Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.
Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.
Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.
Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.
iOS 9.1
Accelerate Framework
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: V zostave Accelerate Framework vo viacjadrovom režime dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením overovania prvkov na prístup a uzamykania objektov.
CVE-ID
CVE-2015-5940: Apple
Bom
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Rozbalenie archívu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: V spracovávaní archívov CPIO existovalo nedostatočne zabezpečené miesto súvisiace s prechádzaním súbormi. Tento problém bol vyriešený vylepšením overovania metadát.
CVE-ID
CVE-2015-7006: Mark Dowd zo spoločnosti Azimuth Security
CFNetwork
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k prepísaniu súborov cookie
Popis: Pri spracovávaní súborov cookie s rôznou veľkosťou písmen dochádzalo k problému s analýzou. Tento problém bol vyriešený vylepšením analýzy.
CVE-ID
CVE-2015-7023: Marvin Scholz a Michael Lutonsky, Xiaofeng Zheng a Jinjin Liang z Univerzity Tsinghua, Jian Jiang z Kalifornskej univerzity v Berkeley, Haixin Duan z Univerzity Tsinghua a Medzinárodného inštitútu počítačových vied, Shuo Chen z výskumného oddelenia spoločnosti Microsoft v Redmonde, Tao Wan zo spoločnosti Huawei Canada, Nicholas Weaver z Medzinárodného inštitútu počítačových vied a Kalifornskej univerzity v Berkeley v spolupráci s centrom CERT/CC
configd
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: V knižnici klientov systému DNS dochádzalo k problému s pretečením medzipamäte súvisiacemu s haldou. Aplikácia so škodlivým kódom a schopnosťou falšovať odpovede lokálnej služby configd môže byť schopná spôsobiť spustenie ľubovoľného kódu v klientoch systému DNS.
CVE-ID
CVE-2015-7015: PanguTeam
CoreGraphics
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: V súčasti CoreGraphics dochádzalo k viacerým problémom s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.
CVE-ID
CVE-2015-5925: Apple
CVE-2015-5926: Apple
CoreText
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Pri spracovávaní súborov písiem dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Tieto problémy boli vyriešené vylepšením kontroly rozsahu.
CVE-ID
CVE-2015-6975: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6992: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7017: John Villamil (@day6reak), Yahoo Pentest Team
DiskImages
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Pri analýze obrazov diskov dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2015-6995: Ian Beer z tímu Google Project Zero
FontParser
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Pri spracovávaní súborov písiem dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Tieto problémy boli vyriešené vylepšením kontroly rozsahu.
CVE-ID
CVE-2015-5927: Apple
CVE-2015-5942
CVE-2015-6976: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6977: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6978: Jaanus Kp zo spoločnosti Clarified Security v spolupráci s projektom HP Zero Day Initiative
CVE-2015-6990: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6991: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6993: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7008: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7009: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7010: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7018: John Villamil (@day6reak), Yahoo Pentest Team
GasGauge
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: V jadre dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2015-6979: PanguTeam
Grand Central Dispatch
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Spracovanie balíka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Pri spracovávaní volaní odoslania dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2015-6989: Apple
Grafický ovládač
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Spustenie škodlivej aplikácie môže viesť k spusteniu ľubovoľného kódu v jadre
Popis: V module AppleVXD393 dochádzalo k problému so zámenou typu. Tento problém bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2015-6986: Proteas z tímu Qihoo 360 Nirvan Team
ImageIO
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Zobrazenie súboru obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Pri analýze metadát obrázkov dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Tieto problémy boli vyriešené vylepšením overovania metadát.
CVE-ID
CVE-2015-5935: Apple
CVE-2015-5936: Apple
CVE-2015-5937: Apple
CVE-2015-5939: Apple
IOAcceleratorFamily
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: V súčasti IOAcceleratorFamily dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2015-6996: Ian Beer z tímu Google Project Zero
IOHIDFamily
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: V jadre dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2015-6974: Luca Todesco (@qwertyoruiop)
Jadro
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Lokálna aplikácia môže byť schopná spôsobiť odmietnutie služby
Popis: V jadre dochádzalo k problému súvisiacemu s overovaním vstupu. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-ID
CVE-2015-7004: Sergi Alvarez (pancake) z tímu NowSecure Research Team
Jadro
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Útočník s oprávneniami v sieti môže byť schopný spustiť ľubovoľný kód
Popis: V jadre dochádzalo k problému súvisiacemu s neinicializovanou pamäťou. Tento problém bol vyriešený vylepšením inicializácie pamäte.
CVE-ID
CVE-2015-6988: The Brainy Code Scanner (m00nbsd)
Jadro
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Lokálna aplikácia môže byť schopná spôsobiť odmietnutie služby
Popis: Pri opätovnom používaní virtuálnej pamäte dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania.
CVE-ID
CVE-2015-6994: Mark Mentovai zo spoločnosti Google Inc.
mDNSResponder
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dôsledok: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Popis: Pri analýze dát DNS dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Tieto problémy boli vyriešené vylepšením kontroly rozsahu.
CVE-ID
CVE-2015-7987: Alexandre Helie
mDNSResponder
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Lokálna aplikácia môže byť schopná spôsobiť odmietnutie služby
Popis: Dochádzalo k problému s dereferenciou nulového ukazovateľa, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2015-7988: Alexandre Helie
Centrum hlásení
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Hlásenia aplikácií Telefón a Správy sa môžu zobrazovať na zamknutej ploche, aj keď je príslušná možnosť vypnutá
Popis: Po vypnutí možnosti Zobraziť na zamknutej ploche pre aplikáciu Telefón alebo Správy sa zmeny konfigurácie nepoužili okamžite. Tento problém bol vyriešený vylepšením správy stavu.
CVE-ID
CVE-2015-7000: William Redwood z Hampton School
OpenGL
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: V súčasti OpenGL dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2015-5924: Apple
Zabezpečenie
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Spracovanie certifikátu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: V dekodéri ASN.1 dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Tieto problémy boli vyriešené vylepšením overovania vstupu.
CVE-ID
CVE-2015-7059: David Keeler zo spoločnosti Mozilla
CVE-2015-7060: Tyson Smith zo spoločnosti Mozilla
CVE-2015-7061: Ryan Sleevi zo spoločnosti Google
Zabezpečenie
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná prepísať ľubovoľné súbory
Popis: Pri spracovávaní popisovačov AtomicBufferedFile dochádzalo k problému s dvojitým uvoľnením. Tento problém bol vyriešený vylepšením overovania popisovačov AtomicBufferedFile.
CVE-ID
CVE-2015-6983: David Benjamin, Greg Kerr, Mark Mentovai a Sergey Ulanov z tímu prehliadača Chrome
Zabezpečenie
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Útočník môže byť schopný nastaviť zrušený certifikát tak, aby vyzeral ako platný
Popis: V klientovi OCSP dochádzalo k problému s overovaním. Tento problém bol vyriešený kontrolou času uplynutia platnosti certifikátu OCSP.
CVE-ID
CVE-2015-6999: Apple
Zabezpečenie
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Vyhodnotenie dôveryhodnosti nakonfigurované na vyžadovanie kontroly zrušenia môže byť úspešné, aj keď kontrola zrušenia zlyhala
Popis: Príznak kSecRevocationRequirePositiveResponse bol zadaný, ale nebol implementovaný. Tento problém bol vyriešený implementovaním tohto príznaku.
CVE-ID
CVE-2015-6997: Apple
Telefónne funkcie
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom byť schopná spôsobiť únik citlivých používateľských informácií
Popis: V rámci kontrol autorizácie na odosielanie dotazov na stav telefonického hovoru dochádzalo k problému. Tento problém bol vyriešený pridaním dotazov na stav autorizácie.
CVE-ID
CVE-2015-7022: Andreas Kurtz zo spoločnosti NESO Security Labs
WebKit
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: V mechanizme WebKit dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.
CVE-ID
CVE-2015-5928: Apple
CVE-2015-5929: Apple
CVE-2015-5930: Apple
CVE-2015-6981
CVE-2015-6982
CVE-2015-7002: Apple
CVE-2015-7005: Apple
CVE-2015-7012: Apple
CVE-2015-7014
CVE-2015-7104: Apple