Om sikkerhedsindholdet i iOS 9.3

Dette dokument beskriver sikkerhedsindholdet i iOS 9.3.

Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan læse om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

iOS 9.3

  • AppleUSBNetworking

    Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: En USB-enhed kan muligvis fremkalde DoS-angreb

    Beskrivelse: Der var et problem med at håndtere problemer under pakkevalidering. Problemet er løst ved forbedret håndtering af fejl.

    CVE-id

    CVE-2016-1734: Andrea Barisani og Andrej Rosano fra Inverse Path

  • FontParser

    Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst ved forbedret hukommelsesbehandling.

    CVE-id

    CVE-2016-1740: HappilyCoded (ant4g0nist og r3dsm0k3) arbejder med Trend Micro's Zero Day Initiative (ZDI)

  • HTTPProtocol

    Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der var flere sårbarheder i nghttp2-versioner før 1.6.0. Den mest alvorlige af disse kan potentielt have muliggjort fjernkørsel af kode. Disse blev rettet ved at opdatere nghttp2 til version 1.6.0.

    CVE-id

    CVE-2015-8659

  • IOHIDFamily

    Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Et program kan muligvis konstatere hukommelseslayoutet af kernel

    Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst ved forbedret hukommelsesbehandling.

    CVE-id

    CVE-2016-1748: Brandon Azad

  • Kernel

    Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Et program kan muligvis forårsage afvisning af service

    Beskrivelse: Et problem med afvisning af service blev rettet gennem forbedret validering.

    CVE-id

    CVE-2016-1752: CESG

  • Kernel

    Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Et program kan muligvis køre en vilkårlig kode med kernel-rettigheder

    Beskrivelse: Et use-after-free-problem blev rettet gennem forbedret hukommelseshåndtering.

    CVE-id

    CVE-2016-1750: CESG

  • Kernel

    Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Et program kan muligvis køre en vilkårlig kode med kernel-rettigheder

    Beskrivelse: Et problem med flere heltalsoverløb blev rettet gennem forbedret inputvalidering.

    CVE-id

    CVE-2016-1753: Juwei Lin Trend Micro arbejder med Trend Micro's Zero Day Initiative (ZDI)

  • Kernel

    Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Et program kan tilsidesætte kodesignering

    Beskrivelse: Der var et adgangsproblem, hvor kørselstilladelse af filer fejlagtigt blev tildelt. Dette problem blev håndteret gennem forbedret tilladelsesvalidering.

    CVE-id

    CVE-2016-1751: Eric Monti fra Square Mobile Security

  • Kernel

    Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Et program kan muligvis køre en vilkårlig kode med kernel-rettigheder

    Beskrivelse: Der var et problem med "race condition" ved oprettelsen af nye processer. Dette blev rettet gennem forbedret "state handling".

    CVE-id

    CVE-2016-1757: Ian Beer fra Google Project Zero og Pedro Vilaça

  • Kernel

    Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Et program kan muligvis køre en vilkårlig kode med kernel-rettigheder

    Beskrivelse: En "null pointer dereference" blev rettet gennem forbedret inputvalidering.

    CVE-id

    CVE-2016-1756: Lufeng Li fra Qihoo 360 Vulcan Team

  • Kernel

    Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Et program kan muligvis køre en vilkårlig kode med kernel-rettigheder

    Beskrivelse: Problemer med beskadigelse af flere hukommelser blev rettet gennem bedre hukommelseshåndtering.

    CVE-id

    CVE-2016-1754: Lufeng Li fra Qihoo 360 Vulcan Team

    CVE-2016-1755: Ian Beer fra Google Project Zero

  • Kernel

    Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Et program kan muligvis konstatere hukommelseslayoutet af kernel

    Beskrivelse: Der var et "out-of-bounds"-indlæsningsproblem, som ledte til offentliggørelse af kernel-hukommelse. Dette blev rettet gennem forbedret inputvalidering.

    CVE-id

    CVE-2016-1758: Brandon Azad

  • LaunchServices

    Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Et program kan redigere hændelser fra andre programmer

    Beskrivelse: Der var et problem med validering af hændelseshandler i API'en for XPC-tjenester. Problemet er løst ved forbedret godkendelse af sms-beskeder.

    CVE-id

    CVE-2016-1760: Proteas fra Qihoo 360 Nirvan Team

  • libxml2

    Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Behandlingen af skadeligt XML-indhold kan forårsage uventet programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Problemer med beskadigelse af flere hukommelser blev rettet gennem bedre hukommelseshåndtering.

    CVE-id

    CVE-2015-1819

    CVE-2015-5312: David Drysdale fra Google

    CVE-2015-7499

    CVE-2015-7500: Kostya Serebryany fra Google

    CVE-2015-7942: Kostya Serebryany fra Google

    CVE-2015-8035: gustavo.grieco

    CVE-2015-8242: Hugh Davenport

    CVE-2016-1761: wol0xff arbejder med Trend Micro's Zero Day Initiative (ZDI)

    CVE-2016-1762

  • Beskeder

    Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Besøg på skadelige websteder kan forårsage automatisk fyldning af tekst i andre beskedtråde

    Beskrivelse: Der var et problem med parsing af URL-adresser i sms'er. Problemet er løst ved forbedret validering af URL-adresser.

    CVE-id

    CVE-2016-1763: CityTog

  • Beskeder

    Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: En hacker, som kan omgå fastgørelse af Apple-certifikater, opfange TLS-forbindelser, injicere beskeder og optage krypterede meddelelser med vedhæftede filer, kan muligvis læse disse vedhæftede filer

    Beskrivelse: Et kryptografisk problem blev rettet ved at afvise dubletmeddelelser i programmet.

    CVE-id

    CVE-2016-1788: Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers og Michael Rushanan fra Johns Hopkins Universitet

  • Profiler

    Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: En MDM-profil, der ikke er tillid til, kan fejlagtigt blive vist som verificeret

    Beskrivelse: Der var et problem med certifikatvalidering i MDM-profiler. Dette blev alt rettet gennem yderligere tjek.

    CVE-id

    CVE-2016-1766: Taylor Boyko arbejder med Trend Micro's Zero Day Initiative (ZDI)

  • Sikkerhed

    Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Behandling af et skadeligt certifikatarkiv kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadigelse af hukommelse i ASN.1-afkoderen. Problemet er løst ved forbedret godkendelse af input.

    CVE-id

    CVE-2016-1950: Francis Gabriel fra Quarkslab

  • TrueTypeScaler

    Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadigelse af hukommelse ved behandling af skriftarkiver. Problemet er løst ved forbedret godkendelse af input.

    CVE-id

    CVE-2016-1775: 0x1byte arbejder med Trend Micro's Zero Day Initiative (ZDI)

  • WebKit

    Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Behandling af webindhold med ondsindet kode kan føre til vilkårlig kørsel af kode

    Beskrivelse: Problemer med beskadigelse af flere hukommelser blev rettet gennem bedre hukommelseshåndtering.

    CVE-id

    CVE-2016-1778: 0x1byte arbejder med Trend Micro's Zero Day Initiative (ZDI) og Yang Zhao fra CM Security

    CVE-2016-1783: Mihai Parparita fra Google

  • WebKit

    Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Et websted kan muligvis spore følsomme brugeroplysninger

    Beskrivelse: Der var et problem med håndtering af vedhæftede URL-adresser. Problemet er løst ved forbedret behandling af URL-adresser.

    CVE-id

    CVE-2016-1781: Devdatta Akhawe fra Dropbox, Inc.

  • WebKit

    Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Et websted kan muligvis spore følsomme brugeroplysninger

    Beskrivelse: Et skjult websted kan muligvis få adgang til enhedsorienteringsdata og enhedsbevægelsesdata. Dette problem blev rettet ved at suspendere tilgængeligheden af pågældende data, når webvisningen er skjult.

    CVE-id

    CVE-2016-1780: Maryam Mehrnezhad, Ehsan Toreini, Siamak F. Shahandashti og Feng Hao fra School of Computing Science, Newcastle University, UK

  • WebKit

    Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Ved besøg på et skadeligt websted kan brugeren potentielt afsløre sin nuværende position

    Beskrivelse: Der var et problem med parsing af geolokaliseringsanmodninger. Dette blev rettet gennem forbedret validering af sikkerhedens oprindelse ved geolokaliseringsanmodninger.

    CVE-id

    CVE-2016-1779: xisigr fra Tencent's Xuanwu Lab (http://www.tencent.com)

  • WebKit

    Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Et skadeligt websted kan potentielt have adgang til fortrolige porte på vilkårlige servere

    Beskrivelse: Et problem med omdirigering til en port blev rettet gennem yderligere portvalidering.

    CVE-id

    CVE-2016-1782: Muneaki Nishimura (nishimunea) fra Recruit Technologies Co.,Ltd.

  • WebKit

    Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Åbning af en skadelig URL-adresse muliggør videregivelse af følsomme brugeroplysninger

    Beskrivelse: Der var et problem i URL-omdirigeringen, da XSS Auditor blev brugt i blokeret tilstand. Problemet er løst ved hjælp af forbedret URL-navigation.

    CVE-id

    CVE-2016-1864 : Takeshi Terada fra Mitsui Bussan Secure Directions, Inc.

  • WebKit-historie

    Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Behandling af webindhold med ondsindet kode kan føre til et uventet nedbrud af Safari

    Beskrivelse: Et problem med opbrugte ressourcer blev rettet gennem forbedret inputvalidering.

    CVE-id

    CVE-2016-1784: Moony Li og Jack Tang fra TrendMicro og 李普君 of 无声信息技术PKAV Team (PKAV.net)

  • WebKit-sideindlæsning

    Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Indlæsning af et skadeligt websted kan medføre manipulering med brugergrænsefladen

    Beskrivelse: Omdirigerede svar kan potentielt have givet et skadeligt websted tilladelse til at vise en vilkårlig URL og læse det cachede indhold af destinationens oprindelse. Dette problem blev rettet gennem forbedret visninglogik for URL-adresser.

    CVE-id

    CVE-2016-1786: ma.la fra LINE Corporation

  • WebKit-sideindlæsning

    Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Et skadeligt websted kan eksfiltrere data på tværs af oprindelsessteder

    Beskrivelse: Der var et problem med cachelagring i forbindelse med tegnkodning. Dette blev rettet gennem yderligere anmodningstjek.

    CVE-id

    CVE-2016-1785: en anonym forsker

  • Wi-Fi

    Tilgængelig til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: En hacker med en privilegeret netværksposition kan muligvis forårsage kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadigelse af rammevalidering og hukommelse for en given ether-type. Dette problem blev rettet gennem ekstra validering af ether-type og forbedret hukommelseshåndtering.

    CVE-id

    CVE-2016-0801: en anonym forsker

    CVE-2016-0802: en anonym forsker

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: