Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. For å finne ut mer om Apple Produktsikkerhet går du til Apple Produktsikkerhet.
For å finne ut mer om PGP-nøkkelen fra Apple Produktsikkerhet går du til Slik bruker du PGP-nøkkelen fra Apple Produktsikkerhet.
Der det er mulig brukes CVE-IDer som referanse til sårbarheter for ytterligere informasjon.
For å finne ut mer om sikkerhetsoppdateringer går du til Apple Sikkerhetsoppdateringer.
iOS 8.3
- AppleKeyStore
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan være i stand til å gjette brukerens sikkerhetskode
Beskrivelse: iOS ga tilgang til et grensesnitt som tillot forsøk på å bekrefte brukerens sikkerhetskode. Problemet ble løst gjennom forbedret kontroll av berettigelse.
CVE-ID
CVE-2015-1085: Elias Limneos
Oppføring oppdatert 17. mai 2017
- Lyddrivere
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et valideringsproblem i IOKit-objekter som brukes av en lyddriver. Problemet ble løst gjennom forbedret validering av metadata.
CVE-ID
CVE-2015-1086
- Sikkerhetskopiering
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper kan være i stand til å bruke sikkerhetskopieringssystemet til å få tilgang til områder av filsystemet med begrenset tilgang
Beskrivelse: Det var et problem i den relative banevurderingslogikken til sikkerhetskopieringssystemet. Problemet ble løst gjennom forbedret banevurdering.
CVE-ID
CVE-2015-1087: TaiG Jailbreak Team
- Retningslinjer for sertifikatgodkjenning
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Oppdatering av retningslinjer for sertifikatgodkjenning
Beskrivelse: Retningslinjene for sertifikatgodkjenning ble oppdatert. Den komplette listen over sertifikater kan vises på https://support.apple.com/no-no/HT204132
- CFNetwork
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Infokapsler som tilhører ett opphav kan bli sendt til et annet opphav
Beskrivelse: Det var et problem med infokapsler på tvers av domener i håndteringen av omdirigering. Infokapsler som var angitt i en omdirigeringsrespons, kunne bli sendt til et omdirigeringsmål som tilhørte et annet opphav. Problemet ble løst gjennom forbedret håndtering av omdirigering.
CVE-ID
CVE-2015-1089 : Niklas Keller (http://kelunik.com)
- CFNetwork
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En bruker kan kanskje ikke slette nettlesingsloggen fullstendig
Beskrivelse: Fjerning av Safaris historikk fjernet ikke arkivert HTTP Strict Transport Security-tilstand. Problemet ble løst gjennom forbedret datasletting.
CVE-ID
CVE-2015-1090
- CFNetwork-økt
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Godkjenningsakkreditiver kan bli sendt til en tjener med et annet opphav
Beskrivelse: Det var et problem med HTTP-forespørselshoder på tvers av domener i håndteringen av omdirigering. HTTP-forespørselshoder som ble sendt i en omdirigeringsrespons, kunne bli sendt til et annet opphav. Problemet ble løst gjennom forbedret håndtering av omdirigeringer.
CVE-ID
CVE-2015-1091: Diego Torres (http://dtorres.me)
- CFURL
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres
Beskrivelse: Det var et problem med validering av inndata i URL-behandlingen. Problemet ble løst gjennom forbedret URL-validering.
CVE-ID
CVE-2015-1088
- Foundation
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et program som bruker NSXMLParser, kan misbrukes til å avdekke informasjon
Beskrivelse: Det var et XML External Entity-problem i NSXMLParsers håndtering av XML. Problemet ble løst ved ikke å laste inn eksterne objekter på tvers av opphav.
CVE-ID
CVE-2015-1092: Ikuya Fukumoto
- FontParser
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Det var flere problemer med ødelagt minne i behandlingen av fontfiler. Problemene ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2015-1093: Marc Schoenefeld
- IOAcceleratorFamily
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet
Beskrivelse: Det var et problem i IOAcceleratorFamily som førte til avdekking av innhold i kjerneminnet. Problemet ble løst ved å fjerne unødvendig kode.
CVE-ID
CVE-2015-1094: Cererdlong i Alibaba Mobile Security Team
- IOHIDFamily
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En skadelig HID-enhet kan føre til utføring av vilkårlig kode
Beskrivelse: Det var et problem med ødelagt minne i et IOHIDFamily API. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-1095: Andrew Church
- IOHIDFamily
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet
Beskrivelse: Det var et problem i IOHIDFamily som førte til avdekking av innhold i kjerneminnet. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2015-1096: Ilja van Sprundel i IOActive
- IOMobileFramebuffer
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet
Beskrivelse: Det var et problem i MobileFrameBuffer som førte til avdekking av innhold i kjerneminnet. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2015-1097: Barak Gabai i IBM X-Force Application Security Research Team
- iWork-visning
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Åpning av en skadelig iWork-fil kan føre til utføring av vilkårlig kode
Beskrivelse: Det var et problem med ødelagt minne i håndteringen av iWork-filer. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-1098: Christopher Hickstein
- Kjerne
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan forårsake systemnekting av tjeneste
Beskrivelse: Det var en race-tilstand i kjernens setreuid-systemkall. Problemet ble løst ved forbedret tilstandshåndtering.
CVE-ID
CVE-2015-1099: Mark Mentovai i Google Inc.
- Kjerne
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan eskalere rettigheter ved bruk av en kompromittert tjeneste som var tenkt kjørt med reduserte rettigheter
Beskrivelse: setreuid- og setregid-systemkallene fikk ikke sluppet rettigheter permanent. Problemet ble løst ved å slippe rettigheter riktig.
CVE-ID
CVE-2015-1117: Mark Mentovai i Google Inc.
- Kjerne
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan være i stand til å forårsake uventet systemavslutning eller lesing av kjerneminne
Beskrivelse: Det var et problem med tilgang til minne utenfor grensene i kjernen. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-1100: Maxime Villard i m00nbsd
- Kjerne
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med skadet minne i kjernen. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-1101: lokihardt@ASRT som arbeider med HPs Zero Day Initiative
- Kjerne
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å forårsake tjenestenekt
Beskrivelse: Det var en tilstandsinkonsistens i behandlingen av TCP-hoder. Problemet ble løst gjennom forbedret tilstandshåndtering.
CVE-ID
CVE-2015-1102: Andrey Khudyakov og Maxim Zhuravlev ved Kaspersky Lab
- Kjerne
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å omdirigere brukertrafikk til vilkårlige verter
Beskrivelse: ICMP-omdirigering var aktivert som standard i iOS. Problemet ble løst ved å deaktivere ICMP-omdirigering.
CVE-ID
CVE-2015-1103: Zimperium Mobile Security Labs
- Kjerne
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En ekstern angriper kan være i stand til å omgå nettverksfiltre
Beskrivelse: Systemet ville behandle noen IPv6-pakker fra eksterne nettverksgrensesnitt som lokale pakker. Problemet ble løst ved å avvise disse pakkene.
CVE-ID
CVE-2015-1104: Stephen Roettger i Google Security Team
- Kjerne
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En ekstern angriper kan forårsake nekting av tjeneste
Beskrivelse: Det var en tilstandsinkonsistens i håndteringen av TCP-data utenfor frekvensbåndet. Problemet ble løst ved forbedret tilstandshåndtering.
CVE-ID
CVE-2015-1105: Kenton Varda i Sandstorm.io
- Tastaturer
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: QuickType kunne lære brukerens sikkerhetskoder
Beskrivelse: Ved bruk av Bluetooth-tastatur kunne QuickType lære brukerens sikkerhetskoder. Problemet ble løst ved å hindre QuickType i å bli vist på låst skjerm.
CVE-ID
CVE-2015-1106: Jarrod Dwenger, Steve Favorito, Paul Reedy i ConocoPhillips, Pedro Tavares i Molecular Biophysics ved UCIBIO/FCT/UNL, De Paul Sunny, Christian Still i Evolve Media, Canada
- libnetcore
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Behandling av en skadelig konfigurasjonsprofil kan føre til uventet avslutning av programmer
Beskrivelse: Det var et problem med ødelagt minne i håndteringen av konfigurasjonsprofiler. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2015-1118: Zhaofeng Chen, Hui Xue, Yulong Zhang og Tao Wei i FireEye, Inc.
- Låst skjerm
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper i besittelse av en enhet kan hindre sletting av enheten etter mislykkede passordforsøk
Beskrivelse: I noen tilfeller vil en enhet kanskje ikke slette seg selv etter mislykkede forsøk på å oppgi sikkerhetskoden. Problemet ble løst gjennom ekstra håndheving av sletting.
CVE-ID
CVE-2015-1107: Brent Erickson, Stuart Ryan ved University of Technology, Sydney
- Låst skjerm
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper med en enhet kan overskride det maksimale antall mislykkede kodeforsøk
Beskrivelse: I enkelte tilfeller ble ikke grensen for antall mislykkede kodeforsøk håndhevet. Problemet ble løst gjennom ekstra håndheving av denne grensen.
CVE-ID
CVE-2015-1108
- NetworkExtension
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper i besittelse av en enhet kan være i stand til å gjenopprette VPN-akkreditiver
Beskrivelse: Det var et problem med håndteringen av VPN-konfigurasjonslogger. Problemet ble løst ved å fjerne logging av akkreditiver.
CVE-ID
CVE-2015-1109: Josh Tway i IPVanish
- Podkaster
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Unødvendig informasjon kan bli sendt til eksterne tjenere ved nedlasting av podkastressurser
Beskrivelse: Unike identifikatorer ble sendt til eksterne tjenere ved nedlasting av ressurser for en podkast som brukeren abonnerte på. Problemet ble løst ved å fjerne disse identifikatorene.
CVE-ID
CVE-2015-1110: Alex Selivanov
- Safari
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En bruker kan kanskje ikke slette nettlesingsloggen fullstendig
Beskrivelse: Fjerning av Safaris historikk fjernet ikke «Nylig lukkede faner». Problemet ble løst gjennom forbedret datasletting.
CVE-ID
CVE-2015-1111: Frode Moe i LastFriday.no
- Safari
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Brukeres nettleserhistorikk blir kanskje ikke slettet fullstendig
Beskrivelse: Det var et tilstandshåndteringsproblem i Safari som førte til at brukeres nettleserhistorikk ikke ble slettet fra history.plist. Problemet ble løst ved forbedret tilstandshåndtering.
CVE-ID
CVE-2015-1112: William Breuer, Nederland
- Sandkasseprofiler
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan være i stand til å få tilgang til telefonnumre eller e-postadresser til nylige kontakter
Beskrivelse: Det var et problem med avdekking av informasjon i sandkassen for tredjeparts apper. Problemet ble løst ved å forbedre sandkasseprofilen.
CVE-ID
CVE-2015-1113: Andreas Kurtz i NESO Security Labs, Markus Troßbach ved Universitetet i Heilbronn
- Sandkasseprofiler
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Maskinvareidentifikatorer kan være tilgjengelig for tredjeparts apper
Beskrivelse: Det var et problem med avdekking av informasjon i sandkassen for tredjeparts apper. Problemet ble løst ved å forbedre sandkasseprofilen.
CVE-ID
CVE-2015-1114
- Secure Transport
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Behandling av et skadelig X.509-sertifikat kan føre til at et program avsluttes uventet
Beskrivelse: Det var en dereferanse til NULL-peker i håndteringen av X.509-sertifikater. Problemet ble løst gjennom forbedret validering av inndata.
CVE-ID
CVE-2015-1160 : Elisha Eshed, Roy Iarchy og Yair Amit fra Skycure Security Research
- Telefoni
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan være i stand til å få tilgang til begrensede telefonifunksjoner
Beskrivelse: Det var et problem med tilgangskontroll i telefoniundersystemet. Apper i sandkassen fikk tilgang til begrensede telefonifunksjoner. Problemet ble løst gjennom forbedret kontroll av berettigelse.
CVE-ID
CVE-2015-1115: Andreas Kurtz i NESO Security Labs, Markus Troßbach ved Universitetet i Heilbronn
- UIKit-visning
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Sensitive data kan bli eksponert i programbilder som vises i oppgaveveksleren
Beskrivelse: Det var et problem i UIKit, som ikke tonet ned programbilder med sensitive data i oppgaveveksleren. Problemet ble løst gjennom riktig nedtoning av bildene.
CVE-ID
CVE-2015-1116: Mobilappteamet i HP Security Voltage, Aaron Rogers i Mint.com, David Edwards i Tech4Tomorrow, David Zhang i Dropbox
- WebKit
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Inkonsistent brukergrensesnitt kan hindre brukere i å oppdage et phishing-angrep
Beskrivelse: Det var en inkonsistens i brukergrensesnittet i Safari som gjorde det mulig for en angriper å feilrepresentere en URL. Problemet ble løst gjennom forbedret konsistenskontroll i brukergrensesnittet.
CVE-ID
CVE-2015-1084: Apple
- WebKit
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres
Beskrivelse: Det var flere problemer med ødelagt minne i WebKit. Problemene ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-1068: Apple
CVE-2015-1069: lokihardt@ASRT som arbeider med HPs Zero Day Initiative
CVE-2015-1070: Apple
CVE-2015-1071: Apple
CVE-2015-1072
CVE-2015-1073: Apple
CVE-2015-1074: Apple
CVE-2015-1076
CVE-2015-1077: Apple
CVE-2015-1078: Apple
CVE-2015-1079: Apple
CVE-2015-1080: Apple
CVE-2015-1081: Apple
CVE-2015-1082: Apple
CVE-2015-1083: Apple
CVE-2015-1119: Renata Hodovan ved Universitetet i Szeged / Samsung Electronics
CVE-2015-1120: Apple
CVE-2015-1121: Apple
CVE-2015-1122: Apple
CVE-2015-1123: Randy Luecke og Anoop Menon i Google Inc.
CVE-2015-1124: Apple
- WebKit
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til at en bruker utløser et klikk på et annet nettsted
Beskrivelse: Det var et problem i håndteringen av berøringshendelser. Et trykk kunne bli viderebefordret til et annet nettsted. Problemet ble løst gjennom forbedret håndtering av hendelser.
CVE-ID
CVE-2015-1125: Phillip Moon og Matt Weston i www.sandfield.co.nz
- WebKit
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til at man får tilgang til ressurser med et annet opphav
Beskrivelse: Det var et problem i WebKit ved håndtering av akkreditiver i FTP URL-er. Problemet ble løst gjennom forbedret dekoding.
CVE-ID
CVE-2015-1126: Jouko Pynnonen i Klikki Oy
Wi-Fi
Virkning: En brukers passord kan bli sendt til et ikke-godkjent Wi-Fi-tilgangspunkt
Beskrivelse: Skjermen som rapporterer et ikke-godkjent Wi-Fi-sertifikat, hadde bare én knapp som godkjente sertifikatet. En bruker som ikke ønsket å bruke Wi-Fi-tilgangspunktet, måtte ha trykt på Hjem- eller låseknappen for å avslutte skjermen. Problemet ble løst ved å legge til en synlig Avbryt-knapp.
CVE-ID
CVE-2015-5762 : Michael Santos