Tietoja iOS 9.1:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 9.1:n turvallisuussisällöstä.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustolla.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

iOS 9.1

  • Accelerate-sovelluskehys

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: Accelerate-sovelluskehyksessä oli muistin vioittumisongelma monisäikeistystilassa. Ongelma on ratkaistu parantamalla accessor-elementin validointia ja objektin lukitsemista.

    CVE-tunnus

    CVE-2015-5940: Apple

  • Bom

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat

    Vaikutus: Haitallisen arkiston purkaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: CPIO-arkistojen käsittelyssä oli tiedoston väärinkäyttöön liittyvä haavoittuvuus. Ongelma on ratkaistu parantamalla metadatan validointia.

    CVE-tunnus

    CVE-2015-7006: Mark Dowd – Azimuth Security

  • CFNetwork

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa evästeiden korvaamisen.

    Kuvaus: Erikokoisia kirjaimia sisältävien evästeiden käsittelyssä oli jäsentämisongelma. Ongelma on ratkaistu parantamalla jäsentämistä.

    CVE-tunnus

    CVE-2015-7023: Marvin Scholz ja Michael Lutonsky, Tsinghuan yliopiston Xiaofeng Zheng ja Jinjin Liang, Kalifornian yliopiston (Berkeley) Jian Jiang, Tsinghuan yliopiston ja International Computer Science Instituten Haixin Duan, Microsoft Research Redmondin Shuo Chen, Huawei Canadan Tao Wan sekä International Computer Science Instituten ja Kalifornian yliopiston (Berkeley) Nicholas Weaver CERT/CC:n koordinoimana

  • configd

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat

    Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

    Kuvaus: DNS-asiakaskirjastossa oli kekopohjainen puskurin ylivuoto-ongelma. Haittaohjelma, joka pystyi väärentämään vastauksia paikallisesta configd-palvelusta, saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen DNS-asiakkaissa.

    CVE-tunnus

    CVE-2015-7015: PanguTeam

  • CoreGraphics

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: CoreGraphicsissa oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-tunnus

    CVE-2015-5925: Apple

    CVE-2015-5926: Apple

  • CoreText

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat

    Vaikutus: haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: fonttitiedostojen käsittelyssä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla rajojen tarkistamista.

    CVE-tunnus

    CVE-2015-6975: John Villamil (@day6reak) ja Yahoo Pentest Team

    CVE-2015-6992: John Villamil (@day6reak) ja Yahoo Pentest Team

    CVE-2015-7017: John Villamil (@day6reak) ja Yahoo Pentest Team

  • Levykuvat

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: Levytiedostojen jäsentämisessä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin käsittelyä.

    CVE-tunnus

    CVE-2015-6995: Ian Beer – Google Project Zero

  • FontParser

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat

    Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: Fonttitiedostojen käsittelyssä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla rajojen tarkistamista.

    CVE-tunnus

    CVE-2015-5927: Apple

    CVE-2015-5942

    CVE-2015-6976: John Villamil (@day6reak) ja Yahoo Pentest Team

    CVE-2015-6977: John Villamil (@day6reak) ja Yahoo Pentest Team

    CVE-2015-6978: HP:n Zero Day Initiativen parissa työskentelevä Clarified Securityn Jaanus Kp

    CVE-2015-6990: John Villamil (@day6reak) ja Yahoo Pentest Team

    CVE-2015-6991: John Villamil (@day6reak) ja Yahoo Pentest Team

    CVE-2015-6993: John Villamil (@day6reak) ja Yahoo Pentest Team

    CVE-2015-7008: John Villamil (@day6reak) ja Yahoo Pentest Team

    CVE-2015-7009: John Villamil (@day6reak) ja Yahoo Pentest Team

    CVE-2015-7010: John Villamil (@day6reak) ja Yahoo Pentest Team

    CVE-2015-7018: John Villamil (@day6reak) ja Yahoo Pentest Team

  • GasGauge

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

    Kuvaus: Kernelissä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin käsittelyä.

    CVE-tunnus

    CVE-2015-6979: PanguTeam

  • Grand Central Dispatch

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: Haitallisen paketin käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: Lähetyskutsujen käsittelyssä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin käsittelyä.

    CVE-tunnus

    CVE-2015-6989: Apple

  • Grafiikkaohjain

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: Haitallisen ohjelman suorittaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen kernelissä.

    Kuvaus: AppleVXD393:ssa oli tyyppisekaannusongelma. Ongelma on korjattu parantamalla muistin käsittelyä.

    CVE-tunnus

    CVE-2015-6986: Proteas – Qihoo 360 Nirvan Team

  • ImageIO

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat

    Vaikutus: Haitallisen kuvatiedoston katsominen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: Kuvien metadatan jäsentämisessä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla metadatan validointia.

    CVE-tunnus

    CVE-2015-5935: Apple

    CVE-2015-5936: Apple

    CVE-2015-5937: Apple

    CVE-2015-5939: Apple

  • IOAcceleratorFamily

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOAcceleratorFamilyssa oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin käsittelyä.

    CVE-tunnus

    CVE-2015-6996: Ian Beer – Google Project Zero

  • IOHIDFamily

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

    Kuvaus: Kernelissä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin käsittelyä.

    CVE-tunnus

    CVE-2015-6974: Luca Todesco (@qwertyoruiop)

  • Kernel

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat

    Vaikutus: Paikallinen ohjelma saattoi pystyä aiheuttamaan palveluneston.

    Kuvaus: Kernelissä oli syötön validointiongelma. Ongelma on ratkaistu parantamalla syötön validointia.

    CVE-tunnus

    CVE-2015-7004: Sergi Alvarez (pancake) – NowSecure Research Team

  • Kernel

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia.

    Kuvaus: Kernelissä oli alustamattoman muistin ongelma. Ongelma on korjattu parantamalla muistin alustamista.

    CVE-tunnus

    CVE-2015-6988: The Brainy Code Scanner (m00nbsd)

  • Kernel

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat

    Vaikutus: Paikallinen ohjelma saattoi pystyä aiheuttamaan palveluneston.

    Kuvaus: Virtuaalimuistin uudelleenkäytössä oli ongelma. Ongelma on ratkaistu parantamalla validointia.

    CVE-tunnus

    CVE-2015-6994: Mark Mentovai – Google Inc.

  • mDNSResponder

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat

    Vaikutus: etähyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: DNS-tietojen jäsentämisessä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla rajojen tarkistamista.

    CVE-tunnus

    CVE-2015-7987: Alexandre Helie

  • mDNSResponder

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat

    Vaikutus: paikallinen ohjelma saattoi pystyä aiheuttamaan palveluneston.

    Kuvaus: nollaosoittimen epäviittausongelma korjattiin parantamalla muistin käsittelyä.

    CVE-tunnus

    CVE-2015-7988: Alexandre Helie

  • Ilmoituskeskus

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat

    Vaikutus: Puhelimen ja Viestien ilmoitukset saattoivat näkyä lukitulla näytöllä, vaikka asetus oli pois käytöstä.

    Kuvaus: Kun Näytä lukitulla näytöllä -asetus laitettiin pois päältä Puhelimen tai Viestien osalta, asetuksiin tehtyjä muutoksia ei otettu käyttöön välittömästi. Ongelma on ratkaistu parantamalla tilanhallintaa.

    CVE-tunnus

    CVE-2015-7000: William Redwood – Hampton School

  • OpenGL

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: OpenGL:ssä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin käsittelyä.

    CVE-tunnus

    CVE-2015-5924: Apple

  • Suojaus

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat

    Vaikutus: haitallisen varmenteen käsittely saattaa johtaa mielivaltaisen koodin suorittamiseen.

    Kuvaus: ASN.1-koodipurkutoiminnossa oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla syötön tarkistamista.

    CVE-tunnus

    CVE-2015-7059: David Keeler – Mozilla

    CVE-2015-7060: Tyson Smith – Mozilla

    CVE-2015-7061: Ryan Sleevi – Google

  • Suojaus

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat

    Vaikutus: Haittaohjelma saattoi pystyä korvaamaan mielivaltaisia tiedostoja.

    Kuvaus: AtomicBufferedFile-kuvaajien käsittelyssä oli double free -ongelma. Ongelma on ratkaistu parantamalla AtomicBufferedFile-kuvaajien validointia.

    CVE-tunnus

    CVE-2015-6983: David Benjamin, Greg Kerr, Mark Mentovai ja Sergey Ulanov – Chrome Team

  • Suojaus

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat

    Vaikutus: Hyökkääjä saattoi saada hylätyn varmenteen näyttämään voimassa olevalta.

    Kuvaus: OCSP-asiakkaassa oli validointiongelma. Ongelma on ratkaistu tarkistamalla OCSP-varmenteen vanhenemisaika.

    CVE-tunnus

    CVE-2015-6999: Apple

  • Suojaus

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat

    Vaikutus: Hylkäämistarkistusta vaatimaan määritetty luottamusarviointi saattoi onnistua, vaikka hylkäämistarkistus epäonnistui.

    Kuvaus: kSecRevocationRequirePositiveResponse-lippu oli määritetty, mutta sitä ei toimeenpantu. Ongelma on ratkaistu toimeenpanemalla lippu.

    CVE-tunnus

    CVE-2015-6997: Apple

  • Puhelinliikenne

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat

    Vaikutus: Haittaohjelma saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.

    Kuvaus: Puheluiden tilakyselyiden valtuutustarkistuksissa oli ongelma. Ongelma on ratkaistu lisäämällä valtuutustilakyselyitä.

    CVE-tunnus

    CVE-2015-7022: Andreas Kurtz – NESO Security Labs

  • WebKit

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitissä oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-tunnus

    CVE-2015-5928: Apple

    CVE-2015-5929: Apple

    CVE-2015-5930: Apple

    CVE-2015-6981

    CVE-2015-6982

    CVE-2015-7002: Apple

    CVE-2015-7005: Apple

    CVE-2015-7012: Apple

    CVE-2015-7014

    CVE-2015-7104: Apple

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: