Tietoja iOS 9:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan iOS 9:n turvallisuussisällöstä.
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuus -sivulla.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on Applen suojauspäivitykset -sivulla.
iOS 9
Apple Pay
Saatavuus: iPhone 6 ja iPhone 6 Plus.
Vaikutus: Jotkin kortit saattoivat sallia päätteen hakea rajoitettuja viimeaikaisia maksutapahtumatietoja maksua suoritettaessa.
Kuvaus: Tapahtumalokitoiminto oli käytössä joissakin määrityksissä. Ongelma on ratkaistu poistamalla tapahtumalokitoiminto. Tämä ongelma ei koskenut iPad-laitteita.
CVE-ID
CVE-2015-5916
AppleKeyStore
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Paikallinen hyökkääjä saattoi pystyä nollaamaan epäonnistuneet pääsykoodin antamisyritykset iOS-varmuuskopion avulla.
Kuvaus: Epäonnistuneiden pääsykoodin antamisyritysten nollaamisessa iOS-laitteen varmuuskopion avulla oli ongelma. Ongelma on ratkaistu parantamalla epäonnistuneiden pääsykoodin antamisyritysten logiikkaa.
CVE-ID
CVE-2015-5850: nimetön tutkija
App Store
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallisen ITMS-linkin klikkaaminen saattoi aiheuttaa palveluneston yrityksen allekirjoittamassa ohjelmassa.
Kuvaus: Asennuksessa ITMS-linkkien kautta oli ongelma. Ongelma on ratkaistu lisäämällä asennuksen vahvistusta.
CVE-ID
CVE-2015-5856: FireEye Inc.:n Zhaofeng Chen, Hui Xue ja Tao (Lenx) Wei
Ääni
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallisen äänitiedoston toistaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen.
Kuvaus: Äänitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-ID
CVE-2015-5862: Yonsei-yliopiston (Soul, Etelä-Korea) Information Security Labin YoungJin Yoon (apuna professori Taekyoung Kwon)
Varmenteiden luottamuskäytäntö
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Varmenteiden luottamuskäytäntö on päivitetty.
Kuvaus: Varmenteiden luottamuskäytäntö on päivitetty. Luettelo varmenteista on osoitteessa https://support.apple.com/fi-fi/HT204132.
CFNetwork
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi
Vaikutus: Haitallinen URL-osoite saattoi pystyä ohittamaan HSTS:n ja vuotamaan arkaluontoisia tietoja.
Kuvaus: HSTS:n käsittelyssä oli URL-osoitteen jäsentämishaavoittuvuus. Ongelma on ratkaistu parantamalla URL-osoitteiden jäsentämistä.
CVE-ID
CVE-2015-5858: Tsinghuan yliopiston Blue Lotus Teamin Xiaofeng Zheng
CFNetwork
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallinen sivusto saattoi pystyä seuraamaan käyttäjän toimia Safarin yksityisessä selaustilassa.
Kuvaus: HSTS-tilan käsittelyssä oli ongelma Safarin yksityisessä selaustilassa. Ongelma on ratkaistu parantamalla tilan käsittelyä.
CVE-ID
CVE-2015-5860: RadicalResearch Ltd:n Sam Greenhalgh
CFNetwork
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, pystyi lukemaan Applen ohjelmista peräisin olevia välimuistitietoja.
Kuvaus: Välimuistitiedot oli salattu avaimella, joka oli suojattu vain laitteiston UID-tunnuksella. Ongelma on ratkaistu salaamalla välimuistitiedot avaimella, joka on suojattu laitteiston UID-tunnuksella ja käyttäjän pääsykoodilla.
CVE-ID
CVE-2015-5898: NESO Security Labsin Andreas Kurtz
CFNetwork Cookies
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä pystyi seuraamaan käyttäjän toimintaa.
Kuvaus: Ylimmän tason domainien käsittelyssä oli domainien välinen evästeongelma. Ongelma on ratkaistu parantamalla evästeiden luomisen rajoituksia.
CVE-ID
CVE-2015-5885: Tsinghuan yliopiston Blue Lotus Teamin Xiaofeng Zheng
CFNetwork Cookies
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Hyökkääjä saattoi pystyä luomaan verkkosivustolle siihen kuulumattomia evästeitä.
Kuvaus: WebKit hyväksyi useiden evästeiden asettamisen document.cookie-APIssa. Ongelma on ratkaistu parantamalla jäsentämistä.
CVE-ID
CVE-2015-3801: Facebookin Erling Ellingsen
CFNetwork FTPProtocol
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitalliset FTP-palvelimet saattoivat saada asiakkaan suorittamaan tiedustelua muissa palvelimissa.
Kuvaus: FTP-pakettien käsittelyssä oli ongelma käytettäessä PASV-komentoa. Ongelma on ratkaistu parantamalla validointia.
CVE-ID
CVE-2015-5912: Amit Klein
CFNetwork HTTPProtocol
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä kaappaamaan verkkoliikennettä.
Kuvaus: Esiladatun HSTS-luettelon kohtien käsittelyssä oli ongelma Safarin yksityisessä selaustilassa. Ongelma on ratkaistu parantamalla tilan käsittelyä.
CVE-ID
CVE-2015-5859: Luxemburgin yliopiston Rosario Giustolisi
CFNetwork-välipalvelimet
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Yhteyden muodostaminen haitalliseen verkkovälipalvelimeen saattoi asettaa verkkosivustolle haitallisia evästeitä.
Kuvaus: Välipalvelimen yhdistämisvastausten käsittelyssä oli ongelma. Ongelma on ratkaistu poistamalla set-cookie-otsake yhdistämisvastauksen jäsennyksen aikana.
CVE-ID
CVE-2015-5841: Tsinghuan yliopiston Blue Lotus Teamin Xiaofeng Zheng
CFNetwork SSL
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä kaappaamaan SSL/TLS-yhteyksiä.
Kuvaus: NSURLissa oli varmenteen validointiongelma, kun varmenne vaihtui. Ongelma on ratkaistu parantamalla varmenteiden validointia.
CVE-ID
CVE-2015-5824: Omni Groupin Timothy J. Wood
CFNetwork SSL
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Hyökkääjä saattoi pystyä purkamaan SSL:llä suojattujen tietojen salauksen.
Kuvaus: RC4:n luottamuksellisuuteen kohdistuu tunnettuja hyökkäyksiä. Hyökkääjä saattoi pakottaa RC4:n käytön, vaikka palvelin suosi parempaa salausmenetelmää, estämällä TLS 1.0:aa ja sitä uudempaa TLS-versiota käyttävät yhteydet, kunnes CFNetwork kokeili SSL 3.0:aa, joka mahdollistaa vain RC4:n. Ongelma on ratkaistu poistamalla mahdollisuus käyttää SSL 3.0:aa varamenetelmänä.
CoreAnimation
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haittaohjelma saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.
Kuvaus: Ohjelmat saattoivat päästä näytön ruutupuskuriin ollessaan taustalla. Ongelma on ratkaistu parantamalla käytönvalvontaa IOSurfacesissa.
CVE-ID
CVE-2015-5880: School of Information Systems Singapore Management Universityn Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao ja Yingjiu Li sekä Cryptography and Security Department Institute for Infocomm Researchin Feng Bao ja Jianying Zhou
CoreCrypto
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Hyökkääjä saattoi pystyä selvittämään yksityisen avaimen.
Kuvaus: Hyökkääjä saattoi pystyä selvittämään yksityisen RSA-avaimen tarkkailemalla monia allekirjoittamisen tai salauksen purkamisen yrityksiä. Ongelma on ratkaistu käyttämällä parempia salausalgoritmeja.
CoreText
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Fonttitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-ID
CVE-2015-5874: John Villamil (@day6reak) ja Yahoo Pentest Team
Data Detectors Engine
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallisen tekstitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Tekstitiedostojen käsittelyssä oli muistin vioittumisongelmia. Ongelmat on ratkaistu parannetulla rajojen tarkistamisella.
CVE-ID
CVE-2015-5829: Safeye Teamin (www.safeye.org) M1x7e1
Dev Tools
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: dyldissä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5876: grayhashin beist
Levykuvat
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: DiskImagesissa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5847: Filippo Bigarella ja Luca Todesco
dyld
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Ohjelma saattoi pystyä ohittamaan koodin allekirjoituksen.
Kuvaus: Suoritustiedostojen koodiallekirjoituksen validoinnissa oli ongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2015-5839: @PanguTeam ja TaiG Jailbreak Team
Game Center
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallinen Game Center -ohjelma saattoi saada pelaajan sähköpostiosoitteen.
Kuvaus: Game Centerin tavassa käsitellä pelaajan sähköpostiosoitetta oli ongelma. Ongelma on ratkaistu parantamalla käyttörajoituksia.
CVE-ID
CVE-2015-5855: Nasser Alnasser
ICU
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: ICU:ssa oli useita haavoittuvuuksia.
Kuvaus: ICU 53.1.0:aa edeltävissä versioissa oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä ICU versioon 55.1.
CVE-ID
CVE-2014-8146: Marc Deslauriers
CVE-2014-8147: Marc Deslauriers
CVE-2015-5922: Google Project Zeron Mark Brand
IOAcceleratorFamily
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: Kernel-muistin sisältö saattoi paljastua ongelman vuoksi. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2015-5834: Alibaba Mobile Security Teamin Cererdlong
IOAcceleratorFamily
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IOAcceleratorFamilyssa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5848: Filippo Bigarella
IOHIDFamily
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IOHIDFamilyssa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5867: Trend Micron moony li
IOKit
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Kernelissä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5844: Filippo Bigarella
CVE-2015-5845: Filippo Bigarella
CVE-2015-5846: Filippo Bigarella
IOMobileFrameBuffer
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IOMobileFrameBufferissa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5843: Filippo Bigarella
IOStorageFamily
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Paikallinen hyökkääjä saattoi pystyä lukemaan kernel-muistia.
Kuvaus: Kernelissä oli muistin alustamisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5863: IOActiven Ilja van Sprundel
iTunes Store
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Apple ID -tunnistetiedot saattoivat jäädä avainnippuun uloskirjautumisen jälkeen.
Kuvaus: Avainnipun poistamisessa oli ongelma. Ongelma on ratkaistu parantamalla tilin puhdistusta.
CVE-ID
CVE-2015-5832: Check Point Software Technologiesin Kasif Dekel
JavaScriptCore
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: WebKitissä oli muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5791: Apple
CVE-2015-5793: Apple
CVE-2015-5814: Apple
CVE-2015-5816: Apple
CVE-2015-5822: Googlen Mark S. Miller
CVE-2015-5823: Apple
Kernel
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.
Kuvaus: Kernelissä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5868: Alibaba Mobile Security Teamin Cererdlong
CVE-2015-5896: m00nbsd:n Maxime Villard
CVE-2015-5903: CESG
Kohta päivitetty 21.12.2016
Kernel
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Paikallinen hyökkääjä saattoi hallita pinoevästeiden arvoa.
Kuvaus: Käyttäjätilan pinoevästeiden luomisessa oli useita heikkouksia. Ongelma on ratkaistu parantamalla pinoevästeiden luomista.
CVE-ID
CVE-2013-3951: Stefan Esser
Kernel
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Paikallinen prosessi pystyi muokkaamaan muita prosesseja ilman oikeustarkistuksia.
Kuvaus: processor_set_tasks-APIa käyttävät root-prosessit pystyivät hakemaan muiden prosessien tehtäväportit. Ongelma on ratkaistu lisäämällä oikeustarkistuksia.
CVE-ID
CVE-2015-5882: Ming-chieh Panin ja Sung-ting Tsain alkuperäistutkimukseen työnsä perustanut Pedro Vilaça sekä Jonathan Levin
Kernel
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Hyökkääjä saattoi pystyä käynnistämään palvelunestohyökkäyksiä kohdistettuihin TCP-yhteyksiin tietämättä oikeaa järjestysnumeroa.
Kuvaus: xnu:n tavassa validoida TCP-pakettiotsakkeet oli ongelma. Ongelma on ratkaistu parantamalla TCP-pakettiotsakkeiden validointia.
CVE-ID
CVE-2015-5879: Jonathan Looney
Kernel
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi
Vaikutus: Paikallisessa lähiverkkosegmentissä ollut hyökkääjä saattoi poistaa IPv6-reitityksen käytöstä.
Kuvaus: IPv6-reititysmainosten käsittelyssä oli riittämättömän validoinnin ongelma, minkä vuoksi hyökkääjä pystyi asettamaan siirräntävälille mielivaltaisen arvon. Ongelma on ratkaistu ottamalla käyttöön pienimmän sallitun siirräntävälin rajoitus.
CVE-ID
CVE-2015-5869: Dennis Spindel Ljungmark
Kernel
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Paikallinen käyttäjä saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: XNU:ssa oli ongelma, joka aiheutti kernel-muistin sisällön paljastumisen. Ongelma on ratkaistu parantamalla kernel-muistin rakenteiden alustamista.
CVE-ID
CVE-2015-5842: grayhashin beist
Kernel
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän palveluneston.
Kuvaus: HFS-aseman tuomisessa näkyviin oli ongelma. Ongelma on ratkaistu lisäämällä validointitarkistuksia.
CVE-ID
CVE-2015-5748: m00nbsd:n Maxime Villard
libc
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.
Kuvaus: fflush-toiminnossa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2014-8611: Norse Corporationin Adrian Chadd ja Alfred Perlstein
libpthread
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.
Kuvaus: Kernelissä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5899: Qihoo 360 Vulcan Teamin Lufeng Li
Mail
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Hyökkääjä pystyi lähettämään sähköpostiviestin, joka näytti olevan peräisin vastaanottajan osoitekirjassa olevalta yhteystiedolta.
Kuvaus: Lähettäjän osoitteen käsittelyssä oli ongelma. Ongelma on ratkaistu parantamalla validointia.
CVE-ID
CVE-2015-5857: salesforce.comin Emre Saglam
Multipeer-yhteydet
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Paikallinen hyökkääjä saattoi pystyä tarkkailemaan suojaamattomia multipeer-tietoja.
Kuvaus: Convenience-alustajan käsittelyssä oli ongelma, jonka vuoksi salattu istunto pystyttiin aktiivisesti heikentämään salaamattomaksi. Ongelma on ratkaistu muuttamalla convenience-alustaja vaatimaan salausta.
CVE-ID
CVE-2015-5851: Data Theoremin Alban Diquet (@nabla_c0d3)
NetworkExtension
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: Kernelissä ollut alustamattoman muistin ongelma aiheutti kernel-muistin sisällön paljastumisen. Ongelma on ratkaistu muistin alustamisella.
CVE-ID
CVE-2015-5831: m00nbsd:n Maxime Villard
OpenSSL
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Useita haavoittuvuuksia OpenSSL:ssä.
Kuvaus: OpenSSL 0.9.8zg:tä edeltävissä versioissa oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä OpenSSL versioon 0.9.8zg.
CVE-ID
CVE-2015-0286
CVE-2015-0287
PluginKit
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallinen yritysohjelma pystyi asentamaan laajennuksia ennen kuin ohjelmaan oli luotettu.
Kuvaus: Laajennusten validoinnissa asennuksen aikana oli ongelma. Ongelma on ratkaistu parantamalla ohjelman tarkistusta.
CVE-ID
CVE-2015-5837: FireEye Inc.:n Zhaofeng Chen, Hui Xue ja Tao (Lenx) Wei
removefile
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallisten tietojen käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen.
Kuvaus: checkint-jakolaskurutiineissa oli ylivuotovika. Ongelma on ratkaistu parantamalla jakolaskurutiineja.
CVE-ID
CVE-2015-5840: nimetön tutkija
Safari
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan lukitussa iOS-laitteessa olevia Safarin kirjanmerkkejä ilman pääsykoodia.
Kuvaus: Safarin kirjanmerkkitiedot oli salattu avaimella, joka oli suojattu vain laitteiston UID-tunnuksella. Ongelma on ratkaistu salaamalla Safarin kirjanmerkkitiedot avaimella, joka on suojattu laitteiston UID-tunnuksella ja käyttäjän pääsykoodilla.
CVE-ID
CVE-2015-7118: Jonathan Zdziarski
Kohta päivitetty 21.12.2016
Safari
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa käyttöliittymän väärentämisen.
Kuvaus: Verkkosivusto saattoi pystyä näyttämään sisältöä toisen verkkosivuston URL-osoitteella ongelman vuoksi. Ongelma on ratkaistu parantamalla URL-osoitteiden käsittelyä.
CVE-ID
CVE-2015-5904: Facebookin Erling Ellingsen sekä Łukasz Pilorz
Safari
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa käyttöliittymän väärentämisen.
Kuvaus: Siirtyminen haitalliseen verkkosivustoon, jossa oli vääränmuotoinen ikkunan avaaja, saattoi mahdollistaa mielivaltaisten URL-osoitteiden näyttämisen. Ongelma on ratkaistu parantamalla ikkunan avaajien käsittelyä.
CVE-ID
CVE-2015-5905: keitahaga.comin Keita Haga
Safari
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Asiakasvarmenteita käyttävät haitalliset verkkosivustot saattoivat jäljittää käyttäjiä.
Kuvaus: Safarin tavassa yhteensovittaa asiakasvarmenne SSL-todennusta varten oli ongelma. Ongelma on ratkaistu parantamalla kelvollisten asiakasvarmenteiden yhteensovittamista.
CVE-ID
CVE-2015-1129: Fluid Operations AG:n Stefan Kraus ja Whatever s.a:n Sylvain Munaut
Safari
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa käyttöliittymän väärentämisen.
Kuvaus: Käyttöliittymässä oli useita ristiriitaisuuksia, joiden vuoksi haitallinen verkkosivusto saattoi pystyä näyttämään mielivaltaisen URL-osoitteen. Ongelmat on ratkaistu parantamalla URL-osoitteiden näyttölogiikkaa.
CVE-ID
CVE-2015-5764: Adoben Antonio Sanso (@asanso)
CVE-2015-5765: Ron Masas
CVE-2015-5767: Krystian Kloskowski Secunian kautta sekä Masato Kinugawa
Safarin turvallinen selaus
iPhone 4s ja uudemmat, iPod touch (5. sukupolvi ja uudemmat) sekä iPad 2 ja uudemmat
Vaikutus: Haitalliseksi tiedetyn verkkosivuston IP-osoitteeseen siirtyminen ei välttämättä aktivoinut suojausvaroitusta.
Kuvaus: Safarin turvallinen selaus -ominaisuus ei varoittanut käyttäjää, kun hän siirtyi haitalliseksi tiedettyyn verkkosivustoon käyttämällä sen IP-osoitetta. Ongelma on ratkaistu parantamalla haitallisten sivustojen tunnistamista.
TagsDockin Rahul M
Suojaus
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haittaohjelma saattoi saada haltuunsa ohjelmien välistä viestintää.
Kuvaus: Haittaohjelma saattoi saada haltuunsa ohjelmien välistä URL-malliviestintää ongelman vuoksi. Ongelmaa on lievennetty näyttämällä valintaikkuna, kun URL-mallia käytetään ensimmäisen kerran.
CVE-ID
CVE-2015-5835: FiftyTwoDegreesNorth B.V:n Teun van Run, Indianan yliopiston XiaoFeng Wang ja Luyi Xing, Pekingin yliopiston Tongxin Li ja Tsinghuan yliopiston Xiaolong Bai
Siri
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Henkilö, jolla oli iOS-laite hallussaan, saattoi lukea Sirin avulla sellaista sisältöä koskevia ilmoituksia, jota ei oltu määritetty näytettäväksi lukitulla näytöllä.
Kuvaus: Kun Sirille esitettiin pyyntö, palvelin ei tarkistanut asiakaspuolen rajoituksia. Ongelma on ratkaistu parantamalla rajoitusten tarkistamista.
CVE-ID
CVE-2015-5892: Robert S Mozayeni ja Joshua Donvito
SpringBoard
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, pystyi vastaamaan ääniviestiin lukitulta näytöltä, kun viestien esikatselut lukitulta näytöltä olivat pois käytöstä.
Kuvaus: Käyttäjät pystyivät vastaamaan ääniviesteihin lukitun näytön ongelman vuoksi, vaikka viestien esikatselut olivat poissa käytöstä. Ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-ID
CVE-2015-5861: Meridian Appsin Daniel Miedema
SpringBoard
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haittaohjelma saattoi pystyä jäljittelemään toisen ohjelman valintaikkunoita.
Kuvaus: Etuoikeutetuissa API-kutsuissa oli käyttöoikeusongelma. Ongelma on ratkaistu lisäämällä rajoituksia.
CVE-ID
CVE-2015-5838: Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei ja John C.S. Lui
SQLite
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: SQLite 3.8.5:ssä oli useita haavoittuvuuksia.
Kuvaus: SQLite 3.8.5:ssä oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä SQLite versioon 3.8.10.2.
CVE-ID
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
tidy
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Tidyssa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-ID
CVE-2015-5522: NULLGroup.comin Fernando Muñoz
CVE-2015-5523: NULLGroup.comin Fernando Muñoz
WebKit
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Objektiviitteitä saatettiin vuotaa eristettyjen alkuperien välillä mukautetuissa tapahtumissa, viestitapahtumissa ja ponnahdustilatapahtumissa.
Kuvaus: Eri alkuperien välinen eristysraja rikkoutui objektin vuoto-ongelman vuoksi. Ongelma on ratkaistu parantamalla eri alkuperien välistä eristystä.
CVE-ID
CVE-2015-5827: Gildas
WebKit
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: WebKitissä oli muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5789: Apple
CVE-2015-5790: Apple
CVE-2015-5792: Apple
CVE-2015-5794: Apple
CVE-2015-5795: Apple
CVE-2015-5796: Apple
CVE-2015-5797: Apple
CVE-2015-5799: Apple
CVE-2015-5800: Apple
CVE-2015-5801: Apple
CVE-2015-5802: Apple
CVE-2015-5803: Apple
CVE-2015-5804: Apple
CVE-2015-5805
CVE-2015-5806: Apple
CVE-2015-5807: Apple
CVE-2015-5809: Apple
CVE-2015-5810: Apple
CVE-2015-5811: Apple
CVE-2015-5812: Apple
CVE-2015-5813: Apple
CVE-2015-5817: Apple
CVE-2015-5818: Apple
CVE-2015-5819: Apple
CVE-2015-5821: Apple
WebKit
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa numeron valitsemisen tahattomasti.
Kuvaus: tel://-, facetime://- ja facetime-audio://-URL-osoitteiden käsittelyssä oli ongelma. Ongelma on ratkaistu parantamalla URL-osoitteiden käsittelyä.
CVE-ID
CVE-2015-5820: Andrei Neculaesei ja Guillaume Ross
WebKit
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: QuickType saattoi saada selville täytetyssä verkkolomakkeessa olleen salasanan viimeisen kirjaimen.
Kuvaus: WebKitin tavassa käsitellä salasanan syöttökontekstia oli ongelma. Ongelma on ratkaistu parantamalla syöttökontekstin käsittelyä.
CVE-ID
CVE-2015-5906: Google Inc:n Louis Romero
WebKit
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä suorittamaan uudelleenohjauksen haitalliseen domainiin.
Kuvaus: Resurssivälimuistien käsittelyssä oli ongelma sivustoilla, joilla oli virheellisiä varmenteita. Ongelma on ratkaistu hylkäämällä virheellisillä varmenteilla varustettujen domainien ohjelmavälimuisti.
CVE-ID
CVE-2015-5907: Singaporen kansallisen yliopiston (NUS) Yaoqi Jia
WebKit
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallinen verkkosivusto saattoi vuotaa tietoja eri alkuperien kesken.
Kuvaus: Safari salli eri alkuperää olevien tyylisivujen latautumisen muiden kuin CSS-tyyppisten MIME-tyyppien kanssa. Tätä saatettiin käyttää hyväksi vuodettaessa eri alkuperistä peräisin olevia tietoja. Ongelma on ratkaistu rajoittamalla eri alkuperää olevien tyylisivujen MIME-tyyppejä.
CVE-ID
CVE-2015-5826: filedescriptor ja Chris Evans
WebKit
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Performance-API saattoi sallia haitallisen verkkosivuston vuotaa selaushistorian, verkkotoimintoja ja hiiren liikkeitä.
Kuvaus: WebKitin Performance-API saattoi sallia haitallisen verkkosivuston vuotaa selaushistorian, verkkotoimintoja ja hiiren liikkeitä mittaamalla aikaa. Ongelma on ratkaistu rajoittamalla ajan selvittämistä.
CVE-ID
CVE-2015-5825: Columbian yliopiston Network Security Labin Yossi Oren ym.
WebKit
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.
Kuvaus: Tyyppiliitteen sisältävissä Content-Disposition-otsakkeissa oli ongelma. Ongelma on ratkaistu estämällä jotkin tyyppiliitesivuja koskevat toiminnallisuudet.
CVE-ID
CVE-2015-5921: Intel(r) Advanced Threat Research Teamin Mickey Shkatov, Singapore Management Universityn Daoyuan Wu, Hong Kong Polytechnic Universityn Rocky K. C. Chang sekä Łukasz Pilorz ja www.knownsec.comin superhei
WebKitin canvas
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallisella verkkosivustolla käynti saattoi paljastaa toiselta verkkosivustolta peräisin olevia kuvatietoja.
Kuvaus: WebKitissä oli canvas-elementin kuvia koskeva eri alkuperiin liittyvä ongelma. Ongelma on ratkaistu parantamalla suojauksen alkuperän seurantaa.
CVE-ID
CVE-2015-5788: Apple
WebKitin sivun lataaminen
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi
Vaikutus: WebSockets saattoi ohittaa sekalaista sisältöä koskevan käytännön toimeenpanon.
Kuvaus: WebSockets saattoi pystyä lataamaan sekalaista sisältöä, koska käytännössä oli riittämättömän toimeenpanon ongelma. Ongelma on ratkaistu laajentamalla sekalaista sisältöä koskevan käytännön toimeenpano koskemaan WebSocketsia.
Higher Logicin Kevin G. Jones
FaceTime ei ole saatavilla kaikissa maissa tai kaikilla alueilla.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.