Obsah zabezpečenia v systéme iOS 8.2
V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 8.2.
S cieľom ochrany svojich zákazníkov spoločnosť Apple neposkytuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problém úplne nepreskúma a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.
Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.
Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.
Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.
iOS 8.2
CoreTelephony
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Vzdialený útočník môže spôsobiť neočakávané reštartovanie zariadenia
Popis: Pri spracovávaní SMS správ triedy 0 súčasťou CoreTelephony dochádzalo k dereferencii nulového ukazovateľa. Tento problém bol vyriešený vylepšením overovania správ.
CVE-ID
CVE-2015-1063: Roman Digerberg, Švédsko
Kľúčenka iCloud
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Útočník s oprávneniami v sieti môže byť schopný spustiť ľubovoľný kód
Popis: Pri spracovávaní dát počas obnovenia Kľúčenky iCloud dochádzalo k viacerým pretečeniam medzipamäte. Tieto problémy boli vyriešené vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2015-1065: Andrey Belenko zo spoločnosti NowSecure
IOSurface
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni systému
Popis: Pri spracovávaní serializovaných objektov funkciou IOSurface dochádzalo k problému s nesprávnym určením typu. Tento problém bol vyriešený vykonávaním dodatočných kontrol zadávania znakov.
CVE-ID
CVE-2015-1061: Ian Beer z tímu Google Project Zero
MobileStorageMounter
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná vytvárať priečinky v dôveryhodných umiestneniach v systéme súborov
Popis: V logike pripájania disku pre vývojárov dochádzalo k problému, v dôsledku ktorého sa nevymazávali neplatné priečinky obrazov diskov. Tento problém bol vyriešený vylepšením spracovania chýb.
CVE-ID
CVE-2015-1062: TaiG Jailbreak Team
Zabezpečený prenos
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Útočník s oprávneniami v sieti môže zachytávať dáta prenášané cez pripojenia SSL/TLS
Popis: Pri pripojeniach používajúcich šifrovacie balíky RSA s plným šifrovaním akceptovala funkcia zabezpečeného prenosu krátke efemérne kľúče RSA, ktoré sa zvyčajne používajú v šifrovacích balíkoch RSA s úrovňou šifrovania používanou pri exporte. Tento problém, ktorý je známy aj pod označením FREAK, ovplyvňoval len pripojenia k serverom, ktoré podporujú šifrovacie balíky RSA s úrovňou šifrovania používanou pri exporte, a bol vyriešený odstránením podpory efemérnych kľúčov RSA.
CVE-ID
CVE-2015-1067: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti a Jean Karim Zinzindohoue z tímu Prosecco spoločnosti Inria v Paríži
Springboard
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Osoba s fyzickým prístupom k zariadeniu môže zobraziť plochu zariadenia aj v prípade, ak zariadenie nie je aktivované
Popis: Neočakávané ukončenie aplikácie počas aktivácie mohlo spôsobiť, že na zariadení sa zobrazila plocha. Tento problém bol vyriešený vylepšením spracovávania chýb počas aktivácie.
CVE-ID
CVE-2015-1064
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.