Obsah zabezpečenia v systéme iOS 9.3.2

V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 9.3.2.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

iOS 9.3.2

  • Prístupnosť

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže byť schopná spôsobiť únik citlivých používateľských informácií

    Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.

    CVE-ID

    CVE-2016-1790: Rapelly Akhil

  • Servery proxy súčasti CFNetwork

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník s oprávneniami v sieti môže byť schopný spôsobiť únik citlivých používateľských informácií

    Popis: Pri spracovávaní požiadaviek HTTP a HTTPS dochádzalo k úniku informácií z pamäte. Tento problém bol vyriešený vylepšením spracovávania URL adries.

    CVE-ID

    CVE-2016-1801: Alex Chapman a Paul Stone zo spoločnosti Context Information Security

  • CommonCrypto

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom byť schopná spôsobiť únik citlivých používateľských informácií

    Popis: V súčasti CCCrypt dochádzalo k problému pri spracovaní vrátených hodnôt. Tento problém bol vyriešený vylepšením správy dĺžky kľúčov.

    CVE-ID

    CVE-2016-1802: Klaus Rodewig

  • CoreCapture

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

    Popis: Dochádzalo k problému s dereferenciou nulového ukazovateľa, ktorý bol vyriešený vylepšením overovania.

    CVE-ID

    CVE-2016-1803: Ian Beer z tímu Google Project Zero, daybreaker v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

  • DiskImages

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálny útočník môže byť schopný čítať pamäť jadra

    Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.

    CVE-ID

    CVE-2016-1807: Ian Beer z tímu Google Project Zero

  • DiskImages

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

    Popis: Pri analýze obrazov diskov dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2016-1808: Moony Li (@Flyic) a Jack Tang (@jacktang310) zo spoločnosti Trend Micro

  • ImageIO

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k odmietnutiu služby

    Popis: Dochádzalo k problému s dereferenciou nulového ukazovateľa, ktorý bol vyriešený vylepšením overovania.

    CVE-ID

    CVE-2016-1811: Lander Brandt (@landaire)

  • IOAcceleratorFamily

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

    Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2016-1817: Moony Li (@Flyic) a Jack Tang (@jacktang310) zo spoločnosti Trend Micro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

    CVE-2016-1818: Juwei Lin zo spoločnosti TrendMicro, sweetchip@GRAYHASH v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

    CVE-2016-1819: Ian Beer z tímu Google Project Zero

    Dátum aktualizovania záznamu: 13. decembra 2016

  • IOAcceleratorFamily

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia môže byť schopná spôsobiť odmietnutie služby

    Popis: Dochádzalo k problému s dereferenciou nulového ukazovateľa, ktorý bol vyriešený vylepšením zamykania.

    CVE-ID

    CVE-2016-1814: Juwei Lin zo spoločnosti TrendMicro

  • IOAcceleratorFamily

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

    Popis: Dochádzalo k problému s dereferenciou nulového ukazovateľa, ktorý bol vyriešený vylepšením overovania.

    CVE-ID

    CVE-2016-1813: Ian Beer z tímu Google Project Zero

  • IOHIDFamily

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

    Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2016-1823: Ian Beer z tímu Google Project Zero

    CVE-2016-1824: Marco Grassi (@marcograss) z tímu KeenLab (@keen_lab), Tencent

    CVE-2016-4650: Peter Pi zo spoločnosti Trend Micro v spolupráci s projektom HP Zero Day Initiative

  • Jadro

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

    Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2016-1827: Brandon Azad

    CVE-2016-1828: Brandon Azad

    CVE-2016-1829: CESG

    CVE-2016-1830: Brandon Azad

    CVE-2016-1831: Brandon Azad

  • libc

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálny útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu

    Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

    CVE-ID

    CVE-2016-1832: Karl Williamson

  • libxml2

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Spracovanie súboru XML so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2016-1833: Mateusz Jurczyk

    CVE-2016-1834: Apple

    CVE-2016-1835: Wei Lei a Liu Yang z Technologickej univerzity v Nanyangu

    CVE-2016-1836: Wei Lei a Liu Yang z Technologickej univerzity v Nanyangu

    CVE-2016-1837: Wei Lei a Liu Yang z Technologickej univerzity v Nanyangu

    CVE-2016-1838: Mateusz Jurczyk

    CVE-2016-1839: Mateusz Jurczyk

    CVE-2016-1840: Kostya Serebryany

  • libxslt

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2016-1841: Sebastian Apelt

  • MapKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník s oprávneniami v sieti môže byť schopný spôsobiť únik citlivých používateľských informácií

    Popis: Zdieľané odkazy sa odosielali cez protokol HTTP, a nie cez protokol HTTPS. Tento problém bol vyriešený povolením protokolu HTTPS pre zdieľané odkazy.

    CVE-ID

    CVE-2016-1842: Richard Shupak (https://www.linkedin.com/in/rshupak)

  • OpenGL

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2016-1847: Tongbo Luo a Bo Qu zo spoločnosti Palo Alto Networks

  • Safari

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Používateľ nemusí byť schopný úplne vymazať históriu prezerania

    Popis: Pri použití možnosti Vymazať históriu a dáta webstránok sa nevyčistila história. Tento problém bol vyriešený vylepšením vymazávania dát.

    CVE-ID

    CVE-2016-1849: Anonymný výskumník

  • Siri

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Osoba s fyzickým prístupom k zariadeniu so systémom iOS môže prostredníctvom Siri získať prístup ku kontaktom a fotkám zo zamknutej plochy

    Popis: Pri prístupe k výsledkom Siri na zamknutej ploche dochádzalo k problému so správou stavu. Tento problém bol vyriešený zakázaním detektorov dát vo výsledkoch z Twittera, keď je zariadenie zamknuté.

    CVE-ID

    CVE-2016-1852: videosdebarraquito

  • WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku dát z inej webovej stránky

    Popis: Dochádzalo k problému s nedostatočným sledovaním narušení pri analýze obrázkov svg, ktorý bol vyriešený vylepšením sledovania narušení.

    CVE-ID

    CVE-2016-1858: Anonymný výskumník

  • WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2016-1854 : Hnutie Anonymous v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

    CVE-2016-1855: Tongbo Luo a Bo Qu zo spoločnosti Palo Alto Networks

    CVE-2016-1856: lokihardt v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

    CVE-2016-1857: Jeonghoon Shin@A.D.D a Liang Chen, Zhen Feng, wushi z tímu KeenLab, Tencent v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

  • Prvok canvas mechanizmu WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2016-1859: Liang Chen, wushi z tímu KeenLab, Tencent v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: