Obsah zabezpečenia v systéme iOS 11.1
V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 11.1.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.
Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.
Ak je to možné, dokumenty spoločnosti Apple týkajúce sa zabezpečenia odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
iOS 11.1
CoreText
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Spracovanie textového súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie
Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-13849: Ro zo spoločnosti SavSec
Jadro
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-13799: Lufeng Li z tímu Qihoo 360 Vulcan Team
Jadro
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Aplikácia so škodlivým kódom môže byť schopná získať informácie o prítomnosti a fungovaní iných aplikácií v zariadení
Popis: Aplikácia mohla získať neobmedzený prístup k informáciám o procesoch spravovaných operačným systémom. Tento problém bol vyriešený obmedzením rýchlosti dátových prenosov.
CVE-2017-13852: Xiaokuan Zhang a Yinqian Zhang z Ohijskej štátnej univerzity, Xueqiang Wang a XiaoFeng Wang z Bloomingtonskej univerzity v Indiane a Xiaolong Bai z univerzity Čching-chua
Správy
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Osoba s fyzickým prístupom k zariadeniu so systémom iOS môže byť schopná získať prístup k fotkám zo zamknutej plochy
Popis: Problém so zamknutou plochou umožňoval získať prístup k fotkám v zamknutom zariadení prostredníctvom funkcie Odpovedať správou. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2017-13844: Miguel Alvarado zo spoločnosti iDeviceHelp INC
Siri
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Osoba s fyzickým prístupom k zariadeniu so systémom iOS môže byť schopná používať Siri na čítanie hlásení obsahu, ktorý je nastavený tak, aby sa nezobrazoval na zamknutej ploche
Popis: Dochádzalo k problému s povoleniami Siri. Tento problém bol vyriešený vylepšením kontroly povolení.
CVE-2017-13805: Yiğit Can YILMAZ (@yilmazcanyigit), Ayden Panhuyzen (madebyayden.co)
StreamingZip
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Škodlivý súbor .zip môže byť schopný zmeniť neprístupné oblasti systému súborov
Popis: Dochádzalo k problému súvisiacemu so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.
CVE-2017-13804: @qwertyoruiopz zo spoločnosti KJC Research Intl. S.R.L.
UIKit
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Môžu sa zobrazovať znaky v zabezpečenom textovom poli
Popis: Pri udalostiach zmeny výberu prvkov na obrazovke sa zobrazovali znaky v zabezpečenom textovom poli. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2017-7113: Anonymný výskumník, Duraiamuthan Harikrishnan zo spoločnosti Tech Mahindra, Ricardo Sampayo zo spoločnosti Bemo Ltd
WebKit
K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2017-13783: Ivan Fratric z tímu Google Project Zero
CVE-2017-13784: Ivan Fratric z tímu Google Project Zero
CVE-2017-13785: Ivan Fratric z tímu Google Project Zero
CVE-2017-13791: Ivan Fratric z tímu Google Project Zero
CVE-2017-13792: Ivan Fratric z tímu Google Project Zero
CVE-2017-13793: Hanul Choi v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2017-13794: Ivan Fratric z tímu Google Project Zero
CVE-2017-13795: Ivan Fratric z tímu Google Project Zero
CVE-2017-13796: Ivan Fratric z tímu Google Project Zero
CVE-2017-13797: Ivan Fratric z tímu Google Project Zero
CVE-2017-13798: Ivan Fratric z tímu Google Project Zero
CVE-2017-13788: xisigr z tímu Xuanwu Lab spoločnosti Tencent (tencent.com)
CVE-2017-13802: Ivan Fratric z tímu Google Project Zero
CVE-2017-13803: chenqin (陈钦) z tímu Ant-financial Light-Year Security
Wi-Fi
K dispozícii pre: iPhone 8, iPhone 8 Plus a iPhone X
Bez dopadu: iPhone 7, iPhone 7 Plus, iPhone 6s, iPhone 6s Plus, iPhone 6, iPhone 6 Plus, iPhone SE, iPhone 5s, iPad Air alebo novší a iPod touch (6. generácia)
Dopad: Útočník v dosahu Wi-Fi siete môže vynútiť opätovné použitie čísla nonce v klientoch WPA unicast/PTK (útoky opätovnou inštaláciou kľúča – KRACK)
Popis: Pri spracovávaní prechodov stavu dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2017-13077: Mathy Vanhoef zo skupiny imec-DistriNet na univerzite KU Leuven
CVE-2017-13078: Mathy Vanhoef zo skupiny imec-DistriNet na univerzite KU Leuven
Wi-Fi
K dispozícii pre: iPhone 7 a novší a 9,7-palcový iPad Pro (začiatok roka 2016) a novší
Dopad: Útočník v dosahu Wi-Fi siete môže vynútiť opätovné použitie čísla nonce v klientoch WPA multicast/GTK (útoky opätovnou inštaláciou kľúča – KRACK)
Popis: Pri spracovávaní prechodov stavu dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2017-13080: Mathy Vanhoef zo skupiny imec-DistriNet na univerzite KU Leuven
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.