Informationen zum Sicherheitsinhalt von iOS 9.3

In diesem Dokument wird der Sicherheitsinhalt von iOS 9.3 beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.

iOS 9.3

  • AppleUSBNetworking

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein USB-Gerät kann einen Denial-of-Service-Angriff verursachen

    Beschreibung: Es lag ein Fehlerbehandlungsproblem bei der Paketvalidierung vor. Dieses Problem wurde durch eine verbesserte Fehlerbehandlung behoben.

    CVE-ID

    CVE-2016-1734: Andrea Barisani und Andrej Rosano von Inverse Path

  • FontParser

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Das Öffnen einer in böser Absicht erstellten PDF-Datei kann dazu führen, dass Programme unterwartet beendet werden oder willkürlicher Code ausgeführt wird

    Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2016-1740: HappilyCoded (ant4g0nist und r3dsm0k3) in Zusammenarbeit mit der Zero Day Initiative (ZDI) von Trend Micro

  • HTTPProtocol

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein entfernter Angreifer kann willkürlichen Code ausführen

    Beschreibung: In nghttp2-Versionen vor Version 1.6.0 existierten mehrere Schwachstellen, die im schlimmsten Fall zur Codeausführung durch einen entfernten Angreifer führen konnten. Diese Probleme wurden durch die Aktualisierung von nghttp2 auf Version 1.6.0 behoben.

    CVE-ID

    CVE-2015-8659

  • IOHIDFamily

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Programm kann unter Umständen die Struktur des Kernel-Speichers auslesen

    Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2016-1748: Brandon Azad

  • Kernel

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Programm kann einen Denial-of-Service-Angriff verursachen

    Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Überprüfung behoben.

    CVE-ID

    CVE-2016-1752: CESG

  • Kernel

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Programm kann willkürlichen Code mit Kernelrechten ausführen

    Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2016-1750: CESG

  • Kernel

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Programm kann willkürlichen Code mit Kernelrechten ausführen

    Beschreibung: Mehrere Ganzzahlüberläufe wurden durch eine verbesserte Eingabeüberprüfung verhindert.

    CVE-ID

    CVE-2016-1753: Juwei Lin von Trend Micro in Zusammenarbeit mit der Zero Day Initiative (ZDI) von Trend Micro

  • Kernel

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Programm kann unter Umständen Codesignierungen umgehen

    Beschreibung: Aufgrund eines Berechtigungsproblems wurden unzulässige Ausführungsberechtigungen erteilt. Dieses Problem wurde durch eine verbesserte Berechtigungsprüfung behoben.

    CVE-ID

    CVE-2016-1751: Eric Monti von Square Mobile Security

  • Kernel

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Programm kann willkürlichen Code mit Kernelrechten ausführen

    Beschreibung: Bei der Erstellung neuer Prozesse kam es zu einer Racebedingung. Dieses Problem wurde durch eine verbesserte Statusverarbeitung behoben.

    CVE-ID

    CVE-2016-1757: Ian Beer von Google Project Zero und Pedro Vilaça

  • Kernel

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Programm kann willkürlichen Code mit Kernelrechten ausführen

    Beschreibung: Ein Problem mit einem Rückverweis auf einen Nullzeiger wurde durch eine verbesserte Eingabeüberprüfung behoben.

    CVE-ID

    CVE-2016-1756: Lufeng Li vom Qihoo 360 Vulcan-Team

  • Kernel

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Programm kann willkürlichen Code mit Kernelrechten ausführen

    Beschreibung: Mehrere Probleme, die einen Speicherfehler verursachten, wurden durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2016-1754: Lufeng Li vom Qihoo 360 Vulcan-Team

    CVE-2016-1755: Ian Beer von Google Project Zero

  • Kernel

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Programm kann unter Umständen die Struktur des Kernel-Speichers auslesen

    Beschreibung: Es bestand ein Problem, das den Zugriff auf Speicher außerhalb des zugewiesenen Bereichs ermöglichte. Dies führte dazu, dass Inhalte des Kernelspeichers preisgegeben wurden. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

    CVE-ID

    CVE-2016-1758: Brandon Azad

  • LaunchServices

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Programm kann unter Umständen Ereignisse anderer Programme beeinflussen

    Beschreibung: In der API von XPC-Diensten bestand ein Problem mit der Überprüfung durch den Event-Handler. Dieses Problem wurde durch eine verbesserte Nachrichtenüberprüfung behoben.

    CVE-ID

    CVE-2016-1760: Proteas vom Qihoo 360 Nirvan-Team

  • libxml2

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Die Verarbeitung einer in böser Absicht erstellten XML-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Mehrere Probleme, die einen Speicherfehler verursachten, wurden durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-1819

    CVE-2015-5312: David Drysdale von Google

    CVE-2015-7499

    CVE-2015-7500: Kostya Serebryany von Google

    CVE-2015-7942: Kostya Serebryany von Google

    CVE-2015-8035: gustavo.grieco

    CVE-2015-8242: Hugh Davenport

    CVE-2016-1761: wol0xff in Zusammenarbeit mit der Zero Day Initiative (ZDI) von Trend Micro

    CVE-2016-1762

  • Nachrichten

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann dazu führen, dass Text automatisch in andere Nachrichten-Threads eingefügt wird

    Beschreibung: Beim Analysieren von SMS-URLs trat ein Problem auf. Dieses Problem wurde durch eine verbesserte URL-Überprüfung behoben.

    CVE-ID

    CVE-2016-1763: CityTog

  • Nachrichten

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Angreifer, der in der Lage ist, das CA-Pinning von Apple zu umgehen, TLS-Verbindungen abzuhören, Nachrichten einzuspeisen und verschlüsselte AttachmentType-Nachrichten aufzuzeichnen, kann möglicherweise Anhänge auslesen

    Beschreibung: Dieses Verschlüsselungsproblem wurde durch das Zurückweisen duplizierter Nachrichten auf dem Client behoben.

    CVE-ID

    CVE-2016-1788: Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers und Michael Rushanan von der Johns Hopkins University

  • Profile

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein nicht vertrauenswürdiges MDM-Profil kann fälschlicherweise als bestätigt angezeigt werden

    Beschreibung: Bei MDM-Profilen lag ein Problem mit der Zertifikatsprüfung vor. Dieses Problem wurde durch zusätzliche Prüfungen behoben.

    CVE-ID

    CVE-2016-1766: Taylor Boyko in Zusammenarbeit mit der Zero Day Initiative (ZDI) von Trend Micro

  • Sicherheit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Zertifikats kann zur Ausführung willkürlichen Codes führen

    Beschreibung: Im ASN.1-Decoder kam es zu Speicherfehlern. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

    CVE-ID

    CVE-2016-1950: Francis Gabriel von Quarkslab

  • TrueTypeScaler

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Schriftdateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

    CVE-ID

    CVE-2016-1775: 0x1byte in Zusammenarbeit mit der Zero Day Initiative (ZDI) von Trend Micro

  • WebKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

    Beschreibung: Mehrere Probleme, die einen Speicherfehler verursachten, wurden durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2016-1778: 0x1byte in Zusammenarbeit mit der Zero Day Initiative (ZDI) von Trend Micro und Yang Zhao von CM Security

    CVE-2016-1783: Mihai Parparita von Google

  • WebKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine Website kann unter Umständen vertrauliche Benutzerdaten nachverfolgen

    Beschreibung: Bei der Verarbeitung von Anlagen-URLs trat ein Problem auf. Dieses Problem wurde durch eine verbesserte URL-Verwaltung behoben.

    CVE-ID

    CVE-2016-1781: Devdatta Akhawe von Dropbox, Inc.

  • WebKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine Website kann unter Umständen vertrauliche Benutzerdaten nachverfolgen

    Beschreibung: Eine verborgene Webseite kann unter Umständen auf Daten zur Geräteausrichtung und -bewegung zugreifen. Dieses Problem wurde dahin gehend behoben, dass die Daten bei verborgener Webansicht nicht mehr verfügbar sind.

    CVE-ID

    CVE-2016-1780: Maryam Mehrnezhad, Ehsan Toreini, Siamak F. Shahandashti und Feng Hao von der School of Computing Science, Newcastle University, Großbritannien

  • WebKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Durch den Besuch einer in böser Absicht erstellten Website kann der aktuelle Standort eines Benutzers preisgegeben werden

    Beschreibung: Beim Analysieren von Gelocation-Anfragen trat ein Problem auf. Dieses Problem wurde durch eine verbesserte Prüfung des Sicherheitsursprungs bei Geolocation-Anfragen behoben.

    CVE-ID

    CVE-2016-1779: xisigr von Tencent's Xuanwu Lab (http://www.tencent.com)

  • WebKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine in böser Absicht erstellte Website kann unter Umständen auf beliebigen Servern auf zugriffsbeschränkte Ports zugreifen

    Beschreibung: Das Portumleitungsproblem wurde durch eine zusätzliche Portüberprüfung behoben.

    CVE-ID

    CVE-2016-1782: Muneaki Nishimura (nishimunea) von Recruit Technologies Co., Ltd.

  • WebKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Das Aufrufen einer in böser Absicht erstellten URL kann zur Offenlegung vertraulicher Benutzerdaten führen

    Beschreibung: Es bestand ein Problem mit der URL-Weiterleitung, wenn XSS Auditor im Blockmodus verwendet wurde. Dieses Problem wurde durch eine verbesserte URL-Navigation behoben.

    CVE-ID

    CVE-2016-1864: Takeshi Terada von Mitsui Bussan Secure Directions, Inc.

  • WebKit-Verlauf

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann dazu führen, dass Safari unerwartet beendet wird

    Beschreibung: Ein Problem mit der Ressourcenauslastung wurde durch eine verbesserte Eingabeüberprüfung behoben.

    CVE-ID

    CVE-2016-1784: Moony Li und Jack Tang von Trend Micro und 李普君 vom 无声信息技术PKAV Team (PKAV.net)

  • Laden von WebKit-Seiten

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine in böser Absicht erstellte Website kann Elemente der Benutzeroberfläche fälschen (UI-Spoofing)

    Beschreibung: Weiterleitungsantworten haben es einer in böser Absicht erstellten Website ermöglicht, eine beliebige URL anzuzeigen und zwischengespeicherte Inhalte des Zielursprungs zu lesen. Dieses Problem wurde durch eine verbesserte URL-Anzeigelogik behoben.

    CVE-ID

    CVE-2016-1786: ma.la von LINE Corporation

  • Laden von WebKit-Seiten

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine in böser Absicht erstellte Website kann Daten von verschiedenen Quellen exfiltrieren

    Beschreibung: Bei der Zeichencodierung ist ein Caching-Fehler aufgetreten. Dieses Problem wurde durch zusätzliche Überprüfungen von Anforderungen behoben.

    CVE-ID

    CVE-2016-1785: ein anonymer Forscher

  • WLAN

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Angreifer mit einer privilegierten Netzwerkposition kann die Ausführung willkürlichen Codes verursachen

    Beschreibung: Bei einem bestimmten Ethertype kam es zu Problemen bei der Framevalidierung und zu Speicherfehlern. Dieses Problem wurde durch eine zusätzliche Ethertype-Prüfung und eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2016-0801: ein anonymer Forscher

    CVE-2016-0802: ein anonymer Forscher

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: Tue Jun 21 19:46:31 GMT 2016