Informationen zum Sicherheitsinhalt von iOS 9

In diesem Dokument wird der Sicherheitsinhalt von iOS 9 beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.

iOS 9

  • Apple Pay

    Verfügbar für: iPhone 6 und iPhone 6 Plus

    Auswirkung: Manche Karten erlauben einem Terminal, in begrenztem Umfang Daten zu kürzlich erfolgten Transaktionen abzurufen, wenn eine Zahlung getätigt wird

    Beschreibung: Die Transaktionsprotokoll-Funktionalität war in bestimmten Konfigurationen aktiviert. Dieses Problem wurde durch Entfernen der Transaktionsprotokoll-Funktionalität behoben. Dieses Problem betraf keine iPad-Geräte.

    CVE-ID

    CVE-2015-5916

  • AppleKeyStore

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein lokaler Angreifer kann fehlgeschlagene Codeversuche mit einem iOS-Backup zurücksetzen

    Beschreibung: Es bestand das Problem, dass fehlgeschlagene Codeversuche mit einem Backup des iOS-Geräts zurückgesetzt werden konnten. Dieses Problem wurde durch eine verbesserte Logik für Code-Ausfälle behoben.

    CVE-ID

    CVE-2015-5850: ein anonymer Forscher

  • Application Store

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Das Klicken auf einen schadhaften ITMS-Link kann zu einem Denial-of-Service in einem unternehmenssignierten Programm führen

    Beschreibung: Es bestand ein Problem bei der Installation über ITMS-Links. Dieses Problem wurde durch eine zusätzliche Installationsüberprüfung behoben.

    CVE-ID

    CVE-2015-5856: Zhaofeng Chen, Hui Xue und Tao (Lenx) Wei von FireEye, Inc.

  • Audio

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Die Wiedergabe einer schadhaften Audiodatei kann zu einem unerwarteten Programmabbruch führen

    Beschreibung: Bei der Verarbeitung von Audiodateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-5862: YoungJin Yoon vom Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Universität Yonsei, Seoul, Korea

  • Richtlinie für vertrauenswürdige Zertifikate

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Aktualisierung der Richtlinie für vertrauenswürdige Zertifikate

    Beschreibung: Die Richtlinie für vertrauenswürdige Zertifikate wurde aktualisiert. Eine vollständige Liste der Zertifikate kann unter https://support.apple.com/de-de/HT204132 eingesehen werden.

  • CFNetwork

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine in böser Absicht erstellte URL kann genutzt werden, um HTTP Strict Transport Security (HSTS) zu umgehen und vertrauliche Daten preiszugeben

    Beschreibung: Bei der HSTS-Verarbeitung existierte eine Schwachstelle bei der URL-Analyse. Dieses Problem wurde durch eine verbesserte URL-Analyse behoben.

    CVE-ID

    CVE-2015-5858: Xiaofeng Zheng vom Blue Lotus Team, Universität Tsinghua

  • CFNetwork

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine schadhafte Website kann Benutzer in Safari nachverfolgen, wenn der Modus "Privates Surfen" aktiviert ist

    Beschreibung: Bei der Verarbeitung des HSTS-Status im Modus "Privates Surfen" von Safari bestand ein Problem. Dieses Problem wurde durch eine verbesserte Statusverarbeitung behoben.

    CVE-ID

    CVE-2015-5860: Sam Greenhalgh von RadicalResearch Ltd

  • CFNetwork

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine Person mit physischem Zugang zu einem iOS-Gerät kann Cache-Daten aus Apple-Apps lesen

    Beschreibung: Cache-Daten waren mit einem Schlüssel kodiert, der nur über die Hardware-UID geschützt war. Dieses Problem wurde behoben, indem die Cache-Daten mit einem Schlüssel kodiert werden, der über die Hardware-UID und den Code des Benutzers geschützt wird.

    CVE-ID

    CVE-2015-5898: Andreas Kurtz von NESO Security Labs

  • CFNetwork-Cookies

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Angreifer mit höheren Netzwerkrechten kann die Aktivitäten eines Benutzers nachverfolgen

    Beschreibung: Bei der Verarbeitung von Top-Level-Domains gab es einen Cross-Domain-Cookie. Das Problem wurde durch verbesserte Einschränkungen bei der Cookie-Erstellung behoben.

    CVE-ID

    CVE-2015-5885: Xiaofeng Zheng vom Blue Lotus Team, Universität Tsinghua

  • CFNetwork-Cookies

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Angreifer kann für eine Website unbeabsichtigt Cookies erstellen

    Beschreibung: WebKit hat akzeptiert, dass mehrere Cookies in der API document.cookie festgelegt werden. Dieses Problem wurde durch eine verbesserte Analyse behoben.

    CVE-ID

    CVE-2015-3801: Erling Ellingsen von Facebook

  • CFNetwork FTPProtocol

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Schadhafte FTP-Server können verursachen, dass der Client Daten auf anderen Hosts ausspäht

    Beschreibung: Es bestand ein Problem bei der Verarbeitung von FTP-Paketen, wenn der PASV-Befehl verwendet wurde. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

    CVE-ID

    CVE-2015-5912: Amit Klein

  • CFNetwork HTTPProtocol

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Angreifer mit höheren Netzwerkrechten kann Netzwerkverkehr abfangen

    Beschreibung: Bei der Verarbeitung von HSTS Preload-Listeneinträgen im Modus "Privates Surfen" von Safari bestand ein Problem. Dieses Problem wurde durch eine verbesserte Statusverarbeitung behoben.

    CVE-ID

    CVE-2015-5859: Rosario Giustolisi, Universität Luxemburg

  • CFNetwork-Proxys

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Das Herstellen einer Verbindung zu einem schadhaften Web-Proxy kann schadhafte Cookies für eine Website setzen

    Beschreibung: Bei der Verarbeitung von Proxy-Verbindungsantworten bestand ein Problem. Dieses Problem wurde behoben, indem der Set-Cookie-Header entfernt wird, während die Verbindungsantwort analysiert wird.

    CVE-ID

    CVE-2015-5841: Xiaofeng Zheng vom Blue Lotus Team, Universität Tsinghua

  • CFNetwork SSL

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Angreifer mit höheren Netzwerkrechten kann SSL/TLS-Verbindungsdaten abfangen

    Beschreibung: In NSURL bestand ein Problem mit der Zertifikatsüberprüfung, wenn sich ein Zertifikat geändert hat. Dieses Problem wurde durch eine verbesserte Zertifikatüberprüfung behoben.

    CVE-ID

    CVE-2015-5824: Timothy J. Wood von The Omni Group

  • CFNetwork SSL

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Angreifer kann möglicherweise durch SSL geschützte Daten entschlüsseln

    Beschreibung: Es ist bekannt, dass Angriffe auf die Vertraulichkeit von RC4 stattfanden. Ein Angreifer konnte die Verwendung von RC4 erzwingen, selbst wenn der Server bessere Verschlüsselungen priorisierte, indem Verbindungen mit TLS 1.0 und höher gesperrt wurden, bis CFNetwork auf SSL 3.0 zurückgriff, das nur RC4 zulässt. Dieses Problem wurde behoben, indem die Möglichkeit eines Rückgriffs auf SSL 3.0 ausgeschlossen wurde.

  • CoreAnimation

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Schadprogramm kann vertrauliche Benutzerdaten offenlegen

    Beschreibung: Programme konnten auf den Bildschirm-Framebuffer zugreifen, während sie im Hintergrund ausgeführt wurden. Dieses Problem wurde durch eine verbesserte Zugriffskontrolle auf IOSurfaces behoben.

    CVE-ID

    CVE-2015-5880: Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li von der School of Information Systems der Singapore Management University, Feng Bao und Jianying Zhou vom Cryptography and Security Department des Institute for Infocomm Research

  • CoreCrypto

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Angreifer konnte einen privaten Schlüssel ermitteln

    Beschreibung: Durch Beobachten vieler Signier- und Entschlüsselungsversuche konnte ein Angreifer ggf. den privaten RSA-Schlüssel ermitteln. Das Problem wurde durch Verwendung verbesserter Verschlüsselungsalgorithmen behoben.

  • CoreText

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Schriftdateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

    CVE-ID

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Data Detectors Engine

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Textdatei kann zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Textdateien konnte es zu Speicherfehlern kommen. Diese Probleme wurden durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2015-5829: M1x7e1 vom Safeye Team (www.safeye.org)

  • Dev Tools

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen

    Beschreibung: In dyld kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-5876: beist von grayhash

  • Images

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein lokaler Benutzer kann willkürlichen Code mit Systemrechten ausführen

    Beschreibung: In DiskImages kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Programm kann unter Umständen Codesignierungen umgehen

    Beschreibung: Es bestand ein Problem bei der Überprüfung von Code-Signaturen von ausführbaren Dateien. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • Game Center

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein schadhaftes Game Center-Programm kann auf die E-Mail-Adresse eines Spielers zugreifen

    Beschreibung: In Game Center gab es ein Problem mit der Verarbeitung der E-Mail-Adresse von Spielern. Dieses Problem wurde durch verbesserte Zugriffsbeschränkungen behoben.

    CVE-ID

    CVE-2015-5855: Nasser Alnasser

  • ICU

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Mehrere Schwachstellen in ICU

    Beschreibung: ICU wies mehrere Schwachstellen in den Versionen vor Version 53.1.0 auf. Diese wurden durch die Aktualisierung von ICU auf Version 55.1 behoben.

    CVE-ID

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922: Mark Brand von Google Project Zero

  • IOAcceleratorFamily

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Das Layout des Kernelspeichers kann von einem Schadprogramm ermittelt werden

    Beschreibung: Es bestand ein Problem, durch das Inhalte des Kernelspeichers preisgegeben werden konnten. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2015-5834: Cererdlong vom Alibaba Mobile-Sicherheitsteam

  • IOAcceleratorFamily

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein lokaler Benutzer kann willkürlichen Code mit Systemrechten ausführen

    Beschreibung: In IOAcceleratorFamily kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2015-5848: Filippo Bigarella

  • IOHIDFamily

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen

    Beschreibung: In IOHIDFamily kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2015-5867: moony li von Trend Micro

  • IOKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen

    Beschreibung: Im Kernel bestand ein Speicherfehler. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein lokaler Benutzer kann willkürlichen Code mit Systemrechten ausführen

    Beschreibung: In IOMobileFrameBuffer kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein lokaler Angreifer kann den Kernelspeicher lesen

    Beschreibung: Im Kernel bestand ein Problem mit der Speicherinitialisierung. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2015-5863: Ilja van Sprundel von IOActive

  • iTunes Store

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Die Apple-ID-Anmeldedaten bleiben nach dem Abmelden im Schlüsselbund vorhanden

    Beschreibung: Beim Löschen von Schlüsselbunddateien bestand ein Problem. Dieses Problem wurde durch eine verbesserte Accountbereinigung behoben.

    CVE-ID

    CVE-2015-5832: Kasif Dekel von Check Point Software Technologies

  • JavaScriptCore

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zur Ausführung willkürlichen Codes führen.

    Beschreibung: In WebKit kam es zu Speicherfehlern. Diese Probleme wurden durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2015-5791: Apple

    CVE-2015-5793: Apple

    CVE-2015-5814: Apple

    CVE-2015-5816: Apple

    CVE-2015-5822: Mark S. Miller von Google

    CVE-2015-5823: Apple

  • Kernel

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein lokaler Benutzer kann willkürlichen Code mit Kernel-Rechten ausführen

    Beschreibung: Im Kernel bestand ein Speicherfehler. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2015-5868: Cererdlong vom Alibaba Mobile-Sicherheitsteam

    CVE-2015-5896: Maxime Villard von m00nbsd

    CVE-2015-5903: CESG

    Eintrag am Mittwoch, 21. Dezember 2016 aktualisiert

  • Kernel

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein lokaler Angreifer kann den Wert von Stapel-Cookies beeinflussen

    Beschreibung: Bei der Erstellung von Stapel-Cookies im Benutzerraum gab es mehrere Schwachstellen. Diese Probleme wurden durch eine verbesserte Erstellung von Stapel-Cookies behoben.

    CVE-ID

    CVE-2013-3951: Stefan Esser

  • Kernel

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein lokaler Prozess kann andere Prozesse ohne Berechtigungsüberprüfung ändern

    Beschreibung: Es bestand ein Problem, bei dem Root-Prozessen, die die API processor_set_tasks verwenden, erlaubt wurde, die Task Ports anderer Prozesse abzurufen. Dieses Problem wurde durch zusätzliche Berechtigungsüberprüfungen behoben.

    CVE-ID

    CVE-2015-5882: Pedro Vilaça, der die ursprüngliche Forschung von Ming-chieh Pan und Sung-ting Tsai fortsetzt; Jonathan Levin

  • Kernel

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Angreifer kann Denial-of-Service-Angriffe auf gezielte TCP-Verbindungen starten, ohne dass er die korrekte Sequenznummer kennen muss

    Beschreibung: Es bestand ein Problem bei der Überprüfung von TCP-Paket-Headern durch xnu. Dieses Problem wurde durch eine verbesserte Überprüfung des TCP-Paket-Headers behoben.

    CVE-ID

    CVE-2015-5879: Jonathan Looney

  • Kernel

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Angreifer in einem lokalen LAN-Segment kann das IPv6-Routing deaktivieren

    Beschreibung: Bei der Verarbeitung von IPv6-Router-Advertisements bestand ein Problem mit einer unzureichenden Überprüfung, welches es einem Angreifer erlaubte, das Hop-Limit auf einen willkürlichen Wert einzustellen. Dieses Problem wurde durch Erzwingen eines Mindest-Hop-Limits behoben.

    CVE-ID

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein lokaler Benutzer kann das Layout des Kernelspeichers ermitteln

    Beschreibung: In XNU bestand ein Problem, das dazu führte, dass Inhalte des Kernelspeichers preisgegeben wurden. Dieses Problem wurde durch eine verbesserte Initialisierung der Kernelspeicherstrukturen behoben.

    CVE-ID

    CVE-2015-5842: beist von grayhash

  • Kernel

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein lokaler Benutzer kann einen Denial-of-Service des Systems verursachen.

    Beschreibung: Bei der HFS-Volumeaktivierung bestand ein Problem. Dieses Problem wurde durch zusätzliche Überprüfungen behoben.

    CVE-ID

    CVE-2015-5748: Maxime Villard von m00nbsd

  • libc

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Remote-Angreifer kann die Ausführung willkürlichen Codes verursachen

    Beschreibung: In der fflush-Funktion bestand ein Speicherfehler. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2014-8611: Adrian Chadd und Alfred Perlstein von Norse Corporation

  • libpthread

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein lokaler Benutzer kann willkürlichen Code mit Kernel-Rechten ausführen

    Beschreibung: Im Kernel bestand ein Speicherfehler. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2015-5899: Lufeng Li vom Qihoo 360 Vulcan Team

  • Mail

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Angreifer kann eine E-Mail senden, die von einem Kontakt im Adressbuch des Empfängers zu stammen scheint

    Beschreibung: Es bestand ein Problem bei der Verarbeitung der Absenderadresse. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

    CVE-ID

    CVE-2015-5857: Emre Saglam von salesforce.com

  • Multipeer-Verbindung

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein lokaler Angreifer kann ungeschützte Multipeer-Daten ausspähen

    Beschreibung: Es bestand ein Problem bei der Verarbeitung mit dem Convenience Initializer, bei dem die Verschlüsselung aktiv auf eine nicht verschlüsselte Sitzung heruntergestuft werden konnte. Dieses Problem wurde behoben, indem festgelegt wurde, dass der Convenience Initializer eine Verschlüsselung erfordert.

    CVE-ID

    CVE-2015-5851: Alban Diquet (@nabla_c0d3) von Data Theorem

  • NetworkExtension

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Das Layout des Kernelspeichers kann von einem Schadprogramm ermittelt werden

    Beschreibung: Ein Problem mit nicht initialisiertem Speicher im Kernel führte zur Preisgabe von Kernelspeicherinhalten. Dieses Problem wurde durch eine Speicherinitialisierung behoben.

    CVE-ID

    CVE-2015-5831: Maxime Villard von m00nbsd

  • OpenSSL

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Mehrere Schwachstellen in OpenSSL

    Beschreibung: In den OpenSSL-Versionen vor 0.9.8zg bestanden mehrere Schwachstellen. Diese Probleme wurden durch Aktualisierung von OpenSSL auf Version 0.9.8zg behoben.

    CVE-ID

    CVE-2015-0286

    CVE-2015-0287

  • PluginKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein schadhaftes Unternehmensprogramm kann Erweiterungen installieren, bevor dem Programm vertraut wird

    Beschreibung: Es bestand ein Problem mit der Überprüfung von Erweiterungen während der Installation. Dieses Problem wurde durch eine verbesserte Programmüberprüfung behoben.

    CVE-ID

    CVE-2015-5837: Zhaofeng Chen, Hui Xue und Tao (Lenx) Wei von FireEye, Inc.

  • removefile

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Die Verarbeitung schadhafter Daten kann zu einem unerwarteten Programmabbruch führen

    Beschreibung: In den "checkint division routines" gab es einen Überlauffehler. Dieses Problem wurde durch verbesserte "division routines" behoben.

    CVE-ID

    CVE-2015-5840: ein anonymer Forscher

  • Safari

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein lokaler Benutzer kann Safari-Lesezeichen auf einem gesperrten iOS-Gerät ohne Code lesen

    Beschreibung: Safari-Lesezeichendaten waren mit einem Schlüssel kodiert, der nur durch die Hardware-UID geschützt war. Dieses Problem wurde behoben, indem die Safari-Lesezeichendaten mit einem Schlüssel kodiert werden, der durch die Hardware-UID und den Code des Benutzers geschützt wird.

    CVE-ID

    CVE-2015-7118: Jonathan Zdziarski

    Eintrag am Mittwoch, 21. Dezember 2016 aktualisiert

  • Safari

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine in böser Absicht erstellte Website kann Elemente der Benutzeroberfläche fälschen (UI-Spoofing).

    Beschreibung: Aufgrund eines Problems konnten Websites Inhalte mit der URL einer anderen Website anzeigen. Dieses Problem wurde durch eine verbesserte URL-Verarbeitung behoben.

    CVE-ID

    CVE-2015-5904: Erling Ellingsen von Facebook, Łukasz Pilorz

  • Safari

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine in böser Absicht erstellte Website kann Elemente der Benutzeroberfläche fälschen (UI-Spoofing).

    Beschreibung: Der Besuch einer schadhaften Website mit einem manipulierten Window Opener kann die Anzeige willkürlicher URLs zugelassen haben. Dieses Problem wurde durch eine verbesserte Verarbeitung der Window Opener behoben.

    CVE-ID

    CVE-2015-5905: Keita Haga von keitahaga.com

  • Safari

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Benutzer können von schadhaften Websites mithilfe von Client-Zertifikaten getrackt werden

    Beschreibung: Bei der Überprüfung der SSL-Authentifizierung des Client-Zertifikats bestand in Safari ein Problem. Dieses Problem wurde durch einen verbesserten Abgleich gültiger Client-Zertifikate behoben.

    CVE-ID

    CVE-2015-1129: Stefan Kraus von der fluid Operations AG, Sylvain Munaut von Whatever s.a.

  • Safari

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine in böser Absicht erstellte Website kann Elemente der Benutzeroberfläche fälschen (UI-Spoofing).

    Beschreibung: Verschiedene Inkonsistenzen in der Benutzeroberfläche haben eventuell bewirkt, dass eine schadhafte Website eine willkürliche URL anzeigen konnte. Diese Probleme wurden durch eine verbesserte Logik der URL-Anzeige behoben.

    CVE-ID

    CVE-2015-5764: Antonio Sanso (@asanso) von Adobe

    CVE-2015-5765: Ron Masas

    CVE-2015-5767: Krystian Kloskowski von Secunia, Masato Kinugawa

  • Sicheres Surfen mit Safari

    iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Das Aufrufen einer IP-Adresse einer bekanntermaßen schadhaften Website löst möglicherweise keine Sicherheitswarnung aus

    Beschreibung: Die Funktion für sicheres Surfen von Safari hat Benutzer nicht gewarnt, wenn sie bekanntermaßen schadhafte Websites über ihre jeweilige IP-Adressen geöffnet haben. Das Problem wurde durch eine verbesserte Erkennung von schadhaften Websites behoben.

    Rahul M von TagsDock

  • Sicherheit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine schadhafte App kann Kommunikationen zwischen Apps abfangen

    Beschreibung: Es bestand ein Problem, aufgrund dessen schadhafte Apps URL-Schema-Kommunikationen zwischen Apps abfangen konnten. Dieses Problem wurde entschärft, indem ein Dialog angezeigt wird, wenn zum ersten Mal ein URL-Schema verwendet wird.

    CVE-ID

    CVE-2015-5835: Teun van Run von FiftyTwoDegreesNorth B.V.; XiaoFeng Wang von der Indiana University, Luyi Xing von der Indiana University, Tongxin Li von der Universität Peking, Tongxin Li von der Universität Peking, Xiaolong Bai von der Universität Tsinghua

  • Siri

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine Person mit physischem Zugang zu einem iOS-Gerät kann Siri nutzen, um Mitteilungen in Bezug auf Inhalte zu lesen, die eigentlich nicht im Sperrbildschirm angezeigt werden sollen

    Beschreibung: Wenn Siri eine Aufforderung erhielt, wurden benutzerdefinierte Einschränkungen vom Server nicht überprüft. Dieses Problem wurde durch eine verbesserte Überprüfung der Einschränkungen behoben.

    CVE-ID

    CVE-2015-5892: Robert S. Mozayeni, Joshua Donvito

  • SpringBoard

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine Person mit physischem Zugang zu einem iOS-Gerät konnte eine Audionachricht vom Sperrbildschirm aus wiedergeben lassen, während Nachrichtenvorschauen über den Sperrbildschirm deaktiviert waren

    Beschreibung: Aufgrund eines Problems mit dem Sperrbildschirm konnten Benutzer auf Audionachrichten antworten, während Nachrichtenvorschauen deaktiviert waren. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

    CVE-ID

    CVE-2015-5861: Daniel Miedema von Meridian Apps

  • SpringBoard

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Schadprogramm kann die Dialogfenster eines anderen Programms vortäuschen

    Beschreibung: Es bestand ein Zugriffsproblem mit privilegierten API-Aufrufen. Dieses Problem wurde durch zusätzliche Einschränkungen behoben.

    CVE-ID

    CVE-2015-5838: Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei, John C.S. Lui

  • SQLite

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Mehrere Schwachstellen in SQLite 3.8.5

    Beschreibung: In SQLite 3.8.5 gab es mehrere Schwachstellen. Diese Probleme wurden durch die Aktualisierung von SQLite auf Version 3.8.10.2 behoben.

    CVE-ID

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • tidy

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zur Ausführung willkürlichen Codes führen.

    Beschreibung: In Tidy kam es zu Speicherfehlern. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-5522: Fernando Muñoz von NULLGroup.com

    CVE-2015-5523: Fernando Muñoz von NULLGroup.com

  • WebKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Bei bestimmten Ereignissen, Meldungen und Popstate-Ereignissen kann es dazu kommen, dass Objektreferenzen zwischen einzelnen Quellen ausgetauscht werden

    Beschreibung: Aufgrund eines Problems wurden Objekte offengelegt und so die Grenzen zwischen einzelnen Quellen durchbrochen. Das Problem wurde durch eine verbesserte Isolierung der Quellen behoben.

    CVE-ID

    CVE-2015-5827: Gildas

  • WebKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zur Ausführung willkürlichen Codes führen.

    Beschreibung: In WebKit kam es zu Speicherfehlern. Diese Probleme wurden durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2015-5789: Apple

    CVE-2015-5790: Apple

    CVE-2015-5792: Apple

    CVE-2015-5794: Apple

    CVE-2015-5795: Apple

    CVE-2015-5796: Apple

    CVE-2015-5797: Apple

    CVE-2015-5799: Apple

    CVE-2015-5800: Apple

    CVE-2015-5801: Apple

    CVE-2015-5802: Apple

    CVE-2015-5803: Apple

    CVE-2015-5804: Apple

    CVE-2015-5805

    CVE-2015-5806: Apple

    CVE-2015-5807: Apple

    CVE-2015-5809: Apple

    CVE-2015-5810: Apple

    CVE-2015-5811: Apple

    CVE-2015-5812: Apple

    CVE-2015-5813: Apple

    CVE-2015-5817: Apple

    CVE-2015-5818: Apple

    CVE-2015-5819: Apple

    CVE-2015-5821: Apple

  • WebKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Durch den Besuch einer schadhaften Website konnte versehentlich eine Nummer gewählt werden

    Beschreibung: Es bestand ein Problem mit tel://, facetime:// und facetime-audio:// URLs. Dieses Problem wurde durch eine verbesserte URL-Verarbeitung behoben.

    CVE-ID

    CVE-2015-5820: Andrei Neculaesei, Guillaume Ross

  • WebKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: QuickType kann das letzte Zeichen eines Passworts in einem ausgefüllten Webformular in Erfahrung bringen

    Beschreibung: Es bestand ein Problem bei der Verarbeitung von Passworteingabekontext in WebKit. Dieses Problem wurde durch eine verbesserte Verarbeitung des Eingabekontexts behoben.

    CVE-ID

    CVE-2015-5906: Louis Romero von Google Inc.

  • WebKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Angreifer mit höheren Netzwerkrechten konnte eine Umleitung auf eine schadhafte Domain verursachen

    Beschreibung: Es bestand ein Problem bei der Verarbeitung von Ressourcen-Caches auf Websites mit ungültigen Zertifikaten. Das Problem wurde behoben, indem der Anwendungscache von Domains mit ungültigen Zertifikaten abgewiesen wird.

    CVE-ID

    CVE-2015-5907: Yaoqi Jia von der National University of Singapore (NUS)

  • WebKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine in böser Absicht erstellte Website kann Daten von verschiedenen Quellen exfiltrieren.

    Beschreibung: Safari ließ zu, dass Cross-Origin-Stylesheets mit Nicht-CSS-MIME-Typ geladen wurden, wodurch Daten von verschiedenen Quellen exfiltriert werden konnten. Dieses Problem wurde behoben, indem die Anzahl an MIME-Typen für Cross-Origin-Stylesheets begrenzt wurde.

    CVE-ID

    CVE-2015-5826: filedescriptor, Chris Evans

  • WebKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Die Performance API könnte zulassen, dass eine schadhafte Website Daten zu Browserverlauf, Netzwerkaktivitäten und Mausbewegungen freigibt

    Beschreibung: Die WebKit Performance API könnte zugelassen haben, dass eine schadhafte Website basierend auf Zeitmessungen Daten zu Browserverlauf, Netzwerkaktivitäten und Mausbewegungen freigibt. Dieses Problem wurde durch eine Beschränkung der zeitlichen Auflösung behoben.

    CVE-ID

    CVE-2015-5825: Yossi Oren et al. vom Network Security Lab der Columbia University

  • WebKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann vertrauliche Benutzerdaten offenlegen.

    Beschreibung: Es bestand ein Problem mit Content-Disposition-Headern, die "type attachment" enthalten. Das Problem wurde behoben, indem einige Funktionen für "type attachment"-Seiten nicht mehr zugelassen werden.

    CVE-ID

    CVE-2015-5921: Mickey Shkatov vom Intel(r) Advanced Threat Research Team, Daoyuan Wu von der Singapore Management University, Rocky K. C. Chang von der Hong Kong Polytechnic University, Łukasz Pilorz, superhei von www.knownsec.com

  • WebKit Canvas

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Durch Aufrufen einer in böser Absicht erstellten Website können Bilddaten von einer anderen Website offengelegt werden.

    Beschreibung: Es bestand ein Cross-Origin-Problem mit "canvas"-Element-Bildern in WebKit. Dieses Problem wurde durch eine verbesserte Nachverfolgung von Security Origins behoben.

    CVE-ID

    CVE-2015-5788: Apple

  • Laden von WebKit-Seiten

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: WebSockets können die Durchsetzung von Richtlinien in Bezug auf gemischte Inhalte umgehen

    Beschreibung: Eine mangelhafte Durchsetzung von Richtlinien sorgte dafür, dass WebSockets gemischte Inhalte laden konnte. Dieses Problem wurde behoben, indem die Durchsetzung von Richtlinien in Bezug auf gemischte Inhalte auf WebSockets ausgeweitet wurde.

    Kevin G. Jones von Higher Logic

FaceTime ist nicht in allen Ländern und Regionen verfügbar.

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: