Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke Apple Product Security.
Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.
Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.
Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.
iOS 8.3
- AppleKeyStore
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná uhádnuť heslo používateľa
Popis: Systém iOS umožňoval prístup k rozhraniu, ktoré povoľovalo pokusy o potvrdenie hesla používateľa. Tento problém bol vyriešený vylepšením kontroly oprávnení.
CVE-ID
CVE-2015-1085: Elias Limneos
Dátum aktualizovania záznamu: 17. mája 2017
- Ovládače zvuku
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: V objektoch IOKit používaných ovládačom zvuku dochádzalo k problémom s overovaním. Tento problém bol vyriešený vylepšením overovania metadát.
CVE-ID
CVE-2015-1086
- Zálohovanie
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Útočník môže byť schopný použiť systém zálohovania na získanie prístupu k zakázaným oblastiam súborového systému
Popis: V logike vyhodnocovania relatívnych ciest systému zálohovania dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania ciest.
CVE-ID
CVE-2015-1087: TaiG Jailbreak Team
- Pravidlá dôveryhodnosti certifikátov
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aktualizácia pravidiel dôveryhodnosti certifikátov
Popis: Pravidlá dôveryhodnosti certifikátov sa aktualizovali. Úplný zoznam certifikátov nájdete v článku Zoznam dostupných dôveryhodných koreňových certifikátov v systéme
- CFNetwork
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Súbory cookie z jednej domény sa môžu odoslať na inú doménu
Popis: Pri spracovávaní presmerovaní dochádzalo k problému s odosielaním súborov cookie medzi rôznymi doménami. Súbory cookie nastavené v odpovedi presmerovania sa mohli odovzdať do cieľa presmerovania s iným pôvodom. Tento problém bol vyriešený vylepšením spracovávania presmerovaní.
CVE-ID
CVE-2015-1089: Niklas Keller (http://kelunik.com)
- CFNetwork
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Používateľ nemusí byť schopný úplne vymazať históriu prezerania
Popis: Vymazaním histórie v prehliadači Safari sa nevymazal stav mechanizmu HTTP Strict Transport Security. Tento problém bol vyriešený vylepšením vymazávania dát.
CVE-ID
CVE-2015-1090
- Relácia CFNetwork
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Prihlasovacie údaje na overenie sa môžu odoslať na server iného pôvodu
Popis: Pri spracovávaní presmerovaní dochádzalo k problému s odosielaním hlavičiek požiadaviek HTTP medzi rôznymi doménami. Hlavičke požiadaviek HTTP odoslané v odpovedi presmerovania sa mohli odovzdať do inej domény. Tento problém bol vyriešený vylepšením spracovávania presmerovaní.
CVE-ID
CVE-2015-1091: Diego Torres (http://dtorres.me)
- CFURL
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Pri spracovávaní adries URL dochádzalo k problému s overovaním vstupu. Tento problém bol vyriešený vylepšením overovania adries URL.
CVE-ID
CVE-2015-1088
- Foundation
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikáciu používajúcu NSXMLParser možno zneužiť na sprístupnenie informácií
Popis: Pri spracovávaní kódu XML komponentom NSXMLParser dochádzalo k problému s externou entitou XML. Tento problém bol vyriešený nenačítaním externých entít naprieč rôznymi zdrojmi.
CVE-ID
CVE-2015-1092: Ikuya Fukumoto
- FontParser
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Pri spracovávaní súborov písiem dochádzalo k viacerým problémom s poškodením pamäte. Tieto problémy boli vyriešené vylepšením kontroly rozsahu.
CVE-ID
CVE-2015-1093: Marc Schoenefeld
- IOAcceleratorFamily
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra
Popis: V súčasti IOAcceleratorFamily dochádzalo k problému, ktorý viedol k odhaleniu obsahu pamäte jadra. Tento problém bol vyriešený odstránením nepotrebného kódu.
CVE-ID
CVE-2015-1094: Cererdlong z tímu Alibaba Mobile Security Team
- IOHIDFamily
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Škodlivé zariadenie HID môže byť schopné spôsobiť spustenie ľubovoľného kódu
Popis: V rozhraní IOHIDFamily API dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2015-1095: Andrew Church
- IOHIDFamily
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra
Popis: V súčasti IOHIDFamily dochádzalo k problému, ktorý viedol k odhaleniu obsahu pamäte jadra. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2015-1096: Ilja van Sprundel zo spoločnosti IOActive
- IOMobileFramebuffer
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra
Popis: V súčasti MobileFrameBuffer dochádzalo k problému, ktorý viedol k odhaleniu obsahu pamäte jadra. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2015-1097: Barak Gabai z tímu IBM X-Force Application Security Research Team
- Zobrazovač iWork
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Otvorenie súboru iWork so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Pri spracovávaní súborov iWork dochádzalo k problému s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2015-1098: Christopher Hickstein
- Jadro
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná spôsobiť odmietnutie služby v systéme
Popis: V systémovom volaní setreuid jadra dochádzalo k problému s postupnosťou vykonania procesov. Tento problém bol vyriešený vylepšením správy stavu.
CVE-ID
CVE-2015-1099: Mark Mentovai zo spoločnosti Google Inc.
- Jadro
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže povýšiť oprávnenia pomocou zneužitej služby, ktorá sa má spúšťať s obmedzenými oprávneniami
Popis: Systémové volania setreuid a setregid neboli schopné natrvalo znížiť úroveň oprávnení. Tento problém bol vyriešený správnym znižovaním úrovne oprávnení.
CVE-ID
CVE-2015-1117: Mark Mentovai zo spoločnosti Google Inc.
- Jadro
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra
Popis: V jadre dochádzalo k problému s prístupom do oblastí mimo vyhradenej časti pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2015-1100: Maxime Villard z m00nbsd
- Jadro
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: V jadre dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2015-1101: lokihardt@ASRT v spolupráci s projektom HP Zero Day Initiative
- Jadro
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Útočník s oprávneniami v sieti môže byť schopný spôsobiť odmietnutie služby
Popis: Pri spracovávaní hlavičiek TCP dochádzalo k nekonzistentnosti stavu. Tento problém bol vyriešený vylepšením spracovávania stavu.
CVE-ID
CVE-2015-1102: Andrey Khudyakov a Maxim Zhuravlev zo spoločnosti Kaspersky Lab
- Jadro
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Popis: Útočník oprávneniami v sieti môže byť schopný presmerovať dáta prenášané používateľom na ľubovoľných hostiteľov
Popis: V systéme iOS boli predvolene povolené presmerovania ICMP. Tento problém bol vyriešený zakázaním presmerovaní ICMP.
CVE-ID
CVE-2015-1103: Zimperium Mobile Security Labs
- Jadro
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Vzdialený útočník môže byť schopný obísť sieťové filtre
Popis: Systém spracovával niektoré pakety protokolu IPv6 zo vzdialených sieťových rozhraní ako lokálne pakety. Tento problém bol vyriešený odmietaním takýchto paketov.
CVE-ID
CVE-2015-1104: Stephen Roettger z tímu spoločnosti Google pre zabezpečenie
- Jadro
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby
Popis: Pri spracovávaní dát protokolu TCP mimo dosahu dochádzalo k problému s nekonzistentnosťou stavu. Tento problém bol vyriešený vylepšením správy stavu.
CVE-ID
CVE-2015-1105: Kenton Varda z Sandstorm.io
- Klávesnice
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Klávesnica QuickType si dokázala zapamätať heslá používateľov
Popis: Pri používaní klávesníc Bluetooth si klávesnica QuickType dokázala zapamätať heslá používateľov. Tento problém bol vyriešený zakázaním zobrazovania klávesnice QuickType na zamknutej ploche.
CVE-ID
CVE-2015-1106: Jarrod Dwenger, Steve Favorito, Paul Reedy zo spoločnosti ConocoPhillips, Pedro Tavares z oddelenia Molecular Biophysics na univerzite UCIBIO/FCT/UNL, De Paul Sunny, Christian Still z kanadskej spoločnosti Evolve Media
- libnetcore
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Spracovanie konfiguračného profilu so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie
Popis: Pri spracovávaní konfiguračných profilov dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2015-1118: Zhaofeng Chen, Hui Xue, Yulong Zhang a Tao Wei zo spoločnosti FireEye, Inc.
- Zamknutá plocha
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Útočník s prístupom k zariadeniu môže zabrániť vymazaniu zariadenia po neúspešných pokusoch o zadanie hesla
Dopad: V niektorých prípadoch sa zariadenie nemuselo samo vymazať po neúspešných pokusoch o zadanie hesla. Tento problém bol vyriešený prísnejším uplatňovaním vymazania.
CVE-ID
CVE-2015-1107: Brent Erickson, Stuart Ryan z Technologickej univerzity v Sydney
- Zamknutá plocha
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Útočník s prístupom k zariadeniu môže prekročiť maximálny počet neúspešných pokusov o zadanie hesla
Popis: V niektorých prípadoch sa neuplatňoval limit neúspešných pokusov o zadanie hesla. Tento problém bol vyriešený prísnejším uplatňovaním tohto limitu.
CVE-ID
CVE-2015-1108
- NetworkExtension
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Útočník s prístupom k zariadeniu môže byť schopný obnoviť prihlasovacie údaje pripojenia VPN
Popis: Pri spracovávaní konfiguračných protokolov pripojenia VPN dochádzalo k problému. Tento problém bol vyriešený odstránením protokolovania prihlasovacích údajov.
CVE-ID
CVE-2015-1109: Josh Tway z IPVanish
- Podcasty
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Pri sťahovaní materiálov podcastov sa môžu odosielať nepotrebné informácie na externé servery
Popis: Pri sťahovaní materiálov pre podcast odoberaný používateľom sa odosielali jedinečné identifikátory na externé servery. Tento problém bol vyriešený odstránením týchto identifikátorov.
CVE-ID
CVE-2015-1110: Alex Selivanov
- Safari
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Používateľ nemusí byť schopný úplne vymazať históriu prezerania
Popis: Vymazaním histórie v prehliadači Safari sa nevymazali naposledy zatvorené taby. Tento problém bol vyriešený vylepšením vymazávania dát.
CVE-ID
CVE-2015-1111: Frode Moe z LastFriday.no
- Safari
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: História prezerania používateľov sa nemusí úplne vymazať
Popis: V prehliadači Safari dochádzalo k problému so správou stavu, v dôsledku ktorého sa história prezerania používateľov úplne nevymazávala zo súboru history.plist. Tento problém bol vyriešený vylepšením správy stavu.
CVE-ID
CVE-2015-1112: William Breuer z Holandska
- Profily izolovaného priestoru
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná získať prístup k telefónnym číslam alebo e-mailovým adresám nedávnych kontaktov
Popis: V izolovanom priestore pre aplikácie od iných výrobcov dochádzalo k problému s únikom informácií. Tento problém bol vyriešený vylepšením profilu izolovaného priestoru.
CVE-ID
CVE-2015-1113: Andreas Kurtz zo spoločnosti NESO Security Labs, Markus Troßbach z univerzity v Heilbronne
- Profily izolovaného priestoru
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácie od iných výrobcov môžu mať prístup k hardvérovým identifikátorom
Popis: V izolovanom priestore pre aplikácie od iných výrobcov dochádzalo k problému s únikom informácií. Tento problém bol vyriešený vylepšením profilu izolovaného priestoru.
CVE-ID
CVE-2015-1114
- Zabezpečený prenos
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Spravovanie certifikátu X.509 so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie
Popis: Pri spracovávaní certifikátov X.509 dochádzalo k problému s dereferenciou nulového ukazovateľa. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-ID
CVE-2015-1160: Elisha Eshed, Roy Iarchy a Yair Amit zo spoločnosti Skycure Security Research
- Telefónne funkcie
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná získať prístup k obmedzeným telefónnym funkciám
Popis: V telefónnom podsystéme existoval problém s riadením prístupu. Aplikácie v izolovanom priestore tak mohli získať prístup k obmedzeným telefónnym funkciám. Tento problém bol vyriešený vylepšením kontroly oprávnení.
CVE-ID
CVE-2015-1115: Andreas Kurtz zo spoločnosti NESO Security Labs, Markus Troßbach z univerzity v Heilbronne
- Zobrazenie UIKit
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Na snímkach aplikácií zobrazených v prepínači úloh sa môžu zobrazovať citlivé dáta
Popis: V súčasti UIKit dochádzalo k problému, v dôsledku ktorého sa v prepínači úloh nerozmazávali snímky aplikácií obsahujúce citlivé dáta. Tento problém bol vyriešený správnym rozmazávaním snímok.
CVE-ID
CVE-2015-1116: Tím pre mobilné aplikácie HP Security Voltage, Aaron Rogers z Mint.com, David Edwards zo spoločnosti Tech4Tomorrow, David Zhang zo spoločnosti Dropbox
- WebKit
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Nekonzistentné používateľské rozhranie môže používateľom zabraňovať v rozpoznaní phishingového útoku
Popis: V prehliadači Safari dochádzalo k nekonzistentnosti používateľského rozhrania, ktorá útočníkovi umožňovala použiť falošnú adresu URL. Tento problém bol vyriešený vylepšením kontrol konzistentnosti používateľského rozhrania.
CVE-ID
CVE-2015-1084: Apple
- WebKit
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: V mechanizme WebKit dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.
CVE-ID
CVE-2015-1068: Apple
CVE-2015-1069: lokihardt@ASRT v spolupráci s projektom HP Zero Day Initiative
CVE-2015-1070: Apple
CVE-2015-1071: Apple
CVE-2015-1072
CVE-2015-1073: Apple
CVE-2015-1074: Apple
CVE-2015-1076
CVE-2015-1077: Apple
CVE-2015-1078: Apple
CVE-2015-1079: Apple
CVE-2015-1080: Apple
CVE-2015-1081: Apple
CVE-2015-1082: Apple
CVE-2015-1083: Apple
CVE-2015-1119: Renata Hodovan zo Segedínskej univerzity/Samsung Electronics
CVE-2015-1120: Apple
CVE-2015-1121: Apple
CVE-2015-1122: Apple
CVE-2015-1123: Randy Luecke a Anoop Menon zo spoločnosti Google Inc.
CVE-2015-1124: Apple
- WebKit
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neúmyselnému kliknutiu na inú webovú stránku
Popis: Pri spracovávaní udalostí ovládania dotykom dochádzalo k problému. Klepnutie sa tak mohlo rozšíriť na inú webovú stránku. Tento problém bol vyriešený vylepšením spracovávania udalostí.
CVE-ID
CVE-2015-1125: Phillip Moon a Matt Weston z www.sandfield.co.nz
- WebKit
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Návšteva webovej stránky zo škodlivým kódom môže viesť k prístupu k prostriedkom s iným pôvodom
Popis: Pri spracovávaní prihlasovacích údajov v adresách URL protokolu FTP mechanizmom WebKit dochádzalo k problému. Tento problém bol vyriešený vylepšením dekódovania.
CVE-ID
CVE-2015-1126: Jouko Pynnonen zo spoločnosti Klikki Oy
Wi-Fi
Dopad: Heslo používateľa sa môže odoslať do nedôveryhodného prístupového bodu Wi-Fi
Popis: Obrazovka s informáciami o nedôveryhodnom certifikáte Wi-Fi obsahovala len jedno tlačidlo, ktoré umožňovalo nastaviť certifikát ako dôveryhodný. Používateľ, ktorý nechcel používať daný prístupový bod Wi-Fi, musel obrazovku zatvoriť stlačením tlačidla Domov alebo tlačidla uzamknutia. Tento problém bol vyriešený pridaním viditeľného tlačidla Zrušiť.
CVE-ID
CVE-2015-5762: Michael Santos