Obsah zabezpečenia v systéme iOS 8.1.3

V tomto dokumente sa opisuje obsah zabezpečenia v systéme iOS 8.1.3

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

iOS 8.1.3

  • AppleFileConduit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Príkaz komponentu afc so škodlivým kódom môže umožniť prístup k chráneným častiam súborového systému

    Popis: V mechanizme symbolických odkazov komponentu afc sa vyskytovalo slabé miesto. Tento problém bol vyriešený pridaním ďalších kontrol ciest.

    CVE-ID

    CVE-2014-4480: TaiG Jailbreak Team

  • CoreGraphics

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Otvorenie súboru PDF so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní súborov PDF dochádzalo k pretečeniu rozsahu celých čísel. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4481: Felipe Andres Manzano z tímu Binamuse VRT prostredníctvom programu iSIGHT Partners GVP Program

  • dyld

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálny používateľ môže byť schopný spustiť nepodpísaný kód

    Popis: Pri spracovávaní spustiteľných súborov Mach-O s prekrývajúcimi sa segmentmi dochádzalo k problému so správou stavu. Tento problém bol vyriešený vylepšením overovania veľkostí segmentov.

    CVE-ID

    CVE-2014-4455: TaiG Jailbreak Team

  • FontParser

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Otvorenie súboru PDF so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní súborov písiem dochádzalo k pretečeniu medzipamäte. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4483: Apple

  • FontParser

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Spracovanie súboru .dfont so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní súborov .dfont dochádzalo k problému s narušením pamäte. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4484: Gaurav Baruah v spolupráci s projektom Zero Day Initiative spoločnosti HP

  • Foundation

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Zobrazenie súboru XML so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu

    Popis: V analyzátore XML dochádzalo k pretečeniu medzipamäte. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4485: Apple

  • IOAcceleratorFamily

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Apka so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: Pri spracovávaní zoznamov prostriedkov v komponente IOAcceleratorFamily dochádzalo k dereferencovaniu nulového smerníka. Tento problém bol vyriešený odstránením nepotrebného kódu.

    CVE-ID

    CVE-2014-4486: Ian Beer z tímu Google Project Zero

  • IOHIDFamily

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Apka so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: V komponente IOHIDFamily dochádzalo k pretečeniu medzipamäte. Tento problém bol vyriešený vylepšením overovania veľkosti.

    CVE-ID

    CVE-2014-4487: TaiG Jailbreak Team

  • IOHIDFamily

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Apka so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: Pri spracovávaní metadát frontu prostriedkov komponentom IOHIDFamily dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania metadát.

    CVE-ID

    CVE-2014-4488: Apple

  • IOHIDFamily

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Apka so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: Pri spracovávaní frontov udalostí v komponente IOHIDFamily dochádzalo k dereferencovaniu nulového smerníka. Tento problém bol vyriešený vylepšením overovania.

    CVE-ID

    CVE-2014-4489: @beist

  • iTunes Store

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Webová stránka môže byť schopná obísť obmedzenia sandboxu s použitím iTunes Storu

    Popis: Pri spracovávaní URL adries presmerovaných zo Safari do iTunes Storu dochádzalo k problému, ktorý webovej stránke so škodlivým kódom mohol umožniť, aby obišla obmedzenia sandboxu Safari. Tento problém bol vyriešený vylepšením filtrovania URL adries otvorených v iTunes Store.

    CVE-ID

    CVE-2014-8840: lokihardt@ASRT v spolupráci s projektom Zero Day Initiative spoločnosti HP

  • Kerberos

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Apka so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: Knižnica libgssapi komponentu Kerberos vracala token kontextu s neukončeným smerníkom. Tento problém bol vyriešený vylepšením správy stavu.

    CVE-ID

    CVE-2014-5352

  • Kernel

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Apky pre systém iOS so škodlivým kódom alebo s prelomeným zabezpečením môžu byť schopné určiť adresy v jadre

    Popis: Pri spracovávaní rozhraní API súvisiacich s rozšíreniami jadra dochádzalo k problému s únikom informácií. Odpovede obsahujúce kľúč OSBundleMachOHeaders mohli obsahovať adresy v jadre, čo môže pomôcť pri obchádzaní ochrany v podobe náhodného rozloženia priestoru adries. Tento problém bol vyriešený odsunutím adries pred ich vrátením.

    CVE-ID

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Kernel

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Apka so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: V podsystéme zdieľanej pamäte jadra dochádzalo k problému, ktorý útočníkovi umožňoval zapisovať do pamäte určenej len na čítanie. Tento problém bol vyriešený prísnejšou kontrolou povolení pre zdieľanú pamäť.

    CVE-ID

    CVE-2014-4495: Ian Beer z tímu Google Project Zero

  • Kernel

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Apky pre systém iOS so škodlivým kódom alebo s prelomeným zabezpečením môžu byť schopné určiť adresy v jadre

    Popis: V rozhraní jadra mach_port_kobject dochádzalo k úniku adries v jadre a hodnoty permutácie haldy, čo môže pomôcť pri obchádzaní ochrany v podobe náhodného rozloženia priestoru adries. Tento problém bol vyriešený zakázaním rozhrania mach_port_kobject v produkčných konfiguráciách.

    CVE-ID

    CVE-2014-4496: TaiG Jailbreak Team

  • libnetcore

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Apka so škodlivým kódom môže prelomiť zabezpečenie démona networkd

    Popis: Pri spracovávaní komunikácie medzi procesmi v démonovi networkd dochádzalo k viacerým druhom problémov so zámenou. Odoslaním správy so škodlivým formátovaním démonovi networkd bolo možné spustiť ľubovoľný kód ako proces démona networkd. Tento problém bol vyriešený dodatočnou kontrolou typu.

    CVE-ID

    CVE-2014-4492: Ian Beer z tímu Google Project Zero

  • MobileInstallation

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Apka so škodlivým kódom podpísaná podnikom môže byť schopná prevziať kontrolu nad miestnym kontajnerom pre apky, ktoré sa v zariadení už nachádzajú

    Popis: V procese inštalácie apiek sa vyskytovalo slabé miesto. Tento problém bol vyriešený tým, že sa podnikovým apkám v konkrétnych scenároch neumožňuje potláčať existujúce apky.

    CVE-ID

    CVE-2014-4493: Hui Xue a Tao Wei zo spoločnosti FireEye, Inc.

  • Springboard

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Apky podpísané podnikom sa môžu spúšťať bez zobrazenia výzvy na potvrdenie dôveryhodnosti

    Popis: Pri určovaní, kedy sa má pri prvom otvorení apky podpísanej podnikom zobraziť výzva na potvrdenie dôveryhodnosti, dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania podpisu kódu.

    CVE-ID

    CVE-2014-4494: Song Jin, Hui Xue a Tao Wei zo spoločnosti FireEye, Inc.

  • WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým obsahom v rámci môže mať za následok sfalšovanie používateľského rozhrania

    Popis: Pri spracovávaní hraníc posuvníka dochádzalo k problému s falšovaním používateľského rozhrania. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4467: Jordan Milne

  • WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Šablóny štýlov sa načítavajú naprieč lokalitami pôvodu, čo môže umožňovať exfiltráciu dát

    Popis: Súbor SVG načítaný v prvku img môže načítať súbor CSS z inej lokality pôvodu. Tento problém bol vyriešený vylepšením blokovania externých referencií CSS v súboroch SVG.

    CVE-ID

    CVE-2014-4465: Rennie deGraaf z tímu iSEC Partners

  • WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu

    Popis: V komponente WebKit dochádzalo k viacerým problémom s narušením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2014-3192: cloudfuzzer

    CVE-2014-4459

    CVE-2014-4466: Apple

    CVE-2014-4468: Apple

    CVE-2014-4469: Apple

    CVE-2014-4470: Apple

    CVE-2014-4471: Apple

    CVE-2014-4472: Apple

    CVE-2014-4473: Apple

    CVE-2014-4474: Apple

    CVE-2014-4475: Apple

    CVE-2014-4476: Apple

    CVE-2014-4477: lokihardt@ASRT v spolupráci s projektom Zero Day Initiative spoločnosti HP

    CVE-2014-4479: Apple

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: