Obsah zabezpečenia v systéme iOS 9.3

V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 9.3.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

iOS 9.3

  • AppleUSBNetworking

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: USB zariadenie môže byť schopné spôsobiť odmietnutie služby

    Popis: Pri overovaní paketov dochádzalo k problému so spracovaním chýb. Tento problém bol vyriešený vylepšením spracovania chýb.

    CVE-ID

    CVE-2016-1734: Andrea Barisani a Andrej Rosano zo spoločnosti Inverse Path

  • FontParser

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Otvorenie PDF súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Problém týkajúci sa poškodenia pamäte bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2016-1740: HappilyCoded (ant4g0nist a r3dsm0k3) v spolupráci s projektom Zero Day Initiative (ZDI) spoločnosti Trend Micro

  • HTTPProtocol

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Vzdialený útočník môže byť schopný spustiť ľubovoľný kód

    Popis: Vo verziách knižnice nghttp2 starších ako 1.6.0 existovalo viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie mohli viesť k vzdialenému spusteniu kódu. Tieto problémy boli vyriešené aktualizáciou knižnice nghttp2 na verziu 1.6.0.

    CVE-ID

    CVE-2015-8659

  • IOHIDFamily

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia môže byť schopná určiť rozloženie pamäte jadra

    Popis: Problém týkajúci sa poškodenia pamäte bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2016-1748: Brandon Azad

  • Jadro

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia môže byť schopná spôsobiť odmietnutie služby

    Popis: Problém týkajúci sa odmietnutia služby bol vyriešený vylepšením overovania.

    CVE-ID

    CVE-2016-1752: CESG

  • Jadro

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

    Popis: Problém s použitím po uvoľnení bol vyriešení vylepšením spracovania pamäte.

    CVE-ID

    CVE-2016-1750: CESG

  • Jadro

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

    Popis: Viaceré problémy s pretečením celočíselných hodnôt boli vyriešené vylepšením overovania vstupu.

    CVE-ID

    CVE-2016-1753: Juwei Lin zo spoločnosti Trend Micro v spolupráci s projektom Zero Day Initiative (ZDI) spoločnosti Trend Micro

  • Jadro

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia môže byť schopná obísť podpísanie kódu

    Popis: Dochádzalo k problému s povoleniami, v dôsledku ktorého bolo nesprávne udelené povolenie na spustenie. Tento problém bol vyriešený vylepšením overovania povolení.

    CVE-ID

    CVE-2016-1751: Eric Monti zo spoločnosti Square Mobile Security

  • Jadro

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

    Popis: Počas vytvárania nových procesov dochádzalo k problému s postupnosťou vykonania procesov. Tento problém bol vyriešený vylepšením spracovávania stavu.

    CVE-ID

    CVE-2016-1757: Ian Beer z tímu Google Project Zero a Pedro Vilaça

  • Jadro

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

    Popis: Problém s dereferenciou nulového ukazovateľa bol vyriešený vylepšením overovania vstupu.

    CVE-ID

    CVE-2016-1756: Lufeng Li z tímu Qihoo 360 Vulcan Team

  • Jadro

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

    Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2016-1754: Lufeng Li z tímu Qihoo 360 Vulcan Team

    CVE-2016-1755: Ian Beer z tímu Google Project Zero

  • Jadro

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia môže byť schopná určiť rozloženie pamäte jadra

    Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením overovania vstupu.

    CVE-ID

    CVE-2016-1758: Brandon Azad

  • LaunchServices

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia môže byť schopná upraviť udalosti z iných aplikácií

    Popis: V rozhraní API služieb XPC dochádzalo k problému s overovaním obslužného programu udalostí. Tento problém bol vyriešený vylepšením overovania správ.

    CVE-ID

    CVE-2016-1760: Proteas z tímu Qihoo 360 Nirvan Team

  • libxml2

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Spracovanie súboru XML so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2015-1819

    CVE-2015-5312: David Drysdale zo spoločnosti Google

    CVE-2015-7499

    CVE-2015-7500: Kostya Serebryany zo spoločnosti Google

    CVE-2015-7942: Kostya Serebryany zo spoločnosti Google

    CVE-2015-8035: gustavo.grieco

    CVE-2015-8242: Hugh Davenport

    CVE-2016-1761: wol0xff v spolupráci s projektom Zero Day Initiative (ZDI) spoločnosti Trend Micro

    CVE-2016-1762

  • Správy

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k automatickému vyplneniu textu v iných vláknach správ

    Popis: Pri analýze adries URL SMS správ dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania adries URL.

    CVE-ID

    CVE-2016-1763: CityTog

  • Správy

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník, ktorý je schopný obísť pripnutie certifikátov spoločnosti Apple, zaznamenávať pripojenia TLS, vkladať vlastné správy a zaznamenávať šifrované správy attachment-type, môže byť schopný čítať obsah príloh

    Popis: Dochádzalo k problému so šifrovaním, ktorý bol vyriešený odmietnutím duplicitných správ na strane klienta.

    CVE-ID

    CVE-2016-1788: Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers a Michael Rushanan z Univerzity Johnsa Hopkinsa

  • Profily

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Nedôveryhodný profil MDM sa môže nesprávne zobrazovať ako overený

    Popis: V profiloch MDM dochádzalo k problému s overovaním certifikátov. Tento problém bol vyriešený používaním ďalších kontrol.

    CVE-ID

    CVE-2016-1766: Taylor Boyko v spolupráci s projektom Zero Day Initiative (ZDI) spoločnosti Trend Micro

  • Zabezpečenie

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Spracovanie certifikátu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: V dekodéri ASN.1 dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením overovania vstupu.

    CVE-ID

    CVE-2016-1950: Francis Gabriel zo spoločnosti Quarkslab

  • TrueTypeScaler

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní súborov písiem dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením overovania vstupu.

    CVE-ID

    CVE-2016-1775: 0x1byte v spolupráci s projektom Zero Day Initiative (ZDI) spoločnosti Trend Micro

  • WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2016-1778: 0x1byte v spolupráci s projektom Zero Day Initiative (ZDI) spoločnosti Trend Micro a Yang Zhao zo spoločnosti CM Security

    CVE-2016-1783: Mihai Parparita zo spoločnosti Google

  • WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Webová stránka môže byť schopná sledovať citlivé používateľské informácie

    Popis: Pri spracovaní adries URL príloh dochádzalo k problému. Tento problém bol vyriešený vylepšením spracovávania URL adries.

    CVE-ID

    CVE-2016-1781: Devdatta Akhawe zo spoločnosti Dropbox, Inc.

  • WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Webová stránka môže byť schopná sledovať citlivé používateľské informácie

    Popis: Skrytá webová stránka môže byť schopná získať prístup k údajom o orientácii a pohybe zariadenia. Tento problém bol vyriešený zablokovaním dostupnosti týchto údajov v čase, keď je webové zobrazenie skryté.

    CVE-ID

    CVE-2016-1780: Maryam Mehrnezhad, Ehsan Toreini, Siamak F. Shahandashti a Feng Hao z Fakulty informatiky na Univerzite v Newcastle, Spojené kráľovstvo

  • WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k odhaleniu aktuálnej polohy používateľa

    Popis: Pri analýze žiadostí o geografickú polohu dochádzalo k problému. Tento problém bol vyriešením vylepšením overovania bezpečnostného pôvodu žiadostí o geografickú polohu.

    CVE-ID

    CVE-2016-1779: xisigr z tímu Xuanwu Lab spoločnosti Tencent (http://www.tencent.com)

  • WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Webová stránka so škodlivým kódom môže byť schopná získať prístup k obmedzeným portom na ľubovoľných serveroch

    Popis: Dochádzalo k problému s presmerovaním portov, ktorý bol vyriešený dodatočným overovaním portov.

    CVE-ID

    CVE-2016-1782: Muneaki Nishimura (nishimunea) zo spoločnosti Recruit Technologies Co.,Ltd.

  • WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Otvorenie URL adresy so škodlivým kódom môže viesť k úniku citlivých informácií

    Popis: V presmerovaní URL adries dochádzalo k problému, v dôsledku ktorého sa audítor XSS používal v blokovom režime. Tento problém bol vyriešený vylepšením navigácie URL adries.

    CVE-ID

    CVE-2016-1864: Takeshi Terada zo spoločnosti Mitsui Bussan Secure Directions, Inc.

  • História mechanizmu WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

    Popis: Dochádzalo k problému s vyčerpaním prostriedkov, ktorý bol vyriešený vylepšením overovania vstupu.

    CVE-ID

    CVE-2016-1784: Moony Li a Jack Tang zo spoločnosti TrendMicro a 李普君 z tímu 无声信息技术PKAV (PKAV.net)

  • Načítavanie stránok mechanizmom WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k predstieraniu iného zdroja v používateľskom rozhraní

    Popis: Odpovede na presmerovanie mohli webovým stránkam so škodlivým kódom umožňovať zobraziť ľubovoľnú adresu URL a čítať obsah vyrovnávacej pamäte v cieľovom pôvode. Tento problém bol vyriešený vylepšením logiky zobrazovania adries URL.

    CVE-ID

    CVE-2016-1786: ma.la zo spoločnosti LINE Corporation

  • Načítavanie stránok mechanizmom WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Webová stránka so škodlivým kódom môže odstrániť dáta z iného miesta

    Popis: Pri kódovaní znakov dochádzalo k problému s ukladaním do vyrovnávacej pamäte. Tento problém bol vyriešený dodatočnou kontrolou požiadaviek.

    CVE-ID

    CVE-2016-1785: Anonymný výskumník

  • Wi-Fi

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník s oprávneniami v sieti môže byť schopný spustiť ľubovoľný kód

    Popis: Pre dané hodnoty EtherType dochádzalo k problému s overovaním rámcov a poškodením pamäte. Tento problém bol vyriešený dodatočným overovaním hodnôt EtherType a vylepšením spracovania pamäte.

    CVE-ID

    CVE-2016-0801: Anonymný výskumník

    CVE-2016-0802: Anonymný výskumník

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: