Tietoja iOS 9.3.3:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 9.3.3:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

iOS 9.3.3

Julkaistu 18.7.2016

Kalenteri

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: Haitallinen kalenterikutsu voi aiheuttaa laitteen odottamattoman uudelleenkäynnistyksen.

Kuvaus: Nollaosoittimen epäviittaus korjattiin parantamalla muistin käsittelyä.

CVE-2016-4605: Henry Feldman MD (Beth Israel Deaconess Medical Centerissä)

CFNetwork-tunnistetiedot

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.

Kuvaus: Avainnippuun tallennettujen HTTP-todennuksen tunnistetietojen suojaustason heikentämiseen liittyi ongelma. Ongelma ratkaistiin tallentamalla todennustyypit tunnistetietojen kanssa.

CVE-2016-4644: Jerry Decime CERTin koordinoimana

CFNetwork-välipalvelimet

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.

Kuvaus: 407-vastausten jäsentämisessä oli tarkistamisongelma. Ongelma on ratkaistu parantamalla vastausten tarkistamista.

CVE-2016-4643: Xiaofeng Zheng (Blue Lotus Team), Tsinghua University; Jerry Decime CERTin koordinoimana

CFNetwork-välipalvelimet

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: Appi saattoi vahingossa lähettää salasanan verkon kautta salaamattomana.

Kuvaus: Välipalvelimen todennus ilmoitti virheellisesti, että HTTP-välipalvelimet ovat vastaanottaneet tunnistetiedot suojattuina. Ongelma on ratkaistu parantamalla varoituksia.

CVE-2016-4642: Jerry Decime CERTin koordinoimana

CoreGraphics

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: Etähyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4637: Cisco Talosin Tyler Bohan (talosintel.com/vulnerability-reports)

FaceTime

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi saada välitetyn puhelun jatkamaan äänen lähettämistä, vaikka näytti, että puhelu oli jo päättynyt.

Kuvaus: Välitettyjen puheluiden käsittelyyn liittyi käyttöliittymän ristiriitaisuuksia. Ongelmat on ratkaistu parantamalla FaceTimen näyttölogiikkaa.

CVE-2016-4635: Martin Vigo

GasGauge

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Kernelissä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-7576: qwertyoruiop

Kohta lisätty 27.9.2016

ImageIO

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4632: Evgeny Sidorov (Yandex)

ImageIO

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: Etähyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4631: Cisco Talosin Tyler Bohan (talosintel.com/vulnerability-reports)

ImageIO

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-7705: Craig Young (Tripwire VERT)

Kohta lisätty 30.11.2017

IOAcceleratorFamily

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan kernel-muistia.

Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.

CVE-2016-4628: Ju Zhu (Trend Micro)

IOAcceleratorFamily

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.

Kuvaus: Nollaosoittimen epäviittaus korjattiin parantamalla tarkistusta.

CVE-2016-4627: Ju Zhu (Trend Micro)

IOHIDFamily

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.

Kuvaus: Nollaosoittimen epäviittaus korjattiin annettujen tietojen parannetulla tarkistuksella.

CVE-2016-4626: Stefan Esser (SektionEins)

Kernel

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-1863: Ian Beer (Google Project Zero)

CVE-2016-4653: Ju Zhu (Trend Micro)

CVE-2016-4582: Shrek_wzw ja Proteas (Qihoo 360 Nirvan Team)

Kernel

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän palveluneston.

Kuvaus: Nollaosoittimen epäviittaus korjattiin annettujen tietojen parannetulla tarkistuksella.

CVE-2016-1865: CESG, Marco Grassi (@marcograss) (KeenLab, @keen_lab), Tencent

Libc

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: Etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: linkaddr.c:n link_ntoa()-toiminnossa oli puskurin ylivuoto. Ongelma ratkaistiin rajojen lisätarkistuksella.

CVE-2016-6559: Apple

Kohta lisätty 10.1.2017

libxml2

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: libxml2:ssa oli useita haavoittuvuuksia.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2015-8317: Hanno Boeck

CVE-2016-1836: Wei Lei ja Liu Yang (Nanyang Technological University)

CVE-2016-4447: Wei Lei ja Liu Yang (Nanyang Technological University)

CVE-2016-4448: Apple

CVE-2016-4483: Gustavo Grieco

CVE-2016-4614: Nick Wellnhofer

CVE-2016-4615: Nick Wellnhofer

CVE-2016-4616: Michael Paddon

Kohta päivitetty 4.6.2017

libxml2

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: Haitallisen XML-dokumentin jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.

Kuvaus: Haitallisten XML-tiedostojen jäsennyksessä oli käyttöongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2016-4449: Kostya Serebryany

libxslt

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: libxslt:ssä oli useita haavoittuvuuksia.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-1683: Nicolas Grégoire

CVE-2016-1684: Nicolas Grégoire

CVE-2016-4607: Nick Wellnhofer

CVE-2016-4608: Nicolas Grégoire

CVE-2016-4609: Nick Wellnhofer

CVE-2016-4610: Nick Wellnhofer

Kohta päivitetty 11.4.2017

Safari

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa käyttöliittymän väärentämisen.

Kuvaus: Uudelleenohjausvastaukset viallisiin portteihin on saattanut mahdollistaa sen, että haitallinen verkkosivusto näyttää satunnaisen domainin ja satunnaista sisältöä. Ongelma on ratkaistu parantamalla URL-osoitteiden näyttölogiikkaa.

CVE-2016-4604: xisigr (Tencentin Xuanwu Lab, www.tencent.com)

Eristysprofiilit

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: Paikallinen appi saattoi pystyä käyttämään prosessiluetteloa.

Kuvaus: Etuoikeutetuissa API-kutsuissa oli käyttöoikeusongelma. Ongelma on ratkaistu lisäämällä rajoituksia.

CVE-2016-4594: Stefan Esser (SektionEins)

Siri-yhteystiedot

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: Henkilö, joka pääsee käsiksi laitteeseen, saattoi pystyä tarkastelemaan yksityisiä yhteystietoja.

Kuvaus: Tietosuojaongelma ilmeni yhteystietokorttien käsittelyn yhteydessä. Tämä on ratkaistu parantamalla tilanhallintaa.

CVE-2016-4593: Pedro Pinheiro (facebook.com/pedro.pinheiro.1996)

Verkkomedia

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: Videon katselu Safarin yksityisessä selaustilassa näyttää videon URL-osoitteen yksityisen selaustilan ulkopuolella.

Kuvaus: Tietosuojaongelma ilmeni, kun Safari View Controller käsitteli käyttäjän tietoja. Ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2016-4603: Brian Porter (@portex33)

WebKit

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: Muistin alustamisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4587: Apple

WebKit

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: Haitallisella verkkosivustolla käynti saattoi paljastaa toiselta verkkosivustolta peräisin olevia kuvatietoja.

Kuvaus: Ajastusongelma ilmeni SVG:n käsittelyn aikana. Ongelma on ratkaistu parantamalla validointia.

CVE-2016-4583: Roeland Krak

WebKit

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: Haitallisella verkkosivustolla käynti saattoi vuotaa arkaluontoisia tietoja.

Kuvaus: Sijaintimuuttujan käsittelyssä ilmeni lupaongelma. Se on korjattu omistajuuden lisätarkistuksilla.

CVE-2016-4591: ma.la (LINE Corporation)

WebKit

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4589: Tongbo Luo ja Bo Qu (Palo Alto Networks)

CVE-2016-4622: Trend Micron Zero Day Initiativen parissa työskentelevä Samuel Gross

CVE-2016-4623: Apple

CVE-2016-4624: Apple

WebKit

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa käyttöliittymän väärentämisen.

Kuvaus: Alkuperän periytymisongelma ilmeni URL-osoitteiden tietojen jäsennyksessä. Ongelma on ratkaistu parantamalla suojauksen alkuperän hyväksyntää.

CVE-2016-4590: xisigr (Tencentin Xuanwu Lab, www.tencent.com)

WebKit

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: Haitallisella verkkosivulla käynti saattoi aiheuttaa järjestelmän palveluneston.

Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4592: Mikhail

WebKitin JavaScript-sidonnat

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: Haitallisella verkkosivustolla käynti voi aiheuttaa komentosarjan suorituksen muun kuin HTTP-palvelun yhteydessä.

Kuvaus: Protokollien välinen komentosarjaongelma (XPXSS) ilmeni Safarissa, kun lomakkeita lähetettiin muuhun kuin HTTP-palveluihin, jotka olivat yhteensopivia HTTP/0.9:n kanssa. Tämä ongelma ratkaistiin poistamalla käytöstä HTTP/0.9:n kautta ladattujen resurssien komentosarjat ja laajennukset.

CVE-2016-4651: Obscure

WebKitin sivun lataaminen

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: Haitallinen verkkosivusto saattoi vuotaa tietoja eri alkuperien kesken.

Kuvaus: Verkostonlaajuinen komentosarjaongelma ilmeni Safarin URL-uudelleenohjauksessa. Ongelma on ratkaistu parantamalla URL-osoitteiden tarkistusta uudelleenohjauksen yhteydessä.

CVE-2016-4585: Takeshi Terada (Mitsui Bussan Secure Directions, Inc., www.mbsd.jp)

WebKitin sivun lataaminen

Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4584: Chris Vienneau

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: