Obsah zabezpečenia v systéme iOS 8.2

V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 8.2.

S cieľom ochrany svojich zákazníkov spoločnosť Apple neposkytuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problém úplne nepreskúma a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

iOS 8.2

• CoreTelephony

  K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

  Dopad: Vzdialený útočník môže spôsobiť neočakávané reštartovanie zariadenia

  Popis: Pri spracovávaní SMS správ triedy 0 súčasťou CoreTelephony dochádzalo k dereferencii nulového ukazovateľa. Tento problém bol vyriešený vylepšením overovania správ.

  CVE-ID

  CVE-2015-1063: Roman Digerberg, Švédsko

• Kľúčenka iCloud

  K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

  Dopad: Útočník s oprávneniami v sieti môže byť schopný spustiť ľubovoľný kód

  Popis: Pri spracovávaní dát počas obnovenia Kľúčenky iCloud dochádzalo k viacerým pretečeniam medzipamäte. Tieto problémy boli vyriešené vylepšenou kontrolou rozsahu.

  CVE-ID

  CVE-2015-1065: Andrey Belenko zo spoločnosti NowSecure

• IOSurface

  K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

  Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni systému

  Popis: Pri spracovávaní serializovaných objektov funkciou IOSurface dochádzalo k problému s nesprávnym určením typu. Tento problém bol vyriešený vykonávaním dodatočných kontrol zadávania znakov.

  CVE-ID

  CVE-2015-1061: Ian Beer z tímu Google Project Zero

• MobileStorageMounter

  K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

  Dopad: Aplikácia so škodlivým kódom môže byť schopná vytvárať priečinky v dôveryhodných umiestneniach v systéme súborov

  Popis: V logike pripájania disku pre vývojárov dochádzalo k problému, v dôsledku ktorého sa nevymazávali neplatné priečinky obrazov diskov. Tento problém bol vyriešený vylepšením spracovania chýb.

  CVE-ID

  CVE-2015-1062: TaiG Jailbreak Team

• Zabezpečený prenos

  K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

  Dopad: Útočník s oprávneniami v sieti môže zachytávať dáta prenášané cez pripojenia SSL/TLS

  Popis: Pri pripojeniach používajúcich šifrovacie balíky RSA s plným šifrovaním akceptovala funkcia zabezpečeného prenosu krátke efemérne kľúče RSA, ktoré sa zvyčajne používajú v šifrovacích balíkoch RSA s úrovňou šifrovania používanou pri exporte. Tento problém, ktorý je známy aj pod označením FREAK, ovplyvňoval len pripojenia k serverom, ktoré podporujú šifrovacie balíky RSA s úrovňou šifrovania používanou pri exporte, a bol vyriešený odstránením podpory efemérnych kľúčov RSA.

  CVE-ID

  CVE-2015-1067: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti a Jean Karim Zinzindohoue z tímu Prosecco spoločnosti Inria v Paríži

• Springboard

  K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

  Dopad: Osoba s fyzickým prístupom k zariadeniu môže zobraziť plochu zariadenia aj v prípade, ak zariadenie nie je aktivované

  Popis: Neočakávané ukončenie aplikácie počas aktivácie mohlo spôsobiť, že na zariadení sa zobrazila plocha. Tento problém bol vyriešený vylepšením spracovávania chýb počas aktivácie.

  CVE-ID

  CVE-2015-1064