Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.
Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.
Ak je to možné, dokumenty spoločnosti Apple týkajúce sa zabezpečenia odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
iOS 10.2.1
Vydané 23. januára 2017
Server APNs
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Útočník s oprávneniami v sieti môže sledovať aktivitu používateľa
Popis: Klientsky certifikát sa odosielal ako obyčajný text. Tento problém bol vyriešený vylepšením spracovávania certifikátov.
CVE-2017-2383: Matthias Wachs a Quirin Scheitle z Mníchovskej technickej univerzity (TUM)
Dátum pridania záznamu: 28. marca 2017
História hovorov
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Aktualizácie histórie hovorov súčasti CallKit sa odosielajú do iCloudu
Popis: Dochádzalo k problému pri zabránení odosielania histórie hovorov súčasti CallKit do iCloudu. Tento problém bol vyriešený vylepšením logiky.
CVE-2017-2375: Elcomsoft
Dátum pridania záznamu: 21. februára 2017
Kontakty
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Spracovanie vizitky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie
Popis: Pri analýze vizitiek dochádzalo k problému súvisiacemu s overovaním vstupu. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2017-2368: Vincent Desmurs (vincedes3)
Jadro
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s pretečením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-2370: Ian Beer z tímu Google Project Zero
Jadro
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s použitím po uvoľnení, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-2360: Ian Beer z tímu Google Project Zero
libarchive
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Rozbalenie archívu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s pretečením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2016-8687: Agostino Sarubbo zo spoločnosti Gentoo
Odomknutie pomocou iPhonu
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Hodinky Apple Watch sa môžu odomknúť, aj keď ich používateľ nemá na zápästí
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2017-2352: Ashley Fernandez zo spoločnosti raptAware Pty Ltd
Dátum aktualizovania záznamu: 25. januára 2017
WebKit
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k získaniu dát s rôznym pôvodom
Popis: Dochádzalo k problému súvisiacemu s prístupom k prototypu, ktorý bol vyriešený vylepšením spracovania výnimiek.
CVE-2017-2350: Gareth Heyes zo spoločnosti Portswigger Web Security
WebKit
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2017-2354: Neymar z tímu Xuanwu Lab spoločnosti Tencent (tencent.com) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2017-2362: Ivan Fratric z tímu Google Project Zero
CVE-2017-2373: Ivan Fratric z tímu Google Project Zero
WebKit
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-2355: Team Pangu a lokihardt na podujatí PwnFest 2016
WebKit
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.
CVE-2017-2356: Team Pangu a lokihardt na podujatí PwnFest 2016
CVE-2017-2369: Ivan Fratric z tímu Google Project Zero
CVE-2017-2366: Kai Kang z tímu Xuanwu Lab spoločnosti Tencent (tencent.com)
WebKit
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k získaniu dát s rôznym pôvodom
Popis: Pri spracovávaní načítania stránok dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením logiky.
CVE-2017-2363: lokihardt z tímu Google Project Zero
CVE-2017-2364: lokihardt z tímu Google Project Zero
WebKit
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Škodlivá webová stránka môže otvárať vyskakovacie okná
Popis: Pri spracovávaní blokovania vyskakovacích okien dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2017-2371: lokihardt z tímu Google Project Zero
WebKit
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k získaniu dát s rôznym pôvodom
Popis: Pri spracovávaní premenných dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania.
CVE-2017-2365: lokihardt z tímu Google Project Zero
Wi-Fi
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia), iPod touch (6. generácia a novšia)
Dopad: Zariadenie so zapnutým zámkom aktivácie možno zmanipulovať tak, aby nakrátko zobrazilo plochu
Popis: Dochádzalo k problému so spracovaním vstupu používateľa, ktorý spôsoboval, že zariadenie zobrazilo plochu aj pri zapnutom zámku aktivácie. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2017-2351: Hemanth Joseph, Sriram (@Sri_Hxor) zo spoločnosti Primefort Pvt. Ltd., Mohamd Imran
Dátum aktualizovania záznamu: 21. februára 2017
Ďalšie poďakovanie
Zabezpečenie WebKitu
Poďakovanie za pomoc si zaslúžia Ben Gras, Kaveh Razavi, Erik Bosman, Herbert Bos a Cristiano Giuffrida zo skupiny VUSec na univerzite Vrije Universiteit Amsterdam.