Obsah zabezpečenia v systéme iOS 9

V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 9.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

iOS 9

  • Apple Pay

    K dispozícii pre: iPhone 6 a iPhone 6 Plus

    Dopad: Niektoré karty môžu pri platení umožniť terminálu získať obmedzené množstvo informácií o nedávnych transakciách

    Popis: Pri určitých konfiguráciách bola povolená funkcia protokolu transakcií. Tento problém bol vyriešený odstránením funkcie protokolu transakcií. Tento problém neovplyvňuje zariadenia iPad.

    CVE-ID

    CVE-2015-5916

  • AppleKeyStore

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálny útočník môže byť schopný resetovať neúspešné pokusy o zadanie hesla pomocou iOS zálohy

    Popis: Existoval problém, ktorý umožňoval resetovať neúspešné pokusy o zadanie hesla pomocou zálohy iOS zariadenia. Tento problém bol vyriešený vylepšením logiky spracovania neúspešného zadania hesla.

    CVE-ID

    CVE-2015-5850: anonymný výskumník

  • Ukladací priestor aplikácií

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Kliknutie na odkaz ITMS so škodlivým kódom môže viesť k odmietnutiu služby v aplikácii s podnikovým podpisom

    Popis: Pri inštalácii prostredníctvom odkazov ITMS dochádzalo k problému. Tento problém bol vyriešený dodatočným overením inštalácie.

    CVE-ID

    CVE-2015-5856: Zhaofeng Chen, Hui Xue a Tao (Lenx) Wei zo spoločnosti FireEye, Inc.

  • Zvuk

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Prehrávanie zvukového súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie

    Popis: Pri spracovávaní zvukových súborov dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-5862: YoungJin Yoon zo spoločnosti Information Security Lab. (Poradenstvo: Prof. Taekyoung Kwon), Univerzita Yonsei, Soul, Kórea

  • Pravidlá dôveryhodnosti certifikátov

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aktualizácia pravidiel dôveryhodnosti certifikátov

    Popis: Pravidlá dôveryhodnosti certifikátov sa aktualizovali. Úplný zoznam certifikátov nájdete v článku Zoznam dostupných dôveryhodných koreňových certifikátov v systéme.

  • CFNetwork

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Adresa URL so škodlivým kódom môže byť schopná obchádzať zabezpečenie HTTP Strict Transport Security (HSTS) a spôsobiť únik citlivých dát

    Popis: V spracovávaní zabezpečenia HSTS existovalo nedostatočne zabezpečené miesto súvisiace s analýzou adries URL. Tento problém bol vyriešený vylepšením analýzy adries URL.

    CVE-ID

    CVE-2015-5858: Xiaofeng Zheng z tímu Blue Lotus Team, Univerzita Tsinghua

  • CFNetwork

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Webová stránka so škodlivým kódom môže byť schopná sledovať používateľov v režime anonymného prezerania v Safari

    Popis: Pri spracovávaní stavu zabezpečenia HSTS v režime anonymného prezerania v Safari dochádzalo k problému. Tento problém bol vyriešený vylepšením spracovávania stavu.

    CVE-ID

    CVE-2015-5860: Sam Greenhalgh zo spoločnosti RadicalResearch Ltd

  • CFNetwork

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Osoba s fyzickým prístupom k iOS zariadeniu môže čítať dáta aplikácií Apple uložené vo vyrovnávacej pamäti

    Popis: Dáta vo vyrovnávacej pamäti boli šifrované pomocou kľúča, ktorý bol chránený len hardvérovým identifikátorom UID. Tento problém bol vyriešený šifrovaním dát vo vyrovnávacej pamäti pomocou kľúča, ktorý je chránený hardvérovým identifikátorom UID a heslom používateľa.

    CVE-ID

    CVE-2015-5898: Andreas Kurtz zo spoločnosti NESO Security Labs

  • Súbory cookie CFNetwork

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník s oprávneniami v sieti môže sledovať aktivitu používateľa

    Popis: Pri spracovávaní domén najvyššej úrovne dochádzalo k problému s odosielaním súborov cookie medzi rôznymi doménami. Tento problém bol vyriešený vylepšením obmedzení pri vytváraní súborov cookie.

    CVE-ID

    CVE-2015-5885: Xiaofeng Zheng z tímu Blue Lotus Team, Univerzita Tsinghua

  • Súbory cookie CFNetwork

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník môže byť schopný vytvoriť pre webovú stránku súbory cookie bez vedomia používateľa

    Popis: Mechanizmus WebKit akceptoval nastavenie viacerých súborov cookie v rozhraní document.cookie API. Tento problém bol vyriešený vylepšením analýzy.

    CVE-ID

    CVE-2015-3801: Erling Ellingsen zo spoločnosti Facebook

  • CFNetwork FTPProtocol

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Škodlivé servery FTP môžu byť schopné spôsobiť, že klient vykoná prieskum na iných hostiteľoch

    Popis: Pri spracovávaní paketov FTP pomocou príkazu PASV dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania.

    CVE-ID

    CVE-2015-5912: Amit Klein

  • CFNetwork HTTPProtocol

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník s oprávneniami v sieti môže byť schopný zaznamenávať sieťové prenosy

    Popis: Pri spracovávaní položiek zoznamu predbežného načítavania HSTS v režime anonymného prezerania v Safari dochádzalo k problému. Tento problém bol vyriešený vylepšením spracovávania stavu.

    CVE-ID

    CVE-2015-5859: Rosario Giustolisi z Luxemburskej univerzity

  • Servery proxy CFNetwork

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Pripojenie k škodlivému webovému serveru proxy môže spôsobiť nastavenie škodlivých súborov cookie pre webovú stránku

    Popis: Pri spracovávaní odpovedí na pripojenie k serveru proxy dochádzalo k problému. Tento problém bol vyriešený odstránením hlavičky set-cookie pri analýze odpovede na pripojenie.

    CVE-ID

    CVE-2015-5841: Xiaofeng Zheng z tímu Blue Lotus Team, Univerzita Tsinghua

  • CFNetwork SSL

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník s oprávneniami v sieti môže zachytávať dáta prenášané cez pripojenia SSL/TLS

    Popis: V súčasti NSURL dochádzalo k problému s overením certifikátu pri jeho zmene. Tento problém bol vyriešený vylepšením overovania certifikátov.

    CVE-ID

    CVE-2015-5824: Timothy J. Wood zo spoločnosti The Omni Group

  • CFNetwork SSL

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník môže byť schopný dešifrovať dáta chránené šifrovaním SSL

    Popis: Existujú známe útoky na dôvernosť algoritmu RC4. Útočník môže spôsobiť použitie algoritmu RC4, aj keď server uprednostňuje lepšie šifrovanie, blokovaním pripojení so zabezpečením TLS 1.0 alebo novším, až kým súčasť CFNetwork neskúsi použiť zabezpečenie SSL 3.0, ktoré povoľuje len algoritmus RC4. Tento problém bol vyriešený odstránením prepínania na zabezpečenie SSL 3.0.

  • CoreAnimation

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom byť schopná spôsobiť únik citlivých používateľských informácií

    Popis: Aplikácie mohli získať prístup k medzipamäti snímok obrazovky, keď sa nachádzali na pozadí. Tento problém bol vyriešený vylepšením riadenia prístupu v súčastiach IOSurface.

    CVE-ID

    CVE-2015-5880: Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li zo Školy informačných systémov na Singapurskej univerzite manažmentu, Feng Bao a Jianying Zhou z oddelenia Cryptography and Security Department inštitútu Institute for Infocomm Research

  • CoreCrypto

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník môže byť schopný určiť súkromný kľúč

    Popis: Sledovaním mnohých pokusov o prihlásenie alebo dešifrovanie môže byť útočník schopný určiť súkromný kľúč RSA. Tento problém bol vyriešený používaním vylepšených algoritmov šifrovania.

  • CoreText

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní súborov písiem dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením overovania vstupu.

    CVE-ID

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Mechanizmus detektorov dát

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Spracovanie textového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní textových súborov dochádzalo k problémom s poškodením pamäte. Tieto problémy boli vyriešené vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2015-5829: M1x7e1 z tímu Safeye Team (www.safeye.org)

  • Nástroje pre vývojárov

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: V nástroji dyld dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-5876: beist zo spoločnosti Grayhash

  • Obrazy disku

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálny používateľ môže byť schopný spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: V súčasti DiskImages dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia môže byť schopná obísť podpísanie kódu

    Popis: Pri overovaní podpisu kódu spustiteľných súborov dochádzalo k problému. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • Game Center

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Škodlivá aplikácia pre službu Game Center môže byť schopná získať prístup k e-mailovej adrese hráča

    Popis: Pri spracovávaní e-mailovej adresy hráča službou Game Center dochádzalo k problému. Tento problém bol vyriešený vylepšením obmedzení prístupu.

    CVE-ID

    CVE-2015-5855: Nasser Alnasser

  • ICU

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Viacero nedostatočne zabezpečených miest v knižnici ICU

    Popis: Vo verziách knižnice ICU starších ako 53.1.0 existovalo viacero nedostatočne zabezpečených miest. Tieto problémy boli vyriešené aktualizovaním knižnice ICU na verziu 55.1.

    CVE-ID

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922: Mark Brand z tímu Google Project Zero

  • IOAcceleratorFamily

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra

    Popis: Dochádzalo k problému, ktorý viedol k odhaleniu obsahu pamäte jadra. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2015-5834: Cererdlong z tímu Alibaba Mobile Security Team

  • IOAcceleratorFamily

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálny používateľ môže byť schopný spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: V súčasti IOAcceleratorFamily dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-5848: Filippo Bigarella

  • IOHIDFamily

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: V súčasti IOHIDFamily dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-5867: moony li zo spoločnosti Trend Micro

  • IOKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: V jadre dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálny používateľ môže byť schopný spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: V súčasti IOMobileFrameBuffer dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálny útočník môže byť schopný čítať pamäť jadra

    Popis: V jadre dochádzalo k problému s inicializáciou pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-5863: Ilja van Sprundel zo spoločnosti IOActive

  • iTunes Store

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Prihlasovacie údaje účtu Apple ID môžu zostať v kľúčenke aj po odhlásení

    Popis: Pri vymazávaní kľúčenky dochádzalo k problému. Tento problém bol vyriešený vylepšením čistenia účtov.

    CVE-ID

    CVE-2015-5832: Kasif Dekel zo spoločnosti Check Point Software Technologies

  • JavaScriptCore

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: V mechanizme WebKit dochádzalo k problémom s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-5791: Apple

    CVE-2015-5793: Apple

    CVE-2015-5814: Apple

    CVE-2015-5816: Apple

    CVE-2015-5822: Mark S. Miller zo spoločnosti Google

    CVE-2015-5823: Apple

  • Jadro

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálny používateľ môže byť schopný spustiť ľubovoľný kód s oprávneniami jadra

    Popis: V jadre dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-5868: Cererdlong z tímu Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard z m00nbsd

    CVE-2015-5903: CESG

    Dátum aktualizovania záznamu: 21. decembra 2016

  • Jadro

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálny útočník môže ovládať hodnotu súborov cookie zásobníka

    Popis: V mechanizme generovania súborov cookie zásobníka používateľského priestoru existovalo viacero nedostatočne zabezpečených miest. Tento problém bol vyriešený vylepšením generovania súborov cookie zásobníka.

    CVE-ID

    CVE-2013-3951: Stefan Esser

  • Jadro

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálny proces môže zmeniť iné procesy bez kontrol oprávnenia

    Popis: Existoval problém, v dôsledku ktorého mohli koreňové procesy používajúce rozhranie processor_set_tasks API načítať porty úloh iných procesov. Tento problém bol vyriešený vykonávaním ďalších kontrol oprávnení.

    CVE-ID

    CVE-2015-5882: Pedro Vilaça na základe pôvodného výskumu, ktorý uskutočnili Ming-chieh Pan a Sung-ting Tsai; Jonathan Levin

  • Jadro

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník môže byť schopný spustiť útoky zamerané na odmietnutie služby na zacielených pripojeniach TCP bez toho, aby poznal správne číslo sekvencie

    Popis: Pri overovaní hlavičiek paketov TCP súčasťou xnu dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania hlavičiek paketov TCP.

    CVE-ID

    CVE-2015-5879: Jonathan Looney

  • Jadro

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník v lokálnom segmente siete LAN môže vypnúť smerovanie protokolu IPv6

    Popis: Pri spracovávaní oznámení smerovača IPv6 dochádzalo k problému s nedostatočným overovaním, ktorý útočníkovi umožňoval nastaviť limit skokov na ľubovoľnú hodnotu. Tento problém bol vyriešený vynucovaním minimálneho limitu skokov.

    CVE-ID

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Jadro

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálny používateľ môže určiť rozloženie pamäte jadra

    Popis: V súčasti XNU dochádzalo k problému, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením inicializácie štruktúr pamäte jadra.

    CVE-ID

    CVE-2015-5842: beist zo spoločnosti Grayhash

  • Jadro

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálny používateľ môže byť schopný spôsobiť odmietnutie služby v systéme

    Popis: Pri pripájaní jednotiek HFS dochádzalo k problému. Tento problém bol vyriešený pridaním ďalších kontrol platnosti.

    CVE-ID

    CVE-2015-5748: Maxime Villard z m00nbsd

  • libc

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného kódu

    Popis: Vo funkcii fflush dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2014-8611: Adrian Chadd a Alfred Perlstein zo spoločnosti Norse Corporation

  • libpthread

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálny používateľ môže byť schopný spustiť ľubovoľný kód s oprávneniami jadra

    Popis: V jadre dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-5899: Lufeng Li z tímu Qihoo 360 Vulcan Team

  • Mail

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník môže odoslať e-mail, ktorý vyzerá, ako keby pochádzal od kontaktu v adresári príjemcu

    Popis: Pri spracovávaní adresy odosielateľa dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania.

    CVE-ID

    CVE-2015-5857: Emre Saglam zo salesforce.com

  • Pripojenie typu multipeer

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálny útočník môže byť schopný sledovať nechránené dáta typu multipeer

    Popis: Pri spracovávaní inicializátora jednoduchej obsluhy dochádzalo k problému, v dôsledku ktorého bolo možné aktívne znížiť úroveň šifrovania na nešifrovanú reláciu. Tento problém bol vyriešený zmenou inicializátora jednoduchej obsluhy tak, aby sa vyžadovalo šifrovanie.

    CVE-ID

    CVE-2015-5851: Alban Diquet (@nabla_c0d3) zo spoločnosti Data Theorem

  • NetworkExtension

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra

    Popis: V jadre dochádzalo k problému s neinicializovanou pamäťou, ktorý viedol k odhaleniu obsahu pamäte jadra. Tento problém bol vyriešený inicializáciou pamäte.

    CVE-ID

    CVE-2015-5831: Maxime Villard z m00nbsd

  • OpenSSL

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Viacero nedostatočne zabezpečených miest v súprave OpenSSL

    Popis: Vo verziách súpravy OpenSSL starších ako 0.9.8zg existovalo viacero nedostatočne zabezpečených miest. Tieto problémy boli vyriešené aktualizáciou súpravy OpenSSL na verziu 0.9.8zg.

    CVE-ID

    CVE-2015-0286

    CVE-2015-0287

  • PluginKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Podniková aplikácia so škodlivým kódom môže inštalovať rozšírenia skôr, než ju systém označí ako dôveryhodnú

    Popis: Pri overovaní rozšírení počas inštalácie dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania aplikácií.

    CVE-ID

    CVE-2015-5837: Zhaofeng Chen, Hui Xue a Tao (Lenx) Wei zo spoločnosti FireEye, Inc.

  • removefile

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Spracovanie dát so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie

    Popis: V rutinách delenia checkint dochádzalo k chybe spôsobujúcej pretečenie. Tento problém bol vyriešený vylepšením rutín delenia.

    CVE-ID

    CVE-2015-5840: anonymný výskumník

  • Safari

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálny používateľ môže byť schopný čítať záložky Safari na zamknutom iOS zariadení bez hesla

    Popis: Dáta záložiek Safari boli šifrované pomocou kľúča, ktorý bol chránený len hardvérovým identifikátorom UID. Tento problém bol vyriešený šifrovaním dát záložiek Safari pomocou kľúča, ktorý je chránený hardvérovým identifikátorom UID a heslom používateľa.

    CVE-ID

    CVE-2015-7118: Jonathan Zdziarski

    Dátum aktualizovania záznamu: 21. decembra 2016

  • Safari

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k predstieraniu iného zdroja v používateľskom rozhraní (tzv. spoofing)

    Popis: Existoval problém, ktorý mohol umožňovať, aby sa na webovej stránke zobrazil obsah s adresou URL inej webovej stránky. Tento problém bol vyriešený vylepšením spracovávania URL adries.

    CVE-ID

    CVE-2015-5904: Erling Ellingsen zo spoločnosti Facebook, Łukasz Pilorz

  • Safari

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k predstieraniu iného zdroja v používateľskom rozhraní (tzv. spoofing)

    Popis: Prechod na webovú stránku so škodlivým kódom, ktorá obsahuje nesprávne formátovaný prvok na otvorenie okna, môže umožňovať zobrazenie ľubovoľných adries URL. Tento problém bol vyriešený vylepšením spracovávania prvkov na otváranie okna.

    CVE-ID

    CVE-2015-5905: Keita Haga z keitahaga.com

  • Safari

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Webové stránky so škodlivým kódom používajúce klientske certifikáty môžu sledovať používateľov

    Popis: V klientskom certifikáte Safari používanom pri autentifikácii SSL dochádzalo k problému. Tento problém bol vyriešený vylepšením priraďovania platných klientskych certifikátov.

    CVE-ID

    CVE-2015-1129: Stefan Kraus zo spoločnosti fluid Operations AG, Sylvain Munaut zo spoločnosti Whatever s.a.

  • Safari

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k predstieraniu iného zdroja v používateľskom rozhraní (tzv. spoofing)

    Popis: Viaceré nekonzistencie používateľského rozhrania môžu webovej stránke so škodlivým kódom umožňovať zobrazenie ľubovoľnej adresy URL. Tieto problémy boli vyriešené vylepšením logiky zobrazovania adries URL.

    CVE-ID

    CVE-2015-5764: Antonio Sanso (@asanso) zo spoločnosti Adobe

    CVE-2015-5765: Ron Masas

    CVE-2015-5767: Krystian Kloskowski prostredníctvom spoločnosti Secunia, Masato Kinugawa

  • Bezpečné prezeranie v Safari

    iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Pri prechode na IP adresu známej webovej stránky so škodlivým kódom sa nemusí zobraziť upozornenie zabezpečenia

    Popis: Funkcia bezpečného prezerania v prehliadači Safari neupozorňovala používateľov pri návšteve známych webových stránok so škodlivým kódom podľa ich IP adresy. Tento problém bol vyriešený vylepšením zisťovania stránok so škodlivým kódom.

    Rahul M zo spoločnosti TagsDock

  • Zabezpečenie

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže byť schopná zachytávať komunikáciu medzi aplikáciami

    Popis: Existoval problém, ktorý aplikácii so škodlivým kódom umožňoval zaznamenávať komunikáciu obsahujúcu schému adresy URL medzi aplikáciami. Tento problém bol zmiernený zobrazovaním dialógového okna pri prvom použití schémy adresy URL.

    CVE-ID

    CVE-2015-5835: Teun van Run zo spoločnosti FiftyTwoDegreesNorth B.V., XiaoFeng Wang z Univerzity v Indiane, Luyi Xing z Univerzity v Indiane, Tongxin Li z Pekinskej univerzity, Tongxin Li z Pekinskej univerzity, Xiaolong Bai z Univerzity v Tsinghua

  • Siri

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Osoba s fyzickým prístupom k zariadeniu so systémom iOS môže byť schopná používať Siri na čítanie hlásení obsahu, ktorý je nastavený tak, aby sa nezobrazoval na zamknutej ploche

    Popis: Pri požiadavke na Siri server nekontroloval obmedzenia na strane klienta. Tento problém bol vyriešený vylepšením kontroly obmedzení.

    CVE-ID

    CVE-2015-5892: Robert S Mozayeni, Joshua Donvito

  • SpringBoard

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Osoba s fyzickým prístupom k iOS zariadeniu môže odpovedať na zvukovú správu zo zamknutej obrazovky, keď sú vypnuté náhľady správ na zamknutej obrazovke

    Popis: Problém so zamknutou obrazovkou umožňoval používateľom odpovedať na zvukové správy, keď boli vypnuté náhľady správ. Tento problém bol vyriešený vylepšením správy stavu.

    CVE-ID

    CVE-2015-5861: Daniel Miedema zo spoločnosti Meridian Apps

  • SpringBoard

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže byť schopná sfalšovať dialógové okná inej aplikácie

    Popis: Vo volaniach rozhrania API s oprávneniami dochádzalo k problému s prístupom. Tento problém bol vyriešený používaním ďalších obmedzení.

    CVE-ID

    CVE-2015-5838: Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei, John C.S. Lui

  • SQLite

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Viacero nedostatočne zabezpečených miest v knižnici SQLite 3.8.5

    Popis: V knižnici SQLite 3.8.5 existovalo viacero nedostatočne zabezpečených miest. Tieto problémy boli vyriešené aktualizovaním knižnice SQLite na verziu 3.8.10.2.

    CVE-ID

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • Tidy

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: V súčasti Tidy dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-5522: Fernando Muñoz z NULLGroup.com

    CVE-2015-5523: Fernando Muñoz z NULLGroup.com

  • WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Odkazy objektov môžu unikať medzi izolovanými miestami vo vlastných udalostiach, udalostiach správ a udalostiach stavu vyskakovacích prvkov

    Popis: Problém s únikom objektov narušil hranicu izolácie medzi rôznymi miestami. Tento problém bol vyriešený vylepšením izolácie medzi rôznymi miestami.

    CVE-ID

    CVE-2015-5827: Gildas

  • WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: V mechanizme WebKit dochádzalo k problémom s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-5789: Apple

    CVE-2015-5790: Apple

    CVE-2015-5792: Apple

    CVE-2015-5794: Apple

    CVE-2015-5795: Apple

    CVE-2015-5796: Apple

    CVE-2015-5797: Apple

    CVE-2015-5799: Apple

    CVE-2015-5800: Apple

    CVE-2015-5801: Apple

    CVE-2015-5802: Apple

    CVE-2015-5803: Apple

    CVE-2015-5804: Apple

    CVE-2015-5805

    CVE-2015-5806: Apple

    CVE-2015-5807: Apple

    CVE-2015-5809: Apple

    CVE-2015-5810: Apple

    CVE-2015-5811: Apple

    CVE-2015-5812: Apple

    CVE-2015-5813: Apple

    CVE-2015-5817: Apple

    CVE-2015-5818: Apple

    CVE-2015-5819: Apple

    CVE-2015-5821: Apple

  • WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k vytáčaniu bez vedomia používateľa

    Popis: Pri spracovávaní adries URL s predponou tel://, facetime:// a facetime-audio:// dochádzalo k problému. Tento problém bol vyriešený vylepšením spracovávania URL adries.

    CVE-ID

    CVE-2015-5820: Andrei Neculaesei, Guillaume Ross

  • WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Klávesnica QuickType môže zistiť posledný znak hesla vo vyplnenom webovom formulári

    Popis: Pri spracovávaní kontextu poľa na zadanie hesla mechanizmom WebKit dochádzalo k problému. Tento problém bol vyriešený vylepšením spracovávania kontextu polí na zadávanie textu.

    CVE-ID

    CVE-2015-5906: Louis Romero zo spoločnosti Google Inc.

  • WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník s oprávneniami v sieti môže byť schopný presmerovať na doménu so škodlivým kódom

    Popis: Pri spracovávaní vyrovnávacích pamätí prostriedkov na stránkach s neplatnými certifikátmi dochádzalo k problému. Tento problém bol vyriešený odmietaním vyrovnávacej pamäte aplikácií domén s neplatnými certifikátmi.

    CVE-ID

    CVE-2015-5907: Yaoqi Jia z Národnej univerzity v Singapure (NUS)

  • WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Webová stránka so škodlivým kódom môže spôsobiť neoprávnené získanie dát s rôznym pôvodom

    Popis: Prehliadač Safari umožňoval načítanie hárkov štýlov z rôznych miest s typmi MIME bez šablón CSS, čo bolo možné využiť na odstránenie dát z iného miesta. Tento problém bol vyriešený obmedzením typov MIME pre hárky štýlov z rôznych miest.

    CVE-ID

    CVE-2015-5826: filedescriptor, Chris Evans

  • WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Rozhranie API výkonu môže webovej stránke so škodlivým kódom umožniť únik histórie prezerania, sieťovej aktivity a pohybov myši

    Popis: Rozhranie API výkonu mechanizmu WebKit mohlo webovej stránke so škodlivým kódom umožniť únik histórie prezerania, sieťovej aktivity a pohybov myši prostredníctvom merania času. Tento problém bol vyriešený obmedzením zisťovania času.

    CVE-ID

    CVE-2015-5825: Yossi Oren a ďalší pracovníci laboratória Network Security Lab na Kolumbijskej univerzite

  • WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník s oprávneniami v sieti môže byť schopný spôsobiť únik citlivých používateľských informácií

    Popis: V hlavičkách Content-Disposition obsahujúcich prílohu typu dochádzalo k problému. Tento problém bol vyriešený vypnutím niektorých funkcií pre stránky príloh typu.

    CVE-ID

    CVE-2015-5921: Mickey Shkatov z tímu the Intel(r) Advanced Threat Research Team, Daoyuan Wu zo Singapurskej univerzity manažmentu, Rocky K. C. Chang z Hongkonskej polytechnickej univerzity, Łukasz Pilorz, superhei z www.knownsec.com

  • Prvok canvas mechanizmu WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku dát obrázkov z inej webovej stránky

    Popis: V obrázkoch prvkov canvas v mechanizme WebKit dochádzalo k problému so zámenou pôvodu. Tento problém bol vyriešený vylepšením sledovania pôvodov zabezpečenia.

    CVE-ID

    CVE-2015-5788: Apple

  • Načítavanie stránok mechanizmom WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Prvky WebSocket môžu obchádzať uplatňovanie politiky zmiešaného obsahu

    Popis: Problém s nedostatočným uplatňovaním politiky umožňoval prvkom WebSocket načítať zmiešaný obsah. Tento problém bol vyriešený rozšírením uplatňovania politiky zmiešaného obsahu na prvky WebSocket.

    Kevin G. Jones zo spoločnosti Higher Logic

Služba FaceTime nie je k dispozícii vo všetkých krajinách alebo oblastiach.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: