Over de beveiligingsinhoud van iOS 8.2
In dit document wordt de beveiligingsinhoud van iOS 8.2 beschreven.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.
Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg Apple-beveiligingsupdates voor meer informatie over andere beveiligingsupdates.
iOS 8.2
CoreTelephony
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een externe aanvaller kan ervoor zorgen dat een apparaat onverwacht opnieuw start
Beschrijving: er was een null pointer-dereferentie bij de verwerking van Class 0 SMS-berichten door CoreTelephony. Dit probleem is verholpen door een verbeterde validatie van berichten.
CVE-ID
CVE-2015-1063: Roman Digerberg, Zweden
iCloud-sleutelhanger
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan willekeurige code uitvoeren
Beschrijving: er waren meerdere bufferoverlopen bij de verwerking van gegevens tijdens het herstel van iCloud-sleutelhanger. Deze problemen zijn verholpen door middel van verbeterde bounds checking.
CVE-ID
CVE-2015-1065: Andrey Belenko van NowSecure
IOSurface
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met verwarring van het type tijdens de verwerking van geserialiseerde objecten door IOSurface. Het probleem is verholpen door een extra controle van het type.
CVE-ID
CVE-2015-1061: Ian Beer van Google Project Zero
MobileStorageMounter
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een kwaadaardig programma kan mappen aanmaken op vertrouwde locaties in het bestandssysteem
Beschrijving: er was een probleem met logica van de ontwikkelaar voor de activering van schijven waardoor ongeldige schijfkopiemappen niet werden verwijderd. Dit is verholpen door een verbeterde verwerking van fouten.
CVE-ID
CVE-2015-1062: TaiG Jailbreak Team
Secure Transport
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een aanvaller met een geprivilegieerde netwerkpositie kan SSL/TLS-verbindingen onderscheppen
Beschrijving: Secure Transport accepteerde kortstondige RSA-sleutels, die gewoonlijk alleen worden gebruikt bij RSA-coderingssuites met een exportsterkte, bij verbindingen die gebruikmaken van RSA-coderingssuites met volledige sterkte. Dit probleem, ook gekend als FREAK, heeft alleen verbindingen met servers beïnvloed die RSA-coderingssuites met een exportsterkte ondersteunen en is verholpen door ondersteuning voor kortstondige RSA-sleutels te verwijderen.
CVE-ID
CVE-2015-1067: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti en Jean Karim Zinzindohoue van Prosecco in Inria Paris
Springboard
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een persoon met fysieke toegang tot het apparaat kan het beginscherm van het apparaat zien zelfs als het apparaat niet is geactiveerd
Beschrijving: een onverwachte beëindiging van het programma tijdens de activering heeft er mogelijk voor gezorgd dat het apparaat het beginscherm toont. Het probleem is verholpen door een verbeterde verwerking van fouten tijdens de activering.
CVE-ID
CVE-2015-1064
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.