Informationen zum Sicherheitsinhalt von iOS 10
In diesem Dokument wird der Sicherheitsinhalt von iOS 10 beschrieben.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.
Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
iOS 10
AppleMobileFileIntegrity
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Ein lokales Programm kann unter Umständen willkürlichen Code mit Systemrechten ausführen
Beschreibung: Bei der Task-Port-Vererbung lag ein Validierungsproblem vor. Dieses Problem wurde durch eine verbesserte Überprüfung der Prozessberechtigung und Team-ID behoben.
CVE-2016-4698: Pedro Vilaça
Assets
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann ein Gerät daran hindern, Softwareaktualisierungen zu laden
Beschreibung: In iOS-Updates bestand ein Problem, das zu Lücken im Schutz der Benutzerkommunikation führte. Dieses Problem wurde durch die Verwendung von HTTPS für Softwareaktualisierungen behoben.
CVE-2016-4741: Raul Siles von DinoSec
Audio
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Ein entfernter Angreifer kann willkürlichen Code ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park und Taekyoung Kwon vom Information Security Lab, Universität Yonsei
Richtlinie für vertrauenswürdige Zertifikate
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Aktualisierung der Richtlinie für vertrauenswürdige Zertifikate
Beschreibung: Die Richtlinie für vertrauenswürdige Zertifikate wurde aktualisiert. Eine vollständige Liste der Zertifikate kann unter https://support.apple.com/de-de/HT204132 eingesehen werden.
CFNetwork
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Ein lokaler Benutzer kann unter Umständen in Erfahrung bringen, welche Websites ein anderer Benutzer besucht hat
Beschreibung: Beim Löschen des lokalen Speichers bestand ein Problem. Dieses Problem wurde durch eine verbesserte Bereinigung des lokalen Speichers behoben.
CVE-2016-4707: Ein anonymer Forscher
CFNetwork
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Kompromittierung von Benutzerdaten führen
Beschreibung: Beim Analysieren des Set-Cookie-Header bestand ein Problem mit der Eingabeüberprüfung. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.
CVE-2016-4708: Dawid Czagan von Silesia Security Lab
CommonCrypto
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Durch eine Anwendung, die CCrypt verwendet, kann unter Umständen vertraulicher Klartext offengelegt werden, wenn der Eingabe- und Ausgabepuffer identisch sind
Beschreibung: In CoreCrypto bestand ein Problem mit der Eingabeüberprüfung. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2016-4711: Max Lohrmann
CoreCrypto
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Ein Programm kann willkürlichen Code ausführen
Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch Entfernen des angreifbaren Codes behoben.
CVE-2016-4712: Gergo Koteles
FontParser
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Preisgabe des Prozessspeichers führen
Beschreibung: Bei der Verarbeitung von Schriftdateien kam es zu einem Pufferüberlauf.
Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2016-4718: Apple
GeoServices
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Eine Anwendung kann ggf. vertrauliche Standortdaten lesen
Beschreibung: In PlaceData trat ein Berechtigungsfehler auf. Dieses Problem wurde durch eine verbesserte Berechtigungsüberprüfung behoben.
CVE-2016-4719: Razvan Deaconescu und Mihai Chiroiu von der Polytechnischen Universität Bukarest; Luke Deshotels und William Enck von der North Carolina State University; Lucas Vincenzo Davi und Ahmad-Reza Sadeghi von der TU Darmstadt
IDS – Konnektivität
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Ein Angreifer an einer privilegierten Netzwerkposition kann einen Denial-of-Service verursachen
Beschreibung: Bei der Verarbeitung der Anrufweiterleitung bestand eine Spoofing-Schwachstelle. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2016-4722: Martin Vigo (@martin_vigo) von salesforce.com
IOAcceleratorFamily
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem mit einem Rückverweis auf einen Nullzeiger wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2016-4724: Cererdlong, Eakerqiu von Team OverSky
IOAcceleratorFamily
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten kann Prozessspeicher offengelegt werden
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2016-4725: Rodger Combs von Plex, Inc.
IOAcceleratorFamily
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2016-4726: Ein anonymer Forscher
Kernel
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Ein lokales Programm kann unter Umständen auf Dateien mit Zugangsbeschränkung zugreifen
Beschreibung: Ein Parsing-Problem bei der Verarbeitung von Verzeichnispfaden wurde durch eine verbesserte Pfadüberprüfung behoben.
CVE-2016-4771: Balazs Bucsay, Forschungsdirektor bei MRG Effitas
Kernel
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Ein entfernter Angreifer kann einen Denial-of-Service-Angriff verursachen
Beschreibung: Ein Problem bei der Verarbeitung von Sperren wurde durch eine verbesserte Sperrenverarbeitung behoben.
CVE-2016-4772: Marc Heuse von mh-sec
Kernel
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Ein Programm kann das Layout des Kernelspeichers ermitteln
Beschreibung: Mehrere Probleme mit Lesevorgängen außerhalb der Speicherbegrenzungen führten dazu, dass Inhalte des Kernelspeichers preisgegeben wurden. Diese wurden durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2016-4773: Brandon Azad
CVE-2016-4774: Brandon Azad
CVE-2016-4776: Brandon Azad
Kernel
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem mit einem nicht vertrauenswürdigen Zeiger-Rückverweis wurde durch Entfernen des betroffenen Codes behoben.
CVE-2016-4777: Lufeng Li vom Qihoo 360 Vulcan-Team
Kernel
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2016-4778: CESG
Tastaturen
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Autokorrekturvorschläge der Tastatur können ggf. vertrauliche Daten offenlegen
Beschreibung: Die iOS-Tastatur speicherte versehentlich vertrauliche Daten im Cachespeicher. Dieses Problem wurde durch verbesserte Heuristik behoben.
CVE-2016-4746: Antoine M aus Frankreich
libxml2
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Mehrere Probleme in libxml2 können schlimmstenfalls zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2016-4658: Nick Wellnhofer
CVE-2016-5131: Nick Wellnhofer
libxslt
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2016-4738: Nick Wellnhofer
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Ein Angreifer mit privilegierter Netzwerkposition kann ggf. E-Mail-Anmeldedaten abfangen
Beschreibung: Bei der Verarbeitung von nicht vertrauenswürdigen Zertifikaten bestand ein Problem. Dieses Problem wurde durch das Beenden nicht vertrauenswürdiger Verbindungen behoben.
CVE-2016-4747: Dave Aitel
Nachrichten
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Auf einem Gerät, das nicht bei Nachrichten angemeldet war, können Nachrichten unter Umständen trotzdem abgerufen werden
Beschreibung: Bei der Verwendung von Handoff für Nachrichten trat ein Problem auf. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2016-4740: Step Wallace
UIKit drucken
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Ein nicht verschlüsseltes Dokument kann unter Umständen bei Verwendung der AirPrint-Vorschau in eine temporäre Datei geschrieben werden
Beschreibung: Bei der AirPrint-Vorschau bestand ein Problem. Dieses wurde durch eine verbesserte Umgebungssäuberung behoben.
CVE-2016-4749: Scott Alexander (@gooshy)
S2 Kamera
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2016-4750: Jack Tang (@jacktang310) und Moony Li von Trend Micro in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
Safari Reader
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Das Aktivieren der Funktion Safari Reader auf einer in böser Absicht erstellten Webseite kann zu universellem Cross-Site-Scripting führen
Beschreibung: Verschiedene Überprüfungsprobleme wurden durch eine verbesserte Eingabebereinigung behoben.
CVE-2016-4618: Erling Ellingsen
Sandbox-Profile
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Eine in böser Absicht erstellte Anwendung kann unter Umständen den Empfänger einer Textnachricht ermitteln
Beschreibung: Im SMS-Entwurfsordner trat ein Problem mit der Zugriffskontrolle auf. Dieses Problem wurde durch die Unterbindung des Zugriffs der Apps auf die betroffenen Ordner behoben.
CVE-2016-4620: Razvan Deaconescu und Mihai Chiroiu von der Polytechnischen Universität Bukarest; Luke Deshotels und William Enck von der North Carolina State University; Lucas Vincenzo Davi und Ahmad-Reza Sadeghi von der TU Darmstadt
Sicherheit
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen
Beschreibung: Bei signierten Images bestand ein Überprüfungsproblem. Dieses Problem wurde durch eine verbesserte Größenüberprüfung behoben.
CVE-2016-4753: Mark Mentovai von Google Inc.
Springboard
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Vertrauliche Daten könnten in Programm-Schnappschüssen preisgegeben werden, die im Task Switcher präsentiert werden
Beschreibung: In Springboard kam es zu einem Problem, bei dem zwischengespeicherte Schnappschüsse mit vertraulichen Daten im Task Switcher angezeigt wurden. Dieses Problem wurde durch die Anzeige aktualisierter Schnappschüsse behoben.
CVE-2016-7759: Fatma Yılmaz von Ptt Genel Müdürlüğü in Ankara
WebKit
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Bei der Verarbeitung von Fehlerprototypen bestand ein Analyseproblem. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.
CVE-2016-4728: Daniel Divricean
WebKit
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Durch den Besuch einer in böser Absicht erstellten Website können vertrauliche Daten offengelegt werden
Beschreibung: Bei der Verarbeitung der Location-Variable bestand ein Problem mit Berechtigungen. Dieses Problem wurde durch zusätzliche Eigentümerschaftsüberprüfungen behoben.
CVE-2016-4758: Masato Kinugawa von Cure53
WebKit
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2016-4611: Apple
CVE-2016-4729: Apple
CVE-2016-4730: Apple
CVE-2016-4731: Apple
CVE-2016-4734: Natalie Silvanovich vom Google Project Zero
CVE-2016-4735: André Bargull
CVE-2016-4737: Apple
CVE-2016-4759: Tongbo Luo von Palo Alto Networks
CVE-2016-4762: Zheng Huang vom Baidu Security Lab
CVE-2016-4766: Apple
CVE-2016-4767: Apple
CVE-2016-4768: ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
WebKit
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Eine schadhafte Website kann auf Nicht-HTTP-Dienste zugreifen
Beschreibung: Durch die Unterstützung von HTTP/0.9 in Safari wurden Cross-Protocol-Angriffe auf Nicht-HTTP-Dienste mit DNS-Rebinding ermöglicht. Dieses Problem wurde behoben, indem HTTP/0.9-Antworten auf Standard-Ports eingeschränkt wurden, und durch den Abbruch der Ressourcenladevorgänge, wenn das Dokument mit einer anderen HTTP-Protokollversion geladen wurde.
CVE-2016-4760: Jordan Milne
WebKit
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Statusverwaltung behoben.
CVE-2016-4733: Natalie Silvanovich vom Google Project Zero
CVE-2016-4765: Apple
WebKit
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Ein Angreifer mit einer privilegierten Netzwerkposition kann den Netzwerkverkehr zu Programmen, die WKWebView mit HTTPS verwenden, abfangen und ändern
Beschreibung: Bei der Verwendung von WKWebView bestand ein Problem mit der Zertifikatsüberprüfung. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.
CVE-2016-4763: Ein anonymer Forscher
WebKit
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Statusverwaltung behoben.
CVE-2016-4764: Apple
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.