Om sikkerhedsindholdet i iOS 9.3.3

Dette dokument beskriver sikkerhedsindholdet i iOS 9.3.3.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

iOS 9.3.3

Udgivet 18. juli 2016

Kalender

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: En skadelig kalenderinvitation kan forårsage, at en enhed pludselig genstarter

Beskrivelse: En reference til en null-pointer er blevet rettet gennem forbedret hukommelseshåndtering.

CVE-2016-4605: Henry Feldman fra Beth Israel Deaconess Medical Center

Legitimationsoplysninger for CFNetwork

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: En hacker i en privilegeret netværksposition kan afsløre følsomme brugeroplysninger

Beskrivelse: Der var et nedgraderingsproblem i forbindelse med adgangsoplysninger til HTTP-godkendelse, der gemmes i Nøglering. Problemet er løst ved at lagre godkendelsestyperne sammen med loginoplysningerne.

CVE-2016-4644: Jerry Decime koordineret via CERT

CFNetwork-proxyservere

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: En hacker i en privilegeret netværksposition kan afsløre følsomme brugeroplysninger

Beskrivelse: Der var et godkendelsesproblem ved parsing af 407-svar. Problemet er løst ved forbedret svargodkendelse.

CVE-2016-4643: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua University; Jerry Decime koordineret via CERT

CFNetwork-proxyservere

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: Et program kan muligvis utilsigtet sende en ikke-krypteret adgangskode via netværket

Beskrivelse: Proxygodkendelse rapporterede fejlagtigt, at HTTP-proxyservere modtog loginoplysninger sikkert. Problemet er løst ved forbedrede advarsler.

CVE-2016-4642: Jerry Decime koordineret via CERT

CoreGraphics

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-4637: Tyler Bohan fra Cisco Talos (talosintel.com/vulnerability-reports)

FaceTime

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: En hacker fra en privilegeret netværksposition kan forårsage, at et omdirigeret opkald fortsat videresender lyd, selvom opkaldet ser ud til at være afsluttet

Beskrivelse: Der var uoverensstemmelser i brugergrænsefladen i forbindelse med håndteringen af viderestillede opkald. Problemerne er løst ved at forbedre visningslogikken for FaceTime.

CVE-2016-4635: Martin Vigo

GasGauge

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et problem med beskadiget hukommelse i kernen. Problemet er løst ved forbedret håndtering af hukommelsen.

CVE-2016-7576: qwertyoruiop

Post tilføjet 27. september 2016

ImageIO

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: En ekstern hacker kan muligvis fremkalde denial of service

Beskrivelse: Der var et problem med hukommelsesforbrug, som er løst ved forbedret hukommelseshåndtering.

CVE-2016-4632: Evgeny Sidorov fra Yandex

ImageIO

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-4631: Tyler Bohan fra Cisco Talos (talosintel.com/vulnerability-reports)

ImageIO

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: Behandling af et skadeligt billedarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-7705: Craig Young fra Tripwire VERT

Post tilføjet 30. november 2017

IOAcceleratorFamily

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: En lokal bruger kan læse kernehukommelsen

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2016-4628: Ju Zhu fra Trend Micro

IOAcceleratorFamily

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En reference til en null-pointer er blevet rettet gennem forbedret validering.

CVE-2016-4627: Ju Zhu fra Trend Micro

IOHIDFamily

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En reference til en null-pointer er rettet via forbedret godkendelse af input.

CVE-2016-4626: Stefan Esser fra SektionEins

Kernel

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-1863: Ian Beer fra Google Project Zero

CVE-2016-4653: Ju Zhu fra Trend Micro

CVE-2016-4582: Shrek_wzw og Proteas fra Qihoo 360 Nirvan Team

Kernel

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: En lokal bruger kan muligvis fremkalde DoS (Denial of Service) på systemet

Beskrivelse: En reference til en null-pointer er rettet via forbedret godkendelse af input.

CVE-2016-1865: CESG, Marco Grassi (@marcograss) fra KeenLab (@keen_lab), Tencent

Libc

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller vilkårlig kørsel af kode

Beskrivelse: Der var et bufferoverløb i funktionen "link_ntoa()" i linkaddr.c. Problemet blev løst ved hjælp af yderligere kontrol af grænser.

CVE-2016-6559: Apple

Post tilføjet 10. januar 2017

libxml2

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: Flere sikkerhedsrisici i libxml2

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2015-8317: Hanno Boeck

CVE-2016-1836: Wei Lei og Liu Yang fra Nanyang Technological University

CVE-2016-4447: Wei Lei og Liu Yang fra Nanyang Technological University

CVE-2016-4448: Apple

CVE-2016-4483: Gustavo Grieco

CVE-2016-4614: Nick Wellnhofer

CVE-2016-4615: Nick Wellnhofer

CVE-2016-4616: Michael Paddon

Post opdateret 4. juni 2017

libxml2

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: Parsing af et skadeligt XML-arkiv kan medføre afsløring af brugeroplysninger

Beskrivelse: Der var et adgangsproblem i forbindelse med parsing af skadelige XML-arkiver. Problemet er løst ved forbedret godkendelse af input.

CVE-2016-4449: Kostya Serebryany

libxslt

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: Flere sikkerhedsrisici i libxslt

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-1683: Nicolas Grégoire

CVE-2016-1684: Nicolas Grégoire

CVE-2016-4607: Nick Wellnhofer

CVE-2016-4608: Nicolas Grégoire

CVE-2016-4609: Nick Wellnhofer

CVE-2016-4610: Nick Wellnhofer

Post opdateret 11. april 2017

Safari

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: Indlæsning af et skadeligt websted kan medføre manipulering med brugergrænsefladen

Beskrivelse: Omdirigeringssvar til ugyldige porte har måske tilladt, at et skadeligt websted viser et vilkårligt domæne under visning af vilkårligt indhold. Problemet er løst gennem forbedret visningslogik for URL-adresser.

CVE-2016-4604: xisigr fra Tencents Xuanwu Lab (www.tencent.com)

Sandbox-profiler

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: Et lokalt program kan muligvis få adgang til proceslisten

Beskrivelse: Der var et adgangsproblem med privilegerede API-kald. Problemet er løst ved at indføre yderligere begrænsninger.

CVE-2016-4594: Stefan Esser fra SektionEins

Siri-kontakter

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: En person med fysisk adgang til en enhed kan se private kontaktoplysninger

Beskrivelse: Der var et fortrolighedsproblem i behandlingen af kontaktkort. Problemet er løst via forbedret statusadministration.

CVE-2016-4593: Pedro Pinheiro (facebook.com/pedro.pinheiro.1996)

Webmedier

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: Under visning af en video i Safari med funktionen Privat browser slået til ses videoens URL-adresse, når funktionen Privat browser er slået fra

Beskrivelse: Der var et fortrolighedsproblem i Safaris visningscontrollers behandling af brugerdata. Problemet er løst ved forbedret statusadministration.

CVE-2016-4603: Brian Porter (@portex33)

WebKit

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: Besøg på et skadeligt websted kan medføre afsløring af proceshukommelse

Beskrivelse: Der var et problem med hukommelsesinitialisering, som er løst ved forbedret hukommelseshåndtering.

CVE-2016-4587: Apple

WebKit

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: Indlæsning af et skadeligt websted kan medføre visning af billeddata fra et andet websted

Beskrivelse: Der var et problem med timing i behandlingen af SVG. Problemet er løst ved forbedret godkendelse.

CVE-2016-4583: Roeland Krak

WebKit

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: Indlæsning af et skadeligt websted kan medføre afsløring af følsomme data

Beskrivelse: Der var problemer med tilladelser i forbindelse med håndteringen af lokalitetsvariablen. Dette blev rettet via yderligere tjek af ejerskab.

CVE-2016-4591: ma.la fra LINE Corporation

WebKit

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: Et besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode.

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-4589: Tongbo Luo og Bo Qu fra Palo Alto Networks

CVE-2016-4622: Samuel Gross, som arbejder med Trend Micros Zero Day Initiative

CVE-2016-4623: Apple

CVE-2016-4624: Apple

WebKit

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: Indlæsning af et skadeligt websted kan medføre manipulering med brugergrænsefladen

Beskrivelse: Der var et problem med arv af oprindelse under parsing af about:-URL-adresser. Problemet er løst ved forbedret godkendelse af sikkerhedsoprindelser.

CVE-2016-4590: xisigr fra Tencents Xuanwu Lab (www.tencent.com)

WebKit

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: Besøg på en skadelig hjemmeside kan resultere i DoS

Beskrivelse: Der var et problem med hukommelsesforbrug, som er løst ved forbedret hukommelseshåndtering.

CVE-2016-4592: Mikhail

WebKit JavaScript-bindinger

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: Indlæsning af et skadeligt websted kan medføre kørsel af scripts i forbindelse med en ikke-HTTP-tjeneste

Beskrivelse: Der var et problem med scripting på tværs af protokoller og websteder (XPXSS) i Safari i forbindelse med indsendelse af formularer til ikke-HTTP-tjenester, der er kompatible med HTTP/0.9. Problemet blev løst ved at deaktivere scripts og plugins på ressourcer, der indlæses via HTTP/0.9.

CVE-2016-4651: Obscure

WebKit-sideindlæsning

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: Et skadeligt websted kan eksfiltrere data på tværs af oprindelsessteder

Beskrivelse: Der var et problem med scripting på tværs af websteder i omdirigering af URL-adresser i Safari. Problemet er løst ved forbedret godkendelse af URL-adresser under omdirigering.

CVE-2016-4585: Takeshi Terada fra Mitsui Bussan Secure Directions, Inc. (www.mbsd.jp)

WebKit-sideindlæsning

Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 og nyere modeller af disse enheder

Effekt: Et besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode.

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-4584: Chris Vienneau

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: