Over de beveiligingsinhoud van iOS 9.1

In dit document wordt de beveiligingsinhoud van iOS 9.1 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple-beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

iOS 9.1

  • Accelerate Framework

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging in het Accelerate Framework in de modus met meerdere threads. Dit probleem is verholpen door een verbeterde validatie van het accessor-element en een verbeterde objectvergrendeling.

    CVE-ID

    CVE-2015-5940: Apple

  • Bom

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het uitpakken van een kwaadwillig vervaardigd archief kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er was een kwetsbaarheid met een bestandspassage bij de verwerking van CPIO-archieven. Dit probleem is verholpen door een verbeterde validatie van metagegevens.

    CVE-ID

    CVE-2015-7006: Mark Dowd van Azimuth Security

  • CFNetwork

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het overschrijven van cookies

    Beschrijving: er was een probleem met het parseren bij de verwerking van cookies met een ander hoofdlettergebruik. Dit probleem is verholpen door een verbeterde parsering.

    CVE-ID

    CVE-2015-7023: Marvin Scholz en Michael Lutonsky; Xiaofeng Zheng en Jinjin Liang van Tsinghua University, Jian Jiang van University of California, Berkeley, Haixin Duan van Tsinghua University and International Computer Science Institute, Shuo Chen van Microsoft Research Redmond, Tao Wan van Huawei Canada, Nicholas Weaver van International Computer Science Institute and University of California, Berkeley, gecoördineerd via CERT/CC

  • configd

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een schadelijk programma kan de bevoegdheden verhogen

    Beschrijving: er was een heapbufferoverflow bij bibliotheek met DNS-clients. Een schadelijk programma met de mogelijkheid om reacties van de lokale configd-voorziening te vervalsen, kon de uitvoering van willekeurige code in DNS-clients veroorzaken.

    CVE-ID

    CVE-2015-7015: PanguTeam

  • CoreGraphics

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging in CoreGraphics. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5925: Apple

    CVE-2015-5926: Apple

  • CoreText

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij de verwerking van lettertypebestanden. Deze problemen zijn verholpen door middel van verbeterde bounds checking.

    CVE-ID

    CVE-2015-6975: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6992: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7017: John Villamil (@day6reak), Yahoo Pentest Team

  • Schijfkopieën

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging bij het parseren van schijfkopieën. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-6995: Ian Beer van Google Project Zero

  • FontParser

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij de verwerking van lettertypebestanden. Deze problemen zijn verholpen door middel van verbeterde bounds checking.

    CVE-ID

    CVE-2015-5927: Apple

    CVE-2015-5942

    CVE-2015-6976: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6977: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6978: Jaanus Kp, Clarified Security in samenwerking met het Zero Day Initiative van HP

    CVE-2015-6990: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6991: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6993: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7008: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7009: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7010: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7018: John Villamil (@day6reak), Yahoo Pentest Team

  • GasGauge

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een schadelijk programma kan willekeurige code uitvoeren met kernelbevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-6979: PanguTeam

  • Grand Central Dispatch

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het verwerken van een kwaadwillig vervaardigd pakket kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van dispatch-aanroepen. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-6989: Apple

  • Grafisch besturingsbestand

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: de uitvoering van een schadelijk programma kan leiden tot het uitvoeren van willekeurige code in de kernel

    Beschrijving: er was een probleem met verwarring van het type in AppleVXD393. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-6986: Proteas van Qihoo 360 Nirvan Team

  • ImageIO

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het bekijken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij het parseren van metagegevens van afbeeldingen. Deze problemen zijn verholpen door een verbeterde validatie van metagegevens.

    CVE-ID

    CVE-2015-5935: Apple

    CVE-2015-5936: Apple

    CVE-2015-5937: Apple

    CVE-2015-5939: Apple

  • IOAcceleratorFamily

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in IOAcceleratorFamily. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-6996: Ian Beer van Google Project Zero

  • IOHIDFamily

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een schadelijk programma kan willekeurige code uitvoeren met kernelbevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-6974: Luca Todesco (@qwertyoruiop)

  • Kernel

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een lokaal programma kan een Denial of Service veroorzaken

    Beschrijving: er was een probleem met de invoervalidatie in de kernel. Dit probleem is verholpen door een verbeterde invoervalidatie.

    CVE-ID

    CVE-2015-7004: Sergi Alvarez (pancake) van NowSecure Research Team

  • Kernel

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een aanvaller in een geprivilegieerde netwerkpositie kan willekeurige code uitvoeren

    Beschrijving: er was een probleem met niet-geïnitialiseerd geheugen in de kernel. Dit probleem is verholpen door een verbeterde geheugeninitialisatie.

    CVE-ID

    CVE-2015-6988: The Brainy Code Scanner (m00nbsd)

  • Kernel

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een lokaal programma kan een Denial of Service veroorzaken

    Beschrijving: er was een probleem met het hergebruik van virtueel geheugen. Dit probleem is verholpen door een verbeterde validatie.

    CVE-ID

    CVE-2015-6994: Mark Mentovai van Google Inc.

  • mDNSResponder

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij het parseren van DNS-gegevens. Deze problemen zijn verholpen door middel van verbeterde bounds checking.

    CVE-ID

    CVE-2015-7987: Alexandre Helie

  • mDNSResponder

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een lokaal programma kan een Denial of Service veroorzaken

    Beschrijving: er is een null pointer dereference-probleem aangepakt door verbeterde geheugenverwerking.

    CVE-ID

    CVE-2015-7988: Alexandre Helie

  • Berichtencentrum

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: meldingen van Telefoon en Berichten kunnen op het toegangsscherm verschijnen zelfs als dit is uitgeschakeld

    Beschrijving: wanneer ‘Op toegangsscherm’ was uitgeschakeld voor Telefoon en Berichten, werden de wijzigingen in de configuratie niet onmiddellijk toegepast. Dit probleem is verholpen door een verbeterd statusbeheer.

    CVE-ID

    CVE-2015-7000: William Redwood van Hampton School

  • OpenGL

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging in OpenGL. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5924: Apple

  • Beveiliging

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het verwerken van een kwaadwillig vervaardigd certificaat kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging in de ASN.1-decoder. Deze problemen zijn verholpen door een verbeterde invoervalidatie.

    CVE-ID

    CVE-2015-7059: David Keeler van Mozilla

    CVE-2015-7060: Tyson Smith van Mozilla

    CVE-2015-7061: Ryan Sleevi van Google

  • Beveiliging

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een schadelijk programma kan willekeurige bestanden overschrijven

    Beschrijving: er was een double free-probleem bij de verwerking van AtomicBufferedFile-descriptors. Dit probleem is verholpen door een verbeterde validatie van AtomicBufferedFile-descriptors.

    CVE-ID

    CVE-2015-6983: David Benjamin, Greg Kerr, Mark Mentovai en Sergey Ulanov van het Chrome Team

  • Beveiliging

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een aanvaller kan een ingetrokken certificaat geldig doen lijken

    Beschrijving: er was een validatieprobleem in de OCSP-client. Dit probleem is verholpen door de verloopduur van het OCSP-certificaat te controleren.

    CVE-ID

    CVE-2015-6999: Apple

  • Beveiliging

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een geconfigureerde vertrouwensevaluatie om de intrekkingscontrole te verplichten, lukt mogelijk zelfs als de intrekkingscontrole mislukt

    Beschrijving: de vlag kSecRevocationRequirePositiveResponse is opgegeven maar niet geïmplementeerd. Het probleem is verholpen door de vlag te implementeren.

    CVE-ID

    CVE-2015-6997: Apple

  • Telefonie

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een schadelijk programma kan vertrouwelijke gebruikersinformatie vrijgeven

    Beschrijving: er was een probleem met de identiteitscontroles bij het opvragen van de status van de oproep. Dit probleem is verholpen door middel van extra identiteitscontroles bij statusverzoeken.

    CVE-ID

    CVE-2015-7022: Andreas Kurtz van NESO Security Labs

  • WebKit

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging in WebKit. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5928: Apple

    CVE-2015-5929: Apple

    CVE-2015-5930: Apple

    CVE-2015-6981

    CVE-2015-6982

    CVE-2015-7002: Apple

    CVE-2015-7005: Apple

    CVE-2015-7012: Apple

    CVE-2015-7014

    CVE-2015-7104: Apple

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: