Om sikkerhedsindholdet i iOS 9.3.3
Dette dokument beskriver sikkerhedsindholdet i iOS 9.3.3.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
iOS 9.3.3
Kalender
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En skadelig kalenderinvitation kan forårsage, at en enhed pludselig genstarter
Beskrivelse: En reference til en null-pointer er blevet rettet gennem forbedret hukommelseshåndtering.
CVE-2016-4605: Henry Feldman fra Beth Israel Deaconess Medical Center
Legitimationsoplysninger for CFNetwork
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En hacker i en privilegeret netværksposition kan afsløre følsomme brugeroplysninger
Beskrivelse: Der var et nedgraderingsproblem i forbindelse med adgangsoplysninger til HTTP-godkendelse, der gemmes i Nøglering. Problemet er løst ved at lagre godkendelsestyperne sammen med loginoplysningerne.
CVE-2016-4644: Jerry Decime koordineret via CERT
CFNetwork-proxyservere
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En hacker i en privilegeret netværksposition kan afsløre følsomme brugeroplysninger
Beskrivelse: Der var et godkendelsesproblem ved parsing af 407-svar. Problemet er løst ved forbedret svargodkendelse.
CVE-2016-4643: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua University; Jerry Decime koordineret via CERT
CFNetwork-proxyservere
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Et program kan muligvis utilsigtet sende en ikke-krypteret adgangskode via netværket
Beskrivelse: Proxygodkendelse rapporterede fejlagtigt, at HTTP-proxyservere modtog loginoplysninger sikkert. Problemet er løst ved forbedrede advarsler.
CVE-2016-4642: Jerry Decime koordineret via CERT
CoreGraphics
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2016-4637: Tyler Bohan fra Cisco Talos (talosintel.com/vulnerability-reports)
FaceTime
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En hacker fra en privilegeret netværksposition kan forårsage, at et omdirigeret opkald fortsat videresender lyd, selvom opkaldet ser ud til at være afsluttet
Beskrivelse: Der var uoverensstemmelser i brugergrænsefladen i forbindelse med håndteringen af viderestillede opkald. Problemerne er løst ved at forbedre visningslogikken for FaceTime.
CVE-2016-4635: Martin Vigo
GasGauge
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse i kernen. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-2016-7576: qwertyoruiop
ImageIO
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En ekstern hacker kan muligvis fremkalde denial of service
Beskrivelse: Der var et problem med hukommelsesforbrug, som er løst ved forbedret hukommelseshåndtering.
CVE-2016-4632: Evgeny Sidorov fra Yandex
ImageIO
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2016-4631: Tyler Bohan fra Cisco Talos (talosintel.com/vulnerability-reports)
ImageIO
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Behandling af et skadeligt billedarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2016-7705: Craig Young fra Tripwire VERT
IOAcceleratorFamily
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En lokal bruger kan læse kernehukommelsen
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2016-4628: Ju Zhu fra Trend Micro
IOAcceleratorFamily
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: En reference til en null-pointer er blevet rettet gennem forbedret validering.
CVE-2016-4627: Ju Zhu fra Trend Micro
IOHIDFamily
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: En reference til en null-pointer er rettet via forbedret godkendelse af input.
CVE-2016-4626: Stefan Esser fra SektionEins
Kernel
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2016-1863: Ian Beer fra Google Project Zero
CVE-2016-4653: Ju Zhu fra Trend Micro
CVE-2016-4582: Shrek_wzw og Proteas fra Qihoo 360 Nirvan Team
Kernel
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En lokal bruger kan muligvis fremkalde DoS (Denial of Service) på systemet
Beskrivelse: En reference til en null-pointer er rettet via forbedret godkendelse af input.
CVE-2016-1865: CESG, Marco Grassi (@marcograss) fra KeenLab (@keen_lab), Tencent
Libc
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller vilkårlig kørsel af kode
Beskrivelse: Der var et bufferoverløb i funktionen "link_ntoa()" i linkaddr.c. Problemet blev løst ved hjælp af yderligere kontrol af grænser.
CVE-2016-6559: Apple
libxml2
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Flere sikkerhedsrisici i libxml2
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2015-8317: Hanno Boeck
CVE-2016-1836: Wei Lei og Liu Yang fra Nanyang Technological University
CVE-2016-4447: Wei Lei og Liu Yang fra Nanyang Technological University
CVE-2016-4448: Apple
CVE-2016-4483: Gustavo Grieco
CVE-2016-4614: Nick Wellnhofer
CVE-2016-4615: Nick Wellnhofer
CVE-2016-4616: Michael Paddon
libxml2
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Parsing af et skadeligt XML-arkiv kan medføre afsløring af brugeroplysninger
Beskrivelse: Der var et adgangsproblem i forbindelse med parsing af skadelige XML-arkiver. Problemet er løst ved forbedret godkendelse af input.
CVE-2016-4449: Kostya Serebryany
libxslt
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Flere sikkerhedsrisici i libxslt
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2016-1683: Nicolas Grégoire
CVE-2016-1684: Nicolas Grégoire
CVE-2016-4607: Nick Wellnhofer
CVE-2016-4608: Nicolas Grégoire
CVE-2016-4609: Nick Wellnhofer
CVE-2016-4610: Nick Wellnhofer
Safari
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Indlæsning af et skadeligt websted kan medføre manipulering med brugergrænsefladen
Beskrivelse: Omdirigeringssvar til ugyldige porte har måske tilladt, at et skadeligt websted viser et vilkårligt domæne under visning af vilkårligt indhold. Problemet er løst gennem forbedret visningslogik for URL-adresser.
CVE-2016-4604: xisigr fra Tencents Xuanwu Lab (www.tencent.com)
Sandbox-profiler
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Et lokalt program kan muligvis få adgang til proceslisten
Beskrivelse: Der var et adgangsproblem med privilegerede API-kald. Problemet er løst ved at indføre yderligere begrænsninger.
CVE-2016-4594: Stefan Esser fra SektionEins
Siri-kontakter
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En person med fysisk adgang til en enhed kan se private kontaktoplysninger
Beskrivelse: Der var et fortrolighedsproblem i behandlingen af kontaktkort. Problemet er løst via forbedret statusadministration.
CVE-2016-4593: Pedro Pinheiro (facebook.com/pedro.pinheiro.1996)
Webmedier
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Under visning af en video i Safari med funktionen Privat browser slået til ses videoens URL-adresse, når funktionen Privat browser er slået fra
Beskrivelse: Der var et fortrolighedsproblem i Safaris visningscontrollers behandling af brugerdata. Problemet er løst ved forbedret statusadministration.
CVE-2016-4603: Brian Porter (@portex33)
WebKit
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Besøg på et skadeligt websted kan medføre afsløring af proceshukommelse
Beskrivelse: Der var et problem med hukommelsesinitialisering, som er løst ved forbedret hukommelseshåndtering.
CVE-2016-4587: Apple
WebKit
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Indlæsning af et skadeligt websted kan medføre visning af billeddata fra et andet websted
Beskrivelse: Der var et problem med timing i behandlingen af SVG. Problemet er løst ved forbedret godkendelse.
CVE-2016-4583: Roeland Krak
WebKit
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Indlæsning af et skadeligt websted kan medføre afsløring af følsomme data
Beskrivelse: Der var problemer med tilladelser i forbindelse med håndteringen af lokalitetsvariablen. Dette blev rettet via yderligere tjek af ejerskab.
CVE-2016-4591: ma.la fra LINE Corporation
WebKit
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Et besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode.
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2016-4589: Tongbo Luo og Bo Qu fra Palo Alto Networks
CVE-2016-4622: Samuel Gross, som arbejder med Trend Micros Zero Day Initiative
CVE-2016-4623: Apple
CVE-2016-4624: Apple
WebKit
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Indlæsning af et skadeligt websted kan medføre manipulering med brugergrænsefladen
Beskrivelse: Der var et problem med arv af oprindelse under parsing af about:-URL-adresser. Problemet er løst ved forbedret godkendelse af sikkerhedsoprindelser.
CVE-2016-4590: xisigr fra Tencents Xuanwu Lab (www.tencent.com)
WebKit
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Besøg på en skadelig hjemmeside kan resultere i DoS
Beskrivelse: Der var et problem med hukommelsesforbrug, som er løst ved forbedret hukommelseshåndtering.
CVE-2016-4592: Mikhail
WebKit JavaScript-bindinger
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Indlæsning af et skadeligt websted kan medføre kørsel af scripts i forbindelse med en ikke-HTTP-tjeneste
Beskrivelse: Der var et problem med scripting på tværs af protokoller og websteder (XPXSS) i Safari i forbindelse med indsendelse af formularer til ikke-HTTP-tjenester, der er kompatible med HTTP/0.9. Problemet blev løst ved at deaktivere scripts og plugins på ressourcer, der indlæses via HTTP/0.9.
CVE-2016-4651: Obscure
WebKit-sideindlæsning
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Et skadeligt websted kan eksfiltrere data på tværs af oprindelsessteder
Beskrivelse: Der var et problem med scripting på tværs af websteder i omdirigering af URL-adresser i Safari. Problemet er løst ved forbedret godkendelse af URL-adresser under omdirigering.
CVE-2016-4585: Takeshi Terada fra Mitsui Bussan Secure Directions, Inc. (www.mbsd.jp)
WebKit-sideindlæsning
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Et besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode.
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2016-4584: Chris Vienneau
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.