Tietoja iOS 10:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 10:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

iOS 10

Julkaistu 13.9.2016

AppleMobileFileIntegrity

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Paikallinen ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Tehtäväportin periytymiskäytännössä oli tarkistusongelma. Ongelma on ratkaistu parantamalla prosessin valtuutuksen ja ryhmätunnuksen tarkistusta.

CVE-2016-4698: Pedro Vilaça

Kohta lisätty 20.9.2016

Resurssit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Oikeudet omaavassa verkkoasemassa ollut hyökkääjä saattoi pystyä estämään laitetta vastaanottamasta ohjelmistopäivityksiä.

Kuvaus: iOS-päivityksissä oli ongelma, jonka vuoksi käyttäjän tietoliikennettä ei suojattu oikein. Ongelma korjattiin ottamalla käyttöön ohjelmistopäivityksissä HTTPS-protokolla.

CVE-2016-4741: Raul Siles (DinoSec)

Ääni

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Etähyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park, ja Taekyoung Kwon (Information Security Lab), Yonsei University

Kohta lisätty 20.9.2016

Varmenteiden luottamuskäytäntö

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Varmenteiden luottamuskäytäntö on päivitetty.

Kuvaus: Varmenteiden luottamuskäytäntö on päivitetty. Luettelo varmenteista on osoitteessa https://support.apple.com/fi-fi/HT204132.

Kohta lisätty 20.9.2016

CFNetwork

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Paikallinen käyttäjä saattoi löytää verkkosivustot, joilla käyttäjä oli vieraillut.

Kuvaus: Paikallisen tallennustilan poistamisessa oli ongelma. Ongelma on ratkaistu parantamalla paikallisen tallennuksen puhdistusta.

CVE-2016-4707: nimetön tutkija

Kohta lisätty 20.9.2016

CFNetwork

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi vaarantaa käyttäjätiedot.

Kuvaus: Set-cookie-otsakkeen jäsennyksen aikana esiintyi annettujen tietojen tarkistusongelma. Ongelma on ratkaistu parantamalla varmennuksen tarkistamista.

CVE-2016-4708: Dawid Czagan (Silesia Security Lab)

Kohta lisätty 20.9.2016

CommonCrypto

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: CCrypt-työkalua käyttävä ohjelma saattoi paljastaa arkaluontoisia, salaamattomassa muodossa olevia tietoja, jos tuotos- ja syöttöpuskurit olivat samat.

Kuvaus: Corecryptossa oli annettujen tietojen tarkistusongelma. Ongelma on ratkaistu parantamalla annettujen tietojen tarkistusta.

CVE-2016-4711: Max Lohrmann

Kohta lisätty 20.9.2016

CoreCrypto

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia.

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu poistamalla haavoittuva koodi.

CVE-2016-4712: Gergo Koteles

Kohta lisätty 20.9.2016

FontParser

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: Fonttitiedostojen käsittelyssä oli puskurin ylivuoto.

Ongelma ratkaistiin parantamalla rajojen tarkistusta.

CVE-2016-4718: Apple

Kohta lisätty 20.9.2016

Paikannuspalvelut

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Ohjelma saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: PlaceData-paikkatiedoissa oli käyttöoikeusongelma. Ongelma on ratkaistu parantamalla käyttöoikeuden tarkistamista.

CVE-2016-4719: Razvan Deaconescu, Mihai Chiroiu (Universitatea Politehnica din Bucuresti); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

IDS – yhdistettävyys

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Kutsunvälityksen käsittelyssä oli väärennysongelma. Ongelma on ratkaistu parantamalla annettujen tietojen tarkistusta.

CVE-2016-4722: Martin Vigo (@martin_vigo) (salesforce.com)

Kohta lisätty 20.9.2016

IOAcceleratorFamily

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Nollaosoittimen epäviittaus korjattiin annettujen tietojen parannetulla tarkistuksella.

CVE-2016-4724: Cererdlong, Eakerqiu (Team OverSky)

Kohta lisätty 20.9.2016

IOAcceleratorFamily

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa prosessimuistin paljastumiseen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla muistin tarkistusta.

CVE-2016-4725: Rodger Combs – Plex, Inc.

Kohta lisätty 20.9.2016

IOAcceleratorFamily

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4726: nimetön tutkija

Kohta lisätty 20.9.2016

Kernel

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Paikallinen ohjelma saattoi pystyä käyttämään rajoitettuja tiedostoja.

Kuvaus: Hakemistopolkujen käsittelyn jäsentämisongelma on ratkaistu parantamalla polkujen tarkistusta.

CVE-2016-4771: Balazs Bucsay, tutkimusjohtaja (MRG Effitas)

Kohta lisätty 20.9.2016

Kernel

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palvelun eston.

Kuvaus: Lukituksen käsittelyn ongelma on ratkaistu parantamalla lukituksen käsittelyä.

CVE-2016-4772: Marc Heuse (mh-sec)

Kohta lisätty 20.9.2016

Kernel

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Ohjelma saattoi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: Useat rajojen ulkopuolisen lukemisen ongelmat saattoivat johtaa kernel-muistin paljastumiseen. Ongelmat on ratkaistu parantamalla annettujen tietojen tarkistusta.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Kohta lisätty 20.9.2016

Kernel

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Ei-luotetun osoittimen epäviittaus ratkaistiin poistamalla kyseinen koodi.

CVE-2016-4777: Lufeng Li (Qihoo 360 Vulcan Team)

Kohta lisätty 20.9.2016

Kernel

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4778: CESG

Kohta lisätty 20.9.2016

Näppäimistöt

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Näppäimistön automaattisen korjauksen ehdotukset saattoivat paljastaa arkaluonteisia tietoja.

Kuvaus: iOS-näppäimistö tallensi tahattomasti arkaluonteisia tietoja välimuistiin. Ongelma on ratkaistu parantamalla heuristiikkaa.

CVE-2016-4746: Antoine M (France)

libxml2

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Libxml2:ssa oli useita ongelmia, joista merkittävin saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

Kohta lisätty 20.9.2016

libxslt

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4738: Nick Wellnhofer

Kohta lisätty 20.9.2016

Mail

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Oikeudet omaavassa verkkoasemassa ollut hyökkääjä saattoi pystyä sieppaamaan postitunnistetiedot

Kuvaus: Ei-luotettujen varmenteiden käsittelyssä oli ongelma. Ongelma korjattiin päättämällä yhteydet, joihin ei luoteta.

CVE-2016-4747: Dave Aitel

Viestit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Viestit voivat olla näkyvissä laitteessa, jossa Viestit-ohjelmaan ei ole kirjauduttu.

Kuvaus: Handoffin käytössä Viestit-ohjelman kanssa oli ongelma. Ongelma korjattiin parantamalla tilahallintaa.

CVE-2016-4740: Step Wallace

Tulostamisen UIKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Salaamaton dokumentti saatetaan kirjoittaa tilapäiseen tiedostoon, kun käytetään AirPrintin esikatselua.

Kuvaus: AirPrint-esikatselussa oli ongelma. Ongelma on ratkaistu parantamalla ympäristön siivoamista.

CVE-2016-4749: nimetön tutkija

S2-kamera

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4750: Trend Micron Zero Day Initiativen parissa työskentelevä Jack Tang (@jacktang310) ja Moony Li (Trend Micro)

Kohta lisätty 20.9.2016

Safari-lukija

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Safari-lukijan käyttöönotto haitallisella verkkosivulla saattoi johtaa yleiseen sivustojenväliseen komentosarjahyökkäykseen.

Kuvaus: Useita validointiongelmia korjattiin parantamalla syötön validointia.

CVE-2016-4618: Erling Ellingsen

Merkintä lisätty 20.9.2016 ja päivitetty 23.9.2016.

Eristysprofiilit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallinen ohjelma saattoi pystyä päättelemään, kenelle käyttäjä lähettää tekstiviestejä.

Kuvaus: Tekstiviestiluonnosten hakemistoissa oli käyttöoikeusongelma. Se korjattiin estämällä ohjelmia ilmoittamasta kyseisiä hakemistoja.

CVE-2016-4620 : Razvan Deaconescu, Mihai Chiroiu (Universitatea Politehnica din Bucuresti); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Suojaus

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Allekirjoitetuissa levytiedostoissa esiintyi tarkistusongelma. Ongelma on ratkaistu parantamalla koon tarkistusta.

CVE-2016-4753: Mark Mentovai (Google Inc.)

Kohta lisätty 20.9.2016

Springboard

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Arkaluontoisia tietoja saattoi paljastua Task Switcherissä esitetyissä ohjelmatilannevedoksissa.

Kuvaus: Springboardissa oli ongelma, jonka vuoksi arkaluontoisia tietoja sisältäviä, välimuistiin tallennettuja tilannevedoksia näytettiin Task Switcherissä. Ongelma korjattiin näyttämällä päivitettyjä tilannevedoksia.

CVE-2016-7759: Fatma Yılmaz (Ptt Genel Müdürlüğü), Ankara

Kohta lisätty 17.1.2017

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Prototyyppivirheiden käsittelyssä oli jäsennysvirhe. Ongelma on ratkaistu parantamalla tarkistusta.

CVE-2016-4728: Daniel Divricean

Kohta lisätty 20.9.2016

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisella verkkosivustolla käynti saattoi vuotaa arkaluontoisia tietoja.

Kuvaus: Sijaintimuuttujan käsittelyssä oli käyttöoikeusongelma. Se on korjattu omistajuuden lisätarkistuksilla.

CVE-2016-4758: Masato Kinugawa (Cure53)

Kohta lisätty 20.9.2016

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4611: Apple

CVE-2016-4729: Apple

CVE-2016-4730: Apple

CVE-2016-4731: Apple

CVE-2016-4734: Natalie Silvanovich (Google Project Zero)

CVE-2016-4735: André Bargull

CVE-2016-4737: Apple

CVE-2016-4759: Tongbo Luo (Palo Alto Networks)

CVE-2016-4762: Zheng Huang (Baidu Security Lab)

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön henkilö

Kohta lisätty 20.9.2016

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallinen verkkosivusto saattaa käyttää muita kuin HTTP-yhteyspalveluja.

Kuvaus: Safarin HTTP/0.9-tuki salli protokollien välisen muiden kuin HTTP-yhteyspalvelujen hyväksikäytön DNS rebinding -hyökkäystekniikkaa käyttämällä. Ongelma on ratkaistu rajoittamalla HTTP/0.9-vastaukset oletusportteihin ja peruuttamalla resurssien lataamisia, jos asiakirja oli ladattu eri HTTP-protokollaversiolla.

CVE-2016-4760: Jordan Milne

Kohta lisätty 20.9.2016

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla tilan hallintaa.

CVE-2016-4733: Natalie Silvanovich (Google Project Zero)

CVE-2016-4765: Apple

Kohta lisätty 20.9.2016

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Etuoikeutetussa asemassa oleva hyökkääjä voi siepata ja ohjata verkon liikennettä sovelluksiin, jotka käyttävät WKWebView:tä HTTPS-yhteydellä.

Kuvaus: WKWebView:n käsittelyssä oli varmenteiden tarkistamisongelma. Ongelma on ratkaistu parantamalla validointia.

CVE-2016-4763: nimetön tutkija

Kohta lisätty 20.9.2016

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla tilan hallintaa.

CVE-2016-4764: Apple

Kohta lisätty 3.11.2016

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: