Informationen zum Sicherheitsinhalt von iOS 8.4

In diesem Dokument wird der Sicherheitsinhalt von iOS 8.4 beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.

iOS 8.4

  • Application Store

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine schadhafte universelle App für Bereitstellungsprofile kann andere Apps am Starten hindern

    Beschreibung: In der Installationslogik für universelle Bereitstellungsprofil-Apps bestand ein Problem, das eine Kollision mit vorhandenen Paket-IDs hervorrief. Dieses Problem wurde durch eine verbesserte Kollisionsüberprüfung behoben.

    CVE-ID

    CVE-2015-3722: Zhaofeng Chen, Hui Xue und Tao (Lenx) Wei von FireEye, Inc.
  • Richtlinie für vertrauenswürdige Zertifikate

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Angreifer mit privilegierter Netzwerkposition kann Netzwerkverkehr abfangen

    Beschreibung: Die Zertifikatstelle CNNIC hat ein falsches Zwischenzertifikat veröffentlicht. Zur Behebung des Problems wurde ein Mechanismus eingesetzt, mit dem nur den Zertifikaten vertraut wird, die vor der fehlerhaften Ausstellung des Zwischenzertifikats ausgestellt wurden. Weitere Informationen zur Sicherheitsliste "Erlauben" mit teilweiser Vertrauenswürdigkeit.

  • Richtlinie für vertrauenswürdige Zertifikate

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Aktualisierung der Richtlinie für vertrauenswürdige Zertifikate

    Beschreibung: Die Richtlinie für vertrauenswürdige Zertifikate wurde aktualisiert. Eine vollständige Liste der Zertifikate kann im vertrauenswürdigen Speicher von iOS eingesehen werden.

  • CFNetwork HTTPAuthentication

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer
Auswirkung: Das Aufrufen einer schadhaften URL kann zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung bestimmter URL-Zugangsdaten kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-3684: Apple

  • CoreGraphics

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Das Öffnen einer schadhaften PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von ICC-Profilen kam es zu mehreren Speicherfehlern. Diese Probleme wurden durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2015-3723: chaithanya (SegFault) in Zusammenarbeit mit der Zero Day Initiative von HP

    CVE-2015-3724: WanderingGlitch von der Zero Day Initiative von HP

  • CoreText

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Die Verarbeitung einer schadhaften Textdatei kann zu einem unerwarteten Programmabbruch oder der Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Textdateien kam es zu mehreren Speicherfehlern. Diese Probleme wurden durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2015-1157

    CVE-2015-3685: Apple

    CVE-2015-3686: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3687: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3688: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3689: Apple

  • coreTLS

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Angreifer mit privilegierter Netzwerkposition kann SSL- oder TLS-Verbindungsdaten abfangen

    Beschreibung: coreTLS hat kurze Diffie-Hellman (DH) Ephemeral-Schlüssel akzeptiert, die üblicherweise nur in DH Ephemeral-Cipher Suites mit Exportstärke eingesetzt werden. Dieses Problem, das auch unter dem Begriff Logjam bekannt ist, hat Angreifern mit privilegierter Netzwerkposition ermöglicht, die Sicherheitsstufe auf DH mit 512 Bit herabzustufen, wenn der Server DH Ephemeral-Cipher Suites mit Exportstärke unterstützt. Das Problem wurde durch die Anhebung der Standardmindestlänge für DH Ephemeral-Schlüssel auf 768 Bit behoben.

    CVE-ID

    CVE-2015-4000: Das weakdh-Team bei weakdh.org, Hanno Boeck

  • DiskImages

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Das Kernel-Speicher-Layout kann von einem Schadprogramm ermittelt werden

    Beschreibung: Bei der Verarbeitung von Festplatten-Images kam es zur Offenlegung von Informationen. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2015-3690: Peter Rutenbar in Zusammenarbeit mit der Zero Day Initiative von HP

  • FontParser

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Die Verarbeitung einer schadhaften Schriftdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Schriftdateien kam es zu mehreren Speicherfehlern. Diese Probleme wurden durch eine verbesserte Eingabeüberprüfung behoben.

    CVE-ID

    CVE-2015-3694: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3719: John Villamil (@day6reak), Yahoo Pentest Team

  • ImageIO

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Die Verarbeitung einer schadhaften .tiff-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von .tiff-Dateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2015-3703: Apple

  • ImageIO

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: libtiff hat mehrere Schwachstellen, von denen die schwerwiegendste zur Ausführung willkürlichen Codes führen kann

    Beschreibung: libtiff hatte mehrere Schwachstellen in den Versionen vor 4.0.4. Diese wurden durch Aktualisierung von libtiff auf Version 4.0.4 behoben.

    CVE-ID

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130
     

  • Kernel

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Das Kernel-Speicher-Layout kann von einem Schadprogramm ermittelt werden

    Beschreibung: Bei der Verarbeitung von HFS-Parametern bestand ein Problem mit der Speicherverwaltung, das zur Offenlegung des Kernel-Speicher-Layouts führen konnte. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2015-3721: Ian Beer vom Google Project Zero
  • Mail

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine schadhafte E-Mail kann den Nachrichteninhalt durch eine willkürliche Webseite ersetzen, wenn die Nachricht angezeigt wird

    Beschreibung: Bei der Unterstützung für HTML-E-Mails bestand ein Problem, bei dem der Nachrichteninhalt mit einer willkürlichen Webseite aktualisiert werden konnte. Das Problem wurde durch eine eingeschränkte Unterstützung für HTML-Inhalt behoben.

    CVE-ID

    CVE-2015-3710: Aaron Sigel von vtty.com, Jan Souček
  • MobileInstallation

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine schadhafte universelle App für Bereitstellungsprofile kann eine Watch-App am Starten hindern

    Beschreibung: In der Installationslogik für universelle Bereitstellungsprofil-Apps auf der Watch bestand ein Problem, das eine Kollision mit vorhandenen Paket-IDs hervorrief. Dieses Problem wurde durch eine verbesserte Kollisionsüberprüfung behoben.

    CVE-ID

    CVE-2015-3725: Zhaofeng Chen, Hui Xue und Tao (Lenx) Wei von FireEye, Inc.

  • Safari

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Der Besuch einer schadhaften Website kann Benutzerdaten im Dateisystem kompromittieren

    Beschreibung: In Safari bestand ein Problem bei der Statusverwaltung, das nicht privilegierten Ursprüngen erlaubte, auf Inhalte im Dateisystem zuzugreifen. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

    CVE-ID

    CVE-2015-1155: Joe Vennix von Rapid7 Inc. in Zusammenarbeit mit der Zero Day Initiative von HP
     

  • Safari

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Der Besuch einer schadhaften Website kann zur Übernahme des Accounts führen

    Beschreibung: Es bestand ein Problem, bei dem Safari den Origin-Request-Header für Cross-Origin-Umleitungen beibehalten hat, wodurch schadhafte Websites den CSRF-Schutz umgehen konnten. Dieses Problem wurde durch eine verbesserte Verarbeitung von Umleitungen behoben.

    CVE-ID

    CVE-2015-3658: Brad Hill von Facebook
  • Sicherheit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen

    Beschreibung: Im Code des Sicherheitsframeworks zur Analyse von S/MIME-E-Mails und einigen anderen signierten oder verschlüsselten Objekten kam es zum Ganzzahlüberlauf. Dieses Problem wurde durch eine verbesserte Echtheitsprüfung behoben.

    CVE-ID

    CVE-2013-1741

  • SQLite

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen

    Beschreibung: In der printf-Implementierung von SQLite kam es zu mehreren Pufferüberläufen. Diese Probleme wurden durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2015-3717: Peter Rutenbar in Zusammenarbeit mit der Zero Day Initiative von HP

  • SQLite

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein schadhafter SQL-Befehl kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: In der SQLite-Funktion bestand ein API-Problem. Dieses Problem wurde durch verbesserte Einschränkungen behoben.

    CVE-ID

    CVE-2015-7036: Peter Rutenbar Zusammenarbeit mit der HP Zero Day Initiative

  • Telefonie

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Schadhafte SIM-Karten können zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Analyse von SIM/UIM-Payloads kam es zu mehreren Probleme bei der Eingangsvalidierung. Diese Probleme wurden durch eine verbesserte Payloadüberprüfung behoben.

    CVE-ID

    CVE-2015-3726: Matt Spisak von Endgame

  • WebKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Der Besuch einer schadhaften Website durch Klicken auf einen Link kann zum UI-Spoofing führen

    Beschreibung: Bei der Verarbeitung des Attributs "rel" in Ankerobjekten bestand ein Problem. Zielobjekte konnten nicht autorisierten Zugriff auf Linkobjekte erhalten. Dieses Problem wurde durch eine verbesserte Linktypeinhaltung behoben.

    CVE-ID

    CVE-2015-1156: Zachary Durber von Moodle
  • WebKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Der Besuch einer schadhaften Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: In WebKit gab es mehrere Speicherfehler. Diese Probleme wurden durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2015-1152: Apple

    CVE-2015-1153: Apple

  • WebKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Der Besuch einer schadhaften Webseite kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: In SQLite Authorizer gab es ungenügende Vergleiche, wodurch der Aufruf willkürlicher SQL-Funktionen möglich war. Dieses Problem wurde durch eine verbesserte Autorisierungsprüfung behoben.

    CVE-ID

    CVE-2015-3659: Peter Rutenbar in Zusammenarbeit mit der Zero Day Initiative von HP

  • WebKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine schadhafte Website kann auf die WebSQL-Datenbanken anderer Websites zugreifen

    Beschreibung: Bei der Autorisierungsprüfung zur Umbenennung von WebSQL-Tabellen kam es zu einem Problem, durch das eine schadhafte Website Zugriff auf Datenbanken erhalten konnte, die zu anderen Websites gehören. Dieses Problem wurde durch eine verbesserte Autorisierungprüfung behoben.

    CVE-ID

    CVE-2015-3727: Peter Rutenbar in Zusammenarbeit mit der Zero Day Initiative von HP

  • WLAN-Verbindung

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: iOS-Geräte können sich automatisch mit nicht vertrauenswürdigen Zugangspunkten verbinden, die zwar eine bekannte ESSID angeben, aber einen herabgestuften Sicherheitstyp aufweisen

    Beschreibung: Bei der Bewertung der Angaben bekannter Zugangspunkte im WLAN-Manager gab es ungenügende Vergleiche. Dieses Problem wurde durch einen verbesserten Abgleich der Sicherheitsparameter behoben.

    CVE-ID

    CVE-2015-3728: Brian W. Gray von der Carnegie Mellon University, Craig Young von TripWire

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: