Over de beveiligingsinhoud van iOS 8.2

In dit document wordt de beveiligingsinhoud van iOS 8.2 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple-beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

iOS 8.2

• CoreTelephony

  Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

  Impact: een externe aanvaller kan ervoor zorgen dat een apparaat onverwacht opnieuw start

  Beschrijving: er was een null pointer-dereferentie bij de verwerking van Class 0 SMS-berichten door CoreTelephony. Dit probleem is verholpen door een verbeterde validatie van berichten.

  CVE-ID

  CVE-2015-1063: Roman Digerberg, Zweden

• iCloud-sleutelhanger

  Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

  Impact: een aanvaller in een geprivilegieerde netwerkpositie kan willekeurige code uitvoeren

  Beschrijving: er waren meerdere bufferoverlopen bij de verwerking van gegevens tijdens het herstel van iCloud-sleutelhanger. Deze problemen zijn verholpen door middel van verbeterde bounds checking.

  CVE-ID

  CVE-2015-1065: Andrey Belenko van NowSecure

• IOSurface

  Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

  Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

  Beschrijving: er was een probleem met verwarring van het type tijdens de verwerking van geserialiseerde objecten door IOSurface. Het probleem is verholpen door een extra controle van het type.

  CVE-ID

  CVE-2015-1061: Ian Beer van Google Project Zero

• MobileStorageMounter

  Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

  Impact: een kwaadaardig programma kan mappen aanmaken op vertrouwde locaties in het bestandssysteem

  Beschrijving: er was een probleem met logica van de ontwikkelaar voor de activering van schijven waardoor ongeldige schijfkopiemappen niet werden verwijderd. Dit is verholpen door een verbeterde verwerking van fouten.

  CVE-ID

  CVE-2015-1062: TaiG Jailbreak Team

• Secure Transport

  Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

  Impact: een aanvaller met een geprivilegieerde netwerkpositie kan SSL/TLS-verbindingen onderscheppen

  Beschrijving: Secure Transport accepteerde kortstondige RSA-sleutels, die gewoonlijk alleen worden gebruikt bij RSA-coderingssuites met een exportsterkte, bij verbindingen die gebruikmaken van RSA-coderingssuites met volledige sterkte. Dit probleem, ook gekend als FREAK, heeft alleen verbindingen met servers beïnvloed die RSA-coderingssuites met een exportsterkte ondersteunen en is verholpen door ondersteuning voor kortstondige RSA-sleutels te verwijderen.

  CVE-ID

  CVE-2015-1067: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti en Jean Karim Zinzindohoue van Prosecco in Inria Paris

• Springboard

  Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

  Impact: een persoon met fysieke toegang tot het apparaat kan het beginscherm van het apparaat zien zelfs als het apparaat niet is geactiveerd

  Beschrijving: een onverwachte beëindiging van het programma tijdens de activering heeft er mogelijk voor gezorgd dat het apparaat het beginscherm toont. Het probleem is verholpen door een verbeterde verwerking van fouten tijdens de activering.

  CVE-ID

  CVE-2015-1064