Om sikkerhetsinnholdet i iOS 9.1
Dette dokumentet beskriver sikkerhetsinnholdet i iOS 9.1.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.
Finn ut mer om PGP-nøkkelen for Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen for Apple Produktsikkerhet.
Der det er mulig brukes CVE-ID-er som referanse til sårbarheter for ytterligere informasjon.
Finn ut mer om andre sikkerhetsoppdateringer på Sikkerhetsoppdateringer fra Apple.
iOS 9.1
Accelerate Framework
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres
Beskrivelse: Det var et problem med ødelagt hukommelse i Accelerate Framework i modus med flere tråder. Problemet ble løst gjennom forbedret validering av tilgangselementer og forbedret objektlåsing.
CVE-ID
CVE-2015-5940: Apple
Bom
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Utpakking av et skadelig arkiv kan føre til at vilkårlig kode utføres
Beskrivelse: Det var en sårbarhet i filtraversering i håndteringen av CPIO-arkiver. Problemet ble løst gjennom forbedret validering av metadata.
CVE-ID
CVE-2015-7006: Mark Dowd fra Azimuth Security
CFNetwork
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til at informasjonskapsler overskrives
Beskrivelse: Det var et problem med parsing ved håndtering av informasjonskapsler med forskjellig bruk av store og små bokstaver. Problemet ble løst gjennom forbedret analyse.
CVE-ID
CVE-2015-7023: Marvin Scholz og Michael Lutonsky, Xiaofeng Zheng og Jinjin Liang fra Tsinghua University, Jian Jiang fra University of California, Berkeley, Haixin Duan fra Tsinghua University and International Computer Science Institute, Shuo Chen fra Microsoft Research Redmond, Tao Wan fra Huawei Canada, Nicholas Weaver fra International Computer Science Institute og University of California, Berkeley, koordinert via CERT/CC
configd
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan bli i stand til å heve rettigheter
Beskrivelse: Det var en heap-basert bufferoverflyt i DNS-klientbiblioteket. Et skadelig program med mulighet til å forfalske responser fra den lokale configd-tjenesten, kan ha vært i stand til å forårsake kjøring av vilkårlig kode i DNS-klienter.
CVE-ID
CVE-2015-7015: PanguTeam
CoreGraphics
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres
Beskrivelse: Det var flere problemer med ødelagt hukommelse i CoreGraphics. Problemene ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-5925: Apple
CVE-2015-5926: Apple
CoreText
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Det var flere problemer med ødelagt hukommelse under håndtering av fontfiler. Problemene ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2015-6975: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6992: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7017: John Villamil (@day6reak), Yahoo Pentest Team
Diskfiler
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med ødelagt hukommelse i parsingen av diskfiler. Problemet er løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-6995: Ian Beer fra Google Project Zero
FontParser
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Det var flere problemer med ødelagt hukommelse under håndtering av fontfiler. Problemene ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2015-5927: Apple
CVE-2015-5942
CVE-2015-6976: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6977: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6978: Jaanus Kp, Clarified Security som arbeider ved HPs Zero Day Initiative
CVE-2015-6990: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6991: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6993: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7008: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7009: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7010: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7018: John Villamil (@day6reak), Yahoo Pentest Team
GasGauge
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med kjernerettigheter
Beskrivelse: Det var et problem med ødelagt hukommelse i kjernen. Problemet ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-6979: PanguTeam
Grand Central Dispatch
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Behandling av en skadelig pakke kan føre til utføring av vilkårlig kode
Beskrivelse: Det var et problem med ødelagt hukommelse ved håndtering av dispatch-anrop. Problemet ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-6989: Apple
Grafikkdriver
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Kjøring av et skadelig program kan føre til at vilkårlig kode kjøres i kjernen
Beskrivelse: Det var en type forvirring i AppleVXD393. Problemet ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-6986: Proteas fra Qihoo 360 Nirvan Team
ImageIO
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Visning av et skadelig bilde kan føre til utføring av vilkårlig kode
Beskrivelse: Det var flere problemer med ødelagt hukommelse i parsingen av bildemetadata. Problemene ble løst gjennom forbedret validering av metadata.
CVE-ID
CVE-2015-5935: Apple
CVE-2015-5936: Apple
CVE-2015-5937: Apple
CVE-2015-5939: Apple
IOAcceleratorFamily
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med ødelagt hukommelse i IOAcceleratorFamily. Problemet ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-6996: Ian Beer fra Google Project Zero
IOHIDFamily
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med kjernerettigheter
Beskrivelse: Det var et problem med ødelagt hukommelse i kjernen. Problemet ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-6974: Luca Todesco (@qwertyoruiop)
Kjerne
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et lokalt program kan forårsake tjenestenekt
Beskrivelse: Det var et problem med validering av inndata i kjernen. Problemet ble løst gjennom forbedret validering av inndata.
CVE-ID
CVE-2015-7004: Sergi Alvarez (pancake) fra NowSecure Research Team
Kjerne
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å utføre vilkårlig kode
Beskrivelse: Det var et problem med uinitialisert hukommelse i kjernen. Problemet ble løst ved forbedret initialisering av hukommelsen.
CVE-ID
CVE-2015-6988: The Brainy Code Scanner (m00nbsd)
Kjerne
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et lokalt program kan forårsake tjenestenekt
Beskrivelse: Det var et problem under gjenbruk av virtuell hukommelse. Problemet ble løst gjennom forbedret validering.
CVE-ID
CVE-2015-6994: Mark Mentovai of Google Inc.
mDNSResponder
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var flere problemer med ødelagt hukommelse i DNS-dataparsingen. Problemene ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2015-7987: Alexandre Helie
mDNSResponder
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et lokalt program kan forårsake tjenestenekt
Beskrivelse: Et dereferanseproblem for en null-peker ble løst ved at inndatavalideringen ble forbedret.
CVE-ID
CVE-2015-7988: Alexandre Helie
Varslingssenter
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Telefon- og meldingsvarsler kan vises på låseskjermen selv når de er deaktivert
Beskrivelse: Når «Vis på låst skjerm» ble slått av for Telefon eller meldinger, ble ikke konfigurasjonsendringene tatt i bruk umiddelbart. Problemet ble løst ved forbedret tilstandshåndtering.
CVE-ID
CVE-2015-7000: William Redwood fra Hampton School
OpenGL
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres
Beskrivelse: Det var et problem med ødelagt hukommelse i OpenGL. Problemet ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-5924: Apple
Sikkerhet
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Behandling av et skadelig sertifikat kan føre til utføring av vilkårlig kode
Beskrivelse: Det var flere problemer med ødelagt hukommelse i ASN.1-dekoderen. Problemene ble løst gjennom forbedret validering av inndata.
CVE-ID
CVE-2015-7059: David Keeler fra Mozilla
CVE-2015-7060: Tyson Smith fra Mozilla
CVE-2015-7061: Ryan Sleevi fra Google
Sikkerhet
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan være i stand til å overskrive vilkårlige filer
Beskrivelse: Det var et problem med dobbel frigivelse i håndteringen av AtomicBufferedFile-deskriptorer. Problemet ble løst gjennom forbedret validering av AtomicBufferedFile-deskriptorer.
CVE-ID
CVE-2015-6983: David Benjamin, Greg Kerr, Mark Mentovai og Sergey Ulanov fra Chrome Team
Sikkerhet
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper kan være i stand til å få et inndratt sertifikat til å fremstå som gyldig
Beskrivelse: Det var et valideringsproblem i OCSP-klienten. Problemet ble løst ved å sjekke OCSP-sertifikatets utløpstidspunkt.
CVE-ID
CVE-2015-6999: Apple
Sikkerhet
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En trust-evaluering som er konfigurert for å kreve tilbakekallingskontroll, kan lykkes selv om tilbakekallingkontroll mislykkes
Beskrivelse: kSecRevocationRequirePositiveResponse-flagget ble angitt, men ikke implementert. Problemet ble løst ved å implementere flagget.
CVE-ID
CVE-2015-6997: Apple
Telefoni
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan være i stand til å lekke sensitiv brukerinformasjon
Beskrivelse: Det var et problem i godkjenningskontrollene for spørring av telefonsamtalestatus. Problemet ble løst gjennom ekstra godkjenningstilstandsspørringer.
CVE-ID
CVE-2015-7022: Andreas Kurtz fra NESO Security Labs
WebKit
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres
Beskrivelse: Det var flere problemer med ødelagt hukommelse i WebKit. Problemene ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-5928: Apple
CVE-2015-5929: Apple
CVE-2015-5930: Apple
CVE-2015-6981
CVE-2015-6982
CVE-2015-7002: Apple
CVE-2015-7005: Apple
CVE-2015-7012: Apple
CVE-2015-7014
CVE-2015-7104: Apple
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.