Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.
Informationen zum Apple PGP-Schlüssel für die Produktsicherheit findest du unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates findest du unter Apple-Sicherheitsupdates.
iOS 8.4
- Application Store
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Eine schadhafte universelle App für Bereitstellungsprofile kann andere Apps am Starten hindern
Beschreibung: In der Installationslogik für universelle Bereitstellungsprofil-Apps bestand ein Problem, das eine Kollision mit vorhandenen Paket-IDs hervorrief. Dieses Problem wurde durch eine verbesserte Kollisionsüberprüfung behoben.
CVE-ID
CVE-2015-3722: Zhaofeng Chen, Hui Xue und Tao (Lenx) Wei von FireEye, Inc.
Richtlinie für vertrauenswürdige Zertifikate
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein Angreifer mit höheren Netzwerkrechten kann Netzwerkverkehr abfangen
Beschreibung: Die Zertifikatstelle CNNIC hat ein falsches Zwischenzertifikat veröffentlicht. Zur Behebung des Problems wurde ein Mechanismus eingesetzt, mit dem nur den Zertifikaten vertraut wird, die vor der fehlerhaften Ausstellung des Zwischenzertifikats ausgestellt wurden. Weitere Informationen zur Sicherheitsliste "Erlauben" mit teilweiser Vertrauenswürdigkeit.
Richtlinie für vertrauenswürdige Zertifikate
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Aktualisierung der Richtlinie für vertrauenswürdige Zertifikate
Beschreibung: Die Richtlinie für vertrauenswürdige Zertifikate wurde aktualisiert. Eine vollständige Liste der Zertifikate kann in Listen verfügbarer vertrauenswürdiger Root-Zertifikate in iOS eingesehen werden.
CFNetwork HTTPAuthentication
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuerAuswirkung: Das Aufrufen einer schadhaften URL kann zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung bestimmter URL-Zugangsdaten kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.
CVE-ID
CVE-2015-3684: Apple
CoreGraphics
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Das Öffnen einer in böser Absicht erstellten PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen.
Beschreibung: Bei der Verarbeitung von ICC-Profilen kam es zu mehreren Speicherfehlern. Diese Probleme wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2015-3723: chaithanya (SegFault) in Zusammenarbeit mit der Zero Day Initiative von HP
CVE-2015-3724: WanderingGlitch von der Zero Day Initiative von HP
CoreText
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Die Verarbeitung einer schadhaften Textdatei kann zu einem unerwarteten Programmabbruch oder der Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von Textdateien kam es zu mehreren Speicherfehlern. Diese Probleme wurden durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2015-1157
CVE-2015-3685: Apple
CVE-2015-3686: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-3687: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-3688: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-3689: Apple
coreTLS
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein Angreifer mit höheren Netzwerkrechten kann SSL/TLS-Verbindungsdaten abfangen
Beschreibung: coreTLS hat kurze Diffie-Hellman (DH) Ephemeral-Schlüssel akzeptiert, die üblicherweise nur in DH Ephemeral-Cipher Suites mit Exportstärke eingesetzt werden. Dieses Problem, das auch unter dem Begriff Logjam bekannt ist, hat es Angreifern mit privilegierter Netzwerkposition ermöglicht, die Sicherheitsstufe auf DH mit 512 Bit herabzustufen, wenn der Server DH Ephemeral-Cipher Suites mit Exportstärke unterstützt. Das Problem wurde durch die Anhebung der Standardmindestlänge für DH Ephemeral-Schlüssel auf 768 Bit behoben.
CVE-ID
CVE-2015-4000: Das weakdh-Team bei weakdh.org, Hanno Boeck
DiskImages
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Das Layout des Kernelspeichers kann möglicherweise von einem Schadprogramm ermittelt werden.
Beschreibung: Bei der Verarbeitung von Festplatten-Images kam es zur Offenlegung von Informationen. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2015-3690: Peter Rutenbar in Zusammenarbeit mit der Zero Day Initiative von HP
FontParser
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Die Verarbeitung einer schadhaften Schriftdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von Schriftdateien kam es zu mehreren Speicherfehlern. Diese Probleme wurden durch eine verbesserte Eingabeüberprüfung behoben.
CVE-ID
CVE-2015-3694: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-3719: John Villamil (@day6reak), Yahoo Pentest Team
ImageIO
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Die Verarbeitung einer schadhaften .tiff-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von .tiff-Dateien kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2015-3703: Apple
ImageIO
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: libtiff hat mehrere Schwachstellen, von denen die schwerwiegendste zur Ausführung willkürlichen Codes führen kann
Beschreibung: libtiff hatte mehrere Schwachstellen in den Versionen vor 4.0.4. Diese wurden durch Aktualisierung von libtiff auf Version 4.0.4 behoben.
CVE-ID
CVE-2014-8127
CVE-2014-8128
CVE-2014-8129
CVE-2014-8130
- Kernel
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Das Layout des Kernelspeichers kann möglicherweise von einem Schadprogramm ermittelt werden.
Beschreibung: Bei der Verarbeitung von HFS-Parametern bestand ein Problem mit der Speicherverwaltung, das zur Offenlegung des Kernel-Speicher-Layouts führen konnte. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2015-3721: Ian Beer vom Google Project Zero
- Mail
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Eine schadhafte E-Mail kann den Nachrichteninhalt durch eine willkürliche Webseite ersetzen, wenn die Nachricht angezeigt wird
Beschreibung: Bei der Unterstützung für HTML-E-Mails bestand ein Problem, bei dem der Nachrichteninhalt mit einer willkürlichen Webseite aktualisiert werden konnte. Das Problem wurde durch eine eingeschränkte Unterstützung für HTML-Inhalt behoben.
CVE-ID
CVE-2015-3710: Aaron Sigel von vtty.com, Jan Souček
MobileInstallation
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Eine schadhafte universelle App für Bereitstellungsprofile kann eine Watch-App am Starten hindern
Beschreibung: In der Installationslogik für universelle Bereitstellungsprofil-Apps auf der Watch bestand ein Problem, das eine Kollision mit vorhandenen Paket-IDs hervorrief. Dieses Problem wurde durch eine verbesserte Kollisionsüberprüfung behoben.
CVE-ID
CVE-2015-3725: Zhaofeng Chen, Hui Xue und Tao (Lenx) Wei von FireEye, Inc.Safari
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Der Besuch einer schadhaften Website kann Benutzerdaten im Dateisystem kompromittieren
Beschreibung: In Safari bestand ein Problem bei der Statusverwaltung, das nicht privilegierten Ursprüngen erlaubte, auf Inhalte im Dateisystem zuzugreifen. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-ID
CVE-2015-1155: Joe Vennix von Rapid7 Inc. in Zusammenarbeit mit der Zero Day Initiative von HP
- Safari
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Der Besuch einer schadhaften Website kann zur Übernahme des Accounts führen
Beschreibung: Es bestand ein Problem, bei dem Safari den Origin-Request-Header für Cross-Origin-Umleitungen beibehalten hat, wodurch schadhafte Websites den CSRF-Schutz umgehen konnten. Dieses Problem wurde durch eine verbesserte Verarbeitung von Umleitungen behoben.
CVE-ID
CVE-2015-3658: Brad Hill von Facebook
Sicherheit
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen
Beschreibung: Im Code des Sicherheitsframeworks zur Analyse von S/MIME-E-Mails und einigen anderen signierten oder verschlüsselten Objekten kam es zum Ganzzahlüberlauf. Dieses Problem wurde durch eine verbesserte Echtheitsprüfung behoben.
CVE-ID
CVE-2013-1741
SQLite
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen
Beschreibung: In der printf-Implementierung von SQLite kam es zu mehreren Pufferüberläufen. Diese Probleme wurden durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2015-3717: Peter Rutenbar in Zusammenarbeit mit der Zero Day Initiative von HPSQLite
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein schadhafter SQL-Befehl kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: In der SQLite-Funktion bestand ein API-Problem. Dieses Problem wurde durch verbesserte Einschränkungen behoben.
CVE-ID
CVE-2015-7036: Peter Rutenbar Zusammenarbeit mit der HP Zero Day Initiative
Telefonie
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Schadhafte SIM-Karten können zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Analyse von SIM/UIM-Payloads kam es zu mehreren Probleme bei der Eingangsvalidierung. Diese Probleme wurden durch eine verbesserte Payloadüberprüfung behoben.
CVE-ID
CVE-2015-3726: Matt Spisak von Endgame
- WebKit
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Der Besuch einer in böser Absicht erstellten Website durch Klicken auf einen Link kann zu UI-Spoofing führen
Beschreibung: Bei der Verarbeitung des Attributs "rel" in Ankerobjekten bestand ein Problem. Zielobjekte konnten nicht autorisierten Zugriff auf Linkobjekte erhalten. Dieses Problem wurde durch eine verbesserte Linktypeinhaltung behoben.
CVE-ID
CVE-2015-1156: Zachary Durber von Moodle
WebKit
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: In WebKit gab es mehrere Speicherfehler. Diese Probleme wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2015-1152: Apple
CVE-2015-1153: Apple
WebKit
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Der Besuch einer in böser Absicht erstellten Webseite kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: In SQLite Authorizer gab es ungenügende Vergleiche, wodurch der Aufruf willkürlicher SQL-Funktionen möglich war. Dieses Problem wurde durch eine verbesserte Autorisierungsprüfung behoben.
CVE-ID
CVE-2015-3659: Peter Rutenbar in Zusammenarbeit mit der Zero Day Initiative von HP
WebKit
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Eine schadhafte Website kann auf die WebSQL-Datenbanken anderer Websites zugreifen
Beschreibung: Bei der Autorisierungsprüfung zur Umbenennung von WebSQL-Tabellen kam es zu einem Problem, durch das eine schadhafte Website Zugriff auf Datenbanken erhalten konnte, die zu anderen Websites gehören. Dieses Problem wurde durch eine verbesserte Autorisierungprüfung behoben.
CVE-ID
CVE-2015-3727: Peter Rutenbar in Zusammenarbeit mit der Zero Day Initiative von HP
WLAN-Verbindung
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: iOS-Geräte können sich automatisch mit nicht vertrauenswürdigen Zugangspunkten verbinden, die zwar eine bekannte ESSID angeben, aber einen herabgestuften Sicherheitstyp aufweisen
Beschreibung: Bei der Bewertung der Angaben bekannter Zugangspunkte im WLAN-Manager traten ungenügende Vergleiche auf. Dieses Problem wurde durch einen verbesserten Abgleich der Sicherheitsparameter behoben.
CVE-ID
CVE-2015-3728: Brian W. Gray von der Carnegie Mellon University, Craig Young von TripWire