Over de beveiligingsinhoud van iOS 9.1
In dit document wordt de beveiligingsinhoud van iOS 9.1 beschreven.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.
Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg Apple-beveiligingsupdates voor meer informatie over andere beveiligingsupdates.
iOS 9.1
Accelerate Framework
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging in het Accelerate Framework in de modus met meerdere threads. Dit probleem is verholpen door een verbeterde validatie van het accessor-element en een verbeterde objectvergrendeling.
CVE-ID
CVE-2015-5940: Apple
Bom
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: het uitpakken van een kwaadwillig vervaardigd archief kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er was een kwetsbaarheid met een bestandspassage bij de verwerking van CPIO-archieven. Dit probleem is verholpen door een verbeterde validatie van metagegevens.
CVE-ID
CVE-2015-7006: Mark Dowd van Azimuth Security
CFNetwork
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het overschrijven van cookies
Beschrijving: er was een probleem met het parseren bij de verwerking van cookies met een ander hoofdlettergebruik. Dit probleem is verholpen door een verbeterde parsering.
CVE-ID
CVE-2015-7023: Marvin Scholz en Michael Lutonsky; Xiaofeng Zheng en Jinjin Liang van Tsinghua University, Jian Jiang van University of California, Berkeley, Haixin Duan van Tsinghua University and International Computer Science Institute, Shuo Chen van Microsoft Research Redmond, Tao Wan van Huawei Canada, Nicholas Weaver van International Computer Science Institute and University of California, Berkeley, gecoördineerd via CERT/CC
configd
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een schadelijk programma kan de bevoegdheden verhogen
Beschrijving: er was een heapbufferoverflow bij bibliotheek met DNS-clients. Een schadelijk programma met de mogelijkheid om reacties van de lokale configd-voorziening te vervalsen, kon de uitvoering van willekeurige code in DNS-clients veroorzaken.
CVE-ID
CVE-2015-7015: PanguTeam
CoreGraphics
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging in CoreGraphics. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5925: Apple
CVE-2015-5926: Apple
CoreText
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij de verwerking van lettertypebestanden. Deze problemen zijn verholpen door middel van verbeterde bounds checking.
CVE-ID
CVE-2015-6975: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6992: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7017: John Villamil (@day6reak), Yahoo Pentest Team
Schijfkopieën
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging bij het parseren van schijfkopieën. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-6995: Ian Beer van Google Project Zero
FontParser
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij de verwerking van lettertypebestanden. Deze problemen zijn verholpen door middel van verbeterde bounds checking.
CVE-ID
CVE-2015-5927: Apple
CVE-2015-5942
CVE-2015-6976: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6977: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6978: Jaanus Kp, Clarified Security in samenwerking met het Zero Day Initiative van HP
CVE-2015-6990: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6991: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6993: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7008: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7009: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7010: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7018: John Villamil (@day6reak), Yahoo Pentest Team
GasGauge
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een schadelijk programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-6979: PanguTeam
Grand Central Dispatch
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: het verwerken van een kwaadwillig vervaardigd pakket kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van dispatch-aanroepen. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-6989: Apple
Grafisch besturingsbestand
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: de uitvoering van een schadelijk programma kan leiden tot het uitvoeren van willekeurige code in de kernel
Beschrijving: er was een probleem met verwarring van het type in AppleVXD393. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-6986: Proteas van Qihoo 360 Nirvan Team
ImageIO
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: het bekijken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij het parseren van metagegevens van afbeeldingen. Deze problemen zijn verholpen door een verbeterde validatie van metagegevens.
CVE-ID
CVE-2015-5935: Apple
CVE-2015-5936: Apple
CVE-2015-5937: Apple
CVE-2015-5939: Apple
IOAcceleratorFamily
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging in IOAcceleratorFamily. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-6996: Ian Beer van Google Project Zero
IOHIDFamily
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een schadelijk programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-6974: Luca Todesco (@qwertyoruiop)
Kernel
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een lokaal programma kan een Denial of Service veroorzaken
Beschrijving: er was een probleem met de invoervalidatie in de kernel. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-ID
CVE-2015-7004: Sergi Alvarez (pancake) van NowSecure Research Team
Kernel
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan willekeurige code uitvoeren
Beschrijving: er was een probleem met niet-geïnitialiseerd geheugen in de kernel. Dit probleem is verholpen door een verbeterde geheugeninitialisatie.
CVE-ID
CVE-2015-6988: The Brainy Code Scanner (m00nbsd)
Kernel
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een lokaal programma kan een Denial of Service veroorzaken
Beschrijving: er was een probleem met het hergebruik van virtueel geheugen. Dit probleem is verholpen door een verbeterde validatie.
CVE-ID
CVE-2015-6994: Mark Mentovai van Google Inc.
mDNSResponder
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken
Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij het parseren van DNS-gegevens. Deze problemen zijn verholpen door middel van verbeterde bounds checking.
CVE-ID
CVE-2015-7987: Alexandre Helie
mDNSResponder
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een lokaal programma kan een Denial of Service veroorzaken
Beschrijving: er is een null pointer dereference-probleem aangepakt door verbeterde geheugenverwerking.
CVE-ID
CVE-2015-7988: Alexandre Helie
Berichtencentrum
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: meldingen van Telefoon en Berichten kunnen op het toegangsscherm verschijnen zelfs als dit is uitgeschakeld
Beschrijving: wanneer ‘Op toegangsscherm’ was uitgeschakeld voor Telefoon en Berichten, werden de wijzigingen in de configuratie niet onmiddellijk toegepast. Dit probleem is verholpen door een verbeterd statusbeheer.
CVE-ID
CVE-2015-7000: William Redwood van Hampton School
OpenGL
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging in OpenGL. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5924: Apple
Beveiliging
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: het verwerken van een kwaadwillig vervaardigd certificaat kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging in de ASN.1-decoder. Deze problemen zijn verholpen door een verbeterde invoervalidatie.
CVE-ID
CVE-2015-7059: David Keeler van Mozilla
CVE-2015-7060: Tyson Smith van Mozilla
CVE-2015-7061: Ryan Sleevi van Google
Beveiliging
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een schadelijk programma kan willekeurige bestanden overschrijven
Beschrijving: er was een double free-probleem bij de verwerking van AtomicBufferedFile-descriptors. Dit probleem is verholpen door een verbeterde validatie van AtomicBufferedFile-descriptors.
CVE-ID
CVE-2015-6983: David Benjamin, Greg Kerr, Mark Mentovai en Sergey Ulanov van het Chrome Team
Beveiliging
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een aanvaller kan een ingetrokken certificaat geldig doen lijken
Beschrijving: er was een validatieprobleem in de OCSP-client. Dit probleem is verholpen door de verloopduur van het OCSP-certificaat te controleren.
CVE-ID
CVE-2015-6999: Apple
Beveiliging
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een geconfigureerde vertrouwensevaluatie om de intrekkingscontrole te verplichten, lukt mogelijk zelfs als de intrekkingscontrole mislukt
Beschrijving: de vlag kSecRevocationRequirePositiveResponse is opgegeven maar niet geïmplementeerd. Het probleem is verholpen door de vlag te implementeren.
CVE-ID
CVE-2015-6997: Apple
Telefonie
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een schadelijk programma kan vertrouwelijke gebruikersinformatie vrijgeven
Beschrijving: er was een probleem met de identiteitscontroles bij het opvragen van de status van de oproep. Dit probleem is verholpen door middel van extra identiteitscontroles bij statusverzoeken.
CVE-ID
CVE-2015-7022: Andreas Kurtz van NESO Security Labs
WebKit
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging in WebKit. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5928: Apple
CVE-2015-5929: Apple
CVE-2015-5930: Apple
CVE-2015-6981
CVE-2015-6982
CVE-2015-7002: Apple
CVE-2015-7005: Apple
CVE-2015-7012: Apple
CVE-2015-7014
CVE-2015-7104: Apple
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.