Informationen zum Sicherheitsinhalt von iOS 8.4.1

In diesem Dokument wird der Sicherheitsinhalt von iOS 8.4.1 beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.

iOS 8.4.1

  • AppleFileConduit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein schadhafter afc-Befehl kann Zugriff auf geschützte Bereiche des Dateisystems gewähren

    Beschreibung: Beim symbolischen Verknüpfungsmechanismus von afc bestand ein Problem. Dieses Problem wurde durch zusätzliche Pfadüberprüfungen behoben.

    CVE-ID

    CVE-2015-5746: evad3rs, TaiG Jailbreak Team

  • Air Traffic

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: AirTraffic hat möglicherweise Zugriff auf geschützte Bereiche des Dateisystems gewährt

    Beschreibung: Bei der Asset-Verarbeitung bestand ein Path Traversal-Problem. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

    CVE-ID

    CVE-2015-5766: TaiG Jailbreak Team

  • Backup

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Schadprogramm könnte zu geschützten Bereichen der Festplatte Symlinks erstellen

    Beschreibung: In der Pfadüberprüfungslogik für Symlinks bestand ein Problem. Dieses Problem wurde durch eine verbesserte Pfadsäuberung gelöst.

    CVE-ID

    CVE-2015-5752: TaiG Jailbreak Team

  • bootp

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Angreifer könnte WLAN-Netzwerke erkennen, auf die ein Gerät in der Vergangenheit bereits zugegriffen hat

    Beschreibung: Nach dem Verbinden mit einem WLAN-Netzwerk konnten MAC-Adressen von Netzwerken übertragen werden, die in der Vergangenheit bereits verwendet wurden. Dieses Problem wurde behoben, indem nur noch MAC-Adressen übertragen werden, die der gleichen SSID zugeordnet werden können.

    CVE-ID

    CVE-2015-3778: Piers O'Hanlon vom Oxford Internet Institute, University of Oxford (im Rahmen des EPSRC Being There-Projekts)

  • Zertifikat UI

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Angreifer mit privilegierter Netzwerkposition könnte im Sperrbildschirm nicht vertrauenswürdige Zertifikate akzeptieren

    Beschreibung: Unter bestimmten Bedingungen hat das Gerät im gesperrten Zustand einen Dialog zur Zertifikatsvertrauenswürdigkeit angezeigt. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

    CVE-ID

    CVE-2015-3756: Andy Grant von der NCC Group

  • CloudKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Schadprogramm könnte auf den iCloud-Benutzereintrag eines zuvor angemeldeten Benutzers zugreifen

    Beschreibung: Bei der Abmeldung von Benutzern in CloudKit bestand eine Statusinkonsistenz. Dieses Problem wurde durch eine verbesserte Statusverarbeitung behoben.

    CVE-ID

    CVE-2015-3782: Deepkanwal Plaha von der University of Toronto

  • CFPreferences

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine schadhafte App könnte die verwalteten Einstellungen anderer Apps lesen

    Beschreibung: In der Sandbox für Drittanbieter-Apps bestand ein Problem. Dieses Problem wurde durch Verbesserung des Sandbox-Profils für Drittanbieter behoben.

    CVE-ID

    CVE-2015-3793: Andreas Weinlein vom Appthority Mobility Threat Team

  • Codesignierung

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Schadprogramm könnte unsignierten Code ausführen

    Beschreibung: Es bestand ein Problem, bei dem unsignierter Code an signierten Code in einer speziell dafür erstellten ausführbaren Datei angehängt werden konnte. Dieses Problem wurde durch eine verbesserte Codesignatur-Überprüfung behoben.

    CVE-ID

    CVE-2015-3806: TaiG Jailbreak Team

  • Codesignierung

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine spezielle ausführbare Datei könnte die Ausführung von unsigniertem schadhaften Code zulassen

    Beschreibung: Bei der Bewertung von ausführbaren Mehrarchitektur-Dateien bestand ein Problem, das die Ausführung von unsigniertem Code zulassen konnte. Dieses Problem wurde durch eine verbesserte Validierung von ausführbaren Dateien behoben.

    CVE-ID

    CVE-2015-3803: TaiG Jailbreak Team

  • Codesignierung

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein lokaler Benutzer kann nicht signierten Code ausführen

    Beschreibung: Bei der Verarbeitung von Mach-O-Dateien bestand ein Validierungsproblem. Dieses Problem wurde durch zusätzliche Überprüfungen behoben.

    CVE-ID

    CVE-2015-3802: TaiG Jailbreak Team

    CVE-2015-3805: TaiG Jailbreak Team

  • CoreMedia Playback

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen.

    Beschreibung: Bei der CoreMedia-Wiedergabe konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-5777: Apple

    CVE-2015-5778: Apple

  • CoreText

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Die Verarbeitung einer schadhaften Schriftdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Schriftdateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

    CVE-ID

    CVE-2015-5755: John Villamil (@day6reak), Yahoo Pentest Team 

    CVE-2015-5761: John Villamil (@day6reak), Yahoo Pentest Team

  • DiskImages

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Die Verarbeitung einer schadhaften DMG-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes mit Systemrechten führen

    Beschreibung: Bei der Analyse von manipulierten DMG-Dateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-3800: Frank Graziano vom Yahoo Pentest Team

  • FontParser

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Die Verarbeitung einer schadhaften Schriftdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Schriftdateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

    CVE-ID

    CVE-2015-3804: Apple

    CVE-2015-5756: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-5775: Apple

  • ImageIO

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Die Verarbeitung einer schadhaften .tiff-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von .tiff-Dateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2015-5758: Apple

  • ImageIO

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Das Aufrufen einer in böser Absicht erstellten Website kann zur Preisgabe des Prozessspeichers führen

    Beschreibung: Bei der Verarbeitung von PNG-Bildern in ImageIO bestand ein Problem aufgrund eines nicht initialisierten Speicherzugriffs. Das Aufrufen einer schadhaften Website kann dazu führen, dass Daten aus dem Prozessspeicher an die Website gesendet werden. Dieses Problem wurde durch eine verbesserte Speicherinitialisierung und eine zusätzliche Validierung von PNG-Bildern behoben.

    CVE-ID

    CVE-2015-5781: Michal Zalewski

  • ImageIO

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Das Aufrufen einer in böser Absicht erstellten Website kann zur Preisgabe des Prozessspeichers führen

    Beschreibung: Bei der Verarbeitung von TIFF-Bildern in ImageIO bestand ein Problem aufgrund eines nicht initialisierten Speicherzugriffs. Das Aufrufen einer schadhaften Website kann dazu führen, dass Daten aus dem Prozessspeicher an die Website gesendet werden. Dieses Problem wird durch eine verbesserte Speicherinitialisierung und eine zusätzliche Validierung von TIFF-Bildern behoben.

    CVE-ID

    CVE-2015-5782: Michal Zalewski

  • IOKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Die Analyse einer schadhaften plist kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes mit Systemrechten führen

    Beschreibung: Bei der Verarbeitung manipulierter plists konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-3776: Teddy Reed von Facebook Security, Patrick Stein (@jollyjinx) von Jinx Germany

  • IOHIDFamily

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein lokaler Benutzer kann willkürlichen Code mit Systemrechten ausführen

    Beschreibung: In IOHIDFamily gab es ein Problem, das zu einem Pufferüberlauf führen konnte. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-5774: TaiG Jailbreak Team

  • Kernel

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Das Kernel-Speicher-Layout kann von einem Schadprogramm ermittelt werden

    Beschreibung: In der mach_port_space_info-Schnittstelle bestand ein Problem, das zur Offenlegung des Kernel-Speicher-Layouts führen konnte. Dieses Problem wurde durch Deaktivierung der mach_port_space_info-Schnittstelle behoben.

    CVE-ID

    CVE-2015-3766: Cererdlong von Alibaba Mobile Security Team, @PanguTeam

  • Kernel

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen

    Beschreibung: Bei der Verarbeitung von IOKit-Funktionen konnte ein Ganzzahlüberlauf auftreten. Dieses Problem wurde durch eine verbesserte Überprüfung von IOKit-API-Argumenten behoben.

    CVE-ID

    CVE-2015-3768: Ilja van Sprundel

  • Kernel

    iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein in böser Absicht erstelltes Programm könnte Ausführungsbeschränkungen im Hintergrund umgehen

    Beschreibung: Bei bestimmten Debugging-Mechanismen traten Zugriffsprobleme auf. Dieses Problem wurde durch zusätzliche Validierungsprüfungen behoben.

    CVE-ID

    CVE-2015-5787: Alessandro Reina, Mattia Pagnozzi und Stefano Bianchi Mazzone von FireEye

  • Libc

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Die Verarbeitung eines schadhaften regulären Ausdrucks kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: In der TRE-Bibliothek konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-3796: Ian Beer vom Google Project Zero

    CVE-2015-3797: Ian Beer vom Google Project Zero

    CVE-2015-3798: Ian Beer vom Google Project Zero

  • Libinfo

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Entfernter Angreifer könnte einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen

    Beschreibung: Bei der Verarbeitung von AF_INET6-Sockets konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-5776: Apple

  • libpthread

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen

    Beschreibung: Bei der Verarbeitung von syscalls konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Sperrstatusüberprüfung behoben.

    CVE-ID

    CVE-2015-5757: Lufeng Li von Qihoo 360

  • libxml2

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Die Analyse eines schadhaften XML-Dokuments könnte zur Preisgabe von Benutzerinformationen führen

    Beschreibung: Bei der Analyse von XML-Dateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-3807: Michal Zalewski

  • libxml2

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: In den libxml2-Versionen vor 2.9.2 bestanden mehrere Schwachstellen, von denen die schwerwiegendste einem entfernten Angreifer erlauben konnte, einen Denial-of-Service zu verursachen

    Beschreibung: libxml2 hatte mehrere Schwachstellen in den Versionen vor 2.9.2. Diese wurden durch Aktualisierung von libxml2 auf Version 2.9.2 behoben.

    CVE-ID

    CVE-2014-0191: Felix Groebert von Google

    CVE-2014-3660: Felix Groebert von Google

  • libxpc

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen

    Beschreibung: Bei der Verarbeitung von manipulierten XPC-Meldungen kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2015-3795: Mathew Rowley

  • Location Framework

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein lokaler Benutzer könnte geschützte Bereiche des Dateisystems ändern

    Beschreibung: Ein Problem mit symbolischen Links wurde durch eine verbesserte Pfadvalidierung behoben.

    CVE-ID

    CVE-2015-3759: Cererdlong vom Alibaba Mobile Security Team

  • MobileInstallation

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein schadhaftes Unternehmensprogramm könnte Erweiterungen für andere Apps ersetzen

    Beschreibung: In der Installationslogik für universelle Bereitstellungsprofil-Apps bestand ein Problem, das eine Kollision mit vorhandenen Paket-IDs hervorrief. Dieses Problem wurde durch eine verbesserte Bundle-ID-Überprüfung behoben.

    CVE-ID

    CVE-2015-5770: Zhaofeng Chen, Yulong Zhang und Tao Wei von FireEye, Inc

  • MSVDX Driver

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Die Anzeige von schadhaftem Video kann zu einem unerwarteten Systemabbruch führen

    Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-5769: Proteas vom Qihoo 360 Nirvan Team

  • Office Viewer

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Die Analyse einer schadhaften XML-Datei könnte zur Preisgabe von Benutzerinformationen führen

    Beschreibung: Bei der XML-Dateianalyse bestand ein Referenzierungsproblem externer Entitäten. Dieses Problem wurde durch eine verbesserte Analyse behoben.

    CVE-ID

    CVE-2015-3784: Bruno Morisson von INTEGRITY S.A. 

  • QL Office

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Die Analyse eines schadhaften Office-Dokuments kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Analyse von Office-Dokumenten konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-5773: Apple

  • Safari

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Der Besuch einer schadhaften Website kann zum UI-Spoofing führen

    Beschreibung: Eine schadhafte Website könnte eine andere Website öffnen und den Benutzer zur Dialogeingabe auffordern, ohne dass der Benutzer feststellen kann, woher der Dialog stammt. Dieses Problem wurde behoben, indem der Benutzer nun den Ursprung des Dialogs sehen kann.

    CVE-ID

    CVE-2015-3729: Code Audit Labs von VulnHunt.com

  • Safari

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine schadhafte Website kann eine unendliche Anzahl an Warnmeldungen auslösen

    Beschreibung: Es bestand ein Problem, bei dem eine schadhafte oder gehackte Website unendliche viele Warnmeldungen anzeigen konnte und den Benutzer glauben ließ, der Browser sei gesperrt. Dieses Problem wurde durch eine Beschränkung von JavaScript-Warnmeldungen behoben.

    CVE-ID

    CVE-2015-3763

  • Sandbox_profiles

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine schadhafte App könnte die verwalteten Einstellungen anderer Apps lesen

    Beschreibung: In der Sandbox für Drittanbieter-Apps bestand ein Problem. Dieses Problem wurde durch Verbesserung des Sandbox-Profils für Drittanbieter behoben.

    CVE-ID

    CVE-2015-5749: Andreas Weinlein vom Appthority Mobility Threat Team

  • UIKit WebView

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Schadprogramm könnte FaceTime-Anrufe ohne Autorisierung des Benutzers initiieren

    Beschreibung: Bei der Analyse von FaceTime-URLs in WebViews bestand ein Problem. Dieses Problem wurde durch eine verbesserte URL-Überprüfung behoben.

    CVE-ID

    CVE-2015-3758: Brian Simmons von Salesforce, Guillaume Ross

  • WebKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: In WebKit gab es mehrere Speicherfehler. Diese Probleme wurden durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2015-3730: Apple

    CVE-2015-3731: Apple

    CVE-2015-3732: Apple

    CVE-2015-3733: Apple

    CVE-2015-3734: Apple

    CVE-2015-3735: Apple

    CVE-2015-3736: Apple

    CVE-2015-3737: Apple

    CVE-2015-3738: Apple

    CVE-2015-3739: Apple

    CVE-2015-3740: Apple

    CVE-2015-3741: Apple

    CVE-2015-3742: Apple

    CVE-2015-3743: Apple

    CVE-2015-3744: Apple

    CVE-2015-3745: Apple

    CVE-2015-3746: Apple

    CVE-2015-3747: Apple

    CVE-2015-3748: Apple

    CVE-2015-3749: Apple

  • Web

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Der Besuch einer schadhaften Website kann zum UI-Spoofing führen

    Beschreibung: Die Navigation zu einer manipulierten URL konnte einer Schadwebsite erlauben, eine willkürliche URL anzuzeigen. Dieses Problem wurde durch eine verbesserte URL-Verarbeitung behoben.

    CVE-ID

    CVE-2015-3755: xisigr von Tencent's Xuanwu Lab

  • WebKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine schadhafte Website kann Bilddaten von verschiedenen Quellen exfiltrieren

    Beschreibung: Bilder, die durch URLs abgerufen wurden, die auf eine data:image-Ressource umgeleitet wurden, konnten ursprungsübergreifend exfiltriert werden. Das Problem wurde durch ein verbessertes Canvas-Taint-Tracking behoben.

    CVE-ID

    CVE-2015-3753: Antonio Sanso und Damien Antipa von Adobe

  • WebKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine schadhafte Website kann Klartextanfragen an einen Ursprung unter HTTP Strict Transport Security auslösen

    Beschreibung: Es bestand ein Problem, bei dem Content Security Policy-Berichtsanfragen die HTTP Strict Transport Security (HSTS) nicht berücksichtigten. Dieses Problem wurde durch Anwendung von HSTS auf CSP behoben.

    CVE-ID

    CVE-2015-3750: Muneaki Nishimura (nishimunea)

  • WebKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine schadhafte Website kann ein Tippen-Ereignis dazu bringen, einen synthetischen Klick auf einer anderen Seite zu produzieren

    Beschreibung: Es bestand ein Problem bei Art und Weise, wie Klicks von Tippen-Ereignissen generiert werden, das dazu führen konnte, dass der Klick auf andere Seiten gelenkt werden konnte. Das Problem wurde durch eine eingeschränkte Klick-Übertragung behoben.

    CVE-ID

    CVE-2015-5759: Phillip Moon und Matt Weston von Sandfield

  • WebKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Content Security Policy-Berichtsanfragen könnten Cookies preisgeben

    Beschreibung: Es bestanden zwei Probleme dabei, wie Cookies zu Content Security Policy-Berichtsanfragen hinzugefügt wurden. Cookies wurden in ursprungsübergreifenden Berichtsanfragen entgegen des Standards gesendet. Cookies, die beim normalen Surfen festgelegt wurden, wurden beim privaten Surfen gesendet. Diese Probleme wurden durch eine verbesserte Cookie-Verarbeitung behoben.

    CVE-ID

    CVE-2015-3752: Muneaki Nishimura (nishimunea)

  • WebKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Das Laden von Bildern könnte die Content Security Policy-Richtlinie einer Website verletzen

    Beschreibung: Es bestand ein Problem, bei dem Websites mit Videosteuerungen Bilder laden, die in Verletzung der Content Security Policy-Richtlinie der Website in Objektelemente verschachtelt wurden. Dieses Problem wurde durch eine verbesserte Durchsetzung der Content Security Policy behoben.

    CVE-ID

    CVE-2015-3751: Muneaki Nishimura (nishimunea)

FaceTime ist nicht in allen Ländern und Regionen verfügbar.

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: