Obsah zabezpečenia v systéme iOS 8.4

V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 8.4.

S cieľom ochrany svojich zákazníkov spoločnosť Apple neposkytuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problém úplne nepreskúma a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

iOS 8.4

  • Ukladací priestor aplikácií

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Univerzálna aplikácia profilov poskytovania so škodlivým kódom môže zabraňovať v spúšťaní aplikácií

    Popis: V logike inštalácie univerzálnych aplikácií profilov poskytovania dochádzalo k problému, v dôsledku ktorého mohlo dochádzať ku kolízii s identifikátormi existujúcich balíkov. Tento problém bol vyriešený vylepšením kontroly kolízií.

    CVE-ID

    CVE-2015-3722: Zhaofeng Chen, Hui Xue a Tao (Lenx) Wei zo spoločnosti FireEye, Inc.
  • Politika dôveryhodnosti certifikátov

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník s oprávneniami v sieti môže byť schopný zaznamenávať sieťové prenosy

    Popis: Certifikačná autorita CNNIC nesprávne vydala sprostredkovateľský certifikát. Tento problém bol vyriešený pridaním mechanizmu, na základe ktorého systém považuje za dôveryhodnú len skupinu certifikátov, ktoré boli vydané pred nesprávnym vydaním sprostredkovateľského certifikátu. Prečítajte si podrobnejšie informácie o zozname povolených položiek zabezpečenia s čiastočnou dôveryhodnosťou.

  • Politika dôveryhodnosti certifikátov

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aktualizácia politiky dôveryhodnosti certifikátov

    Popis: Politika dôveryhodnosti certifikátov bola aktualizovaná. Úplný zoznam certifikátov nájdete v článku s informáciami o priestore Trust Store systému iOS.

  • CFNetwork HTTPAuthentication

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novšíDopad: Návšteva adresy URL so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní prihlasovacích údajov určitých adries URL dochádzalo k problému s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-3684: Apple

  • CoreGraphics

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Otvorenie PDF súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní profilov ICC dochádzalo k viacerým problémom s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-3723: chaithanya (SegFault) v spolupráci s projektom HP Zero Day Initiative

    CVE-2015-3724: WanderingGlitch z projektu HP Zero Day Initiative

  • CoreText

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Spracovanie textového súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní textových súborov dochádzalo k viacerým problémom s poškodením pamäte. Tieto problémy boli vyriešené vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2015-1157

    CVE-2015-3685: Apple

    CVE-2015-3686: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3687: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3688: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3689: Apple

  • coreTLS

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník s oprávneniami v sieti môže zachytávať dáta prenášané cez pripojenia SSL/TLS

    Popis: Rozhranie coreTLS akceptovalo krátke dočasné kľúče DH (Diffie-Hellman), ktoré sa používajú v balíkoch dočasných šifier DH s úrovňou šifrovania pre export. Tento problém, ktorý sa označuje ako Logjam, umožňoval útočníkovi s oprávneniami v sieti znížiť zabezpečenie na 512-bitové šifrovanie DH, ak server podporoval balík dočasných šifier DH s úrovňou šifrovania pre export. Tento problém bol vyriešený zvýšením predvolenej minimálnej veľkosti povolenej pre dočasné kľúče DH na 768 bitov.

    CVE-ID

    CVE-2015-4000: Tím weakdh z weakdh.org, Hanno Boeck

  • DiskImages

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra

    Popis: Pri spracovávaní obrazov diskov dochádzalo k problému s únikom informácií. Tento problém bol vyriešený vylepšením správy pamäte.

    CVE-ID

    CVE-2015-3690: Peter Rutenbar v spolupráci s projektom HP Zero Day Initiative

  • FontParser

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní súborov písiem dochádzalo k viacerým problémom s poškodením pamäte. Tieto problémy boli vyriešené vylepšením overovania vstupu.

    CVE-ID

    CVE-2015-3694: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3719: John Villamil (@day6reak), Yahoo Pentest Team

  • ImageIO

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Spracovanie súboru .tiff so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní súborov .tiff dochádzalo k problému s poškodením pamäte. Tento problém bol vyriešený vylepšením kontroly rozsahov.

    CVE-ID

    CVE-2015-3703: Apple

  • ImageIO

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: V knižnici libtiff existuje viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie môžu viesť k spusteniu ľubovoľného kódu

    Popis: Vo verziách knižnice libtiff starších ako 4.0.4 existovalo viacero nedostatočne zabezpečených miest. Tieto problémy boli vyriešené aktualizovaním knižnice libtiff na verziu 4.0.4.

    CVE-ID

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130
     

  • Jadro

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra

    Popis: Pri spracovávaní parametrov HFS dochádzalo k problému so správou pamäte, ktorý mohol viesť k sprístupneniu rozloženia pamäte jadra. Tento problém bol vyriešený vylepšením správy pamäte.

    CVE-ID

    CVE-2015-3721: Ian Beer z tímu Google Project Zero
  • Mail

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: E-mail so škodlivým kódom môže pri zobrazení správy nahradiť jej obsah ľubovoľnou webovou stránkou

    Popis: V rámci podpory e-mailov s formátovaním HTML dochádzalo k problému, ktorý umožňoval obnovenie obsahu správy a jeho nahradenie ľubovoľnou webovou stránkou. Tento problém bol vyriešený sprísnením podpory obsahu s formátovania HTML.

    CVE-ID

    CVE-2015-3710: Aaron Sigel z vtty.com, Jan Souček
  • MobileInstallation

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Univerzálna aplikácia profilov poskytovania so škodlivým kódom môže zabraňovať v spustení aplikácie v hodinkách Watch

    Popis: V logike inštalácie univerzálnych aplikácií profilov poskytovania v hodinkách Watch dochádzalo k problému, v dôsledku ktorého mohlo dochádzať ku kolízii s identifikátormi existujúcich balíkov. Tento problém bol vyriešený vylepšením kontroly kolízií.

    CVE-ID

    CVE-2015-3725: Zhaofeng Chen, Hui Xue a Tao (Lenx) Wei zo spoločnosti FireEye, Inc.

  • Safari

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku používateľských informácií v systéme súborov

    Popis: V prehliadači Safari dochádzalo k problému so správou stavu, ktorý neoprávneným zdrojom umožňoval získať prístup k obsahu v systéme súborov. Tento problém bol vyriešený vylepšením správy stavu.

    CVE-ID

    CVE-2015-1155: Joe Vennix zo spoločnosti Rapid7 Inc. v spolupráci s projektom HP Zero Day Initiative
     

  • Safari

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k prevzatiu účtu

    Popis: Dochádzalo k problému, v dôsledku ktorého prehliadač Safari zachovával hlavičku žiadostí o pôvod pri presmerovaní medzi lokalitami, čo umožňovalo škodlivý webovým stránkam obchádzať prvky ochrany CSRF. Tento problém bol vyriešený vylepšením spracovávania presmerovaní.

    CVE-ID

    CVE-2015-3658: Brad Hill zo spoločnosti Facebook
  • Zabezpečenie

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Vzdialený útočník môže spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu

    Popis: V kóde infraštruktúry zabezpečenia na analýzu e-mailov S/MIME a niektorých ďalších podpísaných alebo šifrovaných objektov dochádzalo k pretečeniu celočíselný hodnôt. Tento problém bol vyriešený vylepšením kontroly platnosti.

    CVE-ID

    CVE-2013-1741

  • SQLite

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Vzdialený útočník môže spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu

    Popis: V implementácii funkcie printif jazyka SQLite dochádzalo k viacerým pretečeniam medzipamäte. Tieto problémy boli vyriešené vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2015-3717: Peter Rutenbar v spolupráci s projektom HP Zero Day Initiative

  • SQLite

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Príkaz SQL so škodlivým kódom môže umožniť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu

    Popis: Vo fungovaní knižnice SQLite dochádzalo k problému k rozhraním API. Tento problém bol vyriešený vylepšením obmedzení.

    CVE-ID

    CVE-2015-7036: Peter Rutenbar v spolupráci s projektom HP Zero Day Initiative

  • Telefónne funkcie

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Použitie SIM karty so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: V rámci analýzy dátových častí kariet SIM/UIM dochádzalo k viacerým problémom s overovaním vstupu. Tieto problémy boli vyriešené vylepšením overovania dátových častí.

    CVE-ID

    CVE-2015-3726: Matt Spisak zo spoločnosti Endgame

  • WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom kliknutím na odkaz môže viesť k sfalšovaniu používateľského rozhrania

    Popis: Pri spracovávaní atribútu rel v prvkoch ukotvenia dochádzalo k problému. Cieľové objekty mohli získať neoprávnený prístup k objektom odkazov. Tento problém bol vyriešený vylepšením dodržiavania pravidiel typov odkazov.

    CVE-ID

    CVE-2015-1156: Zachary Durber zo spoločnosti Moodle
  • WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: V mechanizme WebKit dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-1152: Apple

    CVE-2015-1153: Apple

  • WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: V súčasti autorizácie jazyka SQLite dochádzalo k problému s nedostatočným porovnaním, ktorý umožňoval vyvolanie ľubovoľných funkcií jazyka SQL. Tento problém bol vyriešený vylepšením kontrol autorizácie.

    CVE-ID

    CVE-2015-3659: Peter Rutenbar v spolupráci s projektom HP Zero Day Initiative

  • WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Webová stránka so škodlivým kódom môže získať prístup k databázam WebSQL iných webových stránok

    Popis: Pri kontrolách autorizácie na premenovanie tabuliek WebSQL dochádzalo k problému, dôsledku ktorého mohla webová stránka so škodlivým kódom získať prístup k databázam patriacim iným webovým stránkam. Tento problém bol vyriešený vylepšením kontrol autorizácie.

    CVE-ID

    CVE-2015-3727: Peter Rutenbar v spolupráci s projektom HP Zero Day Initiative

  • Pripojenie k Wi-Fi sieťam

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Zariadenia so systémom iOS sa môžu automaticky pripojiť k nedôveryhodným prístupovým bodom, ktoré vysielajú známy identifikátor ESSID, ale používajú typ zabezpečenie nižšej úrovne

    Popis: Pri vyhodnocovaní vysielaní známych prístupových bodov správcom Wi-Fi sietí dochádzalo k problému s nedostatočným porovnaním. Tento problém bol vyriešený vylepšením priraďovania parametrov zabezpečenia.

    CVE-ID

    CVE-2015-3728: Brian W. Gray z univerzity Carnegie Mellon, Craig Young zo spoločnosti TripWire

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: