Obsah zabezpečenia v systéme iOS 9.2

V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 9.2.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

iOS 9.2

  • AppleMobileFileIntegrity

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: Problém s riadením prístupu bol vyriešený znemožnením úpravy štruktúr riadenia prístupu.

    CVE-ID

    CVE-2015-7055: Apple

  • AppSandbox

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže mať prístup ku kontaktom aj po zrušení prístupu

    Popis: Pri spracovávaní pevných odkazov v izolovanom priestore dochádzalo k problému. Tento problém bol vyriešený vylepšením zabezpečenia izolovaného priestoru aplikácií.

    CVE-ID

    CVE-2015-7001: Razvan Deaconescu a Mihai Bucicoiu z Polytechnickej univerzity v Bukurešti, Luke Deshotels a William Enck zo Štátnej univerzity v Severnej Karolíne, Lucas Vincenzo Davi a Ahmad-Reza Sadeghi z Technickej univerzity v Darmstadte

  • CFNetwork HTTPProtocol

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník s oprávneniami v sieti môže byť schopný obísť zabezpečenie HSTS

    Popis: Pri spracovávaní adries URL dochádzalo k problému s overovaním vstupu. Tento problém bol vyriešený vylepšením overovania adries URL.

    CVE-ID

    CVE-2015-7094: Tsubasa Iinuma (@llamakko_cafe) zo spoločnosti Gehirn Inc. a Muneaki Nishimura (nishimunea)

  • Kompresia

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: V knižnici zlib dochádzalo k problému s prístupom k neinicializovanej pamäti. Tento problém bol vyriešený vylepšením inicializácie pamäte a dodatočným overovaním streamov zlib.

    CVE-ID

    CVE-2015-7054: j00ru

  • CoreGraphics

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní súborov písiem dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením overovania vstupu.

    CVE-ID

    CVE-2015-7105: John Villamil (@day6reak), Yahoo Pentest Team

  • Prehrávanie CoreMedia

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní deformovaných mediálnych súborov dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-7074: Apple

    CVE-2015-7075

  • dyld

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: V súčasti dyld dochádzalo k viacerým problémom s overovaním segmentov. Tieto problémy boli vyriešené vylepšením čistenia prostredia.

    CVE-ID

    CVE-2015-7072: Apple

    CVE-2015-7079: PanguTeam

  • GPUTools Framework

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: V súčasti Mobile Replayer dochádzalo k viacerým problémom s overovaním ciest. Tieto problémy boli vyriešené vylepšením čistenia prostredia.

    CVE-ID

    CVE-2015-7069: Luca Todesco (@qwertyoruiop)

    CVE-2015-7070: Luca Todesco (@qwertyoruiop)

  • iBooks

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dosah: Analýza súboru aplikácie iBooks so škodlivým kódom môže viesť k sprístupneniu informácií používateľa

    Popis: Pri analýze obsahu aplikácie iBooks dochádzalo k problému s odkazmi na externé entity XML. Tento problém bol vyriešený vylepšením analýzy.

    CVE-ID

    CVE-2015-7081: Behrouz Sadeghipour (@Nahamsec) a Patrik Fehrenbach (@ITSecurityguard)

  • ImageIO

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: V súčasti ImageIO dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-7053: Apple

  • IOHIDFamily

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: V rozhraní IOHIDFamily API dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-7111: beist a ABH z BoB

    CVE-2015-7112: Ian Beer z tímu Google Project Zero

  • IOKit SCSI

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

    Popis: Pri spracovávaní určitého typu klienta používateľa dochádzalo k dereferencii nulového ukazovateľa. Tento problém bol vyriešený vylepšením overovania.

    CVE-ID

    CVE-2015-7068: Ian Beer z tímu Google Project Zero

  • Jadro

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálna aplikácia môže byť schopná spôsobiť odmietnutie služby

    Popis: Viaceré problémy súvisiace s odmietnutím služby boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-7040: Lufeng Li z tímu Qihoo 360 Vulcan Team

    CVE-2015-7041: Lufeng Li z tímu Qihoo 360 Vulcan Team

    CVE-2015-7042: Lufeng Li z tímu Qihoo 360 Vulcan Team

    CVE-2015-7043: Tarjei Mandt (@kernelpool)

  • Jadro

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálny používateľ môže byť schopný spustiť ľubovoľný kód s oprávneniami jadra

    Popis: V jadre dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-7083: Ian Beer z tímu Google Project Zero

    CVE-2015-7084: Ian Beer z tímu Google Project Zero

  • Jadro

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálny používateľ môže byť schopný spustiť ľubovoľný kód s oprávneniami jadra

    Popis: Pri analýze správ jadra Mach dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania správ jadra Mach.

    CVE-ID

    CVE-2015-7047: Ian Beer z tímu Google Project Zero

  • LaunchServices

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: Pri spracovávaní deformovaných súborov plist dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-7113: Olivier Goguel zo združenia Free Tools Association

  • libarchive

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní archívov dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2011-2895: @practicalswift

  • libc

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Spracovanie balíka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: V štandardnej knižnici jazyka C dochádzalo k viacerým pretečeniam medzipamäte. Tieto problémy boli vyriešené vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2015-7038: Brian D. Wells zo spoločnosti E. W. Scripps, Narayan Subramanian zo spoločnosti Symantec Corporation/Veritas LLC

    CVE-2015-7039: Maksymilian Arciemowicz (CXSECURITY.COM)

    Položka sa aktualizovala 3. marca 2017

  • libxml2

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Analýza dokumentu XML so škodlivým kódom môže viesť k odhaleniu informácií používateľa

    Popis: Pri analýze súborov XML dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-7115: Wei Lei a Liu Yang z Technologickej univerzity v Nanyangu

    CVE-2015-7116: Wei Lei a Liu Yang z Technologickej univerzity v Nanyangu

  • MobileStorageMounter

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: Pri načítavaní cache dôveryhodnosti dochádzalo k problému s časovým limitom. Tento problém bol vyriešený overovaním systémového prostredia pred načítaním cache dôveryhodnosti.

    CVE-ID

    CVE-2015-7051: PanguTeam

  • OpenGL

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: V súčasti OpenGL dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-7064: Apple

    CVE-2015-7065: Apple

    CVE-2015-7066: Tongbo Luo a Bo Qu zo spoločnosti Palo Alto Networks

  • Fotky

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník môže byť schopný použiť systém zálohovania na získanie prístupu k zakázaným oblastiam súborového systému

    Popis: V súčasti Mobile Backup dochádzalo k problému s overovaním cesty. Tento problém bol vyriešený vylepšením čistenia prostredia.

    CVE-ID

    CVE-2015-7037: PanguTeam

  • QuickLook

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Otvorenie súboru iWork so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní súborov iWork dochádzalo k problému s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-7107

  • Safari

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k predstieraniu iného zdroja v používateľskom rozhraní

    Popis: Existoval problém, ktorý mohol umožňovať, aby sa na webovej stránke zobrazil obsah s adresou URL inej webovej stránky. Tento problém bol vyriešený vylepšením spracovávania URL adries.

    CVE-ID

    CVE-2015-7093: xisigr z Xuanwu LAB spoločnosti Tencent (www.tencent.com)

  • Izolovaný priestor

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom a oprávneniami koreňového používateľa môže byť schopná obísť náhodné usporiadanie rozloženia priestoru adries jadra

    Popis: V súčasti xnu dochádzalo k problému s nedostatočným oddelením privilégií. Tento problém bol vyriešený vylepšením kontrol autorizácie.

    CVE-ID

    CVE-2015-7046: Apple

  • Zabezpečenie

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Vzdialený útočník môže spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu

    Popis: Pri spracovávaní synchronizácií SSL dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-7073: Benoit Foucher zo spoločnosti ZeroC, Inc.

  • Zabezpečenie

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže získať prístup k položkám kľúčenky používateľa

    Popis: Pri overovaní zoznamov riadenia prístupu k položkám kľúčenky dochádzalo k problému. Tento problém bol vyriešený vylepšením kontrol zoznamov riadenia prístupu.

    CVE-ID

    CVE-2015-7058

  • Siri

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Osoba s fyzickým prístupom k iOS zariadeniu môže byť schopná používať Siri na čítanie hlásení obsahu, ktorý je nastavený tak, aby sa nezobrazoval na zamknutej ploche

    Popis: Pri požiadavke na Siri server nekontroloval obmedzenia na strane klienta. Tento problém bol vyriešený vylepšením kontroly obmedzení.

    CVE-ID

    CVE-2015-7080: Or Safran (www.linkedin.com/profile/view?id=33912591)

  • WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: V mechanizme WebKit dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-7048: Apple

    CVE-2015-7095: Apple

    CVE-2015-7096: Apple

    CVE-2015-7097: Apple

    CVE-2015-7098: Apple

    CVE-2015-7099: Apple

    CVE-2015-7100: Apple

    CVE-2015-7101: Apple

    CVE-2015-7102: Apple

    CVE-2015-7103: Apple

  • WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k odhaleniu histórie prezerania používateľa

    Popis: Pri blokovaní obsahu dochádzalo k problému súvisiacemu s nedostatočným overovaním vstupu. Tento problém bol vyriešený vylepšením analýzy rozšírení obsahu.

    CVE-ID

    CVE-2015-7050: Luke Li a Jonathan Metzman

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: