Obsah zabezpečenia v systéme iOS 9.1

V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 9.1.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

iOS 9.1

  • Accelerate Framework

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: V zostave Accelerate Framework vo viacjadrovom režime dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením overovania prvkov na prístup a uzamykania objektov.

    CVE-ID

    CVE-2015-5940: Apple

  • Bom

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Rozbalenie archívu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: V spracovávaní archívov CPIO existovalo nedostatočne zabezpečené miesto súvisiace s prechádzaním súbormi. Tento problém bol vyriešený vylepšením overovania metadát.

    CVE-ID

    CVE-2015-7006: Mark Dowd zo spoločnosti Azimuth Security

  • CFNetwork

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k prepísaniu súborov cookie

    Popis: Pri spracovávaní súborov cookie s rôznou veľkosťou písmen dochádzalo k problému s analýzou. Tento problém bol vyriešený vylepšením analýzy.

    CVE-ID

    CVE-2015-7023: Marvin Scholz a Michael Lutonsky, Xiaofeng Zheng a Jinjin Liang z Univerzity Tsinghua, Jian Jiang z Kalifornskej univerzity v Berkeley, Haixin Duan z Univerzity Tsinghua a Medzinárodného inštitútu počítačových vied, Shuo Chen z výskumného oddelenia spoločnosti Microsoft v Redmonde, Tao Wan zo spoločnosti Huawei Canada, Nicholas Weaver z Medzinárodného inštitútu počítačových vied a Kalifornskej univerzity v Berkeley v spolupráci s centrom CERT/CC

  • configd

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení

    Popis: V knižnici klientov systému DNS dochádzalo k problému s pretečením medzipamäte súvisiacemu s haldou. Aplikácia so škodlivým kódom a schopnosťou falšovať odpovede lokálnej služby configd môže byť schopná spôsobiť spustenie ľubovoľného kódu v klientoch systému DNS.

    CVE-ID

    CVE-2015-7015: PanguTeam

  • CoreGraphics

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: V súčasti CoreGraphics dochádzalo k viacerým problémom s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-5925: Apple

    CVE-2015-5926: Apple

  • CoreText

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní súborov písiem dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Tieto problémy boli vyriešené vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2015-6975: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6992: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7017: John Villamil (@day6reak), Yahoo Pentest Team

  • DiskImages

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: Pri analýze obrazov diskov dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-6995: Ian Beer z tímu Google Project Zero

  • FontParser

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní súborov písiem dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Tieto problémy boli vyriešené vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2015-5927: Apple

    CVE-2015-5942

    CVE-2015-6976: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6977: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6978: Jaanus Kp zo spoločnosti Clarified Security v spolupráci s projektom HP Zero Day Initiative

    CVE-2015-6990: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6991: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6993: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7008: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7009: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7010: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7018: John Villamil (@day6reak), Yahoo Pentest Team

  • GasGauge

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

    Popis: V jadre dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-6979: PanguTeam

  • Grand Central Dispatch

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Spracovanie balíka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní volaní odoslania dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-6989: Apple

  • Grafický ovládač

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Spustenie škodlivej aplikácie môže viesť k spusteniu ľubovoľného kódu v jadre

    Popis: V module AppleVXD393 dochádzalo k problému so zámenou typu. Tento problém bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-6986: Proteas z tímu Qihoo 360 Nirvan Team

  • ImageIO

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Zobrazenie súboru obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: Pri analýze metadát obrázkov dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Tieto problémy boli vyriešené vylepšením overovania metadát.

    CVE-ID

    CVE-2015-5935: Apple

    CVE-2015-5936: Apple

    CVE-2015-5937: Apple

    CVE-2015-5939: Apple

  • IOAcceleratorFamily

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: V súčasti IOAcceleratorFamily dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-6996: Ian Beer z tímu Google Project Zero

  • IOHIDFamily

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

    Popis: V jadre dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-6974: Luca Todesco (@qwertyoruiop)

  • Jadro

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálna aplikácia môže byť schopná spôsobiť odmietnutie služby

    Popis: V jadre dochádzalo k problému súvisiacemu s overovaním vstupu. Tento problém bol vyriešený vylepšením overovania vstupu.

    CVE-ID

    CVE-2015-7004: Sergi Alvarez (pancake) z tímu NowSecure Research Team

  • Jadro

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník s oprávneniami v sieti môže byť schopný spustiť ľubovoľný kód

    Popis: V jadre dochádzalo k problému súvisiacemu s neinicializovanou pamäťou. Tento problém bol vyriešený vylepšením inicializácie pamäte.

    CVE-ID

    CVE-2015-6988: The Brainy Code Scanner (m00nbsd)

  • Jadro

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálna aplikácia môže byť schopná spôsobiť odmietnutie služby

    Popis: Pri opätovnom používaní virtuálnej pamäte dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania.

    CVE-ID

    CVE-2015-6994: Mark Mentovai zo spoločnosti Google Inc.

  • mDNSResponder

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu

    Popis: Pri analýze dát DNS dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Tieto problémy boli vyriešené vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2015-7987: Alexandre Helie

  • mDNSResponder

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálna aplikácia môže byť schopná spôsobiť odmietnutie služby

    Popis: Dochádzalo k problému s dereferenciou nulového ukazovateľa, ktorý bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-7988: Alexandre Helie

  • Centrum hlásení

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Hlásenia aplikácií Telefón a Správy sa môžu zobrazovať na zamknutej ploche, aj keď je príslušná možnosť vypnutá

    Popis: Po vypnutí možnosti Zobraziť na zamknutej ploche pre aplikáciu Telefón alebo Správy sa zmeny konfigurácie nepoužili okamžite. Tento problém bol vyriešený vylepšením správy stavu.

    CVE-ID

    CVE-2015-7000: William Redwood z Hampton School

  • OpenGL

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: V súčasti OpenGL dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-5924: Apple

  • Zabezpečenie

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Spracovanie certifikátu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: V dekodéri ASN.1 dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Tieto problémy boli vyriešené vylepšením overovania vstupu.

    CVE-ID

    CVE-2015-7059: David Keeler zo spoločnosti Mozilla

    CVE-2015-7060: Tyson Smith zo spoločnosti Mozilla

    CVE-2015-7061: Ryan Sleevi zo spoločnosti Google

  • Zabezpečenie

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže byť schopná prepísať ľubovoľné súbory

    Popis: Pri spracovávaní popisovačov AtomicBufferedFile dochádzalo k problému s dvojitým uvoľnením. Tento problém bol vyriešený vylepšením overovania popisovačov AtomicBufferedFile.

    CVE-ID

    CVE-2015-6983: David Benjamin, Greg Kerr, Mark Mentovai a Sergey Ulanov z tímu prehliadača Chrome

  • Zabezpečenie

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník môže byť schopný nastaviť zrušený certifikát tak, aby vyzeral ako platný

    Popis: V klientovi OCSP dochádzalo k problému s overovaním. Tento problém bol vyriešený kontrolou času uplynutia platnosti certifikátu OCSP.

    CVE-ID

    CVE-2015-6999: Apple

  • Zabezpečenie

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Vyhodnotenie dôveryhodnosti nakonfigurované na vyžadovanie kontroly zrušenia môže byť úspešné, aj keď kontrola zrušenia zlyhala

    Popis: Príznak kSecRevocationRequirePositiveResponse bol zadaný, ale nebol implementovaný. Tento problém bol vyriešený implementovaním tohto príznaku.

    CVE-ID

    CVE-2015-6997: Apple

  • Telefónne funkcie

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom byť schopná spôsobiť únik citlivých používateľských informácií

    Popis: V rámci kontrol autorizácie na odosielanie dotazov na stav telefonického hovoru dochádzalo k problému. Tento problém bol vyriešený pridaním dotazov na stav autorizácie.

    CVE-ID

    CVE-2015-7022: Andreas Kurtz zo spoločnosti NESO Security Labs

  • WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: V mechanizme WebKit dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-5928: Apple

    CVE-2015-5929: Apple

    CVE-2015-5930: Apple

    CVE-2015-6981

    CVE-2015-6982

    CVE-2015-7002: Apple

    CVE-2015-7005: Apple

    CVE-2015-7012: Apple

    CVE-2015-7014

    CVE-2015-7104: Apple

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: