Obsah zabezpečenia v systéme iOS 10.2.1
V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 10.2.1.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.
Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
iOS 10.2.1
Server APNs
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Útočník s oprávneniami v sieti môže sledovať aktivitu používateľa
Popis: Klientsky certifikát sa odosielal ako obyčajný text. Tento problém bol vyriešený vylepšením spracovávania certifikátov.
CVE-2017-2383: Matthias Wachs a Quirin Scheitle z Mníchovskej technickej univerzity (TUM)
História hovorov
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Aktualizácie histórie hovorov súčasti CallKit sa odosielajú do iCloudu
Popis: Dochádzalo k problému pri zabránení nahrávaniu histórie hovorov súčasti CallKit do iCloudu. Tieto problémy boli vyriešené vylepšením logiky.
CVE-2017-2375: Elcomsoft
Kontakty
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Spracovanie vizitky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie
Popis: Pri analýze vizitiek dochádzalo k problému súvisiacemu s overovaním vstupu. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2017-2368: Vincent Desmurs (vincedes3)
Jadro
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s pretečením medzipamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-2370: Ian Beer z tímu Google Project Zero
Jadro
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2017-2360: Ian Beer z tímu Google Project Zero
libarchive
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Rozbalenie archívu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením medzipamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2016-8687: Agostino Sarubbo zo spoločnosti Gentoo
Odomknutie pomocou iPhonu
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Hodinky Apple Watch sa môžu odomknúť, aj keď ich používateľ nemá na zápästí
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2017-2352: Ashley Fernandez zo spoločnosti raptAware Pty Ltd
WebKit
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neoprávnenému získaniu dát s rôznym pôvodom
Popis: Dochádzalo k problému súvisiacemu s prístupom k prototypu, ktorý bol vyriešený vylepšením spracovania výnimiek.
CVE-2017-2350: Gareth Heyes zo spoločnosti Portswigger Web Security
WebKit
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2017-2354: Neymar z tímu Xuanwu Lab spoločnosti Tencent (tencent.com) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2017-2362: Ivan Fratric z tímu Google Project Zero
CVE-2017-2373: Ivan Fratric z tímu Google Project Zero
WebKit
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-2355: Team Pangu a lokihardt na podujatí PwnFest 2016
WebKit
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.
CVE-2017-2356: Team Pangu a lokihardt na podujatí PwnFest 2016
CVE-2017-2369: Ivan Fratric z tímu Google Project Zero
CVE-2017-2366: Kai Kang z tímu Xuanwu Lab spoločnosti Tencent (tencent.com)
WebKit
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neoprávnenému získaniu dát s rôznym pôvodom
Popis: Pri spracovávaní načítania stránok dochádzalo k problému s overovaním. Tieto problémy boli vyriešené vylepšením logiky.
CVE-2017-2363: lokihardt z tímu Google Project Zero
CVE-2017-2364: lokihardt z tímu Google Project Zero
WebKit
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Škodlivá webová stránka môže otvárať vyskakovacie okná
Popis: Pri spracovávaní blokovania vyskakovacích okien dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2017-2371: lokihardt z tímu Google Project Zero
WebKit
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neoprávnenému získaniu dát s rôznym pôvodom
Popis: Pri spracovávaní premenných dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania.
CVE-2017-2365: lokihardt z tímu Google Project Zero
Wi-Fi
K dispozícii pre: iPhone 5 a novší, iPad 4. generácie a novší, iPod touch 6. generácie a novší
Dopad: Zariadenie so zapnutým zámkom aktivácie možno zmanipulovať tak, aby nakrátko zobrazilo plochu
Popis: Dochádzalo k problému so spracovaním vstupu používateľa, ktorý spôsoboval, že zariadenie zobrazilo plochu aj pri zapnutom zámku aktivácie. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2017-2351: Hemanth Joseph, Sriram (@Sri_Hxor) zo spoločnosti Primefort Pvt. Ltd., Mohamd Imran
Ďalšie poďakovanie
Zabezpečenie WebKitu
Poďakovanie za pomoc si zaslúžia Ben Gras, Kaveh Razavi, Erik Bosman, Herbert Bos a Cristiano Giuffrida zo skupiny VUSec na univerzite Vrije Universiteit Amsterdam.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.