Informationen zum Sicherheitsinhalt von iOS 9.3.3
In diesem Dokument wird der Sicherheitsinhalt von iOS 9.3.3 beschrieben.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.
Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
iOS 9.3.3
Kalender
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Eine in böser Absicht erstellte Kalendereinladung kann einen unerwarteten Neustart eines Geräts auslösen.
Beschreibung: Ein Problem mit einem Rückverweis auf einen Nullzeiger wurde durch eine verbesserte Speicherverarbeitung behoben.
CVE-2016-4605: Dr. Henry Feldman vom Beth Israel Deaconess Medical Center
CFNetwork-Anmeldedaten
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann vertrauliche Benutzerdaten offenlegen.
Beschreibung: Mit den im Schlüsselbund gesicherten Anmeldedaten für die HTTP-Authentifizierung bestand ein Downgrade-Problem. Dieses wurde behoben, indem die Authentifizierungstypen jetzt zusammen mit den Anmeldedaten gespeichert werden.
CVE-2016-4644: Jerry Decime, über CERT koordiniert
CFNetwork-Proxys
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann vertrauliche Benutzerdaten offenlegen.
Beschreibung: Es bestand ein Validierungsproblem bei der Analyse von 407-Antworten. Dieses Problem wurde durch eine verbesserte Antwortüberprüfung behoben.
CVE-2016-4643: Xiaofeng Zheng vom Blue Lotus Team, Universität Tsinghua; Jerry Decime, über CERT koordiniert
CFNetwork-Proxys
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein Programm kann ein Passwort ohne Wissen des Benutzers unverschlüsselt über das Netzwerk senden.
Beschreibung: Die Proxy-Authentifizierung meldete fälschlicherweise, dass HTTP-Proxys Anmeldedaten sicher erhalten hätten. Dieses Problem wurde durch verbesserte Warnungen behoben.
CVE-2016-4642: Jerry Decime, über CERT koordiniert
CoreGraphics
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein entfernter Angreifer kann willkürlichen Code ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2016-4637: Tyler Bohan von Cisco Talos (talosintel.com/vulnerability-reports)
FaceTime
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann dafür sorgen, dass ein weitergeleiteter Anruf weiterhin Ton überträgt, obwohl er als beendet angezeigt wird.
Beschreibung: Bei der Verarbeitung von weitergeleiteten Anrufen kam es zu Inkonsistenzen in der Benutzeroberfläche. Diese Probleme wurden durch eine verbesserte Anzeigelogik in FaceTime behoben.
CVE-2016-4635: Martin Vigo
GasGauge
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Im Kernel bestand ein Speicherfehler. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2016-7576: qwertyoruiop
ImageIO
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein entfernter Angreifer kann einen Denial-of-Service-Angriff verursachen.
Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2016-4632: Evgeny Sidorov von Yandex
ImageIO
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein entfernter Angreifer kann willkürlichen Code ausführen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2016-4631: Tyler Bohan von Cisco Talos (talosintel.com/vulnerability-reports)
ImageIO
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2016-7705: Craig Young von Tripwire VERT
IOAcceleratorFamily
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein lokaler Benutzer kann den Kernel-Speicher auslesen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2016-4628: Ju Zhu von Trend Micro
IOAcceleratorFamily
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein lokaler Benutzer kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem mit einem Rückverweis auf einen Nullzeiger wurde durch eine verbesserte Überprüfung behoben.
CVE-2016-4627: Ju Zhu von Trend Micro
IOHIDFamily
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein lokaler Benutzer kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem mit einem Rückverweis auf einen Nullzeiger wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2016-4626: Stefan Esser von SektionEins
Kernel
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein lokaler Benutzer kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2016-1863: Ian Beer von Google Project Zero
CVE-2016-4653: Ju Zhu von Trend Micro
CVE-2016-4582: Shrek_wzw und Proteas vom Qihoo 360 Nirvan Team
Kernel
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein lokaler Benutzer kann einen Denial-of-Service des Systems verursachen.
Beschreibung: Ein Problem mit einem Rückverweis auf einen Nullzeiger wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2016-1865: CESG, Marco Grassi (@marcograss) von KeenLab (@keen_lab), Tencent
Libc
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen.
Beschreibung: In der Funktion "link_ntoa()" in linkaddr.c konnte es zu einem Pufferüberlauf kommen. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.
CVE-2016-6559: Apple
libxml2
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Mehrere Schwachstellen in libxml2
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2015-8317: Hanno Boeck
CVE-2016-1836: Wei Lei und Liu Yang von der Nanyang Technological University
CVE-2016-4447: Wei Lei und Liu Yang von der Nanyang Technological University
CVE-2016-4448: Apple
CVE-2016-4483: Gustavo Grieco
CVE-2016-4614: Nick Wellnhofer
CVE-2016-4615: Nick Wellnhofer
CVE-2016-4616: Michael Paddon
libxml2
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Die Analyse eines in böser Absicht erstellten XML-Dokuments kann zur Preisgabe von Benutzerdaten führen.
Beschreibung: Bei der Analyse von in böser Absicht erstellten XML-Dateien kam es zu einem Zugriffsproblem. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2016-4449: Kostya Serebryany
libxslt
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Mehrere Schwachstellen in libxslt
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2016-1683: Nicolas Grégoire
CVE-2016-1684: Nicolas Grégoire
CVE-2016-4607: Nick Wellnhofer
CVE-2016-4608: Nicolas Grégoire
CVE-2016-4609: Nick Wellnhofer
CVE-2016-4610: Nick Wellnhofer
Safari
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Eine in böser Absicht erstellte Website kann Elemente der Benutzeroberfläche fälschen (UI-Spoofing).
Beschreibung: Weiterleitungsantworten zu ungültigen Ports ermöglichten einer in böser Absicht erstellten Website, eine willkürliche Domain und willkürliche Inhalte anzuzeigen. Dieses Problem wurde durch eine verbesserte URL-Anzeigelogik behoben.
CVE-2016-4604: xisigr vom Xuanwu Lab von Tencent (www.tencent.com)
Sandbox-Profile
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein lokales Programm kann auf die Prozessliste zugreifen.
Beschreibung: Es bestand ein Zugriffsproblem mit privilegierten API-Aufrufen. Dieses Problem wurde durch zusätzliche Einschränkungen behoben.
CVE-2016-4594: Stefan Esser von SektionEins
Siri-Kontakte
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Eine Person mit physischem Zugriff auf ein Gerät kann die privaten Kontaktinformationen einsehen.
Beschreibung: Bei der Verarbeitung von Kontaktkarten bestand ein Datenschutzproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2016-4593: Pedro Pinheiro (facebook.com/pedro.pinheiro.1996)
Web-Medien
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Beim Betrachten eines Videos in Safari im Modus "Privates Surfen" wird die URL des Videos außerhalb des Modus "Privates Surfen" angezeigt.
Beschreibung: Bei der Verarbeitung von Nutzerdaten durch Safari View Controller bestand ein Datenschutzproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2016-4603: Brian Porter (@portex33)
WebKit
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Das Aufrufen einer in böser Absicht erstellten Website kann zur Preisgabe des Prozessspeichers führen.
Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2016-4587: Apple
WebKit
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Durch Aufrufen einer in böser Absicht erstellten Website können Bilddaten von einer anderen Website offengelegt werden.
Beschreibung: Bei der Verarbeitung von SVG trat ein Problem mit dem Zeitverhalten auf. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.
CVE-2016-4583: Roeland Krak
WebKit
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Durch Aufrufen einer in böser Absicht erstellten Website können vertrauliche Daten offengelegt werden.
Beschreibung: Es bestand ein Zugriffsproblem bei der Verarbeitung der Location-Variable. Dieses Problem wurde durch zusätzliche Eigentümerschaftsüberprüfungen behoben.
CVE-2016-4591: ma.la von LINE Corporation
WebKit
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zur Ausführung willkürlichen Codes führen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2016-4589: Tongbo Luo und Bo Qu von Palo Alto Networks
CVE-2016-4622: Samuel Gross in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2016-4623: Apple
CVE-2016-4624: Apple
WebKit
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Eine in böser Absicht erstellte Website kann Elemente der Benutzeroberfläche fälschen (UI-Spoofing).
Beschreibung: Bei der Analyse von "about:"-URLs trat ein Problem mit der Ursprungsvererbung auf. Dieses Problem wurde durch eine verbesserte Überprüfung der Sicherheitsursprünge behoben.
CVE-2016-4590: xisigr vom Xuanwu Lab von Tencent (www.tencent.com)
WebKit
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Das Aufrufen einer in böser Absicht erstellten Website kann zu einem Denial-of-Service des Systems führen.
Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2016-4592: Mikhail
WebKit JavaScript Bindings
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Das Aufrufen einer in böser Absicht erstellten Website kann zur Ausführung eines Skripts im Kontext eines Nicht-HTTP-Dienstes führen.
Beschreibung: In Safari trat beim Cross-Protocol Cross-Site Scripting (XPXSS) ein Problem beim Senden von Formularen an Nicht-HTTP-Dienste, die mit HTTP/0.9 kompatibel sind, auf. Dieses Problem wurde durch Deaktivieren der Skripte und Plug-Ins auf Ressourcen, die über HTTP/0.9 geladen werden, behoben.
CVE-2016-4651: Obscure
Laden von WebKit-Seiten
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Eine in böser Absicht erstellte Website kann Daten von verschiedenen Quellen exfiltrieren.
Beschreibung: In Safari trat bei der URL-Weiterleitung ein Cross-Site-Scripting-Problem auf. Dieses Problem wurde durch eine verbesserte Überprüfung der URL bei der Weiterleitung behoben.
CVE-2016-4585: Takeshi Terada von Mitsui Bussan Secure Directions, Inc. (www.mbsd.jp)
Laden von WebKit-Seiten
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zur Ausführung willkürlichen Codes führen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2016-4584: Chris Vienneau
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.