Sikkerhedsindholdet i iOS 9
Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i iOS 9.
Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Læs mere om Apple-produktsikkerhed på webstedet om Apple-produktsikkerhed.
Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple Produktsikkerhed.
Hvor det er muligt, bruges der CVE-id'er som reference til yderligere oplysninger om sårbarheder.
Du kan læse om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.
iOS 9
Apple Pay
Fås til: iPhone 6 og iPhone 6 Plus
Effekt: Nogle kort kan gøre det muligt for en terminal at hente begrænsede mængder oplysninger om nylige transaktioner, når der foretages en betaling
Beskrivelse: Transaktionslogfunktionen var slået til i nogle konfigurationer. Problemet er løst ved at fjerne transaktionslogfunktionen. Problemet har ikke omfattet iPad-enheder.
CVE-id
CVE-2015-5916
AppleKeyStore
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En lokal hacker kan muligvis nulstille antal mislykkede adgangskodeforsøg for en iOS-sikkerhedskopi
Beskrivelse: Der var et problem med nulstilling af antal mislykkede adgangskodeforsøg for en sikkerhedskopi af iOS-enheden. Problemet er løst ved at forbedre adgangskodefejllogikken.
CVE-id
CVE-2015-5850: En anonym anmelder
Application Store
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Et klik på en skadelig ITMS-henvisning kan medføre DoS i en virksomhedssigneret applikation
Beskrivelse: Der var et problem med installering af ITMS-henvisninger. Problemet er løst ved at indføre yderligere installeringsbekræftelse.
CVE-id
CVE-2015-5856: Zhaofeng Chen, Hui Xue og Tao (Lenx) Wei fra FireEye, Inc.
Lyd
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Afspilning af et skadeligt lydarkiv kan medføre pludselig applukning
Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af lydarkiver. Problemet er løst ved forbedret behandling af hukommelse.
CVE-id
CVE-2015-5862: YoungJin Yoon fra Information Security Lab. (vejl.: prof. Taekyoung Kwon), Yonsei University, Seoul, Sydkorea
Politik for certifikatgodkendelse
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Opdatering af politikken for certifikatgodkendelse
Beskrivelse: Politikken for certifikatgodkendelse blev opdateret. Den komplette liste med certifikater kan ses i artiklen https://support.apple.com/da-dk/HT204132.
CFNetwork
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder
Effekt: En skadelig URL-adresse kan muligvis tilsidesætte HSTS (HTTP Strict Transport Security) og lække følsomme data
Beskrivelse: Der var en URL-parsing-sikkerhedsrisiko ved HSTS-behandling. Problemet er løst ved forbedret URL-parsing.
CVE-id
CVE-2015-5858: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua University
CFNetwork
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Et skadeligt websted kan muligvis spore brugerne i funktionen Privat browser i Safari
Beskrivelse: Der var et problem ved behandling af HSTS-tilstanden i funktionen Privat browser i Safari. Problemet er løst ved forbedret statusbehandling.
CVE-id
CVE-2015-5860: Sam Greenhalgh fra RadicalResearch Ltd
CFNetwork
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En person med fysisk adgang til en iOS-enhed kan muligvis læse bufferdata fra Apple-apps
Beskrivelse: Bufferdata blev krypteret med en nøgle, der kun var beskyttet af hardware-UID'et. Problemet er løst ved at kryptere bufferdataene med en nøgle, der er beskyttet af hardware-UID'et og brugerens adgangskode.
CVE-id
CVE-2015-5898: Andreas Kurtz fra NESO Security Labs
CFNetwork-cookies
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En hacker med en privilegeret netværksposition kan spore en brugers aktivitet
Beskrivelse: Der var et problem med cookies på tværs af domæner ved behandling af topniveaudomæner. Problemet er løst ved at forbedre begrænsningerne ved cookieoprettelse.
CVE-id
CVE-2015-5885: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua University
CFNetwork-cookies
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En hacker kan oprette uønskede cookies for et websted
Beskrivelse: WebKit accepterede, at der blev indsat flere cookies i document.cookie-API'en. Problemet er løst ved forbedret parsing.
CVE-id
CVE-2015-3801: Erling Ellingsen fra Facebook
CFNetwork FTPProtocol
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Skadelige FTP-servere kan forårsage, at klienten udfører rekognoscering af andre værter
Beskrivelse: Der var et problem ved håndtering af FTP-pakker, når PASV-kommandoen blev anvendt. Problemet er løst ved forbedret godkendelse.
CVE-id
CVE-2015-5912: Amit Klein
CFNetwork HTTPProtocol
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En hacker med en privilegeret netværksposition kan muligvis opfange netværkstrafik
Beskrivelse: Der var et problem ved behandling af forudindlæste HSTS-lister i funktionen privat browser i Safari. Problemet er løst ved forbedret statusbehandling.
CVE-id
CVE-2015-5859: Rosario Giustolisi fra University of Luxembourg
CFNetwork-proxyservere
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Ved forbindelse til en skadelig webproxyserver kunne der indsættes skadelige cookies for et websted
Beskrivelse: Der var et problem ved behandling af proxyforbindelsessvar. Problemet er løst ved at fjerne set-cookie-headeren, når forbindelsessvaret blev parset.
CVE-id
CVE-2015-5841: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua University
CFNetwork SSL
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En hacker med en privilegeret netværksposition kan opfange SSL/TLS-forbindelser
Beskrivelse: Der var et problem med certifikatgodkendelse i NSURL, når et certifikat blev ændret. Problemet er løst ved forbedret certifikatgodkendelse.
CVE-id
CVE-2015-5824: Timothy J. Wood fra The Omni Group
CFNetwork SSL
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En hacker kan dekryptere SSL-beskyttede data
Beskrivelse: Der er kendskab til angreb på fortroligheden i RC4. En hacker kunne fremtvinge brugen af RC4, selv om serveren foretrækker bedre kryptering, ved at blokere forbindelser fra TLS 1.0 og opefter, indtil CFNetwork prøvede SSL 3.0, som kun tillader RC4. Problemet er løst ved at fjerne fallback til SSL 3.0.
CoreAnimation
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Et skadeligt program kan lække følsomme brugeroplysninger
Beskrivelse: Nogle apps kunne få adgang til skærmrammebufferen, mens de kørte i baggrunden. Problemet er løst ved forbedret adgangskontrol i IOSurfaces.
CVE-id
CVE-2015-5880: Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li fra School of Information Systems Singapore Management University, Feng Bao og Jianying Zhou fra Cryptography and Security Department Institute for Infocomm Research
CoreCrypto
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En hacker kan bestemme en privat nøgle
Beskrivelse: Ved at observere mange signerings- eller dekrypteringsforsøg kunne en hacker muligvis bestemme den private RSA-nøgle. Problemet er løst ved forbedret godkendelse af krypteringsalgoritmer.
CoreText
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af skriftarkiver. Problemet er løst ved forbedret godkendelse af input.
CVE-id
CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team
Data Detectors Engine
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Behandling af et skadeligt tekstarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der opstod problemer med beskadiget hukommelse ved behandling af tekstarkiver. Problemerne er løst ved forbedret kontrol af grænser.
CVE-id
CVE-2015-5829: M1x7e1 fra Safeye Team (www.safeye.org)
Dev Tools
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder.
Beskrivelse: Der var et problem med beskadiget hukommelse i dyld. Problemet er løst ved forbedret hukommelsesstyring.
CVE-id
CVE-2015-5876: beist fra grayhash
Diskbilleder
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En lokal bruger kan muligvis køre en vilkårlig kode med systemrettigheder.
Beskrivelse: Der var et problem med beskadiget hukommelse i DiskImages. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5847: Filippo Bigarella og Luca Todesco
dyld
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Et program kan tilsidesætte kodesignering
Beskrivelse: Der var et problem ved godkendelse af kodesignaturen for eksekverbare arkiver. Problemet er løst via forbedret kontrol af grænser.
CVE-id
CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team
Game Center
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En skadelig Game Center-app kan muligvis få adgang til en spillers e-mailadresse
Beskrivelse: Der var et problem i Game Center ved behandling af en spillers e-mail. Problemet blev løst via forbedret adgangsbegrænsning.
CVE-id
CVE-2015-5855: Nasser Alnasser
ICU
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Flere sikkerhedsrisici i ICU
Beskrivelse: Der var flere sikkerhedsrisici i ICU før version 53.1.0. Problemerne er løst ved at opdatere ICU til version 55.1.
CVE-id
CVE-2014-8146: Marc Deslauriers
CVE-2014-8147: Marc Deslauriers
CVE-2015-5922 : Mark Brand fra Google Project Zero
IOAcceleratorFamily
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen
Beskrivelse: Der var et problem, som bevirkede, at der blev afsløret indhold fra kernehukommelsen. Problemet er løst via forbedret kontrol af grænser.
CVE-id
CVE-2015-5834: Cererdlong fra Alibaba Mobile Security Team
IOAcceleratorFamily
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En lokal bruger kan muligvis køre en vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse i IOAcceleratorFamily. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5848: Filippo Bigarella
IOHIDFamily
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse i IOHIDFamily. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5867: moony li fra Trend Micro
IOKit
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse i kernen. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5844: Filippo Bigarella
CVE-2015-5845: Filippo Bigarella
CVE-2015-5846: Filippo Bigarella
IOMobileFrameBuffer
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En lokal bruger kan muligvis køre en vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse i IOMobileFrameBuffer. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5843: Filippo Bigarella
IOStorageFamily
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En lokal hacker kan læse kernehukommelsen
Beskrivelse: Der var et problem med hukommelsesinitialisering i kernen. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5863: Ilja van Sprundel fra IOActive
iTunes Store
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Apple-id-adgangsoplysninger kan blive liggende i nøgleringen, efter at brugeren er logget ud
Beskrivelse: Der var et problem med nøgleringssletning. Problemet er løst ved forbedret kontooprydning.
CVE-id
CVE-2015-5832: Kasif Dekel fra Check Point Software Technologies
JavaScriptCore
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Et besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var problemer med beskadiget hukommelse i WebKit. Problemerne er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5791: Apple
CVE-2015-5793: Apple
CVE-2015-5814: Apple
CVE-2015-5816: Apple
CVE-2015-5822: Mark S. Miller fra Google
CVE-2015-5823: Apple
Kernel
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse i kernen. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5868: Cererdlong fra Alibaba Mobile Security Team
CVE-2015-5896: Maxime Villard fra m00nbsd
CVE-2015-5903: CESG
Post opdateret 21. december 2016
Kernel
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En lokal hacker kan styre værdien af stakcookies
Beskrivelse: Der var flere sikkerhedsproblemer ved generering af stakcookies til brugerområdet. Problemet er løst ved forbedret generering af stakcookies.
CVE-id
CVE-2013-3951: Stefan Esser
Kernel
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En lokal proces kan ændre andre processer uden forudgående berettigelseskontrol
Beskrivelse: Der var et problem med, at rodprocesser, der anvender API'en for processor_set_tasks, kunne hente andre processers opgaveporte. Problemet er løst ved at indføre yderligere berettigelseskontroller.
CVE-id
CVE-2015-5882: Pedro Vilaça, der arbejder ud fra oprindelig research af Ming-chieh Pan og Sung-ting Tsai; Jonathan Levin
Kernel
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En hacker kan starte DoS-angreb på TCP-forbindelser uden at kende det korrekte sekvensnummer
Beskrivelse: Der var et problem med XNU-godkendelse af TCP-pakkeheadere. Problemet er løst ved forbedret godkendelse af TCP-pakkeheadere.
CVE-id
CVE-2015-5879: Jonathan Looney
Kernel
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder
Effekt: En hacker i et lokalt LAN-segment kan deaktivere IPv6-routing
Beskrivelse: Der var et problem med utilstrækkelig godkendelse ved behandling af IPv6-routerannonceringer, som gjorde det muligt for en hacker at indstille hop-grænsen til en vilkårlig værdi. Problemet er løst ved at gennemtvinge en minimums-hop-grænse.
CVE-id
CVE-2015-5869: Dennis Spindel Ljungmark
Kernel
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En lokal bruger kan muligvis se opsætningen af kernehukommelsen
Beskrivelse: Der var et problem i XNU, som bevirkede, at der skete afsløring af kernehukommelsen. Problemet er løst ved forbedret initialisering af kernehukommelsesstrukturerne.
CVE-id
CVE-2015-5842: beist fra grayhash
Kernel
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En lokal bruger kan muligvis fremkalde DoS (Denial of Service) på systemet
Beskrivelse: Der var et problem med HFS-drevaktivering. Problemet er løst ved at indføre yderligere godkendelseskontroller.
CVE-id
CVE-2015-5748: Maxime Villard fra m00nbsd
libc
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En hacker kan forårsage pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse i fflush-funktionen. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2014-8611: Adrian Chadd og Alfred Perlstein fra Norse Corporation
libpthread
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse i kernen. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5899: Lufeng Li fra Qihoo 360 Vulcan Team
Mail
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En hacker kan sende en e-mail, der ser ud til at komme fra en kontakt i modtagerens adressebog
Beskrivelse: Der var et problem med behandling af afsenderens adresse. Problemet er løst ved forbedret godkendelse.
CVE-id
CVE-2015-5857: Emre Saglam fra salesforce.com
Multipeer-forbindelse
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En lokal hacker kan observere ubeskyttede multipeer-data
Beskrivelse: Der var et problem med behandling af convenience-initialisering, hvor krypteringen aktivt kunne nedgraderes til en ikke-krypteret session. Problemet er løst ved at ændre convenience-initialisering, så der kræves kryptering.
CVE-id
CVE-2015-5851: Alban Diquet (@nabla_c0d3) fra Data Theorem
NetworkExtension
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen
Beskrivelse: Der var et problem med ikke-initialiseret hukommelse i kernen, som bevirkede, at der blev afsløret indhold fra kernehukommelsen. Problemet er løst ved hukommelsesinitialisering.
CVE-id
CVE-2015-5831: Maxime Villard fra m00nbsd
OpenSSL
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Flere sikkerhedshuller i OpenSSL
Beskrivelse: Der var flere sikkerhedsrisici i OpenSSL før version 0.9.8zg. Problemerne er løst ved at opdatere OpenSSL til version 0.9.8zg.
CVE-id
CVE-2015-0286
CVE-2015-0287
PluginKit
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En skadelig virksomhedsapp kan installere udvidelser, før appen er blevet godkendt
Beskrivelse: Der var et problem med godkendelse af udvidelser under installering. Problemet er løst ved forbedret appbekræftelse.
CVE-id
CVE-2015-5837: Zhaofeng Chen, Hui Xue og Tao (Lenx) Wei fra FireEye, Inc.
removefile
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Behandling af skadelige data kan medføre pludselig applukning
Beskrivelse: Der var en overløbsfejl i checkint-divisionsrutinerne. Problemet er løst ved at forbedre divisionsrutinerne.
CVE-id
CVE-2015-5840: En anonym anmelder
Safari
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En lokal bruger kan læse Safari-bogmærker på en låst iOS-enhed uden at have adgangskoden
Beskrivelse: Safari-bogmærkedata blev krypteret med en nøgle, der kun var beskyttet af hardware-UID'et. Problemet er løst ved at kryptere Safari-bogmærkedataene med en nøgle, der er beskyttet af hardware-UID'et og brugerens adgangskode.
CVE-id
CVE-2015-7118: Jonathan Zdziarski
Post opdateret 21. december 2016
Safari
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Indlæsning af et skadeligt websted kan medføre manipulering med brugergrænsefladen
Beskrivelse: Et problem kunne medføre, at et websted kunne vise indhold med en URL-adresse fra et andet websted. Problemet er løst ved forbedret behandling af URL-adresser.
CVE-id
CVE-2015-5904: Erling Ellingsen fra Facebook, Łukasz Pilorz
Safari
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Indlæsning af et skadeligt websted kan medføre manipulering med brugergrænsefladen
Beskrivelse: Ved åbning af et skadeligt websted med en fejlbehæftet vinduesåbner kunne der blive vist vilkårlige URL-adresser. Problemet er løst ved forbedret behandling af vinduesåbnere.
CVE-id
CVE-2015-5905: Keita Haga fra keitahaga.com
Safari
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Brugeren kan blive sporet af skadelige websteder, der anvender klientcertifikater
Beskrivelse: Der var et problem med sammenholdelse af Safaris klientcertikat til SSL-godkendelse. Problemet er løst ved forbedret sammenholdelse af gyldige klientcertifikater.
CVE-id
CVE-2015-1129: Stefan Kraus fra fluid Operations AG og Sylvain Munaut fra Whatever s.a.
Safari
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Indlæsning af et skadeligt websted kan medføre manipulering med brugergrænsefladen
Beskrivelse: Flere tilfælde af inkonsistens i brugergrænsefladen kunne gøre det muligt for et skadeligt websted at vise en vilkårlig URL-adresse. Problemerne er løst ved at forbedre visningslogikken for URL-adresser.
CVE-id
CVE-2015-5764: Antonio Sanso (@asanso) fra Adobe
CVE-2015-5765: Ron Masas
CVE-2015-5767: Krystian Kloskowski via Secunia, Masato Kinugawa
Safari-funktionen sikker browser
iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Åbning af IP-adressen for et websted, der er kategoriseret som skadeligt, udløser ikke en sikkerhedsadvarsel
Beskrivelse: Safari-funktionen sikker browser advarede ikke brugerne, hvis de brugte IP-adressen til at åbne websteder, der er kategoriseret som skadelige. Problemet er løst ved forbedret registrering af skadelige websteder.
Rahul M fra TagsDock
Sikkerhed
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En skadelig app kan forstyrre kommunikationen mellem andre apps
Beskrivelse: Der var et problem med, at en skadelig app kunne forstyrre URL-skemakommunikationen mellem andre apps. Problemet er afhjulpet ved, at der vises en dialog, når et URL-skema bruges første gang.
CVE-id
CVE-2015-5835: Teun van Run fra FiftyTwoDegreesNorth B.V.; Xiaofeng Wang fra Indiana University, Luyi Xing fra Indiana University, Tongxin Li fra Peking University, Xiaolong Bai fra Tsinghua University
Siri
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En person med fysisk adgang til en iOS-enhed kan bruge Siri til at læse meddelelser for indhold, som ikke er indstillet til at blive vist på låseskærmen
Beskrivelse: Når der blev sendt en forespørgsel til Siri, kontrollerede serveren ikke begrænsningerne på klientsiden. Problemet er løst ved forbedret kontrol af begrænsninger.
CVE-id
CVE-2015-5892: Robert S Mozayeni, Joshua Donvito
SpringBoard
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En person med fysisk adgang til en iOS-enhed kan svare på en lydbesked fra låseskærmen, når eksempelvisning af beskeder på låseskærmen er slået fra
Beskrivelse: Der var et problem med låseskærmen, som gjorde det muligt for brugerne at svare på lydbeskeder, når eksempelvisning af beskeder var slået fra. Problemet er løst ved forbedret statusadministration.
CVE-id
CVE-2015-5861: Daniel Miedema fra Meridian Apps
SpringBoard
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En skadelig app kan forfalske en anden apps dialogvinduer
Beskrivelse: Der var et adgangsproblem med privilegerede API-kald. Problemet er løst ved at indføre yderligere begrænsninger.
CVE-id
CVE-2015-5838: Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei og John C.S. Lui
SQLite
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Flere sikkerhedsrisici i SQLite v3.8.5
Beskrivelse: Der var flere sikkerhedsrisici i SQLite v3.8.5. Problemerne er løst ved at opdatere SQLite til version 3.8.10.2.
CVE-id
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
tidy
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Et besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse i Tidy. Problemet er løst ved forbedret behandling af hukommelse.
CVE-id
CVE-2015-5522: Fernando Muñoz fra NULLGroup.com
CVE-2015-5523: Fernando Muñoz fra NULLGroup.com
WebKit
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Der kan blive lækket objektreferencer mellem isolerede oprindelsessteder ved tilpassede hændelser, beskedhændelser og popstate-hændelser
Beskrivelse: Et problem med objektlækage medførte brud på isoleringsgrænsen mellem oprindelsesstederne. Problemet er løst ved forbedret isolering mellem oprindelsesstederne.
CVE-id
CVE-2015-5827: Gildas
WebKit
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Et besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var problemer med beskadiget hukommelse i WebKit. Problemerne er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5789: Apple
CVE-2015-5790: Apple
CVE-2015-5792: Apple
CVE-2015-5794: Apple
CVE-2015-5795: Apple
CVE-2015-5796: Apple
CVE-2015-5797: Apple
CVE-2015-5799: Apple
CVE-2015-5800: Apple
CVE-2015-5801: Apple
CVE-2015-5802: Apple
CVE-2015-5803: Apple
CVE-2015-5804: Apple
CVE-2015-5805
CVE-2015-5806: Apple
CVE-2015-5807: Apple
CVE-2015-5809: Apple
CVE-2015-5810: Apple
CVE-2015-5811: Apple
CVE-2015-5812: Apple
CVE-2015-5813: Apple
CVE-2015-5817: Apple
CVE-2015-5818: Apple
CVE-2015-5819: Apple
CVE-2015-5821: Apple
WebKit
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Besøg på et skadeligt websted kan medføre uønskede opkald
Beskrivelse: Der var et problem med behandling af URL-adresser af typen tel://, facetime:// og facetime-audio://. Problemet er løst ved forbedret behandling af URL-adresser.
CVE-id
CVE-2015-5820: Andrei Neculaesei, Guillaume Ross
WebKit
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: QuickType kan lære sidste tegn i en adgangskode i en udfyldt webformular
Beskrivelse: Der var et problem med WebKits behandling af konteksten ved indtastning af adgangskode. Problemet er løst ved forbedret behandling af konteksten ved indtastning.
CVE-id
CVE-2015-5906: Louis Romero fra Google Inc.
WebKit
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En hacker i en privilegeret netværksposition kan omdirigere til et skadeligt domæne
Beskrivelse: Der var et problem ved behandling af ressourcebuffere på websteder med ugyldige certifikater. Problemet er løst ved at afvise applikationsbufferen for domæner med ugyldige certifikater.
CVE-id
CVE-2015-5907: Yaoqi Jia fra National University of Singapore (NUS)
WebKit
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Et skadeligt websted kan eksfiltrere data på tværs af oprindelsessteder
Beskrivelse: Safari tillod, at formatark på tværs af oprindelsessteder blev indlæst med non-CSS MIME-typer, som kunne bruges til at eksfiltrere data på tværs af oprindelsessteder. Problemet er løst ved at begrænse MIME-typer ved formatark på tværs af oprindelsessteder.
CVE-id
CVE-2015-5826: filedescriptor, Chris Evans
WebKit
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Performance-API'en kan gøre det muligt for et skadeligt websted at lække browserhistorie, netværksaktivitet og musebevægelser
Beskrivelse: WebKits Performance-API kunne gøre det muligt for et skadeligt websted at lække browserhistorie, netværksaktivitet og musebevægelser på baggrund af målingstidspunkt. Problemet er løst ved at begrænse "time resolution".
CVE-id
CVE-2015-5825: Yossi Oren m.fl. fra Network Security Lab under Columbia University
WebKit
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: En hacker i en privilegeret netværksposition kan afsløre følsomme brugeroplysninger
Beskrivelse: Der var et problem med Content-Disposition-headere indeholdende typen attachment. Problemet er løst ved ikke at tillade visse funktionerne for sider med typen attachment.
CVE-id
CVE-2015-5921: Mickey Shkatov fra Intel(r) Advanced Threat Research Team, Daoyuan Wu fra Singapore Management University, Rocky K. C. Chang fra Hong Kong Polytechnic University, Łukasz Pilorz og superhei fra www.knownsec.com
WebKit Canvas
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder
Effekt: Indlæsning af et skadeligt websted kan medføre visning af billeddata fra et andet websted
Beskrivelse: Der var et problem på tværs af oprindelsessteder med "canvas"-elementbilleder i WebKit. Problemet er løst ved forbedret sporing af sikkerhedsoprindelser.
CVE-id
CVE-2015-5788: Apple
WebKit-sideindlæsning
Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder
Effekt: WebSockets kan tilsidesætte håndhævelse af politikken for blandet indhold
Beskrivelse: Der var et problem med utilstrækkelig håndhævelse af en politik, hvilket gjorde det muligt for WebSockets at indlæse blandet indhold. Problemet er løst ved at udvide håndhævelsen af politikken for blandet indhold til WebSockets.
Kevin G. Jones fra Higher Logic
FaceTime er ikke tilgængelig i alle lande eller områder.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.