Obsah zabezpečenia v systéme iOS 10.3.2
V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 10.3.2.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.
Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.
Ak je to možné, dokumenty spoločnosti Apple týkajúce sa zabezpečenia odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
iOS 10.3.2
AVEVideoEncoder
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Aplikácia môže byť schopná získať oprávnenia k jadru
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2017-6989: Adam Donenfeld (@doadam) z tímu Zimperium zLabs
CVE-2017-6994: Adam Donenfeld (@doadam) z tímu Zimperium zLabs
CVE-2017-6995: Adam Donenfeld (@doadam) z tímu Zimperium zLabs
CVE-2017-6996: Adam Donenfeld (@doadam) z tímu Zimperium zLabs
CVE-2017-6997: Adam Donenfeld (@doadam) z tímu Zimperium zLabs
CVE-2017-6998: Adam Donenfeld (@doadam) z tímu Zimperium zLabs
CVE-2017-6999: Adam Donenfeld (@doadam) z tímu Zimperium zLabs
CoreAudio
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2017-2502: Yangkang (@dnpushme) z tímu Qihoo360 Qex
CoreFoundation
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Analýza dát so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-2522: Ian Beer z tímu Google Project Zero
CoreText
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k ukončeniu aplikácie
Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením overovania.
CVE-2017-7003: Jake Davis z tímu SPYSCAPE (@DoubleJake), João Henrique Neves a Stephen Goldberg zo spoločnosti Salesforce
Foundation
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Analýza dát so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-2523: Ian Beer z tímu Google Project Zero
iBooks
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Kniha so škodlivým kódom môže otvoriť ľubovoľné webové stránky bez povolenia používateľa
Popis: Dochádzalo k problému so spracovaním URL adries, ktorý bol vyriešený vylepšením správy stavu.
CVE-2017-2497: Jun Kokatsu (@shhnjk)
iBooks
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami správcu
Popis: V logike overovania ciest symbolických odkazov dochádzalo k problému. Tento problém bol vyriešený vylepšením čistenia ciest.
CVE-2017-6981: evi1m0 zo spoločnosti YSRC (sec.ly.com)
IOSurface
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Aplikácia môže byť schopná získať oprávnenia k jadru
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.
CVE-2017-6979: Adam Donenfeld (@doadam) z tímu Zimperium zLabs
JavaScriptCore
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2017-7005: lokihardt z tímu Google Project Zero
Jadro
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.
CVE-2017-2501: Ian Beer z tímu Google Project Zero
Jadro
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2017-2507: Ian Beer z tímu Google Project Zero
CVE-2017-6987: Patrick Wardle zo spoločnosti Synack
Hlásenia
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Aplikácia môže byť schopná spôsobiť odmietnutie služby
Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-6982: Vincent Desmurs (vincedes3), Sem Voigtlander (OxFEEDFACE) a Joseph Shenton zo spoločnosti CoffeeBreakers
Safari
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k odmietnutiu služby aplikácie
Popis: Dochádzalo k problému v menu histórie Safari, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-2495: Tubasa Iinuma (@llamakko_cafe) zo spoločnosti Gehirn Inc.
Zabezpečenie
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Aktualizácia pravidiel dôveryhodnosti certifikátov
Popis: Pri spracovávaní nedôveryhodných certifikátov dochádzalo k problému s overovaním certifikátov. Tento problém bol vyriešený vylepšením používateľského spracovania potvrdenia dôveryhodnosti.
CVE-2017-2498: Andrew Jerman
Zabezpečenie
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Lokálna aplikácia môže byť schopná odosielať privilegované správy XPC bez toho, aby na to mala oprávnenie
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením kontrol konzistentnosti.
CVE-2017-7004: Ian Beer z tímu Google Project Zero
SQLite
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Spracovanie dotazu SQL so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2017-2513: OSS-Fuzz
SQLite
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Spracovanie dotazu SQL so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením medzipamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-2518: OSS-Fuzz
CVE-2017-2520: OSS-Fuzz
SQLite
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Spracovanie dotazu SQL so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-2519: OSS-Fuzz
SQLite
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.
CVE-2017-6983: Chaitin Security Research Lab (@ChaitinTech) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2017-6991: Chaitin Security Research Lab (@ChaitinTech) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2017-7000: Chaitin Security Research Lab (@ChaitinTech) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2017-7001: Chaitin Security Research Lab (@ChaitinTech) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2017-7002: Chaitin Security Research Lab (@ChaitinTech) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
TextInput
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Analýza dát so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-2524: Ian Beer z tímu Google Project Zero
WebKit
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2017-2496: Apple
CVE-2017-2505: lokihardt z tímu Google Project Zero
CVE-2017-2506: Zheng Huang z tímu Baidu Security Lab v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2017-2514: lokihardt z tímu Google Project Zero
CVE-2017-2515: lokihardt z tímu Google Project Zero
CVE-2017-2521: lokihardt z tímu Google Project Zero
CVE-2017-2525: Kai Kang (4B5F5F4B) z tímu Xuanwu Lab spoločnosti Tencent (tencent.com) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2017-2526: Kai Kang (4B5F5F4B) z tímu Xuanwu Lab spoločnosti Tencent (tencent.com) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2017-2530: Wei Yuan z tímu Baidu Security Lab, Zheng Huang z tímu Baidu Security Lab v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2017-2531: lokihardt z tímu Google Project Zero
CVE-2017-2538: Richard Zhu (fluorescence) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2017-2539: Richard Zhu (fluorescence) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2017-2544: 360 Security (@mj0011sec) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2017-2547: lokihardt z tímu Google Project Zero, Team Sniper (Keen Lab a PC Mgr) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2017-6980: lokihardt z tímu Google Project Zero
CVE-2017-6984: lokihardt z tímu Google Project Zero
WebKit
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Pri spracovávaní príkazov editora WebKitu dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2017-2504: lokihardt z tímu Google Project Zero
WebKit
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Pri spracovávaní uzlov kontajnerov WebKitu dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2017-2508: lokihardt z tímu Google Project Zero
WebKit
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Pri spracovávaní udalostí pageshow dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2017-2510: lokihardt z tímu Google Project Zero
WebKit
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Pri spracovávaní rámcov WebKitu uložených vo vyrovnávacej pamäti dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2017-2528: lokihardt z tímu Google Project Zero
WebKit
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2017-2536: Samuel Groß a Niklas Baumstark v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
WebKit
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Pri načítavaní rámcov dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2017-2549: lokihardt z tímu Google Project Zero
WebKit Web Inspector
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Aplikácia môže byť schopná spustiť nepodpísaný kód
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-2499: George Dan (@theninjaprawn)
Ďalšie poďakovanie
Jadro
Poďakovanie za pomoc si zaslúži Orr A. z tímu Aleph Research, HCL Technologies.
Safari
Poďakovanie za pomoc si zaslúži Flyin9_L (ZhenHui Lee) (@ACITSEC).
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.