Informationen zum Sicherheitsinhalt von iOS 10

In diesem Dokument wird der Sicherheitsinhalt von iOS 10 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

iOS 10

Veröffentlicht am 13. September 2016

AppleMobileFileIntegrity

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein lokales Programm kann unter Umständen willkürlichen Code mit Systemrechten ausführen

Beschreibung: Bei der Task-Port-Vererbung lag ein Validierungsproblem vor. Dieses Problem wurde durch eine verbesserte Überprüfung der Prozessberechtigung und Team-ID behoben.

CVE-2016-4698: Pedro Vilaça

Eintrag am 20. September 2016 hinzugefügt

Assets

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann ein Gerät daran hindern, Softwareaktualisierungen zu laden

Beschreibung: In iOS-Updates bestand ein Problem, das zu Lücken im Schutz der Benutzerkommunikation führte. Dieses Problem wurde durch die Verwendung von HTTPS für Softwareaktualisierungen behoben.

CVE-2016-4741: Raul Siles von DinoSec

Audio

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein entfernter Angreifer kann willkürlichen Code ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park und Taekyoung Kwon vom Information Security Lab, Universität Yonsei

Eintrag am 20. September 2016 hinzugefügt

Richtlinie für vertrauenswürdige Zertifikate

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Aktualisierung der Richtlinie für vertrauenswürdige Zertifikate

Beschreibung: Die Richtlinie für vertrauenswürdige Zertifikate wurde aktualisiert. Eine vollständige Liste der Zertifikate kann unter https://support.apple.com/de-de/HT204132 eingesehen werden.

Eintrag am 20. September 2016 hinzugefügt

CFNetwork

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein lokaler Benutzer kann unter Umständen in Erfahrung bringen, welche Websites ein anderer Benutzer besucht hat

Beschreibung: Beim Löschen des lokalen Speichers bestand ein Problem. Dieses Problem wurde durch eine verbesserte Bereinigung des lokalen Speichers behoben.

CVE-2016-4707: Ein anonymer Forscher

Eintrag am 20. September 2016 hinzugefügt

CFNetwork

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Kompromittierung von Benutzerdaten führen

Beschreibung: Beim Analysieren des Set-Cookie-Header bestand ein Problem mit der Eingabeüberprüfung. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2016-4708: Dawid Czagan von Silesia Security Lab

Eintrag am 20. September 2016 hinzugefügt

CommonCrypto

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Durch eine Anwendung, die CCrypt verwendet, kann unter Umständen vertraulicher Klartext offengelegt werden, wenn der Eingabe- und Ausgabepuffer identisch sind

Beschreibung: In CoreCrypto bestand ein Problem mit der Eingabeüberprüfung. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2016-4711: Max Lohrmann

Eintrag am 20. September 2016 hinzugefügt

CoreCrypto

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein Programm kann willkürlichen Code ausführen

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2016-4712: Gergo Koteles

Eintrag am 20. September 2016 hinzugefügt

FontParser

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Preisgabe des Prozessspeichers führen

Beschreibung: Bei der Verarbeitung von Schriftdateien kam es zu einem Pufferüberlauf.

Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2016-4718: Apple

Eintrag am 20. September 2016 hinzugefügt

GeoServices

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Eine Anwendung kann ggf. vertrauliche Standortdaten lesen

Beschreibung: In PlaceData trat ein Berechtigungsfehler auf. Dieses Problem wurde durch eine verbesserte Berechtigungsüberprüfung behoben.

CVE-2016-4719: Razvan Deaconescu und Mihai Chiroiu von der Polytechnischen Universität Bukarest; Luke Deshotels und William Enck von der North Carolina State University; Lucas Vincenzo Davi und Ahmad-Reza Sadeghi von der TU Darmstadt

IDS – Konnektivität

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein Angreifer an einer privilegierten Netzwerkposition kann einen Denial-of-Service verursachen

Beschreibung: Bei der Verarbeitung der Anrufweiterleitung bestand eine Spoofing-Schwachstelle. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2016-4722: Martin Vigo (@martin_vigo) von salesforce.com

Eintrag am 20. September 2016 hinzugefügt

IOAcceleratorFamily

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit einem Rückverweis auf einen Nullzeiger wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2016-4724: Cererdlong, Eakerqiu von Team OverSky

Eintrag am 20. September 2016 hinzugefügt

IOAcceleratorFamily

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten kann Prozessspeicher offengelegt werden

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2016-4725: Rodger Combs von Plex, Inc.

Eintrag am 20. September 2016 hinzugefügt

IOAcceleratorFamily

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2016-4726: Ein anonymer Forscher

Eintrag am 20. September 2016 hinzugefügt

Kernel

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein lokales Programm kann unter Umständen auf Dateien mit Zugangsbeschränkung zugreifen

Beschreibung: Ein Parsing-Problem bei der Verarbeitung von Verzeichnispfaden wurde durch eine verbesserte Pfadüberprüfung behoben.

CVE-2016-4771: Balazs Bucsay, Forschungsdirektor bei MRG Effitas

Eintrag am 20. September 2016 hinzugefügt

Kernel

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein entfernter Angreifer kann einen Denial-of-Service-Angriff verursachen

Beschreibung: Ein Problem bei der Verarbeitung von Sperren wurde durch eine verbesserte Sperrenverarbeitung behoben.

CVE-2016-4772: Marc Heuse von mh-sec

Eintrag am 20. September 2016 hinzugefügt

Kernel

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein Programm kann das Layout des Kernelspeichers ermitteln

Beschreibung: Mehrere Probleme mit Lesevorgängen außerhalb der Speicherbegrenzungen führten dazu, dass Inhalte des Kernelspeichers preisgegeben wurden. Diese wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Eintrag am 20. September 2016 hinzugefügt

Kernel

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit einem nicht vertrauenswürdigen Zeiger-Rückverweis wurde durch Entfernen des betroffenen Codes behoben.

CVE-2016-4777: Lufeng Li vom Qihoo 360 Vulcan-Team

Eintrag am 20. September 2016 hinzugefügt

Kernel

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2016-4778: CESG

Eintrag am 20. September 2016 hinzugefügt

Tastaturen

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Autokorrekturvorschläge der Tastatur können ggf. vertrauliche Daten offenlegen

Beschreibung: Die iOS-Tastatur speicherte versehentlich vertrauliche Daten im Cachespeicher. Dieses Problem wurde durch verbesserte Heuristik behoben.

CVE-2016-4746: Antoine M aus Frankreich

libxml2

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Mehrere Probleme in libxml2 können schlimmstenfalls zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

Eintrag am 20. September 2016 hinzugefügt

libxslt

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2016-4738: Nick Wellnhofer

Eintrag am 20. September 2016 hinzugefügt

Mail

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein Angreifer mit privilegierter Netzwerkposition kann ggf. E-Mail-Anmeldedaten abfangen

Beschreibung: Bei der Verarbeitung von nicht vertrauenswürdigen Zertifikaten bestand ein Problem. Dieses Problem wurde durch das Beenden nicht vertrauenswürdiger Verbindungen behoben.

CVE-2016-4747: Dave Aitel

Nachrichten

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Auf einem Gerät, das nicht bei Nachrichten angemeldet war, können Nachrichten unter Umständen trotzdem abgerufen werden

Beschreibung: Bei der Verwendung von Handoff für Nachrichten trat ein Problem auf. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2016-4740: Step Wallace

UIKit drucken

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein nicht verschlüsseltes Dokument kann unter Umständen bei Verwendung der AirPrint-Vorschau in eine temporäre Datei geschrieben werden

Beschreibung: Bei der AirPrint-Vorschau bestand ein Problem. Dieses wurde durch eine verbesserte Umgebungssäuberung behoben.

CVE-2016-4749: Scott Alexander (@gooshy)

Eintrag am 12. September 2018 aktualisiert

S2 Kamera

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2016-4750: Jack Tang (@jacktang310) und Moony Li von Trend Micro in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 20. September 2016 hinzugefügt

Safari Reader

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Das Aktivieren der Funktion Safari Reader auf einer in böser Absicht erstellten Webseite kann zu universellem Cross-Site-Scripting führen

Beschreibung: Verschiedene Überprüfungsprobleme wurden durch eine verbesserte Eingabebereinigung behoben.

CVE-2016-4618: Erling Ellingsen

Eintrag am 20. September 2016 hinzugefügt und am 23. September 2016 aktualisiert.

Sandbox-Profile

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Eine in böser Absicht erstellte Anwendung kann unter Umständen den Empfänger einer Textnachricht ermitteln

Beschreibung: Im SMS-Entwurfsordner trat ein Problem mit der Zugriffskontrolle auf. Dieses Problem wurde durch die Unterbindung des Zugriffs der Apps auf die betroffenen Ordner behoben.

CVE-2016-4620: Razvan Deaconescu und Mihai Chiroiu von der Polytechnischen Universität Bukarest; Luke Deshotels und William Enck von der North Carolina State University; Lucas Vincenzo Davi und Ahmad-Reza Sadeghi von der TU Darmstadt

Sicherheit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen

Beschreibung: Bei signierten Images bestand ein Überprüfungsproblem. Dieses Problem wurde durch eine verbesserte Größenüberprüfung behoben.

CVE-2016-4753: Mark Mentovai von Google Inc.

Eintrag am 20. September 2016 hinzugefügt

Springboard

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Vertrauliche Daten könnten in Programm-Schnappschüssen preisgegeben werden, die im Task Switcher präsentiert werden

Beschreibung: In Springboard kam es zu einem Problem, bei dem zwischengespeicherte Schnappschüsse mit vertraulichen Daten im Task Switcher angezeigt wurden. Dieses Problem wurde durch die Anzeige aktualisierter Schnappschüsse behoben.

CVE-2016-7759: Fatma Yılmaz von Ptt Genel Müdürlüğü in Ankara

Eintrag am 17. Januar 2017 hinzugefügt

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Bei der Verarbeitung von Fehlerprototypen bestand ein Analyseproblem. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2016-4728: Daniel Divricean

Eintrag am 20. September 2016 hinzugefügt

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Durch den Besuch einer in böser Absicht erstellten Website können vertrauliche Daten offengelegt werden

Beschreibung: Bei der Verarbeitung der Location-Variable bestand ein Problem mit Berechtigungen. Dieses Problem wurde durch zusätzliche Eigentümerschaftsüberprüfungen behoben.

CVE-2016-4758: Masato Kinugawa von Cure53

Eintrag am 20. September 2016 hinzugefügt

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2016-4611: Apple

CVE-2016-4729: Apple

CVE-2016-4730: Apple

CVE-2016-4731: Apple

CVE-2016-4734: Natalie Silvanovich vom Google Project Zero

CVE-2016-4735: André Bargull

CVE-2016-4737: Apple

CVE-2016-4759: Tongbo Luo von Palo Alto Networks

CVE-2016-4762: Zheng Huang vom Baidu Security Lab

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 20. September 2016 hinzugefügt

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Eine schadhafte Website kann auf Nicht-HTTP-Dienste zugreifen

Beschreibung: Durch die Unterstützung von HTTP/0.9 in Safari wurden Cross-Protocol-Angriffe auf Nicht-HTTP-Dienste mit DNS-Rebinding ermöglicht. Dieses Problem wurde behoben, indem HTTP/0.9-Antworten auf Standard-Ports eingeschränkt wurden, und durch den Abbruch der Ressourcenladevorgänge, wenn das Dokument mit einer anderen HTTP-Protokollversion geladen wurde.

CVE-2016-4760: Jordan Milne

Eintrag am 20. September 2016 hinzugefügt

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Statusverwaltung behoben.

CVE-2016-4733: Natalie Silvanovich vom Google Project Zero

CVE-2016-4765: Apple

Eintrag am 20. September 2016 hinzugefügt

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein Angreifer mit einer privilegierten Netzwerkposition kann den Netzwerkverkehr zu Programmen, die WKWebView mit HTTPS verwenden, abfangen und ändern

Beschreibung: Bei der Verwendung von WKWebView bestand ein Problem mit der Zertifikatsüberprüfung. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2016-4763: Ein anonymer Forscher

Eintrag am 20. September 2016 hinzugefügt

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Statusverwaltung behoben.

CVE-2016-4764: Apple

Eintrag hinzugefügt am 3. November 2016

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: