Tietoja iOS 9:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 9:n turvallisuussisällöstä.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuus -sivulla.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on Applen suojauspäivitykset -sivulla.

iOS 9

  • Apple Pay

    Saatavuus: iPhone 6 ja iPhone 6 Plus.

    Vaikutus: Jotkin kortit saattoivat sallia päätteen hakea rajoitettuja viimeaikaisia maksutapahtumatietoja maksua suoritettaessa.

    Kuvaus: Tapahtumalokitoiminto oli käytössä joissakin määrityksissä. Ongelma on ratkaistu poistamalla tapahtumalokitoiminto. Tämä ongelma ei koskenut iPad-laitteita.

    CVE-ID

    CVE-2015-5916

  • AppleKeyStore

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Paikallinen hyökkääjä saattoi pystyä nollaamaan epäonnistuneet pääsykoodin antamisyritykset iOS-varmuuskopion avulla.

    Kuvaus: Epäonnistuneiden pääsykoodin antamisyritysten nollaamisessa iOS-laitteen varmuuskopion avulla oli ongelma. Ongelma on ratkaistu parantamalla epäonnistuneiden pääsykoodin antamisyritysten logiikkaa.

    CVE-ID

    CVE-2015-5850: nimetön tutkija

  • App Store

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen ITMS-linkin klikkaaminen saattoi aiheuttaa palveluneston yrityksen allekirjoittamassa ohjelmassa.

    Kuvaus: Asennuksessa ITMS-linkkien kautta oli ongelma. Ongelma on ratkaistu lisäämällä asennuksen vahvistusta.

    CVE-ID

    CVE-2015-5856: FireEye Inc.:n Zhaofeng Chen, Hui Xue ja Tao (Lenx) Wei

  • Ääni

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen äänitiedoston toistaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen.

    Kuvaus: Äänitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2015-5862: Yonsei-yliopiston (Soul, Etelä-Korea) Information Security Labin YoungJin Yoon (apuna professori Taekyoung Kwon)

  • Varmenteiden luottamuskäytäntö

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Varmenteiden luottamuskäytäntö on päivitetty.

    Kuvaus: Varmenteiden luottamuskäytäntö on päivitetty. Luettelo varmenteista on osoitteessa https://support.apple.com/fi-fi/HT204132.

  • CFNetwork

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi

    Vaikutus: Haitallinen URL-osoite saattoi pystyä ohittamaan HSTS:n ja vuotamaan arkaluontoisia tietoja.

    Kuvaus: HSTS:n käsittelyssä oli URL-osoitteen jäsentämishaavoittuvuus. Ongelma on ratkaistu parantamalla URL-osoitteiden jäsentämistä.

    CVE-ID

    CVE-2015-5858: Tsinghuan yliopiston Blue Lotus Teamin Xiaofeng Zheng

  • CFNetwork

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallinen sivusto saattoi pystyä seuraamaan käyttäjän toimia Safarin yksityisessä selaustilassa.

    Kuvaus: HSTS-tilan käsittelyssä oli ongelma Safarin yksityisessä selaustilassa. Ongelma on ratkaistu parantamalla tilan käsittelyä.

    CVE-ID

    CVE-2015-5860: RadicalResearch Ltd:n Sam Greenhalgh

  • CFNetwork

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, pystyi lukemaan Applen ohjelmista peräisin olevia välimuistitietoja.

    Kuvaus: Välimuistitiedot oli salattu avaimella, joka oli suojattu vain laitteiston UID-tunnuksella. Ongelma on ratkaistu salaamalla välimuistitiedot avaimella, joka on suojattu laitteiston UID-tunnuksella ja käyttäjän pääsykoodilla.

    CVE-ID

    CVE-2015-5898: NESO Security Labsin Andreas Kurtz

  • CFNetwork Cookies

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä pystyi seuraamaan käyttäjän toimintaa.

    Kuvaus: Ylimmän tason domainien käsittelyssä oli domainien välinen evästeongelma. Ongelma on ratkaistu parantamalla evästeiden luomisen rajoituksia.

    CVE-ID

    CVE-2015-5885: Tsinghuan yliopiston Blue Lotus Teamin Xiaofeng Zheng

  • CFNetwork Cookies

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Hyökkääjä saattoi pystyä luomaan verkkosivustolle siihen kuulumattomia evästeitä.

    Kuvaus: WebKit hyväksyi useiden evästeiden asettamisen document.cookie-APIssa. Ongelma on ratkaistu parantamalla jäsentämistä.

    CVE-ID

    CVE-2015-3801: Facebookin Erling Ellingsen

  • CFNetwork FTPProtocol

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitalliset FTP-palvelimet saattoivat saada asiakkaan suorittamaan tiedustelua muissa palvelimissa.

    Kuvaus: FTP-pakettien käsittelyssä oli ongelma käytettäessä PASV-komentoa. Ongelma on ratkaistu parantamalla validointia.

    CVE-ID

    CVE-2015-5912: Amit Klein

  • CFNetwork HTTPProtocol

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä kaappaamaan verkkoliikennettä.

    Kuvaus: Esiladatun HSTS-luettelon kohtien käsittelyssä oli ongelma Safarin yksityisessä selaustilassa. Ongelma on ratkaistu parantamalla tilan käsittelyä.

    CVE-ID

    CVE-2015-5859: Luxemburgin yliopiston Rosario Giustolisi

  • CFNetwork-välipalvelimet

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Yhteyden muodostaminen haitalliseen verkkovälipalvelimeen saattoi asettaa verkkosivustolle haitallisia evästeitä.

    Kuvaus: Välipalvelimen yhdistämisvastausten käsittelyssä oli ongelma. Ongelma on ratkaistu poistamalla set-cookie-otsake yhdistämisvastauksen jäsennyksen aikana.

    CVE-ID

    CVE-2015-5841: Tsinghuan yliopiston Blue Lotus Teamin Xiaofeng Zheng

  • CFNetwork SSL

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä kaappaamaan SSL/TLS-yhteyksiä.

    Kuvaus: NSURLissa oli varmenteen validointiongelma, kun varmenne vaihtui. Ongelma on ratkaistu parantamalla varmenteiden validointia.

    CVE-ID

    CVE-2015-5824: Omni Groupin Timothy J. Wood

  • CFNetwork SSL

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Hyökkääjä saattoi pystyä purkamaan SSL:llä suojattujen tietojen salauksen.

    Kuvaus: RC4:n luottamuksellisuuteen kohdistuu tunnettuja hyökkäyksiä. Hyökkääjä saattoi pakottaa RC4:n käytön, vaikka palvelin suosi parempaa salausmenetelmää, estämällä TLS 1.0:aa ja sitä uudempaa TLS-versiota käyttävät yhteydet, kunnes CFNetwork kokeili SSL 3.0:aa, joka mahdollistaa vain RC4:n. Ongelma on ratkaistu poistamalla mahdollisuus käyttää SSL 3.0:aa varamenetelmänä.

  • CoreAnimation

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haittaohjelma saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.

    Kuvaus: Ohjelmat saattoivat päästä näytön ruutupuskuriin ollessaan taustalla. Ongelma on ratkaistu parantamalla käytönvalvontaa IOSurfacesissa.

    CVE-ID

    CVE-2015-5880: School of Information Systems Singapore Management Universityn Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao ja Yingjiu Li sekä Cryptography and Security Department Institute for Infocomm Researchin Feng Bao ja Jianying Zhou

  • CoreCrypto

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Hyökkääjä saattoi pystyä selvittämään yksityisen avaimen.

    Kuvaus: Hyökkääjä saattoi pystyä selvittämään yksityisen RSA-avaimen tarkkailemalla monia allekirjoittamisen tai salauksen purkamisen yrityksiä. Ongelma on ratkaistu käyttämällä parempia salausalgoritmeja.

  • CoreText

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: Fonttitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

    CVE-ID

    CVE-2015-5874: John Villamil (@day6reak) ja Yahoo Pentest Team

  • Data Detectors Engine

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen tekstitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: Tekstitiedostojen käsittelyssä oli muistin vioittumisongelmia. Ongelmat on ratkaistu parannetulla rajojen tarkistamisella.

    CVE-ID

    CVE-2015-5829: Safeye Teamin (www.safeye.org) M1x7e1

  • Dev Tools

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: dyldissä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5876: grayhashin beist

  • Levykuvat

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: DiskImagesissa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5847: Filippo Bigarella ja Luca Todesco

  • dyld

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Ohjelma saattoi pystyä ohittamaan koodin allekirjoituksen.

    Kuvaus: Suoritustiedostojen koodiallekirjoituksen validoinnissa oli ongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2015-5839: @PanguTeam ja TaiG Jailbreak Team

  • Game Center

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallinen Game Center -ohjelma saattoi saada pelaajan sähköpostiosoitteen.

    Kuvaus: Game Centerin tavassa käsitellä pelaajan sähköpostiosoitetta oli ongelma. Ongelma on ratkaistu parantamalla käyttörajoituksia.

    CVE-ID

    CVE-2015-5855: Nasser Alnasser

  • ICU

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: ICU:ssa oli useita haavoittuvuuksia.

    Kuvaus: ICU 53.1.0:aa edeltävissä versioissa oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä ICU versioon 55.1.

    CVE-ID

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922: Google Project Zeron Mark Brand

  • IOAcceleratorFamily

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.

    Kuvaus: Kernel-muistin sisältö saattoi paljastua ongelman vuoksi. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2015-5834: Alibaba Mobile Security Teamin Cererdlong

  • IOAcceleratorFamily

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOAcceleratorFamilyssa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5848: Filippo Bigarella

  • IOHIDFamily

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOHIDFamilyssa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5867: Trend Micron moony li

  • IOKit

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: Kernelissä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOMobileFrameBufferissa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Paikallinen hyökkääjä saattoi pystyä lukemaan kernel-muistia.

    Kuvaus: Kernelissä oli muistin alustamisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5863: IOActiven Ilja van Sprundel

  • iTunes Store

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Apple ID -tunnistetiedot saattoivat jäädä avainnippuun uloskirjautumisen jälkeen.

    Kuvaus: Avainnipun poistamisessa oli ongelma. Ongelma on ratkaistu parantamalla tilin puhdistusta.

    CVE-ID

    CVE-2015-5832: Check Point Software Technologiesin Kasif Dekel

  • JavaScriptCore

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitissä oli muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5791: Apple

    CVE-2015-5793: Apple

    CVE-2015-5814: Apple

    CVE-2015-5816: Apple

    CVE-2015-5822: Googlen Mark S. Miller

    CVE-2015-5823: Apple

  • Kernel

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.

    Kuvaus: Kernelissä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5868: Alibaba Mobile Security Teamin Cererdlong

    CVE-2015-5896: m00nbsd:n Maxime Villard

    CVE-2015-5903: CESG

    Kohta päivitetty 21.12.2016

  • Kernel

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Paikallinen hyökkääjä saattoi hallita pinoevästeiden arvoa.

    Kuvaus: Käyttäjätilan pinoevästeiden luomisessa oli useita heikkouksia. Ongelma on ratkaistu parantamalla pinoevästeiden luomista.

    CVE-ID

    CVE-2013-3951: Stefan Esser

  • Kernel

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Paikallinen prosessi pystyi muokkaamaan muita prosesseja ilman oikeustarkistuksia.

    Kuvaus: processor_set_tasks-APIa käyttävät root-prosessit pystyivät hakemaan muiden prosessien tehtäväportit. Ongelma on ratkaistu lisäämällä oikeustarkistuksia.

    CVE-ID

    CVE-2015-5882: Ming-chieh Panin ja Sung-ting Tsain alkuperäistutkimukseen työnsä perustanut Pedro Vilaça sekä Jonathan Levin

  • Kernel

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Hyökkääjä saattoi pystyä käynnistämään palvelunestohyökkäyksiä kohdistettuihin TCP-yhteyksiin tietämättä oikeaa järjestysnumeroa.

    Kuvaus: xnu:n tavassa validoida TCP-pakettiotsakkeet oli ongelma. Ongelma on ratkaistu parantamalla TCP-pakettiotsakkeiden validointia.

    CVE-ID

    CVE-2015-5879: Jonathan Looney

  • Kernel

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi

    Vaikutus: Paikallisessa lähiverkkosegmentissä ollut hyökkääjä saattoi poistaa IPv6-reitityksen käytöstä.

    Kuvaus: IPv6-reititysmainosten käsittelyssä oli riittämättömän validoinnin ongelma, minkä vuoksi hyökkääjä pystyi asettamaan siirräntävälille mielivaltaisen arvon. Ongelma on ratkaistu ottamalla käyttöön pienimmän sallitun siirräntävälin rajoitus.

    CVE-ID

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä päättelemään kernel-muistin asettelun.

    Kuvaus: XNU:ssa oli ongelma, joka aiheutti kernel-muistin sisällön paljastumisen. Ongelma on ratkaistu parantamalla kernel-muistin rakenteiden alustamista.

    CVE-ID

    CVE-2015-5842: grayhashin beist

  • Kernel

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän palveluneston.

    Kuvaus: HFS-aseman tuomisessa näkyviin oli ongelma. Ongelma on ratkaistu lisäämällä validointitarkistuksia.

    CVE-ID

    CVE-2015-5748: m00nbsd:n Maxime Villard

  • libc

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.

    Kuvaus: fflush-toiminnossa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2014-8611: Norse Corporationin Adrian Chadd ja Alfred Perlstein

  • libpthread

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.

    Kuvaus: Kernelissä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5899: Qihoo 360 Vulcan Teamin Lufeng Li

  • Mail

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Hyökkääjä pystyi lähettämään sähköpostiviestin, joka näytti olevan peräisin vastaanottajan osoitekirjassa olevalta yhteystiedolta.

    Kuvaus: Lähettäjän osoitteen käsittelyssä oli ongelma. Ongelma on ratkaistu parantamalla validointia.

    CVE-ID

    CVE-2015-5857: salesforce.comin Emre Saglam

  • Multipeer-yhteydet

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Paikallinen hyökkääjä saattoi pystyä tarkkailemaan suojaamattomia multipeer-tietoja.

    Kuvaus: Convenience-alustajan käsittelyssä oli ongelma, jonka vuoksi salattu istunto pystyttiin aktiivisesti heikentämään salaamattomaksi. Ongelma on ratkaistu muuttamalla convenience-alustaja vaatimaan salausta.

    CVE-ID

    CVE-2015-5851: Data Theoremin Alban Diquet (@nabla_c0d3)

  • NetworkExtension

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.

    Kuvaus: Kernelissä ollut alustamattoman muistin ongelma aiheutti kernel-muistin sisällön paljastumisen. Ongelma on ratkaistu muistin alustamisella.

    CVE-ID

    CVE-2015-5831: m00nbsd:n Maxime Villard

  • OpenSSL

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Useita haavoittuvuuksia OpenSSL:ssä.

    Kuvaus: OpenSSL 0.9.8zg:tä edeltävissä versioissa oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä OpenSSL versioon 0.9.8zg.

    CVE-ID

    CVE-2015-0286

    CVE-2015-0287

  • PluginKit

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallinen yritysohjelma pystyi asentamaan laajennuksia ennen kuin ohjelmaan oli luotettu.

    Kuvaus: Laajennusten validoinnissa asennuksen aikana oli ongelma. Ongelma on ratkaistu parantamalla ohjelman tarkistusta.

    CVE-ID

    CVE-2015-5837: FireEye Inc.:n Zhaofeng Chen, Hui Xue ja Tao (Lenx) Wei

  • removefile

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisten tietojen käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen.

    Kuvaus: checkint-jakolaskurutiineissa oli ylivuotovika. Ongelma on ratkaistu parantamalla jakolaskurutiineja.

    CVE-ID

    CVE-2015-5840: nimetön tutkija

  • Safari

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan lukitussa iOS-laitteessa olevia Safarin kirjanmerkkejä ilman pääsykoodia.

    Kuvaus: Safarin kirjanmerkkitiedot oli salattu avaimella, joka oli suojattu vain laitteiston UID-tunnuksella. Ongelma on ratkaistu salaamalla Safarin kirjanmerkkitiedot avaimella, joka on suojattu laitteiston UID-tunnuksella ja käyttäjän pääsykoodilla.

    CVE-ID

    CVE-2015-7118: Jonathan Zdziarski

    Kohta päivitetty 21.12.2016

  • Safari

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa käyttöliittymän väärentämisen.

    Kuvaus: Verkkosivusto saattoi pystyä näyttämään sisältöä toisen verkkosivuston URL-osoitteella ongelman vuoksi. Ongelma on ratkaistu parantamalla URL-osoitteiden käsittelyä.

    CVE-ID

    CVE-2015-5904: Facebookin Erling Ellingsen sekä Łukasz Pilorz

  • Safari

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa käyttöliittymän väärentämisen.

    Kuvaus: Siirtyminen haitalliseen verkkosivustoon, jossa oli vääränmuotoinen ikkunan avaaja, saattoi mahdollistaa mielivaltaisten URL-osoitteiden näyttämisen. Ongelma on ratkaistu parantamalla ikkunan avaajien käsittelyä.

    CVE-ID

    CVE-2015-5905: keitahaga.comin Keita Haga

  • Safari

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Asiakasvarmenteita käyttävät haitalliset verkkosivustot saattoivat jäljittää käyttäjiä.

    Kuvaus: Safarin tavassa yhteensovittaa asiakasvarmenne SSL-todennusta varten oli ongelma. Ongelma on ratkaistu parantamalla kelvollisten asiakasvarmenteiden yhteensovittamista.

    CVE-ID

    CVE-2015-1129: Fluid Operations AG:n Stefan Kraus ja Whatever s.a:n Sylvain Munaut

  • Safari

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa käyttöliittymän väärentämisen.

    Kuvaus: Käyttöliittymässä oli useita ristiriitaisuuksia, joiden vuoksi haitallinen verkkosivusto saattoi pystyä näyttämään mielivaltaisen URL-osoitteen. Ongelmat on ratkaistu parantamalla URL-osoitteiden näyttölogiikkaa.

    CVE-ID

    CVE-2015-5764: Adoben Antonio Sanso (@asanso)

    CVE-2015-5765: Ron Masas

    CVE-2015-5767: Krystian Kloskowski Secunian kautta sekä Masato Kinugawa

  • Safarin turvallinen selaus

    iPhone 4s ja uudemmat, iPod touch (5. sukupolvi ja uudemmat) sekä iPad 2 ja uudemmat

    Vaikutus: Haitalliseksi tiedetyn verkkosivuston IP-osoitteeseen siirtyminen ei välttämättä aktivoinut suojausvaroitusta.

    Kuvaus: Safarin turvallinen selaus -ominaisuus ei varoittanut käyttäjää, kun hän siirtyi haitalliseksi tiedettyyn verkkosivustoon käyttämällä sen IP-osoitetta. Ongelma on ratkaistu parantamalla haitallisten sivustojen tunnistamista.

    TagsDockin Rahul M

  • Suojaus

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haittaohjelma saattoi saada haltuunsa ohjelmien välistä viestintää.

    Kuvaus: Haittaohjelma saattoi saada haltuunsa ohjelmien välistä URL-malliviestintää ongelman vuoksi. Ongelmaa on lievennetty näyttämällä valintaikkuna, kun URL-mallia käytetään ensimmäisen kerran.

    CVE-ID

    CVE-2015-5835: FiftyTwoDegreesNorth B.V:n Teun van Run, Indianan yliopiston XiaoFeng Wang ja Luyi Xing, Pekingin yliopiston Tongxin Li ja Tsinghuan yliopiston Xiaolong Bai

  • Siri

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Henkilö, jolla oli iOS-laite hallussaan, saattoi lukea Sirin avulla sellaista sisältöä koskevia ilmoituksia, jota ei oltu määritetty näytettäväksi lukitulla näytöllä.

    Kuvaus: Kun Sirille esitettiin pyyntö, palvelin ei tarkistanut asiakaspuolen rajoituksia. Ongelma on ratkaistu parantamalla rajoitusten tarkistamista.

    CVE-ID

    CVE-2015-5892: Robert S Mozayeni ja Joshua Donvito

  • SpringBoard

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, pystyi vastaamaan ääniviestiin lukitulta näytöltä, kun viestien esikatselut lukitulta näytöltä olivat pois käytöstä.

    Kuvaus: Käyttäjät pystyivät vastaamaan ääniviesteihin lukitun näytön ongelman vuoksi, vaikka viestien esikatselut olivat poissa käytöstä. Ongelma on ratkaistu parantamalla tilanhallintaa.

    CVE-ID

    CVE-2015-5861: Meridian Appsin Daniel Miedema

  • SpringBoard

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haittaohjelma saattoi pystyä jäljittelemään toisen ohjelman valintaikkunoita.

    Kuvaus: Etuoikeutetuissa API-kutsuissa oli käyttöoikeusongelma. Ongelma on ratkaistu lisäämällä rajoituksia.

    CVE-ID

    CVE-2015-5838: Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei ja John C.S. Lui

  • SQLite

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: SQLite 3.8.5:ssä oli useita haavoittuvuuksia.

    Kuvaus: SQLite 3.8.5:ssä oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä SQLite versioon 3.8.10.2.

    CVE-ID

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • tidy

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: Tidyssa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2015-5522: NULLGroup.comin Fernando Muñoz

    CVE-2015-5523: NULLGroup.comin Fernando Muñoz

  • WebKit

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Objektiviitteitä saatettiin vuotaa eristettyjen alkuperien välillä mukautetuissa tapahtumissa, viestitapahtumissa ja ponnahdustilatapahtumissa.

    Kuvaus: Eri alkuperien välinen eristysraja rikkoutui objektin vuoto-ongelman vuoksi. Ongelma on ratkaistu parantamalla eri alkuperien välistä eristystä.

    CVE-ID

    CVE-2015-5827: Gildas

  • WebKit

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitissä oli muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5789: Apple

    CVE-2015-5790: Apple

    CVE-2015-5792: Apple

    CVE-2015-5794: Apple

    CVE-2015-5795: Apple

    CVE-2015-5796: Apple

    CVE-2015-5797: Apple

    CVE-2015-5799: Apple

    CVE-2015-5800: Apple

    CVE-2015-5801: Apple

    CVE-2015-5802: Apple

    CVE-2015-5803: Apple

    CVE-2015-5804: Apple

    CVE-2015-5805

    CVE-2015-5806: Apple

    CVE-2015-5807: Apple

    CVE-2015-5809: Apple

    CVE-2015-5810: Apple

    CVE-2015-5811: Apple

    CVE-2015-5812: Apple

    CVE-2015-5813: Apple

    CVE-2015-5817: Apple

    CVE-2015-5818: Apple

    CVE-2015-5819: Apple

    CVE-2015-5821: Apple

  • WebKit

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa numeron valitsemisen tahattomasti.

    Kuvaus: tel://-, facetime://- ja facetime-audio://-URL-osoitteiden käsittelyssä oli ongelma. Ongelma on ratkaistu parantamalla URL-osoitteiden käsittelyä.

    CVE-ID

    CVE-2015-5820: Andrei Neculaesei ja Guillaume Ross

  • WebKit

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: QuickType saattoi saada selville täytetyssä verkkolomakkeessa olleen salasanan viimeisen kirjaimen.

    Kuvaus: WebKitin tavassa käsitellä salasanan syöttökontekstia oli ongelma. Ongelma on ratkaistu parantamalla syöttökontekstin käsittelyä.

    CVE-ID

    CVE-2015-5906: Google Inc:n Louis Romero

  • WebKit

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä suorittamaan uudelleenohjauksen haitalliseen domainiin.

    Kuvaus: Resurssivälimuistien käsittelyssä oli ongelma sivustoilla, joilla oli virheellisiä varmenteita. Ongelma on ratkaistu hylkäämällä virheellisillä varmenteilla varustettujen domainien ohjelmavälimuisti.

    CVE-ID

    CVE-2015-5907: Singaporen kansallisen yliopiston (NUS) Yaoqi Jia

  • WebKit

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallinen verkkosivusto saattoi vuotaa tietoja eri alkuperien kesken.

    Kuvaus: Safari salli eri alkuperää olevien tyylisivujen latautumisen muiden kuin CSS-tyyppisten MIME-tyyppien kanssa. Tätä saatettiin käyttää hyväksi vuodettaessa eri alkuperistä peräisin olevia tietoja. Ongelma on ratkaistu rajoittamalla eri alkuperää olevien tyylisivujen MIME-tyyppejä.

    CVE-ID

    CVE-2015-5826: filedescriptor ja Chris Evans

  • WebKit

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Performance-API saattoi sallia haitallisen verkkosivuston vuotaa selaushistorian, verkkotoimintoja ja hiiren liikkeitä.

    Kuvaus: WebKitin Performance-API saattoi sallia haitallisen verkkosivuston vuotaa selaushistorian, verkkotoimintoja ja hiiren liikkeitä mittaamalla aikaa. Ongelma on ratkaistu rajoittamalla ajan selvittämistä.

    CVE-ID

    CVE-2015-5825: Columbian yliopiston Network Security Labin Yossi Oren ym.

  • WebKit

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.

    Kuvaus: Tyyppiliitteen sisältävissä Content-Disposition-otsakkeissa oli ongelma. Ongelma on ratkaistu estämällä jotkin tyyppiliitesivuja koskevat toiminnallisuudet.

    CVE-ID

    CVE-2015-5921: Intel(r) Advanced Threat Research Teamin Mickey Shkatov, Singapore Management Universityn Daoyuan Wu, Hong Kong Polytechnic Universityn Rocky K. C. Chang sekä Łukasz Pilorz ja www.knownsec.comin superhei

  • WebKitin canvas

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi paljastaa toiselta verkkosivustolta peräisin olevia kuvatietoja.

    Kuvaus: WebKitissä oli canvas-elementin kuvia koskeva eri alkuperiin liittyvä ongelma. Ongelma on ratkaistu parantamalla suojauksen alkuperän seurantaa.

    CVE-ID

    CVE-2015-5788: Apple

  • WebKitin sivun lataaminen

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi

    Vaikutus: WebSockets saattoi ohittaa sekalaista sisältöä koskevan käytännön toimeenpanon.

    Kuvaus: WebSockets saattoi pystyä lataamaan sekalaista sisältöä, koska käytännössä oli riittämättömän toimeenpanon ongelma. Ongelma on ratkaistu laajentamalla sekalaista sisältöä koskevan käytännön toimeenpano koskemaan WebSocketsia.

    Higher Logicin Kevin G. Jones

FaceTime ei ole saatavilla kaikissa maissa tai kaikilla alueilla.

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: