Tietoja iOS 10:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan iOS 10:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
iOS 10
AppleMobileFileIntegrity
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Paikallinen ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Tehtäväportin periytymiskäytännössä oli tarkistusongelma. Ongelma on ratkaistu parantamalla prosessin valtuutuksen ja ryhmätunnuksen tarkistusta.
CVE-2016-4698: Pedro Vilaça
Resurssit
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Oikeudet omaavassa verkkoasemassa ollut hyökkääjä saattoi pystyä estämään laitetta vastaanottamasta ohjelmistopäivityksiä.
Kuvaus: iOS-päivityksissä oli ongelma, jonka vuoksi käyttäjän tietoliikennettä ei suojattu oikein. Ongelma korjattiin ottamalla käyttöön ohjelmistopäivityksissä HTTPS-protokolla.
CVE-2016-4741: Raul Siles (DinoSec)
Ääni
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Etähyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park, ja Taekyoung Kwon (Information Security Lab), Yonsei University
Varmenteiden luottamuskäytäntö
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Varmenteiden luottamuskäytäntö on päivitetty.
Kuvaus: Varmenteiden luottamuskäytäntö on päivitetty. Luettelo varmenteista on osoitteessa https://support.apple.com/fi-fi/HT204132.
CFNetwork
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Paikallinen käyttäjä saattoi löytää verkkosivustot, joilla käyttäjä oli vieraillut.
Kuvaus: Paikallisen tallennustilan poistamisessa oli ongelma. Ongelma on ratkaistu parantamalla paikallisen tallennuksen puhdistusta.
CVE-2016-4707: nimetön tutkija
CFNetwork
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi vaarantaa käyttäjätiedot.
Kuvaus: Set-cookie-otsakkeen jäsennyksen aikana esiintyi annettujen tietojen tarkistusongelma. Ongelma on ratkaistu parantamalla varmennuksen tarkistamista.
CVE-2016-4708: Dawid Czagan (Silesia Security Lab)
CommonCrypto
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: CCrypt-työkalua käyttävä ohjelma saattoi paljastaa arkaluontoisia, salaamattomassa muodossa olevia tietoja, jos tuotos- ja syöttöpuskurit olivat samat.
Kuvaus: Corecryptossa oli annettujen tietojen tarkistusongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2016-4711: Max Lohrmann
CoreCrypto
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu poistamalla haavoittuva koodi.
CVE-2016-4712: Gergo Koteles
FontParser
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: Fonttitiedostojen käsittelyssä oli puskurin ylivuoto.
Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-2016-4718: Apple
Paikannuspalvelut
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: PlaceData-paikkatiedoissa oli käyttöoikeusongelma. Ongelma on ratkaistu parantamalla käyttöoikeuden tarkistamista.
CVE-2016-4719: Razvan Deaconescu, Mihai Chiroiu (Universitatea Politehnica din Bucuresti); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
IDS – yhdistettävyys
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: Kutsunvälityksen käsittelyssä oli väärennysongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2016-4722: Martin Vigo (@martin_vigo) (salesforce.com)
IOAcceleratorFamily
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Nollaosoittimen epäviittaus korjattiin annettujen tietojen parannetulla tarkistuksella.
CVE-2016-4724: Cererdlong, Eakerqiu (Team OverSky)
IOAcceleratorFamily
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa prosessimuistin paljastumiseen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2016-4725: Rodger Combs – Plex, Inc.
IOAcceleratorFamily
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2016-4726: nimetön tutkija
Kernel
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Paikallinen ohjelma saattoi pystyä käyttämään rajoitettuja tiedostoja.
Kuvaus: Hakemistopolkujen käsittelyn jäsentämisongelma on ratkaistu parantamalla polkujen tarkistusta.
CVE-2016-4771: Balazs Bucsay, tutkimusjohtaja (MRG Effitas)
Kernel
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: Lukituksen käsittelyn ongelma on ratkaistu parantamalla lukituksen käsittelyä.
CVE-2016-4772: Marc Heuse (mh-sec)
Kernel
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Ohjelma saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: Useat rajojen ulkopuolisen lukemisen ongelmat saattoivat johtaa kernel-muistin paljastumiseen. Ongelmat on ratkaistu parantamalla annettujen tietojen tarkistusta.
CVE-2016-4773: Brandon Azad
CVE-2016-4774: Brandon Azad
CVE-2016-4776: Brandon Azad
Kernel
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Ei-luotetun osoittimen epäviittaus ratkaistiin poistamalla kyseinen koodi.
CVE-2016-4777: Lufeng Li (Qihoo 360 Vulcan Team)
Kernel
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.
CVE-2016-4778: CESG
Näppäimistöt
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Näppäimistön automaattisen korjauksen ehdotukset saattoivat paljastaa arkaluonteisia tietoja.
Kuvaus: iOS-näppäimistö tallensi tahattomasti arkaluonteisia tietoja välimuistiin. Ongelma on ratkaistu parantamalla heuristiikkaa.
CVE-2016-4746: Antoine M (France)
libxml2
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Libxml2:ssa oli useita ongelmia, joista merkittävin saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.
CVE-2016-4658: Nick Wellnhofer
CVE-2016-5131: Nick Wellnhofer
libxslt
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2016-4738: Nick Wellnhofer
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Oikeudet omaavassa verkkoasemassa ollut hyökkääjä saattoi pystyä sieppaamaan postitunnistetiedot
Kuvaus: Ei-luotettujen varmenteiden käsittelyssä oli ongelma. Ongelma korjattiin päättämällä yhteydet, joihin ei luoteta.
CVE-2016-4747: Dave Aitel
Viestit
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Viestit voivat olla näkyvissä laitteessa, jossa Viestit-ohjelmaan ei ole kirjauduttu.
Kuvaus: Handoffin käytössä Viestit-ohjelman kanssa oli ongelma. Ongelma korjattiin parantamalla tilahallintaa.
CVE-2016-4740: Step Wallace
Tulostamisen UIKit
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Salaamaton dokumentti saatetaan kirjoittaa tilapäiseen tiedostoon, kun käytetään AirPrintin esikatselua.
Kuvaus: AirPrint-esikatselussa oli ongelma. Ongelma on ratkaistu parantamalla ympäristön siivoamista.
CVE-2016-4749: Scott Alexander (@gooshy)
S2-kamera
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2016-4750: Trend Micron Zero Day Initiativen parissa työskentelevä Jack Tang (@jacktang310) ja Moony Li (Trend Micro)
Safari-lukija
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Safari-lukijan käyttöönotto haitallisella verkkosivulla saattoi johtaa yleiseen sivustojenväliseen komentosarjahyökkäykseen.
Kuvaus: Useita validointiongelmia korjattiin parantamalla annettujen tietojen puhdistamista.
CVE-2016-4618: Erling Ellingsen
Eristysprofiilit
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Haitallinen ohjelma saattoi pystyä päättelemään, kenelle käyttäjä lähettää tekstiviestejä.
Kuvaus: Tekstiviestiluonnosten hakemistoissa oli käyttöoikeusongelma. Se korjattiin estämällä ohjelmia ilmoittamasta kyseisiä hakemistoja.
CVE-2016-4620: Razvan Deaconescu, Mihai Chiroiu (Universitatea Politehnica din Bucuresti); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
Suojaus
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Allekirjoitetuissa levytiedostoissa esiintyi tarkistusongelma. Ongelma on ratkaistu parantamalla koon tarkistusta.
CVE-2016-4753: Google Inc:n Mark Mentovai
Springboard
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Arkaluontoisia tietoja saattoi paljastua Task Switcherissä esitetyissä ohjelmatilannevedoksissa.
Kuvaus: Springboardissa oli ongelma, jonka vuoksi arkaluontoisia tietoja sisältäviä, välimuistiin tallennettuja tilannevedoksia näytettiin Task Switcherissä. Ongelma korjattiin näyttämällä päivitettyjä tilannevedoksia.
CVE-2016-7759: Fatma Yılmaz (Ptt Genel Müdürlüğü), Ankara
WebKit
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Prototyyppivirheiden käsittelyssä oli jäsennysvirhe. Ongelma on ratkaistu parantamalla tarkistusta.
CVE-2016-4728: Daniel Divricean
WebKit
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Haitallisella verkkosivustolla käynti saattoi vuotaa arkaluontoisia tietoja.
Kuvaus: Sijaintimuuttujan käsittelyssä oli käyttöoikeusongelma. Se on korjattu omistajuuden lisätarkistuksilla.
CVE-2016-4758: Masato Kinugawa (Cure53)
WebKit
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.
CVE-2016-4611: Apple
CVE-2016-4729: Apple
CVE-2016-4730: Apple
CVE-2016-4731: Apple
CVE-2016-4734: Natalie Silvanovich (Google Project Zero)
CVE-2016-4735: André Bargull
CVE-2016-4737: Apple
CVE-2016-4759: Tongbo Luo (Palo Alto Networks)
CVE-2016-4762: Zheng Huang (Baidu Security Lab)
CVE-2016-4766: Apple
CVE-2016-4767: Apple
CVE-2016-4768: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön henkilö
WebKit
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Haitallinen verkkosivusto saattaa käyttää muita kuin HTTP-yhteyspalveluja.
Kuvaus: Safarin HTTP/0.9-tuki salli protokollien välisen muiden kuin HTTP-yhteyspalvelujen hyväksikäytön DNS rebinding -hyökkäystekniikkaa käyttämällä. Ongelma on ratkaistu rajoittamalla HTTP/0.9-vastaukset oletusportteihin ja peruuttamalla resurssien lataamisia, jos asiakirja oli ladattu eri HTTP-protokollaversiolla.
CVE-2016-4760: Jordan Milne
WebKit
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla tilan hallintaa.
CVE-2016-4733: Natalie Silvanovich (Google Project Zero)
CVE-2016-4765: Apple
WebKit
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Etuoikeutetussa asemassa oleva hyökkääjä voi siepata ja ohjata verkon liikennettä sovelluksiin, jotka käyttävät WKWebView:tä HTTPS-yhteydellä.
Kuvaus: WKWebView:n käsittelyssä oli varmenteiden tarkistamisongelma. Ongelma on ratkaistu parantamalla validointia.
CVE-2016-4763: nimetön tutkija
WebKit
Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla tilan hallintaa.
CVE-2016-4764: Apple
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.