Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.
Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
iOS 10.2.1
Vydané 23. januára 2017
Server APNs
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Útočník s oprávneniami v sieti môže sledovať aktivitu používateľa
Popis: Klientsky certifikát sa odosielal ako obyčajný text. Tento problém bol vyriešený vylepšením spracovávania certifikátov.
CVE-2017-2383: Matthias Wachs a Quirin Scheitle z Mníchovskej technickej univerzity (TUM)
Dátum pridania záznamu: 28. marca 2017
História hovorov
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Aktualizácie histórie hovorov súčasti CallKit sa odosielajú do iCloudu
Popis: Dochádzalo k problému pri zabránení nahrávaniu histórie hovorov súčasti CallKit do iCloudu. Tieto problémy boli vyriešené vylepšením logiky.
CVE-2017-2375: Elcomsoft
Dátum pridania záznamu: 21. februára 2017
Kontakty
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Spracovanie vizitky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie
Popis: Pri analýze vizitiek dochádzalo k problému súvisiacemu s overovaním vstupu. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2017-2368: Vincent Desmurs (vincedes3)
Jadro
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s pretečením medzipamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-2370: Ian Beer z tímu Google Project Zero
Jadro
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2017-2360: Ian Beer z tímu Google Project Zero
libarchive
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Rozbalenie archívu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením medzipamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2016-8687: Agostino Sarubbo zo spoločnosti Gentoo
Odomknutie pomocou iPhonu
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Hodinky Apple Watch sa môžu odomknúť, aj keď ich používateľ nemá na zápästí
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2017-2352: Ashley Fernandez zo spoločnosti raptAware Pty Ltd
Dátum aktualizovania záznamu: 25. januára 2017
WebKit
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neoprávnenému získaniu dát s rôznym pôvodom
Popis: Dochádzalo k problému súvisiacemu s prístupom k prototypu, ktorý bol vyriešený vylepšením spracovania výnimiek.
CVE-2017-2350: Gareth Heyes zo spoločnosti Portswigger Web Security
WebKit
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2017-2354: Neymar z tímu Xuanwu Lab spoločnosti Tencent (tencent.com) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2017-2362: Ivan Fratric z tímu Google Project Zero
CVE-2017-2373: Ivan Fratric z tímu Google Project Zero
WebKit
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-2355: Team Pangu a lokihardt na podujatí PwnFest 2016
WebKit
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.
CVE-2017-2356: Team Pangu a lokihardt na podujatí PwnFest 2016
CVE-2017-2369: Ivan Fratric z tímu Google Project Zero
CVE-2017-2366: Kai Kang z tímu Xuanwu Lab spoločnosti Tencent (tencent.com)
WebKit
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neoprávnenému získaniu dát s rôznym pôvodom
Popis: Pri spracovávaní načítania stránok dochádzalo k problému s overovaním. Tieto problémy boli vyriešené vylepšením logiky.
CVE-2017-2363: lokihardt z tímu Google Project Zero
CVE-2017-2364: lokihardt z tímu Google Project Zero
WebKit
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Škodlivá webová stránka môže otvárať vyskakovacie okná
Popis: Pri spracovávaní blokovania vyskakovacích okien dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2017-2371: lokihardt z tímu Google Project Zero
WebKit
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neoprávnenému získaniu dát s rôznym pôvodom
Popis: Pri spracovávaní premenných dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania.
CVE-2017-2365: lokihardt z tímu Google Project Zero
Wi-Fi
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Zariadenie so zapnutým zámkom aktivácie možno zmanipulovať tak, aby nakrátko zobrazilo plochu
Popis: Dochádzalo k problému so spracovaním vstupu používateľa, ktorý spôsoboval, že zariadenie zobrazilo plochu aj pri zapnutom zámku aktivácie. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2017-2351: Hemanth Joseph, Sriram (@Sri_Hxor) zo spoločnosti Primefort Pvt. Ltd., Mohamd Imran
Dátum aktualizovania záznamu: 21. februára 2017
Ďalšie poďakovanie
Zabezpečenie WebKitu
Poďakovanie za pomoc si zaslúžia Ben Gras, Kaveh Razavi, Erik Bosman, Herbert Bos a Cristiano Giuffrida zo skupiny VUSec na univerzite Vrije Universiteit Amsterdam.