Tietoja iOS 10.2:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 10.2:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

iOS 10.2

Julkaistu 12.12.2016

Käyttöapu

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Lähellä oleva käyttäjä saattoi kuulla puhutut salasanat.

Kuvaus: Salasanojen käsittelyssä ilmeni tietojen paljastumiseen liittyvä ongelma. Ongelma ratkaistiin poistamalla salasanojen puhuminen käytöstä.

CVE-2016-7634: Davut Hari, Biren V. Soni, Cameron Lee

Kohta päivitetty 10.1.2017

Käyttöapu

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, saattoi päästä kuviin ja yhteystietoihin lukitulta näytöltä.

Kuvaus: Lukittua näyttöä koskenut ongelma mahdollisti pääsyn lukitun laitteen kuviin ja yhteystietoihin. Ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.

CVE-2016-7664: Miguel Alvarado (iDeviceHelp)

Tilit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Ilmennyt ongelma ei nollannut valtuutusasetuksia ohjelman asennuksen poistamisen yhteydessä.

Kuvaus: Ongelma on ratkaistu parantamalla siivoamista.

CVE-2016-7651: Ju Zhu ja Lilang Wu (Trend Micro)

Ääni

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2016-7658: Haohao Kong (Tencentin Keen Lab, @keen_lab)

CVE-2016-7659: Haohao Kong (Tencentin Keen Lab, @keen_lab)

Kohta lisätty 13.12.2016

Leikepöytä

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Paikallinen hyökkääjä saattoi pystyä käyttämään leikepöydän sisältöä. 

Kuvaus: Leikepöydän sisältöä saatettiin pystyä käyttämään ennen laitteen lukituksen poistoa. Ongelma on ratkaistu parantamalla tilanhallintaa. 

CVE-2016-7765: CongRong (@Tr3jer)

Kohta päivitetty 17.1.2017

CoreFoundation

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisten merkkijonojen käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Merkkijonojen käsittelyssä oli muistin vioittumisongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

CVE-2016-7663: nimetön tutkija

Kohta lisätty 13.12.2016

CoreGraphics

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen.

Kuvaus: Nollaosoittimen epäviittaus korjattiin annettujen tietojen parannetulla tarkistuksella.

CVE-2016-7627: TRAPMINE Inc. ja Meysam Firouzi @R00tkitSMM

Kohta lisätty 13.12.2016

CoreMedian ulkoiset näytöt

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Paikallinen ohjelma saattoi pystyä suorittamaan mielivaltaista koodia mediaserver-daemonin yhteydessä.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-7655: Trend Micron Zero Day Initiativen parissa työskentelevä Keen Lab

Kohta lisätty 13.12.2016

CoreMedia Playback

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen .mp4-tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-7588: dragonltx (Huawei 2012 Laboratories)

Kohta lisätty 13.12.2016

CoreText

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Fonttitiedostojen käsittelyssä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parannetulla rajojen tarkistamisella.

CVE-2016-7595: riusksk(泉哥) (Tencent Security Platform Department)

Kohta lisätty 13.12.2016

CoreText

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen merkkijonon käsittely saattoi johtaa palvelunestoon.

Kuvaus: Päällekkäisiä alueita näytettäessä ilmenevä ongelma on ratkaistu parantamalla validointia.

CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) (Digital Unit, dgunit.com)

Kohta lisätty 15.12.2016

Levykuvat

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2016-7616: Trend Micron Zero Day Initiativen parissa työskentelevä daybreaker@Minionz

Kohta lisätty 13.12.2016

Etsi iPhoneni

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Lukitsemattoman laitteen haltuunsa saanut hyökkääjä saattoi pystyä poistamaan Etsi iPhoneni -toiminnon käytöstä.

Kuvaus: Todentamistietojen käsittelyssä oli tilan hallintaan liittyvä ongelma.  Ongelma ratkaistiin parantamalla tilitietojen säilytystä.

CVE-2016-7638: nimetön tutkija, Sezer Sakiner

FontParser

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Fonttitiedostojen käsittelyssä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parannetulla rajojen tarkistamisella.

CVE-2016-4691: riusksk(泉哥) (Tencent Security Platform Department)

Kohta lisätty 13.12.2016

Grafiikkaohjain

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen videon katselu saattoi johtaa palvelunestoon.

Kuvaus: Videon käsittelyssä oli palvelunestoon liittyvä ongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2016-7665: Moataz El Gaml (Schlumberger), Daniel Schurter (watson.ch) ja Marc Ruef (scip AG)

Kohta päivitetty 15.12.2016

ICU

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-7594: André Bargull

Kohta lisätty 13.12.2016

Kuvansiirtäjä

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallinen HID-laite saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.

Kuvaus: USB-kuvalaitteiden käsittelyssä oli tarkistusongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2016-4690: Andy Davis (NCC Group)

ImageIO

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Etähyökkääjä saattoi pystyä vuotamaan muistia.

Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.

CVE-2016-7643: Yangkang (@dnpushme) (Qihoo360 Qex Team)

Kohta lisätty 13.12.2016

IOHIDFamily

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Paikallinen ohjelma järjestelmän käyttöoikeuksilla saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2016-7591: daybreaker (Minionz)

Kohta lisätty 13.12.2016

IOKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Ohjelma saattoi pystyä lukemaan kernel-muistia.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2016-7657: Trend Micron Zero Day Initiativen parissa työskentelevä Keen Lab

Kohta lisätty 13.12.2016

IOKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Paikallinen käyttäjä voi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: Jaetun muistin ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-7714: Trend Micron Zero Day Initiativen parissa työskentelevä KeenLabin Qidan He (@flanker_hqd)

Kohta lisätty 25.1.2017

JavaScriptCore

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Komentosarjan suorittaminen JavaScript-eristyksessä saattoi käyttää eristyksen ulkopuolista tilaa.

Kuvaus: JavaScriptin käsittelyssä oli validointiongelma. Ongelma on ratkaistu parantamalla validointia.

CVE-2016-4695: Mark S. Miller (Google)

Kohta lisätty 16.8.2017

Kernel

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla. 

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2016-7606: @cocoahuke, Chen Qin (Topsec Alpha Team, topsec.com)

CVE-2016-7612: Ian Beer (Google Project Zero)

Kohta lisätty 13.12.2016

Kernel

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Ohjelma saattoi pystyä lukemaan kernel-muistia.

Kuvaus: Riittämättömän alustuksen ongelma ratkaistiin alustamalla käyttäjätilaan palautettava muisti asianmukaisesti.

CVE-2016-7607: Brandon Azad

Kohta lisätty 13.12.2016

Kernel

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän palveluneston.

Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-7615: Ison-Britannian National Cyber Security Centre (NCSC)

Kohta lisätty 13.12.2016

Kernel

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä.

Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2016-7621: Ian Beer (Google Project Zero)

Kohta lisätty 13.12.2016

Kernel

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Paikallinen käyttäjä saattoi saada pääkäyttöoikeudet.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2016-7637: Ian Beer (Google Project Zero)

Kohta lisätty 13.12.2016

Kernel

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Paikallinen ohjelma järjestelmän käyttöoikeuksilla saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2016-7644: Ian Beer (Google Project Zero)

Kohta lisätty 13.12.2016

Kernel

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Ohjelma saattoi aiheuttaa palveluneston.

Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-7647: Lufeng Li (Qihoo 360 Vulcan Team)

Kohta lisätty 17.5.2017

Kernel

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haittaohjelma saattoi päästä käyttämään laitteen MAC-osoitetta.

Kuvaus: Käyttöoikeusongelma korjattiin lisäämällä eristämisrajoituksia muiden valmistajien ohjelmille.

CVE-2016-7766: Jun Yang(杨君) (Tencentin WeiXin Group)

Kohta lisätty 31.5.2017

libarchive

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Paikallinen hyökkääjä saattoi pystyä korvaamaan olemassa olevia tiedostoja.

Kuvaus: Symbolisten linkkien käsittelyssä oli tarkistamisongelma. Ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2016-7619: nimetön tutkija

Kohta lisätty 13.12.2016

Paikallinen todennus

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Käyttämättä ollut laite ei ehkä lukinnut näyttöä aikakatkaisun jälkeen.

Kuvaus: Käyttämättömyysajastimen käsittelyssä oli logiikkaongelma, kun Touch ID -kehote näytettiin. Ongelma on ratkaistu parantamalla käyttämättömyysajastimen käsittelyä.

CVE-2016-7601: nimetön tutkija

Mail

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Mitätöidyllä varmenteella allekirjoitettu sähköpostiviesti saattoi vaikuttaa kelvolliselta.

Kuvaus: S/MIME-käytäntö ei tarkistanut, onko varmenne kelvollinen.  Ongelma ratkaistiin ilmoittamalla käyttäjälle, jos sähköpostiviesti on allekirjoitettu mitätöidyllä varmenteella.

CVE-2016-4689: nimetön tutkija

Mediasoitin

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Käyttäjä saattoi pystyä tarkastelemaan kuvia ja yhteystietoja lukitulta näytöltä.

Kuvaus: Mediavalinnan käsittelyssä oli tarkistamisongelma. Ongelma on ratkaistu parantamalla validointia.

CVE-2016-7653

Virranhallinta

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Paikallinen käyttäjä saattoi saada pääkäyttöoikeudet.

Kuvaus: Mach-porttien nimiviittausten ongelma on ratkaistu parantamalla validointia.

CVE-2016-7661: Ian Beer (Google Project Zero)

Kohta lisätty 13.12.2016

Profiilit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen varmenteen avaaminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Varmenneprofiilien käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)

Safari-lukija

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Safari-lukijan käyttöönotto haitallisella verkkosivulla saattoi johtaa yleiseen sivustojenväliseen komentosarjahyökkäykseen.

Kuvaus: Useita validointiongelmia korjattiin parantamalla annettujen tietojen puhdistamista.

CVE-2016-7650: Erling Ellingsen

Kohta lisätty 13.12.2016

Suojaus

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Hyökkääjä saattoi pystyä hyödyntämään 3DES-salausalgoritmin heikkouksia.

Kuvaus: 3DES poistettiin käytöstä oletussalauksena.

CVE-2016-4693: Gaëtan Leurent ja Karthikeyan Bhargavan (INRIA Paris)

Kohta lisätty 13.12.2016

Suojaus

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: OCSP-vastaajapalvelun URL-osoitteiden käsittelyssä oli tarkistusongelma. Ongelma ratkaistiin varmistamalla OCSP:n kumoamisen tila CA-validoinnin jälkeen ja rajoittamalla OCSP-pyyntöjä varmennetta kohti.

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

Kohta lisätty 13.12.2016

Suojaus

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Varmenteet saatettiin odottamatta arvioida luotettaviksi.

Kuvaus: Varmenteiden validoinnissa esiintyi varmenteen arviointiin liittyvä ongelma. Ongelma on ratkaistu varmenteiden lisätarkistuksella.

CVE-2016-7662: Apple

Kohta lisätty 13.12.2016

SpringBoard

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, saattoi pystyä avaamaan laitteen lukituksen.

Kuvaus: Pääsykoodiyritysten käsittelyssä saattoi esiintyä laskuriongelma, kun pääsykoodia nollattiin. Tämä on ratkaistu parantamalla tilanhallintaa.

CVE-2016-4781: nimetön tutkija

SpringBoard

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, saattoi pystyä pitämään laitteen lukitsemattomana.

Kuvaus: Handoffin käsittelyssä Sirin kanssa oli puhdistusongelma.  Tämä on ratkaistu parantamalla tilanhallintaa.

CVE-2016-7597: nimetön tutkija

syslog

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Paikallinen käyttäjä saattoi saada pääkäyttöoikeudet.

Kuvaus: Mach-porttien nimiviittausten ongelma on ratkaistu parantamalla validointia.

CVE-2016-7660: Ian Beer (Google Project Zero)

Kohta lisätty 13.12.2016

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4692: Apple

CVE-2016-7635: Apple

CVE-2016-7652: Apple

Kohta lisätty 13.12.2016

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa prosessimuistin paljastumiseen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2016-4743: Alan Cutter

Kohta lisätty 13.12.2016

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa käyttäjätietojen paljastumiseen.

Kuvaus: Tarkistusongelma on korjattu parantamalla tilanhallintaa.

CVE-2016-7586: Boris Zbarsky

Kohta lisätty 13.12.2016

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla tilan hallintaa.

CVE-2016-7587: Adam Klein

CVE-2016-7610: Trend Micron Zero Day Initiativen parissa työskentelevä Zheng Huang (Baidu Security Lab)

CVE-2016-7611: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön tutkija

CVE-2016-7639: Tongbo Luo (Palo Alto Networks)

CVE-2016-7640: Kai Kang (Tencentin Xuanwu Lab, tencent.com)

CVE-2016-7641: Kai Kang (Tencentin Xuanwu Lab, tencent.com)

CVE-2016-7642: Tongbo Luo (Palo Alto Networks)

CVE-2016-7645: Kai Kang (Tencentin Xuanwu Lab, tencent.com)

CVE-2016-7646: Kai Kang (Tencentin Xuanwu Lab, tencent.com)

CVE-2016-7648: Kai Kang (Tencentin Xuanwu Lab, tencent.com)

CVE-2016-7649: Kai Kang (Tencentin Xuanwu Lab, tencent.com)

CVE-2016-7654: Trend Micron Zero Day Initiativen parissa työskentelevä Keen Lab

Kohta lisätty 13.12.2016

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Muistin vioittumisongelmia on ratkaistu parantamalla tilan hallintaa.

CVE-2016-7589: Apple

CVE-2016-7656: Trend Micron Zero Day Initiativen parissa työskentelevä Keen Lab

Kohta lisätty 13.12.2016

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi vaarantaa käyttäjätiedot.

Kuvaus: JavaScript-kehotteiden käsittelyssä oli ongelma. Tämä on ratkaistu parantamalla tilanhallintaa.

CVE-2016-7592: xisigr (Tencentin Xuanwu Lab, tencent.com)

Kohta lisätty 13.12.2016

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa prosessimuistin paljastumiseen.

Kuvaus: Alustamattoman muistin käyttöongelma ratkaistiin parantamalla muistin alustamista.

CVE-2016-7598: Samuel Groß

Kohta lisätty 13.12.2016

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa käyttäjätietojen paljastumiseen.

Kuvaus: HTTP-uudelleenohjausten käsittelyssä oli ongelma. Ongelma on ratkaistu parantamalla eri alkuperien tarkistusta.

CVE-2016-7599: Muneaki Nishimura (nishimunea) (Recruit Technologies Co., Ltd.)

Kohta lisätty 13.12.2016

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisella verkkosivustolla käyminen saattoi vaarantaa käyttäjätiedot.

Kuvaus: Blob URL -osoitteiden käsittelyssä oli ongelma.  Ongelma korjattiin parantamalla URL-osoitteiden käsittelyä.

CVE-2016-7623: xisigr (Tencentin Xuanwu Lab, tencent.com)

Kohta lisätty 13.12.2016

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisella verkkosivulla käynti saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelmia on ratkaistu parantamalla tilan hallintaa.

CVE-2016-7632: Jeonghoon Shin

Kohta lisätty 13.12.2016

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa sivustojenväliseen komentosarjahyökkäykseen.

Kuvaus: Dokumenttien näyttämisessä Safarissa oli ongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2016-7762: YongShao (Zhiyong Feng, JDSEC 1aq.com‍)

Kohta lisätty 24.1.2017

WebSheet

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.

Kuvaus: Eristyskierto-ongelma korjattiin lisäämällä rajoituksia.

CVE-2016-7630: Trend Micron Zero Day Initiativen parissa työskentelevä Marco Grassi (@marcograss) (KeenLab (@keen_lab) Tencent)

Kohta lisätty 25.1.2017

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: