spracovanie textového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Pri spracovávaní textových súborov dochádzalo k problémom s poškodením pamäte. Tieto problémy boli vyriešené vylepšením kontroly rozsahu.
CVE-ID
CVE-2015-5829: M1x7e1 z tímu Safeye Team (www.safeye.org)
Nástroje pre vývojárov
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: V nástroji dyld dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2015-5876: beist zo spoločnosti Grayhash
Obrazy disku
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Lokálny používateľ môže byť schopný spustiť ľubovoľný kód so systémovými oprávneniami
Popis: V súčasti DiskImages dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2015-5847: Filippo Bigarella, Luca Todesco
dyld
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia môže byť schopná obísť podpísanie kódu
Popis: Pri overovaní podpisu kódu spustiteľných súborov dochádzalo k problému. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team
Game Center
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Škodlivá aplikácia pre službu Game Center môže byť schopná získať prístup k e-mailovej adrese hráča
Popis: Pri spracovávaní e-mailovej adresy hráča službou Game Center dochádzalo k problému. Tento problém bol vyriešený vylepšením obmedzení prístupu.
CVE-ID
CVE-2015-5855: Nasser Alnasser
ICU
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Viacero nedostatočne zabezpečených miest v knižnici ICU
Popis: Vo verziách knižnice ICU starších ako 53.1.0 existovalo viacero nedostatočne zabezpečených miest. Tieto problémy boli vyriešené aktualizovaním knižnice ICU na verziu 55.1.
CVE-ID
CVE-2014-8146: Marc Deslauriers
CVE-2014-8147: Marc Deslauriers
CVE-2015-5922: Mark Brand z tímu Google Project Zero
IOAcceleratorFamily
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra
Popis: Dochádzalo k problému, ktorý viedol k odhaleniu obsahu pamäte jadra. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2015-5834: Cererdlong z tímu Alibaba Mobile Security Team
IOAcceleratorFamily
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Lokálny používateľ môže byť schopný spustiť ľubovoľný kód so systémovými oprávneniami
Popis: V súčasti IOAcceleratorFamily dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2015-5848: Filippo Bigarella
IOHIDFamily
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: V súčasti IOHIDFamily dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2015-5867: moony li zo spoločnosti Trend Micro
IOKit
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: V jadre dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2015-5844: Filippo Bigarella
CVE-2015-5845: Filippo Bigarella
CVE-2015-5846: Filippo Bigarella
IOMobileFrameBuffer
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Lokálny používateľ môže byť schopný spustiť ľubovoľný kód so systémovými oprávneniami
Popis: V súčasti IOMobileFrameBuffer dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2015-5843: Filippo Bigarella
IOStorageFamily
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Lokálny útočník môže byť schopný čítať pamäť jadra
Popis: V jadre dochádzalo k problému s inicializáciou pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2015-5863: Ilja van Sprundel zo spoločnosti IOActive
iTunes Store
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Prihlasovacie údaje účtu Apple ID môžu zostať v kľúčenke aj po odhlásení
Popis: Pri vymazávaní kľúčenky dochádzalo k problému. Tento problém bol vyriešený vylepšením čistenia účtov.
CVE-ID
CVE-2015-5832: Kasif Dekel zo spoločnosti Check Point Software Technologies
JavaScriptCore
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: V mechanizme WebKit dochádzalo k problémom s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.
CVE-ID
CVE-2015-5791: Apple
CVE-2015-5793: Apple
CVE-2015-5814: Apple
CVE-2015-5816: Apple
CVE-2015-5822: Mark S. Miller zo spoločnosti Google
CVE-2015-5823: Apple
Jadro
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Lokálny používateľ môže byť schopný spustiť ľubovoľný kód s oprávneniami jadra
Popis: V jadre dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2015-5868: Cererdlong z tímu Alibaba Mobile Security Team
CVE-2015-5896: Maxime Villard z m00nbsd
CVE-2015-5903: CESG
Dátum aktualizovania záznamu: 21. decembra 2016
Jadro
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Lokálny útočník môže ovládať hodnotu súborov cookie zásobníka
Popis: V mechanizme generovania súborov cookie zásobníka používateľského priestoru existovalo viacero nedostatočne zabezpečených miest. Tento problém bol vyriešený vylepšením generovania súborov cookie zásobníka.
CVE-ID
CVE-2013-3951: Stefan Esser
Jadro
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Lokálny proces môže zmeniť iné procesy bez kontrol oprávnenia
Popis: Existoval problém, v dôsledku ktorého mohli koreňové procesy používajúce rozhranie processor_set_tasks API načítať porty úloh iných procesov. Tento problém bol vyriešený vykonávaním ďalších kontrol oprávnení.
CVE-ID
CVE-2015-5882: Pedro Vilaça na základe pôvodného výskumu, ktorý uskutočnili Ming-chieh Pan a Sung-ting Tsai; Jonathan Levin
Jadro
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Útočník môže byť schopný spustiť útoky zamerané na odmietnutie služby na zacielených pripojeniach TCP bez toho, aby poznal správne číslo sekvencie
Popis: Pri overovaní hlavičiek paketov TCP súčasťou xnu dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania hlavičiek paketov TCP.
CVE-ID
CVE-2015-5879: Jonathan Looney
Jadro
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Útočník v lokálnom segmente siete LAN môže vypnúť smerovanie protokolu IPv6
Popis: Pri spracovávaní oznámení smerovača IPv6 dochádzalo k problému s nedostatočným overovaním, ktorý útočníkovi umožňoval nastaviť limit skokov na ľubovoľnú hodnotu. Tento problém bol vyriešený vynucovaním minimálneho limitu skokov.
CVE-ID
CVE-2015-5869: Dennis Spindel Ljungmark
Jadro
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Lokálny používateľ môže určiť rozloženie pamäte jadra
Popis: V súčasti XNU dochádzalo k problému, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením inicializácie štruktúr pamäte jadra.
CVE-ID
CVE-2015-5842: beist zo spoločnosti Grayhash
Jadro
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Lokálny používateľ môže byť schopný spôsobiť odmietnutie služby v systéme
Popis: Pri pripájaní jednotiek HFS dochádzalo k problému. Tento problém bol vyriešený pridaním ďalších kontrol platnosti.
CVE-ID
CVE-2015-5748: Maxime Villard z m00nbsd
libc
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného kódu
Popis: Vo funkcii fflush dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2014-8611: Adrian Chadd a Alfred Perlstein zo spoločnosti Norse Corporation
libpthread
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Lokálny používateľ môže byť schopný spustiť ľubovoľný kód s oprávneniami jadra
Popis: V jadre dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2015-5899: Lufeng Li z tímu Qihoo 360 Vulcan Team
Mail
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Útočník môže odoslať e-mail, ktorý vyzerá, ako keby pochádzal od kontaktu v adresári príjemcu
Popis: Pri spracovávaní adresy odosielateľa dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania.
CVE-ID
CVE-2015-5857: Emre Saglam zo salesforce.com
Pripojenie typu multipeer
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Lokálny útočník môže byť schopný sledovať nechránené dáta typu multipeer
Popis: Pri spracovávaní inicializátora jednoduchej obsluhy dochádzalo k problému, v dôsledku ktorého bolo možné aktívne znížiť úroveň šifrovania na nešifrovanú reláciu. Tento problém bol vyriešený zmenou inicializátora jednoduchej obsluhy tak, aby sa vyžadovalo šifrovanie.
CVE-ID
CVE-2015-5851: Alban Diquet (@nabla_c0d3) zo spoločnosti Data Theorem
NetworkExtension
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra
Popis: V jadre dochádzalo k problému s neinicializovanou pamäťou, ktorý viedol k odhaleniu obsahu pamäte jadra. Tento problém bol vyriešený inicializáciou pamäte.
CVE-ID
CVE-2015-5831: Maxime Villard z m00nbsd
OpenSSL
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Viacero nedostatočne zabezpečených miest v súprave OpenSSL
Popis: Vo verziách súpravy OpenSSL starších ako 0.9.8zg existovalo viacero nedostatočne zabezpečených miest. Tieto problémy boli vyriešené aktualizáciou súpravy OpenSSL na verziu 0.9.8zg.
CVE-ID
CVE-2015-0286
CVE-2015-0287
PluginKit
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Podniková aplikácia so škodlivým kódom môže inštalovať rozšírenia skôr, než ju systém označí ako dôveryhodnú
Popis: Pri overovaní rozšírení počas inštalácie dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania aplikácií.
CVE-ID
CVE-2015-5837: Zhaofeng Chen, Hui Xue a Tao (Lenx) Wei zo spoločnosti FireEye, Inc.
removefile
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Spracovanie dát so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie
Popis: V rutinách delenia checkint dochádzalo k chybe spôsobujúcej pretečenie. Tento problém bol vyriešený vylepšením rutín delenia.
CVE-ID
CVE-2015-5840: anonymný výskumník
Safari
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Lokálny používateľ môže byť schopný čítať záložky Safari na zamknutom iOS zariadení bez hesla
Popis: Dáta záložiek Safari boli šifrované pomocou kľúča, ktorý bol chránený len hardvérovým identifikátorom UID. Tento problém bol vyriešený šifrovaním dát záložiek Safari pomocou kľúča, ktorý je chránený hardvérovým identifikátorom UID a heslom používateľa.
CVE-ID
CVE-2015-7118: Jonathan Zdziarski
Dátum aktualizovania záznamu: 21. decembra 2016
Safari
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k predstieraniu iného zdroja v používateľskom rozhraní (tzv. spoofing)
Popis: Existoval problém, ktorý mohol umožňovať, aby sa na webovej stránke zobrazil obsah s adresou URL inej webovej stránky. Tento problém bol vyriešený vylepšením spracovávania URL adries.
CVE-ID
CVE-2015-5904: Erling Ellingsen zo spoločnosti Facebook, Łukasz Pilorz
Safari
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k predstieraniu iného zdroja v používateľskom rozhraní (tzv. spoofing)
Popis: Prechod na webovú stránku so škodlivým kódom, ktorá obsahuje nesprávne formátovaný prvok na otvorenie okna, môže umožňovať zobrazenie ľubovoľných adries URL. Tento problém bol vyriešený vylepšením spracovávania prvkov na otváranie okna.
CVE-ID
CVE-2015-5905: Keita Haga z keitahaga.com
Safari
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Webové stránky so škodlivým kódom používajúce klientske certifikáty môžu sledovať používateľov
Popis: V klientskom certifikáte Safari používanom pri autentifikácii SSL dochádzalo k problému. Tento problém bol vyriešený vylepšením priraďovania platných klientskych certifikátov.
CVE-ID
CVE-2015-1129: Stefan Kraus zo spoločnosti fluid Operations AG, Sylvain Munaut zo spoločnosti Whatever s.a.
Safari
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k predstieraniu iného zdroja v používateľskom rozhraní (tzv. spoofing)
Popis: Viaceré nekonzistencie používateľského rozhrania môžu webovej stránke so škodlivým kódom umožňovať zobrazenie ľubovoľnej adresy URL. Tieto problémy boli vyriešené vylepšením logiky zobrazovania adries URL.
CVE-ID
CVE-2015-5764: Antonio Sanso (@asanso) zo spoločnosti Adobe
CVE-2015-5765: Ron Masas
CVE-2015-5767: Krystian Kloskowski prostredníctvom spoločnosti Secunia, Masato Kinugawa
Bezpečné prezeranie v Safari
iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Pri prechode na IP adresu známej webovej stránky so škodlivým kódom sa nemusí zobraziť upozornenie zabezpečenia
Popis: Funkcia bezpečného prezerania v prehliadači Safari neupozorňovala používateľov pri návšteve známych webových stránok so škodlivým kódom podľa ich IP adresy. Tento problém bol vyriešený vylepšením zisťovania stránok so škodlivým kódom.
Rahul M zo spoločnosti TagsDock
Zabezpečenie
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná zachytávať komunikáciu medzi aplikáciami
Popis: Existoval problém, ktorý aplikácii so škodlivým kódom umožňoval zaznamenávať komunikáciu obsahujúcu schému adresy URL medzi aplikáciami. Tento problém bol zmiernený zobrazovaním dialógového okna pri prvom použití schémy adresy URL.
CVE-ID
CVE-2015-5835: Teun van Run zo spoločnosti FiftyTwoDegreesNorth B.V., XiaoFeng Wang z Univerzity v Indiane, Luyi Xing z Univerzity v Indiane, Tongxin Li z Pekinskej univerzity, Tongxin Li z Pekinskej univerzity, Xiaolong Bai z Univerzity v Tsinghua
Siri
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Osoba s fyzickým prístupom k zariadeniu so systémom iOS môže byť schopná používať Siri na čítanie hlásení obsahu, ktorý je nastavený tak, aby sa nezobrazoval na zamknutej ploche
Popis: Pri požiadavke na Siri server nekontroloval obmedzenia na strane klienta. Tento problém bol vyriešený vylepšením kontroly obmedzení.
CVE-ID
CVE-2015-5892: Robert S Mozayeni, Joshua Donvito
SpringBoard
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Osoba s fyzickým prístupom k iOS zariadeniu môže odpovedať na zvukovú správu zo zamknutej obrazovky, keď sú vypnuté náhľady správ na zamknutej obrazovke
Popis: Problém so zamknutou obrazovkou umožňoval používateľom odpovedať na zvukové správy, keď boli vypnuté náhľady správ. Tento problém bol vyriešený vylepšením správy stavu.
CVE-ID
CVE-2015-5861: Daniel Miedema zo spoločnosti Meridian Apps
SpringBoard
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná sfalšovať dialógové okná inej aplikácie
Popis: Vo volaniach rozhrania API s oprávneniami dochádzalo k problému s prístupom. Tento problém bol vyriešený používaním ďalších obmedzení.
CVE-ID
CVE-2015-5838: Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei, John C.S. Lui
SQLite
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Viacero nedostatočne zabezpečených miest v knižnici SQLite 3.8.5
Popis: V knižnici SQLite 3.8.5 existovalo viacero nedostatočne zabezpečených miest. Tieto problémy boli vyriešené aktualizovaním knižnice SQLite na verziu 3.8.10.2.
CVE-ID
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
Tidy
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: V súčasti Tidy dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2015-5522: Fernando Muñoz z NULLGroup.com
CVE-2015-5523: Fernando Muñoz z NULLGroup.com
WebKit
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Odkazy objektov môžu unikať medzi izolovanými miestami vo vlastných udalostiach, udalostiach správ a udalostiach stavu vyskakovacích prvkov
Popis: Problém s únikom objektov narušil hranicu izolácie medzi rôznymi miestami. Tento problém bol vyriešený vylepšením izolácie medzi rôznymi miestami.
CVE-ID
CVE-2015-5827: Gildas
WebKit
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: V mechanizme WebKit dochádzalo k problémom s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.
CVE-ID
CVE-2015-5789: Apple
CVE-2015-5790: Apple
CVE-2015-5792: Apple
CVE-2015-5794: Apple
CVE-2015-5795: Apple
CVE-2015-5796: Apple
CVE-2015-5797: Apple
CVE-2015-5799: Apple
CVE-2015-5800: Apple
CVE-2015-5801: Apple
CVE-2015-5802: Apple
CVE-2015-5803: Apple
CVE-2015-5804: Apple
CVE-2015-5805
CVE-2015-5806: Apple
CVE-2015-5807: Apple
CVE-2015-5809: Apple
CVE-2015-5810: Apple
CVE-2015-5811: Apple
CVE-2015-5812: Apple
CVE-2015-5813: Apple
CVE-2015-5817: Apple
CVE-2015-5818: Apple
CVE-2015-5819: Apple
CVE-2015-5821: Apple
WebKit
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k vytáčaniu bez vedomia používateľa
Popis: Pri spracovávaní adries URL s predponou tel://, facetime:// a facetime-audio:// dochádzalo k problému. Tento problém bol vyriešený vylepšením spracovávania URL adries.
CVE-ID
CVE-2015-5820: Andrei Neculaesei, Guillaume Ross
WebKit
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Klávesnica QuickType môže zistiť posledný znak hesla vo vyplnenom webovom formulári
Popis: Pri spracovávaní kontextu poľa na zadanie hesla mechanizmom WebKit dochádzalo k problému. Tento problém bol vyriešený vylepšením spracovávania kontextu polí na zadávanie textu.
CVE-ID
CVE-2015-5906: Louis Romero zo spoločnosti Google Inc.
WebKit
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Útočník s oprávneniami v sieti môže byť schopný presmerovať na doménu so škodlivým kódom
Popis: Pri spracovávaní vyrovnávacích pamätí prostriedkov na stránkach s neplatnými certifikátmi dochádzalo k problému. Tento problém bol vyriešený odmietaním vyrovnávacej pamäte aplikácií domén s neplatnými certifikátmi.
CVE-ID
CVE-2015-5907: Yaoqi Jia z Národnej univerzity v Singapure (NUS)
WebKit
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Webová stránka so škodlivým kódom môže spôsobiť neoprávnené získanie dát s rôznym pôvodom
Popis: Prehliadač Safari umožňoval načítanie hárkov štýlov z rôznych miest s typmi MIME bez šablón CSS, čo bolo možné využiť na odstránenie dát z iného miesta. Tento problém bol vyriešený obmedzením typov MIME pre hárky štýlov z rôznych miest.
CVE-ID
CVE-2015-5826: filedescriptor, Chris Evans
WebKit
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Rozhranie API výkonu môže webovej stránke so škodlivým kódom umožniť únik histórie prezerania, sieťovej aktivity a pohybov myši
Popis: Rozhranie API výkonu mechanizmu WebKit mohlo webovej stránke so škodlivým kódom umožniť únik histórie prezerania, sieťovej aktivity a pohybov myši prostredníctvom merania času. Tento problém bol vyriešený obmedzením zisťovania času.
CVE-ID
CVE-2015-5825: Yossi Oren a ďalší pracovníci laboratória Network Security Lab na Kolumbijskej univerzite
WebKit
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Útočník s oprávneniami v sieti môže byť schopný spôsobiť únik citlivých používateľských informácií
Popis: V hlavičkách Content-Disposition obsahujúcich prílohu typu dochádzalo k problému. Tento problém bol vyriešený vypnutím niektorých funkcií pre stránky príloh typu.
CVE-ID
CVE-2015-5921: Mickey Shkatov z tímu the Intel(r) Advanced Threat Research Team, Daoyuan Wu zo Singapurskej univerzity manažmentu, Rocky K. C. Chang z Hongkonskej polytechnickej univerzity, Łukasz Pilorz, superhei z www.knownsec.com
Prvok canvas mechanizmu WebKit
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku dát obrázkov z inej webovej stránky
Popis: V obrázkoch prvkov canvas v mechanizme WebKit dochádzalo k problému so zámenou pôvodu. Tento problém bol vyriešený vylepšením sledovania pôvodov zabezpečenia.
CVE-ID
CVE-2015-5788: Apple
Načítavanie stránok mechanizmom WebKit
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Prvky WebSocket môžu obchádzať uplatňovanie politiky zmiešaného obsahu
Popis: Problém s nedostatočným uplatňovaním politiky umožňoval prvkom WebSocket načítať zmiešaný obsah. Tento problém bol vyriešený rozšírením uplatňovania politiky zmiešaného obsahu na prvky WebSocket.
Kevin G. Jones zo spoločnosti Higher Logic
Služba FaceTime nie je k dispozícii vo všetkých krajinách alebo oblastiach.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.