Sikkerhedsindholdet i iOS 9

Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i iOS 9.

Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Læs mere om Apple-produktsikkerhed på webstedet om Apple-produktsikkerhed.

Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple Produktsikkerhed.

Hvor det er muligt, bruges der CVE-id'er som reference til yderligere oplysninger om sårbarheder.

Du kan læse om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

iOS 9

  • Apple Pay

    Fås til: iPhone 6 og iPhone 6 Plus

    Effekt: Nogle kort kan gøre det muligt for en terminal at hente begrænsede mængder oplysninger om nylige transaktioner, når der foretages en betaling

    Beskrivelse: Transaktionslogfunktionen var slået til i nogle konfigurationer. Problemet er løst ved at fjerne transaktionslogfunktionen. Problemet har ikke omfattet iPad-enheder.

    CVE-id

    CVE-2015-5916

  • AppleKeyStore

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: En lokal hacker kan muligvis nulstille antal mislykkede adgangskodeforsøg for en iOS-sikkerhedskopi

    Beskrivelse: Der var et problem med nulstilling af antal mislykkede adgangskodeforsøg for en sikkerhedskopi af iOS-enheden. Problemet er løst ved at forbedre adgangskodefejllogikken.

    CVE-id

    CVE-2015-5850: En anonym anmelder

  • Application Store

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Et klik på en skadelig ITMS-henvisning kan medføre DoS i en virksomhedssigneret applikation

    Beskrivelse: Der var et problem med installering af ITMS-henvisninger. Problemet er løst ved at indføre yderligere installeringsbekræftelse.

    CVE-id

    CVE-2015-5856: Zhaofeng Chen, Hui Xue og Tao (Lenx) Wei fra FireEye, Inc.

  • Lyd

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Afspilning af et skadeligt lydarkiv kan medføre pludselig applukning

    Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af lydarkiver. Problemet er løst ved forbedret behandling af hukommelse.

    CVE-id

    CVE-2015-5862: YoungJin Yoon fra Information Security Lab. (vejl.: prof. Taekyoung Kwon), Yonsei University, Seoul, Sydkorea

  • Politik for certifikatgodkendelse

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Opdatering af politikken for certifikatgodkendelse

    Beskrivelse: Politikken for certifikatgodkendelse blev opdateret. Den komplette liste med certifikater kan ses i artiklen https://support.apple.com/da-dk/HT204132.

  • CFNetwork

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: En skadelig URL-adresse kan muligvis tilsidesætte HSTS (HTTP Strict Transport Security) og lække følsomme data

    Beskrivelse: Der var en URL-parsing-sikkerhedsrisiko ved HSTS-behandling. Problemet er løst ved forbedret URL-parsing.

    CVE-id

    CVE-2015-5858: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua University

  • CFNetwork

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Et skadeligt websted kan muligvis spore brugerne i funktionen Privat browser i Safari

    Beskrivelse: Der var et problem ved behandling af HSTS-tilstanden i funktionen Privat browser i Safari. Problemet er løst ved forbedret statusbehandling.

    CVE-id

    CVE-2015-5860: Sam Greenhalgh fra RadicalResearch Ltd

  • CFNetwork

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: En person med fysisk adgang til en iOS-enhed kan muligvis læse bufferdata fra Apple-apps

    Beskrivelse: Bufferdata blev krypteret med en nøgle, der kun var beskyttet af hardware-UID'et. Problemet er løst ved at kryptere bufferdataene med en nøgle, der er beskyttet af hardware-UID'et og brugerens adgangskode.

    CVE-id

    CVE-2015-5898: Andreas Kurtz fra NESO Security Labs

  • CFNetwork-cookies

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: En hacker med en privilegeret netværksposition kan spore en brugers aktivitet

    Beskrivelse: Der var et problem med cookies på tværs af domæner ved behandling af topniveaudomæner. Problemet er løst ved at forbedre begrænsningerne ved cookieoprettelse.

    CVE-id

    CVE-2015-5885: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua University

  • CFNetwork-cookies

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: En hacker kan oprette uønskede cookies for et websted

    Beskrivelse: WebKit accepterede, at der blev indsat flere cookies i document.cookie-API'en. Problemet er løst ved forbedret parsing.

    CVE-id

    CVE-2015-3801: Erling Ellingsen fra Facebook

  • CFNetwork FTPProtocol

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Skadelige FTP-servere kan forårsage, at klienten udfører rekognoscering af andre værter

    Beskrivelse: Der var et problem ved håndtering af FTP-pakker, når PASV-kommandoen blev anvendt. Problemet er løst ved forbedret godkendelse.

    CVE-id

    CVE-2015-5912: Amit Klein

  • CFNetwork HTTPProtocol

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: En hacker med en privilegeret netværksposition kan muligvis opfange netværkstrafik

    Beskrivelse: Der var et problem ved behandling af forudindlæste HSTS-lister i funktionen privat browser i Safari. Problemet er løst ved forbedret statusbehandling.

    CVE-id

    CVE-2015-5859: Rosario Giustolisi fra University of Luxembourg

  • CFNetwork-proxyservere

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Ved forbindelse til en skadelig webproxyserver kunne der indsættes skadelige cookies for et websted

    Beskrivelse: Der var et problem ved behandling af proxyforbindelsessvar. Problemet er løst ved at fjerne set-cookie-headeren, når forbindelsessvaret blev parset.

    CVE-id

    CVE-2015-5841: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua University

  • CFNetwork SSL

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: En hacker med en privilegeret netværksposition kan opfange SSL/TLS-forbindelser

    Beskrivelse: Der var et problem med certifikatgodkendelse i NSURL, når et certifikat blev ændret. Problemet er løst ved forbedret certifikatgodkendelse.

    CVE-id

    CVE-2015-5824: Timothy J. Wood fra The Omni Group

  • CFNetwork SSL

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: En hacker kan dekryptere SSL-beskyttede data

    Beskrivelse: Der er kendskab til angreb på fortroligheden i RC4. En hacker kunne fremtvinge brugen af RC4, selv om serveren foretrækker bedre kryptering, ved at blokere forbindelser fra TLS 1.0 og opefter, indtil CFNetwork prøvede SSL 3.0, som kun tillader RC4. Problemet er løst ved at fjerne fallback til SSL 3.0.

  • CoreAnimation

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Et skadeligt program kan lække følsomme brugeroplysninger

    Beskrivelse: Nogle apps kunne få adgang til skærmrammebufferen, mens de kørte i baggrunden. Problemet er løst ved forbedret adgangskontrol i IOSurfaces.

    CVE-id

    CVE-2015-5880: Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li fra School of Information Systems Singapore Management University, Feng Bao og Jianying Zhou fra Cryptography and Security Department Institute for Infocomm Research

  • CoreCrypto

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: En hacker kan bestemme en privat nøgle

    Beskrivelse: Ved at observere mange signerings- eller dekrypteringsforsøg kunne en hacker muligvis bestemme den private RSA-nøgle. Problemet er løst ved forbedret godkendelse af krypteringsalgoritmer.

  • CoreText

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af skriftarkiver. Problemet er løst ved forbedret godkendelse af input.

    CVE-id

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Data Detectors Engine

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Behandling af et skadeligt tekstarkiv kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der opstod problemer med beskadiget hukommelse ved behandling af tekstarkiver. Problemerne er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2015-5829: M1x7e1 fra Safeye Team (www.safeye.org)

  • Dev Tools

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder.

    Beskrivelse: Der var et problem med beskadiget hukommelse i dyld. Problemet er løst ved forbedret hukommelsesstyring.

    CVE-id

    CVE-2015-5876: beist fra grayhash

  • Diskbilleder

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: En lokal bruger kan muligvis køre en vilkårlig kode med systemrettigheder.

    Beskrivelse: Der var et problem med beskadiget hukommelse i DiskImages. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5847: Filippo Bigarella og Luca Todesco

  • dyld

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Et program kan tilsidesætte kodesignering

    Beskrivelse: Der var et problem ved godkendelse af kodesignaturen for eksekverbare arkiver. Problemet er løst via forbedret kontrol af grænser.

    CVE-id

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • Game Center

    • Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

      Effekt: En skadelig Game Center-app kan muligvis få adgang til en spillers e-mailadresse

      Beskrivelse: Der var et problem i Game Center ved behandling af en spillers e-mail. Problemet blev løst via forbedret adgangsbegrænsning.

      CVE-id

      CVE-2015-5855: Nasser Alnasser

  • ICU

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Flere sikkerhedsrisici i ICU

    Beskrivelse: Der var flere sikkerhedsrisici i ICU før version 53.1.0. Problemerne er løst ved at opdatere ICU til version 55.1.

    CVE-id

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922 : Mark Brand fra Google Project Zero

  • IOAcceleratorFamily

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

    Beskrivelse: Der var et problem, som bevirkede, at der blev afsløret indhold fra kernehukommelsen. Problemet er løst via forbedret kontrol af grænser.

    CVE-id

    CVE-2015-5834: Cererdlong fra Alibaba Mobile Security Team

  • IOAcceleratorFamily

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: En lokal bruger kan muligvis køre en vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse i IOAcceleratorFamily. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5848: Filippo Bigarella

  • IOHIDFamily

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse i IOHIDFamily. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5867: moony li fra Trend Micro

  • IOKit

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse i kernen. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: En lokal bruger kan muligvis køre en vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse i IOMobileFrameBuffer. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: En lokal hacker kan læse kernehukommelsen

    Beskrivelse: Der var et problem med hukommelsesinitialisering i kernen. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5863: Ilja van Sprundel fra IOActive

  • iTunes Store

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Apple-id-adgangsoplysninger kan blive liggende i nøgleringen, efter at brugeren er logget ud

    Beskrivelse: Der var et problem med nøgleringssletning. Problemet er løst ved forbedret kontooprydning.

    CVE-id

    CVE-2015-5832: Kasif Dekel fra Check Point Software Technologies

  • JavaScriptCore

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Et besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der var problemer med beskadiget hukommelse i WebKit. Problemerne er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5791: Apple

    CVE-2015-5793: Apple

    CVE-2015-5814: Apple

    CVE-2015-5816: Apple

    CVE-2015-5822: Mark S. Miller fra Google

    CVE-2015-5823: Apple

  • Kernel

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse i kernen. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5868: Cererdlong fra Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard fra m00nbsd

    CVE-2015-5903: CESG

    Post opdateret 21. december 2016

  • Kernel

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: En lokal hacker kan styre værdien af stakcookies

    Beskrivelse: Der var flere sikkerhedsproblemer ved generering af stakcookies til brugerområdet. Problemet er løst ved forbedret generering af stakcookies.

    CVE-id

    CVE-2013-3951: Stefan Esser

  • Kernel

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: En lokal proces kan ændre andre processer uden forudgående berettigelseskontrol

    Beskrivelse: Der var et problem med, at rodprocesser, der anvender API'en for processor_set_tasks, kunne hente andre processers opgaveporte. Problemet er løst ved at indføre yderligere berettigelseskontroller.

    CVE-id

    CVE-2015-5882: Pedro Vilaça, der arbejder ud fra oprindelig research af Ming-chieh Pan og Sung-ting Tsai; Jonathan Levin

  • Kernel

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: En hacker kan starte DoS-angreb på TCP-forbindelser uden at kende det korrekte sekvensnummer

    Beskrivelse: Der var et problem med XNU-godkendelse af TCP-pakkeheadere. Problemet er løst ved forbedret godkendelse af TCP-pakkeheadere.

    CVE-id

    CVE-2015-5879: Jonathan Looney

  • Kernel

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: En hacker i et lokalt LAN-segment kan deaktivere IPv6-routing

    Beskrivelse: Der var et problem med utilstrækkelig godkendelse ved behandling af IPv6-routerannonceringer, som gjorde det muligt for en hacker at indstille hop-grænsen til en vilkårlig værdi. Problemet er løst ved at gennemtvinge en minimums-hop-grænse.

    CVE-id

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: En lokal bruger kan muligvis se opsætningen af kernehukommelsen

    Beskrivelse: Der var et problem i XNU, som bevirkede, at der skete afsløring af kernehukommelsen. Problemet er løst ved forbedret initialisering af kernehukommelsesstrukturerne.

    CVE-id

    CVE-2015-5842: beist fra grayhash

  • Kernel

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: En lokal bruger kan muligvis fremkalde DoS (Denial of Service) på systemet

    Beskrivelse: Der var et problem med HFS-drevaktivering. Problemet er løst ved at indføre yderligere godkendelseskontroller.

    CVE-id

    CVE-2015-5748: Maxime Villard fra m00nbsd

  • libc

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: En hacker kan forårsage pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadiget hukommelse i fflush-funktionen. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2014-8611: Adrian Chadd og Alfred Perlstein fra Norse Corporation

  • libpthread

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse i kernen. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5899: Lufeng Li fra Qihoo 360 Vulcan Team

  • Mail

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: En hacker kan sende en e-mail, der ser ud til at komme fra en kontakt i modtagerens adressebog

    Beskrivelse: Der var et problem med behandling af afsenderens adresse. Problemet er løst ved forbedret godkendelse.

    CVE-id

    CVE-2015-5857: Emre Saglam fra salesforce.com

  • Multipeer-forbindelse

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: En lokal hacker kan observere ubeskyttede multipeer-data

    Beskrivelse: Der var et problem med behandling af convenience-initialisering, hvor krypteringen aktivt kunne nedgraderes til en ikke-krypteret session. Problemet er løst ved at ændre convenience-initialisering, så der kræves kryptering.

    CVE-id

    CVE-2015-5851: Alban Diquet (@nabla_c0d3) fra Data Theorem

  • NetworkExtension

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

    Beskrivelse: Der var et problem med ikke-initialiseret hukommelse i kernen, som bevirkede, at der blev afsløret indhold fra kernehukommelsen. Problemet er løst ved hukommelsesinitialisering.

    CVE-id

    CVE-2015-5831: Maxime Villard fra m00nbsd

  • OpenSSL

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Flere sikkerhedshuller i OpenSSL

    Beskrivelse: Der var flere sikkerhedsrisici i OpenSSL før version 0.9.8zg. Problemerne er løst ved at opdatere OpenSSL til version 0.9.8zg.

    CVE-id

    CVE-2015-0286

    CVE-2015-0287

  • PluginKit

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: En skadelig virksomhedsapp kan installere udvidelser, før appen er blevet godkendt

    Beskrivelse: Der var et problem med godkendelse af udvidelser under installering. Problemet er løst ved forbedret appbekræftelse.

    CVE-id

    CVE-2015-5837: Zhaofeng Chen, Hui Xue og Tao (Lenx) Wei fra FireEye, Inc.

  • removefile

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Behandling af skadelige data kan medføre pludselig applukning

    Beskrivelse: Der var en overløbsfejl i checkint-divisionsrutinerne. Problemet er løst ved at forbedre divisionsrutinerne.

    CVE-id

    CVE-2015-5840: En anonym anmelder

  • Safari

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: En lokal bruger kan læse Safari-bogmærker på en låst iOS-enhed uden at have adgangskoden

    Beskrivelse: Safari-bogmærkedata blev krypteret med en nøgle, der kun var beskyttet af hardware-UID'et. Problemet er løst ved at kryptere Safari-bogmærkedataene med en nøgle, der er beskyttet af hardware-UID'et og brugerens adgangskode.

    CVE-id

    CVE-2015-7118: Jonathan Zdziarski

    Post opdateret 21. december 2016

  • Safari

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Indlæsning af et skadeligt websted kan medføre manipulering med brugergrænsefladen

    Beskrivelse: Et problem kunne medføre, at et websted kunne vise indhold med en URL-adresse fra et andet websted. Problemet er løst ved forbedret behandling af URL-adresser.

    CVE-id

    CVE-2015-5904: Erling Ellingsen fra Facebook, Łukasz Pilorz

  • Safari

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Indlæsning af et skadeligt websted kan medføre manipulering med brugergrænsefladen

    Beskrivelse: Ved åbning af et skadeligt websted med en fejlbehæftet vinduesåbner kunne der blive vist vilkårlige URL-adresser. Problemet er løst ved forbedret behandling af vinduesåbnere.

    CVE-id

    CVE-2015-5905: Keita Haga fra keitahaga.com

  • Safari

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Brugeren kan blive sporet af skadelige websteder, der anvender klientcertifikater

    Beskrivelse: Der var et problem med sammenholdelse af Safaris klientcertikat til SSL-godkendelse. Problemet er løst ved forbedret sammenholdelse af gyldige klientcertifikater.

    CVE-id

    CVE-2015-1129: Stefan Kraus fra fluid Operations AG og Sylvain Munaut fra Whatever s.a.

  • Safari

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Indlæsning af et skadeligt websted kan medføre manipulering med brugergrænsefladen

    Beskrivelse: Flere tilfælde af inkonsistens i brugergrænsefladen kunne gøre det muligt for et skadeligt websted at vise en vilkårlig URL-adresse. Problemerne er løst ved at forbedre visningslogikken for URL-adresser.

    • CVE-id

      CVE-2015-5764: Antonio Sanso (@asanso) fra Adobe

      CVE-2015-5765: Ron Masas

      CVE-2015-5767: Krystian Kloskowski via Secunia, Masato Kinugawa

  • Safari-funktionen sikker browser

    iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Åbning af IP-adressen for et websted, der er kategoriseret som skadeligt, udløser ikke en sikkerhedsadvarsel

    Beskrivelse: Safari-funktionen sikker browser advarede ikke brugerne, hvis de brugte IP-adressen til at åbne websteder, der er kategoriseret som skadelige. Problemet er løst ved forbedret registrering af skadelige websteder.

    Rahul M fra TagsDock

  • Sikkerhed

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: En skadelig app kan forstyrre kommunikationen mellem andre apps

    Beskrivelse: Der var et problem med, at en skadelig app kunne forstyrre URL-skemakommunikationen mellem andre apps. Problemet er afhjulpet ved, at der vises en dialog, når et URL-skema bruges første gang.

    CVE-id

    CVE-2015-5835: Teun van Run fra FiftyTwoDegreesNorth B.V.; Xiaofeng Wang fra Indiana University, Luyi Xing fra Indiana University, Tongxin Li fra Peking University, Xiaolong Bai fra Tsinghua University

  • Siri

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: En person med fysisk adgang til en iOS-enhed kan bruge Siri til at læse meddelelser for indhold, som ikke er indstillet til at blive vist på låseskærmen

    Beskrivelse: Når der blev sendt en forespørgsel til Siri, kontrollerede serveren ikke begrænsningerne på klientsiden. Problemet er løst ved forbedret kontrol af begrænsninger.

    CVE-id

    CVE-2015-5892: Robert S Mozayeni, Joshua Donvito

  • SpringBoard

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: En person med fysisk adgang til en iOS-enhed kan svare på en lydbesked fra låseskærmen, når eksempelvisning af beskeder på låseskærmen er slået fra

    Beskrivelse: Der var et problem med låseskærmen, som gjorde det muligt for brugerne at svare på lydbeskeder, når eksempelvisning af beskeder var slået fra. Problemet er løst ved forbedret statusadministration.

    CVE-id

    CVE-2015-5861: Daniel Miedema fra Meridian Apps

  • SpringBoard

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: En skadelig app kan forfalske en anden apps dialogvinduer

    Beskrivelse: Der var et adgangsproblem med privilegerede API-kald. Problemet er løst ved at indføre yderligere begrænsninger.

    CVE-id

    CVE-2015-5838: Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei og John C.S. Lui

  • SQLite

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Flere sikkerhedsrisici i SQLite v3.8.5

    Beskrivelse: Der var flere sikkerhedsrisici i SQLite v3.8.5. Problemerne er løst ved at opdatere SQLite til version 3.8.10.2.

    CVE-id

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • tidy

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Et besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadiget hukommelse i Tidy. Problemet er løst ved forbedret behandling af hukommelse.

    CVE-id

    CVE-2015-5522: Fernando Muñoz fra NULLGroup.com

    CVE-2015-5523: Fernando Muñoz fra NULLGroup.com

  • WebKit

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Der kan blive lækket objektreferencer mellem isolerede oprindelsessteder ved tilpassede hændelser, beskedhændelser og popstate-hændelser

    Beskrivelse: Et problem med objektlækage medførte brud på isoleringsgrænsen mellem oprindelsesstederne. Problemet er løst ved forbedret isolering mellem oprindelsesstederne.

    CVE-id

    CVE-2015-5827: Gildas

  • WebKit

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Et besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der var problemer med beskadiget hukommelse i WebKit. Problemerne er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5789: Apple

    CVE-2015-5790: Apple

    CVE-2015-5792: Apple

    CVE-2015-5794: Apple

    CVE-2015-5795: Apple

    CVE-2015-5796: Apple

    CVE-2015-5797: Apple

    CVE-2015-5799: Apple

    CVE-2015-5800: Apple

    CVE-2015-5801: Apple

    CVE-2015-5802: Apple

    CVE-2015-5803: Apple

    CVE-2015-5804: Apple

    CVE-2015-5805

    CVE-2015-5806: Apple

    CVE-2015-5807: Apple

    CVE-2015-5809: Apple

    CVE-2015-5810: Apple

    CVE-2015-5811: Apple

    CVE-2015-5812: Apple

    CVE-2015-5813: Apple

    CVE-2015-5817: Apple

    CVE-2015-5818: Apple

    CVE-2015-5819: Apple

    CVE-2015-5821: Apple

  • WebKit

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Besøg på et skadeligt websted kan medføre uønskede opkald

    Beskrivelse: Der var et problem med behandling af URL-adresser af typen tel://, facetime:// og facetime-audio://. Problemet er løst ved forbedret behandling af URL-adresser.

    CVE-id

    CVE-2015-5820: Andrei Neculaesei, Guillaume Ross

  • WebKit

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: QuickType kan lære sidste tegn i en adgangskode i en udfyldt webformular

    Beskrivelse: Der var et problem med WebKits behandling af konteksten ved indtastning af adgangskode. Problemet er løst ved forbedret behandling af konteksten ved indtastning.

    CVE-id

    CVE-2015-5906: Louis Romero fra Google Inc.

  • WebKit

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: En hacker i en privilegeret netværksposition kan omdirigere til et skadeligt domæne

    Beskrivelse: Der var et problem ved behandling af ressourcebuffere på websteder med ugyldige certifikater. Problemet er løst ved at afvise applikationsbufferen for domæner med ugyldige certifikater.

    CVE-id

    CVE-2015-5907: Yaoqi Jia fra National University of Singapore (NUS)

  • WebKit

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Et skadeligt websted kan eksfiltrere data på tværs af oprindelsessteder

    Beskrivelse: Safari tillod, at formatark på tværs af oprindelsessteder blev indlæst med non-CSS MIME-typer, som kunne bruges til at eksfiltrere data på tværs af oprindelsessteder. Problemet er løst ved at begrænse MIME-typer ved formatark på tværs af oprindelsessteder.

    CVE-id

    CVE-2015-5826: filedescriptor, Chris Evans

  • WebKit

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Performance-API'en kan gøre det muligt for et skadeligt websted at lække browserhistorie, netværksaktivitet og musebevægelser

    Beskrivelse: WebKits Performance-API kunne gøre det muligt for et skadeligt websted at lække browserhistorie, netværksaktivitet og musebevægelser på baggrund af målingstidspunkt. Problemet er løst ved at begrænse "time resolution".

    CVE-id

    CVE-2015-5825: Yossi Oren m.fl. fra Network Security Lab under Columbia University

  • WebKit

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: En hacker i en privilegeret netværksposition kan afsløre følsomme brugeroplysninger

    Beskrivelse: Der var et problem med Content-Disposition-headere indeholdende typen attachment. Problemet er løst ved ikke at tillade visse funktionerne for sider med typen attachment.

    CVE-id

    CVE-2015-5921: Mickey Shkatov fra Intel(r) Advanced Threat Research Team, Daoyuan Wu fra Singapore Management University, Rocky K. C. Chang fra Hong Kong Polytechnic University, Łukasz Pilorz og superhei fra www.knownsec.com

  • WebKit Canvas

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

    Effekt: Indlæsning af et skadeligt websted kan medføre visning af billeddata fra et andet websted

    Beskrivelse: Der var et problem på tværs af oprindelsessteder med "canvas"-elementbilleder i WebKit. Problemet er løst ved forbedret sporing af sikkerhedsoprindelser.

    CVE-id

    CVE-2015-5788: Apple

  • WebKit-sideindlæsning

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: WebSockets kan tilsidesætte håndhævelse af politikken for blandet indhold

    • Beskrivelse: Der var et problem med utilstrækkelig håndhævelse af en politik, hvilket gjorde det muligt for WebSockets at indlæse blandet indhold. Problemet er løst ved at udvide håndhævelsen af politikken for blandet indhold til WebSockets.

      Kevin G. Jones fra Higher Logic

FaceTime er ikke tilgængelig i alle lande eller områder.

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: