Sikkerhedsindholdet i iOS 9.1
Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i iOS 9.1.
Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.
Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.
Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.
Du kan læse om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.
iOS 9.1
Accelerate Framework
Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder
Effekt: Et besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse i Accelerate Framework i multitrådstilstand. Problemet er løst ved forbedret godkendelse af accessorelementet og forbedret objektlåsning.
CVE-id
CVE-2015-5940: Apple
Bom
Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder
Effekt: Udpakning af et skadeligt arkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var en sikkerhedsrisiko ved arkivgennemgang i forbindelse med håndtering af CPIO-arkiver. Problemet er løst ved forbedret godkendelse af metadata.
CVE-id
CVE-2015-7006: Mark Dowd fra Azimuth Security
CFNetwork
Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder
Effekt: Et besøg på et skadeligt websted kan medføre overskrivning af cookies
Beskrivelse: Der var et parsing-problem ved behandling af cookies med forskellig brug af store og små bogstaver. Problemet er løst ved forbedret parsing.
CVE-id
CVE-2015-7023: Marvin Scholz og Michael Lutonsky, Xiaofeng Zheng og Jinjin Liang fra Tsinghua University, Jian Jiang fra University of California, Berkeley, Haixin Duan fra Tsinghua University og International Computer Science Institute, Shuo Chen fra Microsoft Research Redmond, Tao Wan fra Huawei Canada, Nicholas Weaver fra International Computer Science Institute og University of California, Berkeley, koordineret via CERT/CC
configd
Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder
Effekt: Et skadeligt program kan muligvis opnå flere rettigheder
Beskrivelse: Der var et heap-bufferoverløbsproblem i DNS-klientbiblioteket. Et skadelig program med mulighed for at forfalske svar fra den lokale configd-tjeneste kan have medført kørsel af vilkårlig kode i DNS-klienterne.
CVE-id
CVE-2015-7015: PanguTeam
CoreGraphics
Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder
Effekt: Et besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var flere problemer med beskadiget hukommelse i CoreGraphics. Problemerne er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5925: Apple
CVE-2015-5926: Apple
CoreText
Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder
Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var flere problemer med beskadiget hukommelse ved behandling af skriftarkiver. Problemerne er løst ved forbedret kontrol af grænser.
CVE-id
CVE-2015-6975: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6992: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7017: John Villamil (@day6reak), Yahoo Pentest Team
Diskbilleder
Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse ved parsing af diskbilleder. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-6995: Ian Beer of Google Project Zero
FontParser
Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder
Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var flere problemer med beskadiget hukommelse ved behandling af skriftarkiver. Problemerne er løst ved forbedret kontrol af grænser.
CVE-id
CVE-2015-5927: Apple
CVE-2015-5942
CVE-2015-6976: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6977: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6978: Jaanus Kp, Clarified Security, der arbejder for HPs Zero Day Initiative
CVE-2015-6990: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6991: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6993: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7008: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7009: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7010: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7018: John Villamil (@day6reak), Yahoo Pentest Team
GasGauge
Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse i kernen. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-6979: PanguTeam
Grand Central Dispatch
Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder
Effekt: Behandling af en skadelig pakke kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af "dispatch"-opkald. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-6989: Apple
Graphics Driver
Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder
Effekt: Kørsel af et skadeligt program kan medføre vilkårlig kørsel af kode på kerneniveau.
Beskrivelse: Der var et typeforvekslingsproblem i AppleVXD393. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-6986: Proteas fra Qihoo 360 Nirvan Team
ImageIO
Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder
Effekt: Visning af et skadeligt billedarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var flere problemer med beskadiget hukommelse ved parsing af billedmetadata. Problemerne er løst ved forbedret godkendelse af metadata.
CVE-id
CVE-2015-5935: Apple
CVE-2015-5936: Apple
CVE-2015-5937: Apple
CVE-2015-5939: Apple
IOAcceleratorFamily
Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse i IOAcceleratorFamily. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-6996: Ian Beer fra Google Project Zero
IOHIDFamily
Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse i kernen. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-6974: Luca Todesco (@qwertyoruiop)
Kernel
Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder
Effekt: Et lokalt program kan muligvis fremkalde DoS-angreb
Beskrivelse: Der var et problem med godkendelse af input i kernen. Problemet er løst ved forbedret godkendelse af input.
CVE-id
CVE-2015-7004: Sergi Alvarez (pancake) fra NowSecure Research Team
Kernel
Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder
Effekt: En hacker med en privilegeret netværksposition kan muligvis forårsage kørsel af vilkårlig kode
Beskrivelse: Der var et problem med ikke-initialiseret hukommelse i kernen. Problemet er løst ved forbedret hukommelsesinitialisering.
CVE-id
CVE-2015-6988: The Brainy Code Scanner (m00nbsd)
Kernel
Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder
Effekt: Et lokalt program kan muligvis fremkalde DoS-angreb
Beskrivelse: Der var et problem ved genbrug af virtuel hukommelse. Problemet er løst ved forbedret godkendelse.
CVE-id
CVE-2015-6994: Mark Mentovai fra Google Inc.
mDNSResponder
Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder
Effekt: En hacker kan forårsage pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var flere problemer med beskadiget hukommelse ved parsing af DNS-data. Problemerne er løst ved forbedret kontrol af grænser.
CVE-id
CVE-2015-7987: Alexandre Helie
mDNSResponder
Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder
Effekt: Et lokalt program kan muligvis fremkalde DoS-angreb
Beskrivelse: Et problem med dereference til en null-pointer er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-7988: Alexandre Helie
Meddelelsescenter
Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder
Effekt: Meddelelser fra Telefon og Beskeder kan blive vist på låseskærmen, selv om de er slået fra
Beskrivelse: Da "Vis på låst skærm" blev slået fra for Telefon og Beskeder, blev konfigurationsændringerne ikke anvendt med det samme. Problemet er løst ved at forbedre statusadministrationen.
CVE-id
CVE-2015-7000: William Redwood fra Hampton School
OpenGL
Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder
Effekt: Et besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse i OpenGL. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5924: Apple
Sikkerhed
Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder
Effekt: Behandling af et skadeligt certifikatarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var flere problemer med beskadiget hukommelse i ASN.1-decoderen. Problemerne er løst ved forbedret godkendelse af input.
CVE-id
CVE-2015-7059: David Keeler fra Mozilla
CVE-2015-7060: Tyson Smith fra Mozilla
CVE-2015-7061: Ryan Sleevi fra Google
Sikkerhed
Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder
Effekt: Et skadeligt program kan overskrive vilkårlige arkiver
Beskrivelse: Der var et double free-problem ved behandling af AtomicBufferedFile-beskrivelser. Problemet er løst ved forbedret godkendelse af AtomicBufferedFile-beskrivelser.
CVE-id
CVE-2015-6983: David Benjamin, Greg Kerr, Mark Mentovai og Sergey Ulanov fra Chrome Team
Sikkerhed
Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder
Effekt: En hacker kan få et tilbagekaldt certifikat til at se gyldigt ud
Beskrivelse: Der var et godkendelsesproblem i OCSP-klienten. Problemet er løst ved at kontrollere OCSP-certifikatets udløbstidspunkt.
CVE-id
CVE-2015-6999: Apple
Sikkerhed
Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder
Effekt: En tillidsevaluering, der er konfigureret til at kræve tilbagekaldskontrol, kan være positiv, selv om tilbagekaldskontrollen mislykkes
Beskrivelse: Indikatoren kSecRevocationRequirePositiveResponse var angivet, men ikke implementeret. Problemet er løst ved at implementere indikatoren.
CVE-id
CVE-2015-6997: Apple
Telefoni
Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder
Effekt: En skadelig app kan lække følsomme brugeroplysninger
Beskrivelse: Der var et problem med godkendelseskontroller, når der blev forespurgt om telefonopkaldsstatus. Problemet er løst ved forbedret godkendelse af statusforespørgsler.
CVE-id
CVE-2015-7022: Andreas Kurtz fra NESO Security Labs
WebKit
Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder
Effekt: Et besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var flere problemer med beskadiget hukommelse i WebKit. Problemerne er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5928: Apple
CVE-2015-5929: Apple
CVE-2015-5930: Apple
CVE-2015-6981
CVE-2015-6982
CVE-2015-7002: Apple
CVE-2015-7005: Apple
CVE-2015-7012: Apple
CVE-2015-7014
CVE-2015-7104: Apple
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.