Over de beveiligingsinhoud van iOS 8.4

In dit document wordt de beveiligingsinhoud van iOS 8.4 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple-beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

iOS 8.4

  • Application Store

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadaardige app met een universeel voorzieningenprofiel kan ervoor zorgen dat apps niet worden gestart

    Beschrijving: er was een probleem in de installatielogica voor apps met een universeel voorzieningenprofiel, waardoor een conflict met bestaande bundel-ID’s zich voordeed. Dit probleem is verholpen door een verbeterde controle van conflicten.

    CVE-ID

    CVE-2015-3722: Zhaofeng Chen, Hui Xue en Tao (Lenx) Wei van FireEye, Inc.
  • Certificaatvertrouwensbeleid

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een aanvaller in een geprivilegieerde netwerkpositie kan netwerkverkeer onderscheppen

    Beschrijving: een intermediair certificaat is verkeerd uitgereikt door de certificaatautoriteit CNNIC. Dit probleem is verholpen door het toevoegen van een mechanisme waarbij alleen een subreeks van certificaten wordt vertrouwd die vóór het uitreiken van het intermediaire certificaat zijn uitgereikt. U vindt meer informatie over de toestemmingslijst met gedeeltelijk vertrouwen in veiligheidskwesties.

  • Certificaatvertrouwensbeleid

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: update voor het certificaatvertrouwensbeleid

    Beschrijving: het certificaatvertrouwensbeleid is bijgewerkt. De volledige lijst met certificaten vindt u in de vertrouwde opslag in iOS.

  • CFNetwork HTTPAuthentication

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hogerImpact: het volgen van een kwaadwillig vervaardigde URL kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van bepaalde URL-inloggegevens. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-3684: Apple

  • CoreGraphics

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het openen van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij de verwerking van ICC-profielen. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-3723: chaithanya (SegFault) in samenwerking met het Zero Day Initiative van HP

    CVE-2015-3724: WanderingGlitch van het Zero Day Initiative van HP

  • CoreText

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het verwerken van een kwaadwillig vervaardigd tekstbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij de verwerking van tekstbestanden. Deze problemen zijn verholpen door middel van een verbeterde controle van het bereik.

    CVE-ID

    CVE-2015-1157

    CVE-2015-3685: Apple

    CVE-2015-3686: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3687: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3688: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3689: Apple

  • coreTLS

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een aanvaller met een geprivilegieerde netwerkpositie kan SSL/TLS-verbindingen onderscheppen

    Beschrijving: coreTLS accepteerde kortstondige Diffie-Hellman (DH)-sleutels zoals de sleutels die in exportsterke, kortstondige DH-coderingssuites worden gebruikt. Dit probleem, ook gekend als Logjam, liet een aanvaller in een geprivilegieerde netwerkpositie toe een downgrade van de beveiliging naar 512-bits DH uit te voeren als de server een exportsterke, kortstondige DH-coderingssuite ondersteunde. Het probleem is verholpen door de standaard minimale grootte voor kortstondige DH-sleutels te verhogen tot 768 bits.

    CVE-ID

    CVE-2015-4000: het weakdh-team bij weakdh.org, Hanno Boeck

  • DiskImages

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen

    Beschrijving: er was een probleem met de vrijgave van informatie bij de verwerking van schijfkopieën. Dit probleem is verholpen door een verbeterd beheer van het geheugen.

    CVE-ID

    CVE-2015-3690: Peter Rutenbar in samenwerking met het Zero Day Initiative van HP

  • FontParser

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij de verwerking van lettertypebestanden. Deze problemen zijn verholpen door een verbeterde invoervalidatie.

    CVE-ID

    CVE-2015-3694: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3719: John Villamil (@day6reak), Yahoo Pentest Team

  • ImageIO

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het verwerken van een kwaadwillig vervaardigd TIFF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van TIFF-bestanden. Dit probleem is verholpen door een verbeterde bounds checking.

    CVE-ID

    CVE-2015-3703: Apple

  • ImageIO

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: er zijn meerdere kwetsbaarheden in libtiff, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere kwetsbaarheden in versies van libtiff lager dan 4.0.4. Deze zijn verholpen door libtiff bij te werken naar versie 4.0.4.

    CVE-ID

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130
     

  • Kernel

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen

    Beschrijving: er was een probleem met geheugenbeheer bij de verwerking van HFS-parameters dat mogelijk heeft geleid tot de vrijgave van de lay-out van het kernelgeheugen. Dit probleem is verholpen door een verbeterd beheer van het geheugen.

    CVE-ID

    CVE-2015-3721: Ian Beer van Google Project Zero
  • Mail

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadwillig vervaardigde e-mail kan de inhoud van het bericht vervangen door een willekeurige webpagina wanneer het bericht wordt geopend

    Beschrijving: er was een probleem bij de ondersteuning voor HTML-e-mail waarbij de inhoud van een bericht werd vernieuwd door een willekeurige webpagina. Het probleem is verholpen door beperkte ondersteuning voor HTML-inhoud.

    CVE-ID

    CVE-2015-3710: Aaron Sigel van vtty.com, Jan Souček
  • MobileInstallation

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadaardige app met een universeel voorzieningenprofiel kan ervoor zorgen dat een Watch-app niet wordt gestart

    Beschrijving: er was een probleem in de installatielogica voor apps met een universeel voorzieningenprofiel op de Watch, waardoor een conflict met bestaande bundel-ID’s zich voordeed. Dit probleem is verholpen door een verbeterde controle van conflicten.

    CVE-ID

    CVE-2015-3725: Zhaofeng Chen, Hui Xue en Tao (Lenx) Wei van FireEye, Inc.

  • Safari

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan gebruikersgegevens op het bestandssysteem in gevaar brengen

    Beschrijving: er was een probleem met het statusbeheer in Safari waardoor onbevoegde bronnen toegang tot het bestandssysteem hadden. Dit probleem is verholpen door een verbeterd statusbeheer.

    CVE-ID

    CVE-2015-1155: Joe Vennix van Rapid7 Inc. in samenwerking met het Zero Day Initiative van HP
     

  • Safari

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot een overname van de account

    Beschrijving: er was een probleem waarbij Safari de verzoekheader Oorsprong bewaarde voor doorverwijzingen vanaf de oorsprong, waardoor kwaadaardige websites de CSRF-beveiligingen konden omzeilen. Het probleem is verholpen door een verbeterde verwerking van doorverwijzingen.

    CVE-ID

    CVE-2015-3658: Brad Hill van Facebook
  • Beveiliging

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een externe aanvaller kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een overloop bij gehele getallen in de code van het beveiligingskader bij het analyseren van S/MIME-e-mail en bepaalde andere ondertekende of gecodeerde objecten. Dit probleem is verholpen door middel van een verbeterde controle van de geldigheid.

    CVE-ID

    CVE-2013-1741

  • SQLite

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een externe aanvaller kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met bufferoverlopen bij de implementatie van SQLite’s printf. Deze problemen zijn verholpen door middel van verbeterde bounds checking.

    CVE-ID

    CVE-2015-3717: Peter Rutenbar in samenwerking met het Zero Day Initiative van HP

  • SQLite

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadwillig vervaardigd SQL-commando kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code toestaan

    Beschrijving: er was een API-probleem in de SQLite-functionaliteit. Dit is verholpen door middel van verbeterde beperkingen.

    CVE-ID

    CVE-2015-7036: Peter Rutenbar in samenwerking met het Zero Day Initiative van HP

  • Telefonie

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: kwaadwillig vervaardigde simkaarten kunnen leiden tot het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met de invoervalidatie bij het parseren van SIM/UIM-payloads. Deze problemen zijn verholpen door een verbeterde validatie van payloads.

    CVE-ID

    CVE-2015-3726: Matt Spisak van Endgame

  • WebKit

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een bezoek aan een kwaadwillige website door op een koppeling te klikken kan leiden tot vervalsing van de gebruikersinterface

    Beschrijving: er was een probleem bij de verwerking van het kenmerk rel in anchor-elementen. Doelobjecten kunnen onbevoegde toegang krijgen tot gekoppelde objecten. Dit probleem is verholpen door het type koppelingen beter te volgen.

    CVE-ID

    CVE-2015-1156: Zachary Durber van Moodle
  • WebKit

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging in WebKit. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-1152: Apple

    CVE-2015-1153: Apple

  • WebKit

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde webpagina kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met onvoldoende vergelijking in de SQLite Authorizer waardoor willekeurige SQL-functies konden worden aangeroepen. Dit probleem is verholpen door middel van verbeterde identiteitscontroles.

    CVE-ID

    CVE-2015-3659: Peter Rutenbar in samenwerking met het Zero Day Initiative van HP

  • WebKit

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadwillig vervaardigde website heeft toegang tot de WebSQL-databases van andere websites

    Beschrijving: er was een probleem bij de identiteitscontroles voor het wijzigen van de naam van WebSQL-tabellen waardoor een kwaadwillig vervaardigde website toegang kon hebben tot databases die tot andere websites behoren. Dit is verholpen door middel van verbeterde identiteitscontroles.

    CVE-ID

    CVE-2015-3727: Peter Rutenbar in samenwerking met het Zero Day Initiative van HP

  • Wi-Fi-verbindingen

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: iOS-apparaten kunnen automatisch worden gekoppeld met onbetrouwbare toegangspunten die reclame maken voor een gekend ESSID maar een gedowngraded beveiligingstype hebben

    Beschrijving: er was een probleem met onvoldoende vergelijking in de evaluatie van advertenties van gekende toegangspunten door de Wi-Fi-beheerder. Dit probleem wordt verholpen door een verbeterde vergelijking van de beveiligingsparameters.

    CVE-ID

    CVE-2015-3728: Brian W. Gray van Carnegie Mellon University, Craig Young van TripWire

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: