Over de beveiligingsinhoud van iOS 8.4
In dit document wordt de beveiligingsinhoud van iOS 8.4 beschreven.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.
Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel?.
Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg Apple beveiligingsreleases.
iOS 8.4
Application Store
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een kwaadaardige app met een universeel voorzieningenprofiel kan ervoor zorgen dat apps niet worden gestart
Beschrijving: er was een probleem in de installatielogica voor apps met een universeel voorzieningenprofiel, waardoor een conflict met bestaande bundel-ID's zich voordeed. Dit probleem is verholpen door een verbeterde controle van conflicten.
CVE-ID
CVE-2015-3722: Zhaofeng Chen, Hui Xue en Tao (Lenx) Wei van FireEye, Inc.
Certificate Trust Policy
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een aanvaller met een bevoorrechte netwerkpositie kan mogelijk netwerkverkeer onderscheppen
Beschrijving: een tussenliggend certificaat werd ten onrechte uitgegeven door de certificaatautoriteit CNNIC. Dit probleem is verholpen door het toevoegen van een mechanisme waarbij alleen een subreeks van certificaten wordt vertrouwd die vóór het uitreiken van het intermediaire certificaat zijn uitgereikt. Je vindt meer informatie over de toestemmingslijst met gedeeltelijk vertrouwen in veiligheidskwesties.
Certificate Trust Policy
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: update van het vertrouwensbeleid voor certificaten
Beschrijving: het vertrouwensbeleid voor certificaten is bijgewerkt. De volledige lijst met certificaten vind je in de vertrouwde opslag in iOS.
CFNetwork HTTPAuthentication
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: het volgen van een kwaadwillig vervaardigde URL kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van bepaalde URL-gegevens. Dit probleem is verholpen door verbeterde geheugenverwerking.
CVE-ID
CVE-2015-3684: Apple
CoreGraphics
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: het openen van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij de verwerking van ICC-profielen. Deze problemen zijn verholpen door verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-3723: chaithanya (SegFault) in samenwerking met het Zero Day Initiative van HP
CVE-2015-3724: WanderingGlitch van het Zero Day Initiative van HP
CoreText
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigd tekstbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij de verwerking van tekstbestanden. Deze problemen zijn verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2015-1157
CVE-2015-3685: Apple
CVE-2015-3686: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-3687: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-3688: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-3689: Apple
coreTLS
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een aanvaller met bevoorrechte netwerkpositie kan mogelijk SSL-/TLS-verbindingen onderscheppen
Beschrijving: coreTLS accepteerde korte Diffie-Hellman-sleutels (DH), zoals gebruikt in korte DH-cijfersuites met exportkracht. Dit probleem, ook bekend als Logjam, stelde een aanvaller in een geprivilegieerde netwerkpositie in staat om een downgrade van de beveiliging naar 512-bits DH uit te voeren als de server een exportsterke, kortstondige DH-coderingssuite ondersteunde. Het probleem is verholpen door de standaard minimale grootte voor kortstondige DH-sleutels te verhogen tot 768 bits.
CVE-ID
CVE-2015-4000: het weakdh-team van weakdh.org, Hanno Boeck
DiskImages
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een kwaadaardig programma kan mogelijk de kernelgeheugenlay-out bepalen
Beschrijving: er was een probleem met de openbaarmaking van informatie in de verwerking van schijfafbeeldingen. Dit probleem is verholpen door verbeterd geheugenbeheer.
CVE-ID
CVE-2015-3690: Peter Rutenbar in samenwerking met het Zero Day Initiative van HP
FontParser
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij de verwerking van lettertypebestanden. Deze problemen zijn verholpen door een verbeterde invoervalidatie.
CVE-ID
CVE-2015-3694: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-3719: John Villamil (@day6reak), Yahoo Pentest Team
ImageIO
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigd .tiff-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van .tiff-bestanden. Dit probleem is verholpen door een verbeterde controle van de grenzen.
CVE-ID
CVE-2015-3703: Apple
ImageIO
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: er zitten meerdere beveiligingslekken in libtiff. De meest ernstige kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er zaten meerdere beveiligingslekken in libtiff-versies van voor 4.0.4. Deze zijn verholpen door libtiff bij te werken naar versie 4.0.4.
CVE-ID
CVE-2014-8127
CVE-2014-8128
CVE-2014-8129
CVE-2014-8130
Kernel
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een kwaadaardig programma kan mogelijk de kernelgeheugenlay-out bepalen
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van HFS-parameters, wat had kunnen leiden tot de openbaarmaking van de kernelgeheugenlay-out. Dit probleem is verholpen door verbeterd geheugenbeheer.
CVE-ID
CVE-2015-3721: Ian Beer van Google Project Zero
Mail
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een kwaadwillig vervaardigde e-mail kan de inhoud van het bericht vervangen door een willekeurige webpagina als het bericht wordt bekeken
Beschrijving: er was een probleem in de ondersteuning van HTML-e-mail waardoor de inhoud van een bericht kon worden vernieuwd met een willekeurige webpagina. Het probleem is verholpen door beperkte ondersteuning voor HTML-inhoud.
CVE-ID
CVE-2015-3710: Aaron Sigel van vtty.com, Jan Souček
MobileInstallation
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een kwaadaardige app met een universeel voorzieningenprofiel kan ervoor zorgen dat de Watch-app niet wordt gestart
Beschrijving: er was een probleem in de installatielogica voor Watch-apps met een universeel voorzieningenprofiel, waardoor een conflict met bestaande bundel-ID's zich voordeed. Dit probleem is verholpen door een verbeterde controle van conflicten.
CVE-ID
CVE-2015-3725: Zhaofeng Chen, Hui Xue en Tao (Lenx) Wei van FireEye, Inc.
Safari
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: het bezoeken van een kwaadwillig vervaardigde website kan gebruikersgegevens op het bestandssysteem in gevaar brengen
Beschrijving: er was een probleem met het statusbeheer in Safari waardoor onbevoegde bronnen toegang tot het bestandssysteem hadden. Dit probleem is verholpen door verbeterd statusbeheer.
CVE-ID
CVE-2015-1155: Joe Vennix van Rapid7 Inc. in samenwerking met het Zero Day Initiative van HP
Safari
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot een overname van de account
Beschrijving: er was een probleem waarbij Safari de verzoekheader 'Oorsprong' bewaarde voor doorverwijzingen vanaf de oorsprong, waardoor kwaadaardige websites de CSRF-beveiligingen konden omzeilen. Het probleem is verholpen door een verbeterde verwerking van doorverwijzingen.
CVE-ID
CVE-2015-3658: Brad Hill van Facebook
Security
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken
Beschrijving: er trad een integeroverloop op in de Security-frameworkcode voor het parseren van S/MIME-e-mail en enkele andere ondertekende of versleutelde objecten. Dit probleem is verholpen door middel van een verbeterde controle van de geldigheid.
CVE-ID
CVE-2013-1741
SQLite
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken
Beschrijving: er waren meerdere problemen met bufferoverlopen bij de printf-implementatie van SQLite. Deze problemen zijn verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2015-3717: Peter Rutenbar in samenwerking met het Zero Day Initiative van HP
SQLite
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een kwaadwillig vervaardigde SQL-opdracht kan het onverwacht beëindigen van een programma of het uitvoeren van willekeurige code veroorzaken
Beschrijving: er was een API-probleem in de SQLite-functionaliteit. Dit is verholpen door middel van verbeterde beperkingen.
CVE-ID
CVE-2015-7036: Peter Rutenbar in samenwerking met het Zero Day Initiative van HP
Telephony
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: kwaadwillig vervaardigde simkaarten kunnen leiden tot het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met de invoervalidatie bij het parseren van SIM/UIM-payloads. Deze problemen zijn verholpen door een verbeterde validatie van payloads.
CVE-ID
CVE-2015-3726: Matt Spisak van Endgame
WebKit
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: het bezoeken van een kwaadaardige website door op een link te klikken kan leiden tot vervalsing van de gebruikersinterface
Beschrijving: er was een probleem bij de verwerking van het kenmerk 'rel' in anchor-elementen. Doelobjecten konden onbevoegde toegang krijgen tot gekoppelde objecten. Dit probleem is verholpen door het type koppelingen beter te volgen.
CVE-ID
CVE-2015-1156: Zachary Durber van Moodle
WebKit
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging in WebKit. Deze problemen zijn verholpen door verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-1152: Apple
CVE-2015-1153: Apple
WebKit
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: het bezoeken van een kwaadwillig vervaardigde webpagina kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met ontoereikende vergelijking in de SQLite Authorizer waardoor willekeurige SQL-functies konden worden aangeroepen. Dit probleem is verholpen door middel van verbeterde autorisatiecontroles.
CVE-ID
CVE-2015-3659: Peter Rutenbar in samenwerking met het Zero Day Initiative van HP
WebKit
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een kwaadwillig vervaardigde website heeft mogelijk toegang tot de WebSQL-databases van andere websites
Beschrijving: er was een probleem bij de autorisatiecontroles voor het wijzigen van de naam van WebSQL-tabellen waardoor een kwaadwillig vervaardigde website toegang kon krijgen tot databases die tot andere websites behoren. Dit is verholpen door middel van verbeterde autorisatiecontroles.
CVE-ID
CVE-2015-3727: Peter Rutenbar in samenwerking met het Zero Day Initiative van HP
Wi-Fi Connectivity
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: iOS-apparaten kunnen automatisch worden gekoppeld met niet-vertrouwde toegangspunten die zich presenteren met een bekende ESSID maar een gedowngraded beveiligingstype hebben
Beschrijving: er was een probleem met ontoereikende vergelijking door de wifimanager bij de evaluatie van advertenties van bekende toegangspunten. Dit probleem wordt verholpen door een verbeterde vergelijking van de beveiligingsparameters.
CVE-ID
CVE-2015-3728: Brian W. Gray van Carnegie Mellon University, Craig Young van TripWire
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.