Tietoja iOS 9.3:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 9.3:n turvallisuussisällöstä.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustolla.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

iOS 9.3

  • AppleUSBNetworking

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: USB-laite saattaa pystyä aiheuttamaan palvelun eston.

    Kuvaus: paketin validoinnissa oli virheenkäsittelyongelma. Ongelma on ratkaistu parantamalla virheiden käsittelyä.

    CVE-tunnus

    CVE-2016-1734: Andrea Barisani ja Andrej Rosano – Inverse Path

  • FontParser

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-tunnus

    CVE-2016-1740: HappilyCoded (ant4g0nist ja r3dsm0k3) ja Trend Micron Zero Day Initiative (ZDI)

  • HTTPProtocol

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: etähyökkääjä saattaa pystyä suorittamaan satunnaista koodia.

    Kuvaus: Versiota 1.6.0 vanhemmissa nghttp2-versioissa oli useita haavoittuvuuksia, joista vakavin saattoi johtaa etäkoodin suorittamiseen. Ne on ratkaistu päivittämällä nghhtp2 versioon 1.6.0.

    CVE-tunnus

    CVE-2015-8659

  • IOHIDFamily

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: ohjelma saattoi pystyä päättelemään kernel-muistin asettelun.

    Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-tunnus

    CVE-2016-1748: Brandon Azad

  • Kernel

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: ohjelma saattoi aiheuttaa palveluneston.

    Kuvaus: palvelunesto-ongelma on ratkaistu parantamalla vahvistamista.

    CVE-tunnus

    CVE-2016-1752: CESG

  • Kernel

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

    Kuvaus: vapaan tilan jälkeisen käytön ongelma on ratkaista parantamalla muistin hallintaa.

    CVE-tunnus

    CVE-2016-1750: CESG

  • Kernel

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

    Kuvaus: useiden kokonaislukujen ylivuodot ratkaistiin parantamalla annettujen tietojen tarkistamista.

    CVE-tunnus

    CVE-2016-1753: Juwei Lin – Trend Micro ja Trend Micron Zero Day Initiative (ZDI)

  • Kernel

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: ohjelma saattoi pystyä ohittamaan koodin allekirjoituksen.

    Kuvaus: käyttöoikeuksien ongelma saattoi johtaa suoritusoikeuden myöntämiseen virheellisesti. Ongelma on ratkaistu parantamalla käyttöoikeuksien vahvistamista.

    CVE-tunnus

    CVE-2016-1751: Eric Monti – Square Mobile Security

  • Kernel

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

    Kuvaus: uusien prosessien luomisessa ilmeni kilpailutilanne. Tämä on ratkaistu parantamalla tilan käsittelyä.

    CVE-tunnus

    CVE-2016-1757: Ian Beer – Google Project Zero ja Pedro Vilaça

  • Kernel

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

    Kuvaus: nollaosoittimen epäviittaus korjattiin annettujen tietojen parannetulla tarkistuksella.

    CVE-tunnus

    CVE-2016-1756: Lufeng Li – Qihoo 360 Vulcan Team

  • Kernel

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

    Kuvaus: useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

    CVE-tunnus

    CVE-2016-1754: Lufeng Li – Qihoo 360 Vulcan Team

    CVE-2016-1755: Ian Beer – Google Project Zero

  • Kernel

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: ohjelma saattoi pystyä päättelemään kernel-muistin asettelun.

    Kuvaus: rajojen ulkopuolisen lukemisen ongelma saattoi johtaa kernel-muistin paljastumiseen. Tämä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

    CVE-tunnus

    CVE-2016-1758: Brandon Azad

  • LaunchServices

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: ohjelma saattaa voida muokata muiden ohjelmien tapahtumia

    Kuvaus: tapahtumakäsittelijän tarkistusongelma XPC-palvelujen APIssa. Ongelma on ratkaistu parantamalla viestien tarkistusta.

    CVE-tunnus

    CVE-2016-1760: Proteas – Qihoo 360 Nirvan Team

  • libxml2

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: haitallisen XML:n käsitteleminen voi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

    CVE-tunnus

    CVE-2015-1819

    CVE-2015-5312: David Drysdale – Google

    CVE-2015-7499

    CVE-2015-7500: Kostya Serebryany – Google

    CVE-2015-7942: Kostya Serebryany – Google

    CVE-2015-8035: gustavo.grieco

    CVE-2015-8242: Hugh Davenport

    CVE-2016-1761: wol0xff ja Trend Micron Zero Day Initiative (ZDI)

    CVE-2016-1762

  • Viestit

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: haitallisella verkkosivustolla käyminen saattaa täyttää automaattisesti tekstiä muihin viestiketjuihin.

    Kuvaus: tekstiviestien URL-osoitteiden jäsentämisessä oli ongelma. Ongelma on ratkaistu parantamalla URL-osoitteiden tarkistamista.

    CVE-tunnus

    CVE-2016-1763: CityTog

  • Viestit

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: hyökkääjä, joka kykenee ohittamaan Applen varmennekiinnityksen, sieppaamaan TLS-yhteyksiä, lisäämään koodia viesteihin ja tallentamaan salattuja liitetyyppisiä viestejä, saattaa kyetä lukemaan liitteitä.

    Kuvaus: salausongelma korjattiin hylkäämällä päällekkäiset viestit asiakassovelluksessa.

    CVE-tunnus

    CVE-2016-1788: Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers ja Michael Rushanan – Johns Hopkins University

  • Profiilit

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: MDM-profiili, johon ei luoteta, saatetaan näyttää virheellisesti vahvistettuna.

    Kuvaus: MDM-profiileissa oli varmenteen tarkistusongelma. Tämä on korjattu lisätarkistuksilla.

    CVE-tunnus

    CVE-2016-1766: Taylor Boyko ja Trend Micron Zero Day Initiative (ZDI)

  • Suojaus

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: haitallisen varmenteen käsittely saattaa johtaa mielivaltaisen koodin suorittamiseen.

    Kuvaus: ASN.1E-purkajassa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

    CVE-tunnus

    CVE-2016-1950: Francis Gabriel – Quarkslab

  • TrueTypeScaler

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: fonttitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

    CVE-tunnus

    CVE-2016-1775: 0x1byte ja Trend Micron Zero Day Initiative (ZDI)

  • WebKit

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: haitallisen verkkosisällön käsitteleminen saattaa johtaa mielivaltaisen koodin suorittamiseen.

    Kuvaus: useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

    CVE-tunnus

    CVE-2016-1778 : 0x1byte – Trend Micron Zero Day Initiative (ZDI) ja CM Securityn Yang Zhao

    CVE-2016-1783: Mihai Parparita – Google

  • WebKit

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: verkkosivusto saattaa kyetä seuraamaan käyttäjien luottamuksellisia tietoja.

    Kuvaus: liitteiden URL-osoitteiden käsittelyssä oli ongelma. Ongelma on ratkaistu parantamalla URL-osoitteiden käsittelyä.

    CVE-tunnus

    CVE-2016-1781: Devdatta Akhawe – Dropbox, Inc.

  • WebKit

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: verkkosivusto saattaa kyetä seuraamaan käyttäjien luottamuksellisia tietoja.

    Kuvaus: piilotettu verkkosivu saattaa kyetä käyttämään laitteen suuntatietoja ja laitteen liiketietoja. Tämä ongelma korjattiin poistamalla nämä tiedot käytöstä, kun verkkonäkymä on piilotettu.

    CVE-tunnus

    CVE-2016-1780: Maryam Mehrnezhad, Ehsan Toreini, Siamak F. Shahandashti ja Feng Hao – School of Computing Science, Newcastle University, UK

  • WebKit

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: haitallisella sivustolla käyminen saattaa paljastaa käyttäjän nykyisen sijainnin.

    Kuvaus: maantieteellisen sijainnin pyyntöjen jäsentämisessä oli ongelma. Tämä korjattiin parantamalla maantieteellisen sijainnin pyyntöjen suojausalkuperän tarkistusta.

    CVE-tunnus

    CVE-2016-1779: xisigr – Tencentin Xuanwu Lab (http://www.tencent.com)

  • WebKit

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: haitallinen sivusto saattaa kyetä käyttämään satunnaisten palvelimien rajoitettuja portteja.

    Kuvaus: porttien uudelleenohjauksen ongelma korjattiin porttien lisätarkistuksella.

    CVE-tunnus

    CVE-2016-1782: Muneaki Nishimura (nishimunea) – Recruit Technologies Co. Ltd.

  • WebKit

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: haitallisen URL-osoitteen avaaminen saattaa johtaa arkaluonteisten käyttäjätietojen paljastumiseen.

    Kuvaus: URL-osoitteen uudelleenohjauksessa oli ongelma, kun XSS Auditoria käytettiin estotilassa. Ongelma on ratkaistu parantamalla URL-osoitteisiin siirtymistä.

    CVE-tunnus

    CVE-2016-1864: Takeshi Terada – Mitsui Bussan Secure Directions, Inc.

  • WebKitin historia

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: haitallisen verkkosisällön käsittely saattaa johtaa Safarin kaatumiseen.

    Kuvaus: resurssien loppumisen ongelma korjattiin annettujen tietojen parannetulla tarkistuksella.

    CVE-tunnus

    CVE-2016-1784: Moony Li ja Jack Tang – TrendMicro sekä 李普君 – 无声信息技术PKAV Team (PKAV.net)

  • WebKitin sivun lataaminen

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: haitallisella verkkosivustolla käynti saattoi aiheuttaa käyttöliittymän väärentämisen.

    Kuvaus: uudelleenohjausvastaukset saattoivat antaa haitalliselle sivustolle oikeuden näyttää satunnainen URL-osoite sekä lukea alkuperäisen kohteen välimuistin sisältöä. Tämä ongelma on ratkaistu parantamalla URL-osoitteiden näyttämisen logiikkaa.

    CVE-tunnus

    CVE-2016-1786: ma.la – LINE Corporation

  • WebKitin sivun lataaminen

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: haitallinen verkkosivusto saattoi vuotaa tietoja eri alkuperien kesken.

    Kuvaus: merkkien koodauksessa oli välimuistiin tallentamisen ongelma. Tämä on korjattu pyyntöjen lisätarkistuksilla.

    CVE-tunnus

    CVE-2016-1785: nimetön tutkija

  • Wi-Fi

    Saatavuus: iPhone 4s tai uudemmat, iPod touch (5. sukupolvi tai uudemmat) ja iPad 2 tai uudemmat.

    Vaikutus: oikeudet omaavassa verkkoasemassa ollut hyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia.

    Kuvaus: tietyllä EtherType-kohteella oli kehysten vahvistamisen ja muistin vioittumisen ongelma. Tämä ongelma on korjattu EtherType-kohteen lisätarkistuksella ja parannetulla muistin käsittelyllä.

    CVE-tunnus

    CVE-2016-0801: nimetön tutkija

    CVE-2016-0802: nimetön tutkija

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: