Informationen zum Sicherheitsinhalt von iOS 9.3
In diesem Dokument wird der Sicherheitsinhalt von iOS 9.3 beschrieben.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.
Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.
iOS 9.3
AppleUSBNetworking
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein USB-Gerät kann einen Denial-of-Service-Angriff verursachen
Beschreibung: Es lag ein Fehlerbehandlungsproblem bei der Paketvalidierung vor. Dieses Problem wurde durch eine verbesserte Fehlerbehandlung behoben.
CVE-ID
CVE-2016-1734: Andrea Barisani und Andrej Rosano von Inverse Path
FontParser
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Das Öffnen einer in böser Absicht erstellten PDF-Datei kann dazu führen, dass Programme unterwartet beendet werden oder willkürlicher Code ausgeführt wird
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverarbeitung behoben.
CVE-ID
CVE-2016-1740: HappilyCoded (ant4g0nist und r3dsm0k3) in Zusammenarbeit mit der Zero Day Initiative (ZDI) von Trend Micro
HTTPProtocol
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein entfernter Angreifer kann willkürlichen Code ausführen
Beschreibung: In nghttp2-Versionen vor Version 1.6.0 existierten mehrere Schwachstellen, die im schlimmsten Fall zur Codeausführung durch einen entfernten Angreifer führen konnten. Diese Probleme wurden durch die Aktualisierung von nghttp2 auf Version 1.6.0 behoben.
CVE-ID
CVE-2015-8659
IOHIDFamily
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein Programm kann unter Umständen die Struktur des Kernel-Speichers auslesen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverarbeitung behoben.
CVE-ID
CVE-2016-1748: Brandon Azad
Kernel
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein Programm kann einen Denial-of-Service-Angriff verursachen
Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Überprüfung behoben.
CVE-ID
CVE-2016-1752: CESG
Kernel
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein Programm kann willkürlichen Code mit Kernelrechten ausführen
Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2016-1750: CESG
Kernel
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein Programm kann willkürlichen Code mit Kernelrechten ausführen
Beschreibung: Mehrere Ganzzahlüberläufe wurden durch eine verbesserte Eingabeüberprüfung verhindert.
CVE-ID
CVE-2016-1753: Juwei Lin von Trend Micro in Zusammenarbeit mit der Zero Day Initiative (ZDI) von Trend Micro
Kernel
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein Programm kann unter Umständen Codesignierungen umgehen
Beschreibung: Aufgrund eines Berechtigungsproblems wurden unzulässige Ausführungsberechtigungen erteilt. Dieses Problem wurde durch eine verbesserte Berechtigungsprüfung behoben.
CVE-ID
CVE-2016-1751: Eric Monti von Square Mobile Security
Kernel
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein Programm kann willkürlichen Code mit Kernelrechten ausführen
Beschreibung: Bei der Erstellung neuer Prozesse kam es zu einer Racebedingung. Dieses Problem wurde durch eine verbesserte Statusverarbeitung behoben.
CVE-ID
CVE-2016-1757: Ian Beer von Google Project Zero und Pedro Vilaça
Kernel
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein Programm kann willkürlichen Code mit Kernelrechten ausführen
Beschreibung: Ein Problem mit einem Rückverweis auf einen Nullzeiger wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-ID
CVE-2016-1756: Lufeng Li vom Qihoo 360 Vulcan-Team
Kernel
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein Programm kann willkürlichen Code mit Kernelrechten ausführen
Beschreibung: Mehrere Probleme, die einen Speicherfehler verursachten, wurden durch eine verbesserte Speicherverarbeitung behoben.
CVE-ID
CVE-2016-1754: Lufeng Li vom Qihoo 360 Vulcan-Team
CVE-2016-1755: Ian Beer von Google Project Zero
Kernel
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein Programm kann unter Umständen die Struktur des Kernel-Speichers auslesen
Beschreibung: Es bestand ein Problem, das den Zugriff auf Speicher außerhalb des zugewiesenen Bereichs ermöglichte. Dies führte dazu, dass Inhalte des Kernelspeichers preisgegeben wurden. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-ID
CVE-2016-1758: Brandon Azad
LaunchServices
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein Programm kann unter Umständen Ereignisse anderer Programme beeinflussen
Beschreibung: In der API von XPC-Diensten bestand ein Problem mit der Überprüfung durch den Event-Handler. Dieses Problem wurde durch eine verbesserte Nachrichtenüberprüfung behoben.
CVE-ID
CVE-2016-1760: Proteas vom Qihoo 360 Nirvan-Team
libxml2
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten XML-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Mehrere Probleme, die einen Speicherfehler verursachten, wurden durch eine verbesserte Speicherverarbeitung behoben.
CVE-ID
CVE-2015-1819
CVE-2015-5312: David Drysdale von Google
CVE-2015-7499
CVE-2015-7500: Kostya Serebryany von Google
CVE-2015-7942: Kostya Serebryany von Google
CVE-2015-8035: gustavo.grieco
CVE-2015-8242: Hugh Davenport
CVE-2016-1761: wol0xff in Zusammenarbeit mit der Zero Day Initiative (ZDI) von Trend Micro
CVE-2016-1762
Nachrichten
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann dazu führen, dass Text automatisch in andere Nachrichten-Threads eingefügt wird
Beschreibung: Beim Analysieren von SMS-URLs trat ein Problem auf. Dieses Problem wurde durch eine verbesserte URL-Überprüfung behoben.
CVE-ID
CVE-2016-1763: CityTog
Nachrichten
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein Angreifer, der in der Lage ist, das CA-Pinning von Apple zu umgehen, TLS-Verbindungen abzuhören, Nachrichten einzuspeisen und verschlüsselte AttachmentType-Nachrichten aufzuzeichnen, kann möglicherweise Anhänge auslesen
Beschreibung: Dieses Verschlüsselungsproblem wurde durch das Zurückweisen duplizierter Nachrichten auf dem Client behoben.
CVE-ID
CVE-2016-1788: Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers und Michael Rushanan von der Johns Hopkins University
Profile
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein nicht vertrauenswürdiges MDM-Profil kann fälschlicherweise als bestätigt angezeigt werden
Beschreibung: Bei MDM-Profilen lag ein Problem mit der Zertifikatsprüfung vor. Dieses Problem wurde durch zusätzliche Prüfungen behoben.
CVE-ID
CVE-2016-1766: Taylor Boyko in Zusammenarbeit mit der Zero Day Initiative (ZDI) von Trend Micro
Sicherheit
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Zertifikats kann zur Ausführung willkürlichen Codes führen
Beschreibung: Im ASN.1-Decoder kam es zu Speicherfehlern. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-ID
CVE-2016-1950: Francis Gabriel von Quarkslab
TrueTypeScaler
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von Schriftdateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-ID
CVE-2016-1775: 0x1byte in Zusammenarbeit mit der Zero Day Initiative (ZDI) von Trend Micro
WebKit
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Mehrere Probleme, die einen Speicherfehler verursachten, wurden durch eine verbesserte Speicherverarbeitung behoben.
CVE-ID
CVE-2016-1778: 0x1byte in Zusammenarbeit mit der Zero Day Initiative (ZDI) von Trend Micro und Yang Zhao von CM Security
CVE-2016-1783: Mihai Parparita von Google
WebKit
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Eine Website kann unter Umständen vertrauliche Benutzerdaten nachverfolgen
Beschreibung: Bei der Verarbeitung von Anlagen-URLs trat ein Problem auf. Dieses Problem wurde durch eine verbesserte URL-Verwaltung behoben.
CVE-ID
CVE-2016-1781: Devdatta Akhawe von Dropbox, Inc.
WebKit
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Eine Website kann unter Umständen vertrauliche Benutzerdaten nachverfolgen
Beschreibung: Eine verborgene Webseite kann unter Umständen auf Daten zur Geräteausrichtung und -bewegung zugreifen. Dieses Problem wurde dahin gehend behoben, dass die Daten bei verborgener Webansicht nicht mehr verfügbar sind.
CVE-ID
CVE-2016-1780: Maryam Mehrnezhad, Ehsan Toreini, Siamak F. Shahandashti und Feng Hao von der School of Computing Science, Newcastle University, Großbritannien
WebKit
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Durch den Besuch einer in böser Absicht erstellten Website kann der aktuelle Standort eines Benutzers preisgegeben werden
Beschreibung: Beim Analysieren von Gelocation-Anfragen trat ein Problem auf. Dieses Problem wurde durch eine verbesserte Prüfung des Sicherheitsursprungs bei Geolocation-Anfragen behoben.
CVE-ID
CVE-2016-1779: xisigr von Tencent's Xuanwu Lab (http://www.tencent.com)
WebKit
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Eine in böser Absicht erstellte Website kann unter Umständen auf beliebigen Servern auf zugriffsbeschränkte Ports zugreifen
Beschreibung: Das Portumleitungsproblem wurde durch eine zusätzliche Portüberprüfung behoben.
CVE-ID
CVE-2016-1782: Muneaki Nishimura (nishimunea) von Recruit Technologies Co., Ltd.
WebKit
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Das Aufrufen einer in böser Absicht erstellten URL kann zur Offenlegung vertraulicher Benutzerdaten führen
Beschreibung: Es bestand ein Problem mit der URL-Weiterleitung, wenn XSS Auditor im Blockmodus verwendet wurde. Dieses Problem wurde durch eine verbesserte URL-Navigation behoben.
CVE-ID
CVE-2016-1864: Takeshi Terada von Mitsui Bussan Secure Directions, Inc.
WebKit-Verlauf
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann dazu führen, dass Safari unerwartet beendet wird
Beschreibung: Ein Problem mit der Ressourcenauslastung wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-ID
CVE-2016-1784: Moony Li und Jack Tang von Trend Micro und 李普君 vom 无声信息技术PKAV Team (PKAV.net)
Laden von WebKit-Seiten
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Eine in böser Absicht erstellte Website kann Elemente der Benutzeroberfläche fälschen (UI-Spoofing)
Beschreibung: Weiterleitungsantworten haben es einer in böser Absicht erstellten Website ermöglicht, eine beliebige URL anzuzeigen und zwischengespeicherte Inhalte des Zielursprungs zu lesen. Dieses Problem wurde durch eine verbesserte URL-Anzeigelogik behoben.
CVE-ID
CVE-2016-1786: ma.la von LINE Corporation
Laden von WebKit-Seiten
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Eine in böser Absicht erstellte Website kann Daten von verschiedenen Quellen exfiltrieren
Beschreibung: Bei der Zeichencodierung ist ein Caching-Fehler aufgetreten. Dieses Problem wurde durch zusätzliche Überprüfungen von Anforderungen behoben.
CVE-ID
CVE-2016-1785: ein anonymer Forscher
WLAN
Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Ein Angreifer mit einer privilegierten Netzwerkposition kann die Ausführung willkürlichen Codes verursachen
Beschreibung: Bei einem bestimmten Ethertype kam es zu Problemen bei der Framevalidierung und zu Speicherfehlern. Dieses Problem wurde durch eine zusätzliche Ethertype-Prüfung und eine verbesserte Speicherverarbeitung behoben.
CVE-ID
CVE-2016-0801: ein anonymer Forscher
CVE-2016-0802: ein anonymer Forscher
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.