Over de beveiligingsinhoud van iOS 10

In dit document wordt de beveiligingsinhoud van iOS 10 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van zijn klanten onthult, bespreekt of bevestigt Apple geen beveiligingsproblemen totdat een onderzoek heeft plaatsgevonden en er patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging. U kunt communicatie met Apple coderen via de Apple Product Security PGP-sleutel.

Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.

iOS 10

Releasedatum 13 september 2016

AppleMobileFileIntegrity

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: een lokaal programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: er was een validatieprobleem in het taakpoortovernamebeleid. Dit probleem is verholpen door een verbeterde validatie van de procesbevoegdheid en Team ID.

CVE-2016-4698: Pedro Vilaça

Toegevoegd op 20 september 2016

Assets

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan voorkomen dat een apparaat software-updates ontvangt

Beschrijving: er was een probleem in iOS-updates waarbij verbindingen met gebruikers niet naar behoren waren beveiligd. Dit probleem is verholpen door HTTPS voor software-updates te gebruiken.

CVE-2016-4741: Raul Siles van DinoSec

Audio

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: een externe aanvaller kan willekeurige code uitvoeren

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park en Taekyoung Kwon van Information Security Lab, Yonsei University

Toegevoegd op 20 september 2016

Certificaatvertrouwensbeleid

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: update voor het certificaatvertrouwensbeleid

Beschrijving: het certificaatvertrouwensbeleid is bijgewerkt. De complete lijst van certificaten is te bekijken op https://support.apple.com/nl-nl/HT204132.

Toegevoegd op 20 september 2016

CFNetwork

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: een lokale gebruiker kan door een gebruiker bezochte websites ontdekken

Beschrijving: er was een probleem met de verwijdering van lokale opslag. Dit probleem is verholpen door een verbeterde opschoning van de lokale opslag.

CVE-2016-4707: een anonieme onderzoeker

Toegevoegd op 20 september 2016

CFNetwork

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan gebruikersgegevens in gevaar brengen

Beschrijving: er was een probleem met de invoervalidatie bij het parseren van de Set-Cookie-header. Dit probleem is verholpen door een verbeterde controle van de validatie.

CVE-2016-4708: Dawid Czagan van Silesia Security Lab

Toegevoegd op 20 september 2016

CommonCrypto

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: een programma dat CCrypt gebruikt, kan gevoelige niet-opgemaakte tekst vrijgeven als de uitvoer- en invoerbuffer hetzelfde zijn

Beschrijving: er was een probleem met de invoervalidatie in corecrypto. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2016-4711: Max Lohrmann

Toegevoegd op 20 september 2016

CoreCrypto

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: een programma kan willekeurige code uitvoeren

Beschrijving: een out-of-bounds schrijfprobleem is verholpen door de kwetsbare code te verwijderen.

CVE-2016-4712: Gergo Koteles

Toegevoegd op 20 september 2016

FontParser

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: er was een bufferoverloop bij de verwerking van lettertypebestanden.

Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

CVE-2016-4718: Apple

Toegevoegd op 20 september 2016

GeoServices

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: een programma kan mogelijk vertrouwelijke locatiegegevens lezen

Beschrijving: er was een probleem met bevoegdheden in PlaceData. Dit probleem is verholpen door een verbeterde validatie van bevoegdheden.

CVE-2016-4719: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

IDS - Connectiviteit

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan een denial of service veroorzaken

Beschrijving: er was een probleem met vervalsing bij de verwerking van 'Bel via doorgifte'. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2016-4722: Martin Vigo (@martin_vigo) van salesforce.com

Toegevoegd op 20 september 2016

IOAcceleratorFamily

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een null pointer-dereferentieprobleem is verholpen door verbeterde invoervalidatie.

CVE-2016-4724: Cererdlong, Eakerqiu van Team OverSky

Toegevoegd op 20 september 2016

IOAcceleratorFamily

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2016-4725: Rodger Combs van Plex, Inc.

Toegevoegd op 20 september 2016

IOAcceleratorFamily

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2016-4726: een anonieme onderzoeker

Toegevoegd op 20 september 2016

Kernel

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: een lokaal programma kan mogelijk toegang verkrijgen tot beperkte bestanden

Beschrijving: een probleem met het parseren bij de verwerking van directorypaden is verholpen door een verbeterde padvalidatie.

CVE-2016-4771: Balazs Bucsay, Research Director van MRG Effitas

Toegevoegd op 20 september 2016

Kernel

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: een externe aanvaller kan mogelijk zorgen voor denial of service

Beschrijving: een probleem met de verwerking van de vergrendeling is verholpen door een verbeterde verwerking van de vergrendeling.

CVE-2016-4772: Marc Heuse van mh-sec

Toegevoegd op 20 september 2016

Kernel

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: een programma kan de indeling van het kernelgeheugen bepalen

Beschrijving: er waren meerdere problemen met het lezen buiten het bereik die leidden tot de vrijgave van het kernelgeheugen. Deze zijn verholpen door een verbeterde invoervalidatie.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Toegevoegd op 20 september 2016

Kernel

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een niet-vertrouwde pointer-dereferentie is verholpen door de aangetaste code te verwijderen.

CVE-2016-4777: Lufeng Li van Qihoo 360 Vulcan Team

Toegevoegd op 20 september 2016

Kernel

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2016-4778: CESG

Toegevoegd op 20 september 2016

Toetsenborden

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: de autocorrectiesuggesties van het toetsenbord kunnen vertrouwelijke informatie onthullen

Beschrijving: het iOS-toetsenbord plaatste onopzettelijk vertrouwelijke informatie in cache. Dit probleem is verholpen door middel van een verbeterde methodiek.

CVE-2016-4746: Antoine M uit Frankrijk

libxml2

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: er zijn meerdere problemen in libxml2, waarvan de belangrijkste kunnen leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

Toegevoegd op 20 september 2016

libxslt

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van een willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2016-4738: Nick Wellnhofer

Toegevoegd op 20 september 2016

Mail

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan Mail-inloggegevens onderscheppen

Beschrijving: er was een probleem bij de verwerking van niet-vertrouwde certificaten. Dit probleem is verholpen door niet-vertrouwde verbindingen te beëindigen.

CVE-2016-4747: Dave Aitel

Berichten

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: berichten kunnen zichtbaar zijn op een apparaat dat niet bij Berichten is ingelogd

Beschrijving: er was een probleem bij het gebruik van Handoff voor Berichten. Dit probleem is verholpen door een verbeterd statusbeheer.

CVE-2016-4740: Step Wallace

UIKit afdrukken

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: een niet-gecodeerd document kan naar een tijdelijk bestand worden geschreven bij het gebruik van AirPrint-voorvertoning

Beschrijving: er was een probleem met AirPrint-voorvertoning. Dit is verholpen door een verbeterde opschoning van de omgeving.

CVE-2016-4749: een anonieme onderzoeker

S2 Camera

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2016-4750: Jack Tang (@jacktang310) en Moony Li van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro

Toegevoegd op 20 september 2016

Safari Reader

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: het inschakelen van de Safari Reader-functie op een kwaadwillig vervaardigde website kan leiden tot universal cross-site scripting

Beschrijving: verscheidene validatieproblemen zijn verholpen door een verbeterde invoervalidatie.

CVE-2016-4618: Erling Ellingsen

Toegevoegd op 20 september 2016 en bijgewerkt op 23 september 2016.

Profielen in sandbox

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: een schadelijk programma kan bepalen aan wie een gebruiker een tekstbericht stuurt

Beschrijving: er was een probleem met de toegangscontrole in sms-conceptmappen. Dit probleem is verholpen door te voorkomen dat apps de betreffende mappen vermelden.

CVE-2016-4620: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Beveiliging

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: een schadelijk programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: er was een validatieprobleem bij ondertekende schijfkopieën. Dit probleem is verholpen door een verbeterde validatie van de grootte.

CVE-2016-4753: Mark Mentovai van Google Inc.

Toegevoegd op 20 september 2016

Springboard

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: gevoelige gegevens kunnen worden weergegeven in momentopnamen van een programma dat in de takenkiezer wordt weergegeven

Beschrijving: er was een probleem in SpringBoard waardoor in de cache geplaatste momentopnamen met gevoelige gegevens in de takenkiezer werden weergegeven. Dit probleem is verholpen door bijgewerkte momentopnamen weer te geven.

CVE-2016-7759: Fatma Yılmaz van Ptt Genel Müdürlüğü van Ankara

Toegevoegd op 17 januari 2017

WebKit

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van een willekeurige code

Beschrijving: er was een parseerprobleem bij de verwerking van foutprototypen. Dit is verholpen door een verbeterde validatie.

CVE-2016-4728: Daniel Divricean

Toegevoegd op 20 september 2016

WebKit

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het lekken van gevoelige gegevens

Beschrijving: er was een probleem met bevoegdheden bij de verwerking van de locatievariabele. Dit is verholpen door extra controles van de eigendomsrechten.

CVE-2016-4758: Masato Kinugawa van Cure53

Toegevoegd op 20 september 2016

WebKit

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van een willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2016-4611: Apple

CVE-2016-4729: Apple

CVE-2016-4730: Apple

CVE-2016-4731: Apple

CVE-2016-4734: Natalie Silvanovich van Google Project Zero

CVE-2016-4735: André Bargull

CVE-2016-4737: Apple

CVE-2016-4759: Tongbo Luo van Palo Alto Networks

CVE-2016-4762: Zheng Huang van Baidu Security Lab

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: anoniem, werkend met Zero Day Initiative van Trend Micro

Toegevoegd op 20 september 2016

WebKit

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: een schadelijke website kan toegang krijgen tot niet-HTTP-diensten

Beschrijving: de ondersteuning door Safari van HTTP/0.9 maakt de exploitatie over meerdere protocollen mogelijk van niet-HTTP-diensten die gebruikmaken van het opnieuw koppelen van DNS. Het probleem is verholpen door het beperken van HTTP/0.9-reacties op standaardpoorten en het annuleren van het laden van bronnen als het document werd geladen met een andere HTTP-protocolversie.

CVE-2016-4760: Jordan Milne

Toegevoegd op 20 september 2016

WebKit

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van een willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterd statusbeheer.

CVE-2016-4733: Natalie Silvanovich van Google Project Zero

CVE-2016-4765: Apple

Toegevoegd op 20 september 2016

WebKit

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: een aanvaller met een geprivilegieerde netwerkpositie kan netwerkverkeer onderscheppen en wijzigen voor applicaties die gebruikmaken van WKWebView met HTPS

Beschrijving: er was een probleem met de validatie van de certificaatketen bij de verwerking van WKWebView. Dit probleem is verholpen door een verbeterde validatie.

CVE-2016-4763: een anonieme onderzoeker

Toegevoegd op 20 september 2016

WebKit

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van een willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterd statusbeheer.

CVE-2016-4764: Apple

Toegevoegd op 3 november 2016

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: