Obsah zabezpečenia v systéme iOS 10.2.1

V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 10.2.1.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.

Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.

Ak je to možné, dokumenty spoločnosti Apple týkajúce sa zabezpečenia odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

iOS 10.2.1

Vydané 23. januára 2017

Server APNs

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Útočník s oprávneniami v sieti môže sledovať aktivitu používateľa

Popis: Klientsky certifikát sa odosielal ako obyčajný text. Tento problém bol vyriešený vylepšením spracovávania certifikátov.

CVE-2017-2383: Matthias Wachs a Quirin Scheitle z Mníchovskej technickej univerzity (TUM)

Dátum pridania záznamu: 28. marca 2017

História hovorov

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Aktualizácie histórie hovorov súčasti CallKit sa odosielajú do iCloudu

Popis: Dochádzalo k problému pri zabránení odosielania histórie hovorov súčasti CallKit do iCloudu. Tento problém bol vyriešený vylepšením logiky.

CVE-2017-2375: Elcomsoft

Dátum pridania záznamu: 21. februára 2017

Kontakty

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Spracovanie vizitky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie

Popis: Pri analýze vizitiek dochádzalo k problému súvisiacemu s overovaním vstupu. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2017-2368: Vincent Desmurs (vincedes3)

Jadro

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s pretečením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-2370: Ian Beer z tímu Google Project Zero

Jadro

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s použitím po uvoľnení, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-2360: Ian Beer z tímu Google Project Zero

libarchive

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Rozbalenie archívu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s pretečením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2016-8687: Agostino Sarubbo zo spoločnosti Gentoo

Odomknutie pomocou iPhonu

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Hodinky Apple Watch sa môžu odomknúť, aj keď ich používateľ nemá na zápästí

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2017-2352: Ashley Fernandez zo spoločnosti raptAware Pty Ltd

Dátum aktualizovania záznamu: 25. januára 2017

WebKit

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k získaniu dát s rôznym pôvodom

Popis: Dochádzalo k problému súvisiacemu s prístupom k prototypu, ktorý bol vyriešený vylepšením spracovania výnimiek.

CVE-2017-2350: Gareth Heyes zo spoločnosti Portswigger Web Security

WebKit

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2017-2354: Neymar z tímu Xuanwu Lab spoločnosti Tencent (tencent.com) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2017-2362: Ivan Fratric z tímu Google Project Zero

CVE-2017-2373: Ivan Fratric z tímu Google Project Zero

WebKit

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-2355: Team Pangu a lokihardt na podujatí PwnFest 2016

WebKit

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.

CVE-2017-2356: Team Pangu a lokihardt na podujatí PwnFest 2016

CVE-2017-2369: Ivan Fratric z tímu Google Project Zero

CVE-2017-2366: Kai Kang z tímu Xuanwu Lab spoločnosti Tencent (tencent.com)

WebKit

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k získaniu dát s rôznym pôvodom

Popis: Pri spracovávaní načítania stránok dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením logiky.

CVE-2017-2363: lokihardt z tímu Google Project Zero

CVE-2017-2364: lokihardt z tímu Google Project Zero

WebKit

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Škodlivá webová stránka môže otvárať vyskakovacie okná

Popis: Pri spracovávaní blokovania vyskakovacích okien dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2017-2371: lokihardt z tímu Google Project Zero

WebKit

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k získaniu dát s rôznym pôvodom

Popis: Pri spracovávaní premenných dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania.

CVE-2017-2365: lokihardt z tímu Google Project Zero

Wi-Fi

K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)

Dopad: Zariadenie so zapnutým zámkom aktivácie možno zmanipulovať tak, aby nakrátko zobrazilo plochu

Popis: Dochádzalo k problému so spracovaním vstupu používateľa, ktorý spôsoboval, že zariadenie zobrazilo plochu aj pri zapnutom zámku aktivácie. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2017-2351: Hemanth Joseph, Sriram (@Sri_Hxor) zo spoločnosti Primefort Pvt. Ltd., Mohamd Imran

Dátum aktualizovania záznamu: 21. februára 2017

Ďalšie poďakovanie

Zabezpečenie WebKitu

Poďakovanie za pomoc si zaslúžia Ben Gras, Kaveh Razavi, Erik Bosman, Herbert Bos a Cristiano Giuffrida zo skupiny VUSec na univerzite Vrije Universiteit Amsterdam.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: