Sikkerhedsindholdet i iOS 8.3

Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i iOS 8.3.

Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen Sådan bruges PGP-nøglen til Apple Produktsikkerhed.

Hvor det er muligt, bruges der CVE-id'er som reference til yderligere oplysninger om sårbarheder.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

iOS 8.3

  • AppleKeyStore
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: Et skadeligt program kan muligvis gætte brugerens adgangskode
    Beskrivelse: iOS tillod adgang til en grænseflade, som gjorde det muligt at forsøge at bekræfte brugerens adgangskode. Problemet er løst ved forbedret kontrol af rettigheder.
    CVE-id
    CVE-2015-1085: Elias Limneos
    Post opdateret 17. maj 2017
  • Lyddrivere
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
    Beskrivelse: Der var et valideringsproblem i IOKit-objekter, som bruges af en lyddriver. Problemet er løst ved forbedret godkendelse af metadata.
    CVE-id
    CVE-2015-1086
  • Sikkerhedskopiering
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: En hacker kan muligvis bruge sikkerhedskopieringssystemet til at få adgang til beskyttede områder af arkivsystemet
    Beskrivelse: Der var et problem med sikkerhedskopieringssystemets analyselogik for relative stier. Problemet er løst ved forbedret stianalyse.
    CVE-id
    CVE-2015-1087: TaiG Jailbreak Team
  • Politik for certifikatgodkendelse
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: Opdatering af politikken for certifikatgodkendelse
    Beskrivelse: Politikken for certifikatgodkendelse blev opdateret. Den komplette liste med certifikater kan ses i artiklen https://support.apple.com/da-dk/HT204132
  • CFNetwork
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: Cookies tilhørende ét domæne kan blive videresendt til et andet domæne
    Beskrivelse: Der var et problem med cookies på tværs af domæner i behandlingen af omdirigeringer. Cookies angivet i et omdirigeringssvar kunne blive videregivet til en omdirigeringsdestination tilhørende et andet domæne. Problemet er løst ved forbedret behandling af omdirigeringer.
    CVE-id
    CVE-2015-1089: Niklas Keller (http://kelunik.com)
  • CFNetwork
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: En bruger kan muligvis ikke slette browserhistorien helt
    Beskrivelse: Ved sletning af browserhistorien i Safari blev den arkiverede HTTP Strict Transport Security-politik ikke slettet. Problemet er løst ved forbedret datasletning.
    CVE-id
    CVE-2015-1090
  • CFNetwork-session
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: Godkendelsesoplysninger sendes muligvis til en server på et andet domæne
    Beskrivelse: Der var et problem med HTTP-forespørgselsheadere på tværs af domæner i behandlingen af omdirigeringer. HTTP-forespørgselsheadere, som blev sendt i et omdirigeringssvar, kunne blive videregivet til et andet domæne. Problemet er løst ved forbedret behandling af omdirigeringer.
    CVE-id
    CVE-2015-1091: Diego Torres (http://dtorres.me)
  • CFURL
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: Et besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode
    Beskrivelse: Der var et problem med inputvalidering i behandlingen af URL-adresser. Problemet er løst ved forbedret validering af URL-adresser.
    CVE-id
    CVE-2015-1088
  • Foundation
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: Et program, der bruger NSXMLParser, kan misbruges til at afsløre oplysninger
    Beskrivelse: Der var et problem med XML-eksterne entiteter ved NSXMLParser-behandling af XML. Problemet er løst ved at undlade at indlæse eksterne entiteter på tværs af oprindelsessteder.
    CVE-id
    CVE-2015-1092: Ikuya Fukumoto
  • FontParser
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode
    Beskrivelse: Der var flere problemer med beskadiget hukommelse ved behandling af skriftarkiver. Problemerne er løst ved forbedret kontrol af grænser.
    CVE-id
    CVE-2015-1093: Marc Schoenefeld
  • IOAcceleratorFamily
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen
    Beskrivelse: Der var et problem i IOAcceleratorFamily, som bevirkede, at der blev videregivet indhold fra kernehukommelsen. Problemet er løst ved at fjerne unødvendig kode.
    CVE-id
    CVE-2015-1094: Cererdlong fra Alibaba Mobile Security Team
  • IOHIDFamily
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: En skadelig HID-enhed kan medføre kørsel af vilkårlig kode
    Beskrivelse: Der var et problem med beskadiget hukommelse i en IOHIDFamily-API. Problemet er løst ved forbedret håndtering af hukommelsen.
    CVE-id
    CVE-2015-1095: Andrew Church
  • IOHIDFamily
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen
    Beskrivelse: Der var et problem i IOHIDFamily, som bevirkede, at der blev videregivet indhold fra kernehukommelsen. Problemet er løst via forbedret kontrol af grænser.
    CVE-id
    CVE-2015-1096: Ilja van Sprundel fra IOActive
  • IOMobileFramebuffer
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen
    Beskrivelse: Der var et problem i MobileFrameBuffer, som bevirkede, at der blev videregivet indhold fra kernehukommelsen. Problemet er løst via forbedret kontrol af grænser.
    CVE-id
    CVE-2015-1097: Barak Gabai fra IBM X-Force Application Security Research Team
  • iWork-fremviser
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: Åbning af et skadeligt iWork-arkiv kan medføre kørsel af vilkårlig kode
    Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af iWork-arkiver. Problemet er løst ved forbedret håndtering af hukommelsen.
    CVE-id
    CVE-2015-1098: Christopher Hickstein
  • Kernel
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: Et skadeligt program kan muligvis fremkalde DoS-angreb
    Beskrivelse: Der var en race-betingelse i kernens setreuid-systemkald. Problemet er løst ved forbedret statusadministration.
    CVE-id
    CVE-2015-1099: Mark Mentovai fra Google Inc.
  • Kernel
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: Et skadeligt program kan muligvis udvide rettighederne ved hjælp af en beskadiget tjeneste, som er beregnet til at køre med færre rettigheder
    Beskrivelse: setreuid- og setregid-systemkaldene kunne ikke ophæve rettigheder permanent. Problemet er løst ved korrekt ophævelse af rettigheder.
    CVE-id
    CVE-2015-1117: Mark Mentovai fra Google Inc.
  • Kernel
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: Et skadeligt program kan medføre pludselig programlukning eller læsning af kernehukommelsen
    Beskrivelse: Der var et problem med overskredet hukommelsesadgang i kernen. Problemet er løst ved forbedret håndtering af hukommelsen.
    CVE-id
    CVE-2015-1100: Maxime Villard fra m00nbsd
  • Kernel
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
    Beskrivelse: Der var et problem med beskadiget hukommelse i kernen. Problemet er løst ved forbedret håndtering af hukommelsen.
    CVE-id
    CVE-2015-1101: lokihardt@ASRT, som arbejder for HP's Zero Day Initiative
  • Kernel
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: En hacker med en privilegeret netværksposition kan muligvis fremkalde denial of service
    Beskrivelse: Der var et problem med statusuoverensstemmelse ved behandling af TCP-headere. Problemet er løst ved forbedret statusbehandling.
    CVE-id
    CVE-2015-1102: Andrey Khudyakov og Maxim Zhuravlev fra Kaspersky Lab
  • Kernel
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: En hacker med en privilegeret netværksposition kan muligvis omdirigere brugertrafik til vilkårlige værter
    Beskrivelse: ICMP-omdirigeringer var slået til som standard i iOS. Problemet er løst ved at deaktivere ICMP-omdirigeringer.
    CVE-id
    CVE-2015-1103: Zimperium Mobile Security Labs
  • Kernel
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: En hacker kan muligvis omgå netværksfiltre
    Beskrivelse: Systemet behandlede visse IPv6-pakker fra eksterne netværk som lokale pakker. Problemet er løst ved at afvise disse pakker.
    CVE-id
    CVE-2015-1104: Stephen Roettger fra Google Security Team
  • Kernel
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: En ekstern hacker kan muligvis fremkalde denial of service
    Beskrivelse: Der var en statusuoverensstemmelse ved behandling af out-of-band-data for TCP. Problemet er løst ved forbedret statusadministration.
    CVE-id
    CVE-2015-1105: Kenton Varda fra Sandstorm.io
  • Tastaturer
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: QuickType kunne huske brugernes adgangskoder
    Beskrivelse: QuickType kunne huske adgangskoderne for brugere, som bruger et Bluetooth-tastatur. Problemet er løst ved at forhindre, at QuickType vises på låseskærmen.
    CVE-id
    CVE-2015-1106: Jarrod Dwenger, Steve Favorito, Paul Reedy fra ConocoPhillips, Pedro Tavares fra Molecular Biophysics ved UCIBIO/FCT/UNL, De Paul Sunny, Christian Still fra Evolve Media, Canada
  • libnetcore
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: Behandling af en skadelig konfigurationsbeskrivelse kan medføre pludselig programlukning
    Beskrivelse: Der var et problem med beskadiget hukommelse i behandlingen af konfigurationsbeskrivelser. Problemet er løst via forbedret kontrol af grænser.
    CVE-id
    CVE-2015-1118: Zhaofeng Chen, Hui Xue, Yulong Zhang og Tao Wei fra FireEye, Inc.
  • Låseskærm
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: En hacker med en enhed kan forhindre sletning af dataene på enheden efter mislykkede adgangskodeforsøg
    Effekt: En enhed sletter i nogle tilfælde ikke dataene på enheden efter mislykkede adgangskodeforsøg. Problemet er løst ved forbedret håndhævelse af sletning.
    CVE-id
    CVE-2015-1107: Brent Erickson, Stuart Ryan fra University of Technology, Sydney
  • Låseskærm
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: En hacker med en enhed kan bruge flere adgangskodeforsøg end det maksimale antal mislykkede forsøg for adgangskoder
    Beskrivelse: I nogle tilfælde blev grænsen for mislykkede adgangskodeforsøg ikke håndhævet. Dette problem er løst ved forbedret håndhævelse af denne grænse.
    CVE-id
    CVE-2015-1108
  • NetworkExtension
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: En hacker med en enhed kan gendanne VPN-adgangsoplysninger
    Beskrivelse: Der var et problem ved behandling af VPN-konfigurationslogarkiver. Problemet er løst ved at fjerne logføring af adgangsoplysninger.
    CVE-id
    CVE-2015-1109: Josh Tway fra IPVanish
  • Podcasts
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: Der sendes muligvis unødvendige oplysninger til eksterne servere under hentning af podcastoptagelser
    Beskrivelse: Når en bruger hentede en podcastoptagelse, blev der overført entydige id'er til eksterne servere. Problemet er løst ved at fjerne disse id'er.
    CVE-id
    CVE-2015-1110: Alex Selivanov
  • Safari
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: En bruger kan muligvis ikke slette browserhistorien helt
    Beskrivelse: Ved sletning af browserhistorien i Safari blev "Senest lukkede faner" ikke slettet. Problemet er løst ved forbedret datasletning.
    CVE-id
    CVE-2015-1111: Frode Moe fra LastFriday.no
  • Safari
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: Brugernes browserhistorie slettes muligvis ikke helt
    Beskrivelse: Der var et statusadministrationsproblem i Safari, som bevirkede, at brugernes browserhistorie ikke blev slettet helt i history.plist. Problemet er løst ved forbedret funktionsstyring.
    CVE-id
    CVE-2015-1112: William Breuer, Holland
  • Sandbox-profiler
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: Et skadeligt program kan muligvis få adgang til telefonnumre eller e-mailadresser for seneste kontakter
    Beskrivelse: Der var problemer med afsløring af oplysninger i sandbox-appen fra en anden producent. Problemet er løst ved at forbedre sandbox-beskrivelsen.
    CVE-id
    CVE-2015-1113: Andreas Kurtz fra NESO Security Labs, Markus Troßbach fra Heilbronn University
  • Sandbox-profiler
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: Apps fra andre producenter kan muligvis få adgang til hardware-id'er
    Beskrivelse: Der var problemer med afsløring af oplysninger i sandbox-appen fra en anden producent. Problemet er løst ved at forbedre sandbox-beskrivelsen.
    CVE-id
    CVE-2015-1114

  • Secure Transport
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: Behandling af et skadeligt X.509-certifikat kan medføre pludselig programlukning
    Beskrivelse: Der var et problem med NULL-pointerreference ved behandling af X.509-certifikater. Problemet er løst ved forbedret godkendelse af input.
    CVE-id
    CVE-2015-1160: Elisha Eshed, Roy Iarchy og Yair Amit fra Skycure Security Research
  • Telefoni
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: Et skadeligt program kan muligvis få adgang til begrænsede telefonifunktioner
    Beskrivelse: Der opstod et problem i undersystemet til telefoni. Sandbox-programmer kunne få adgang til begrænsede telefonifunktioner. Problemet er løst ved forbedret kontrol af rettigheder.
    CVE-id
    CVE-2015-1115: Andreas Kurtz fra NESO Security Labs, Markus Troßbach fra Heilbronn University
  • UIKit-oversigt
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: Følsomme data vises muligvis i programsnapshots i opgaveskifter
    Beskrivelse: Der var et problem i UIKit, som bevirkede, at programsnapshots med følsomme oplysninger ikke blev sløret i opgaveskifter. Problemet er løst ved korrekt sløring af snapshots.
    CVE-id
    CVE-2015-1116: Mobilappteamet ved HP Security Voltage, Aaron Rogers fra Mint.com, David Edwards fra Tech4Tomorrow, David Zhang fra Dropbox
  • WebKit
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: Inkonsekvens i brugergrænsefladen kan forhindre brugerne i at opdage forsøg på svindel
    Beskrivelse: Der var inkonsekvens i brugergrænsefladen i Safari, som gjorde det muligt for en hacker at ændre URL-adressen. Problemet er løst ved forbedret konsekvenskontrol af brugergrænsefladen.
    CVE-id
    CVE-2015-1084: Apple
  • WebKit
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: Et besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode
    Beskrivelse: Der var flere problemer med beskadiget hukommelse i WebKit. Problemerne er løst ved forbedret håndtering af hukommelsen.
    CVE-id
    CVE-2015-1068: Apple
    CVE-2015-1069: lokihardt@ASRT, som arbejder for HP's Zero Day Initiative
    CVE-2015-1070: Apple
    CVE-2015-1071: Apple
    CVE-2015-1072
    CVE-2015-1073: Apple
    CVE-2015-1074: Apple
    CVE-2015-1076
    CVE-2015-1077: Apple
    CVE-2015-1078: Apple
    CVE-2015-1079: Apple
    CVE-2015-1080: Apple
    CVE-2015-1081: Apple
    CVE-2015-1082: Apple
    CVE-2015-1083: Apple
    CVE-2015-1119: Renata Hodovan fra University of Szeged/Samsung Electronics
    CVE-2015-1120: Apple
    CVE-2015-1121: Apple
    CVE-2015-1122: Apple
    CVE-2015-1123: Randy Luecke og Anoop Menon fra Google Inc.
    CVE-2015-1124: Apple
  • WebKit
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: Et besøg på et skadeligt websted kan medføre, at brugeren foretager et tryk på et andet websted
    Beskrivelse: Der var et problem i behandlingen af trykhændelser. Et tryk kunne overføres til et andet websted. Problemet er løst ved forbedret behandling af trykhændelser.
    CVE-id
    CVE-2015-1125: Phillip Moon og Matt Weston fra www.sandfield.co.nz
  • WebKit
    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
    Effekt: Besøg på et skadeligt websted kan medføre åbning af ressourcer tilhørende et andet domæne
    Beskrivelse: Der var et problem i WebKit ved behandling af adgangsoplysninger i URL-adresser for FTP-servere. Problemet er løst ved forbedret afkodning.
    CVE-id
    CVE-2015-1126: Jouko Pynnonen fra Klikki Oy
  • Wi-Fi
    Effekt: En brugers adgangskode kan blive sendt til et ikke-godkendt Wi-Fi-adgangspunkt
    Beskrivelse: Skærmbilledet, der underretter om et ikke-godkendt Wi-Fi-certifikat, havde kun en knap til godkendelse af certifikatet. En bruger, som ikke ønskede at bruge Wi-Fi-adgangspunktet, skulle trykke på knappen Hjem eller Lås for at forlade skærmbilledet. Problemet blev løst ved at tilføje en synlig knap med teksten "Annuller".
    CVE-id
    CVE-2015-5762: Michael Santos

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: