Over de beveiligingsinhoud van iOS 8.1.3

In dit document wordt de beveiligingsinhoud van iOS 8.1.3 beschreven

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple-beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

iOS 8.1.3

  • AppleFileConduit

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadwillig vervaardigd afc-commando kan toegang geven tot beveiligde onderdelen van het bestandssysteem

    Beschrijving: er was een kwetsbaarheid in het symbolische koppelingsmechanisme van afc. Dit probleem is verholpen door extra controles van het pad toe te voegen.

    CVE-ID

    CVE-2014-4480: TaiG Jailbreak Team

  • CoreGraphics

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het openen van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een overloop bij gehele getallen bij de verwerking van PDF-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-4481: Felipe Andres Manzano van Binamuse VRT, via het iSIGHT Partners GVP Program

  • dyld

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een lokale gebruiker kan niet-ondertekende code uitvoeren

    Beschrijving: er was een probleem met het statusbeheer bij de verwerking van in Mach-O uitvoerbare bestanden met overlappende segmenten. Dit probleem is verholpen door een verbeterde validatie van segmentgroottes.

    CVE-ID

    CVE-2014-4455: TaiG Jailbreak Team

  • FontParser

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het openen van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij de verwerking van lettertypebestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-4483: Apple

  • FontParser

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het verwerken van een kwaadwillig vervaardigd DFONT-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van DFONT-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-4484: Gaurav Baruah in samenwerking met het Zero Day Initiative van HP

  • Foundation

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het bekijken van een kwaadwillig vervaardigd XML-bestand kan leiden tot de onverwachte beëindiging van het programma of uitvoering van willekeurige code

    Beschrijving: er was een bufferoverloop in de XML-parser. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-4485: Apple

  • IOAcceleratorFamily

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een null pointer-dereferentie bij de verwerking van bronlijsten door IOAcceleratorFamily. Dit probleem is verholpen door onnodige code te verwijderen.

    CVE-ID

    CVE-2014-4486: Ian Beer van Google Project Zero

  • IOHIDFamily

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een bufferoverloop in IOHIDFamily. Dit probleem is verholpen door een verbeterde validatie van de grootte.

    CVE-ID

    CVE-2014-4487: TaiG Jailbreak Team

  • IOHIDFamily

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een validatieprobleem bij de verwerking van metagegevens van bronwachtrijen door IOHIDFamily. Dit probleem is verholpen door een verbeterde validatie van metagegevens.

    CVE-ID

    CVE-2014-4488: Apple

  • IOHIDFamily

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een null pointer-dereferentie bij de verwerking van activiteitenwachtrijen door IOHIDFamily. Dit probleem is verholpen door een verbeterde validatie.

    CVE-ID

    CVE-2014-4489: @beist

  • iTunes Store

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een website kan mogelijk sandbox-beperkingen omzeilen met behulp van de iTunes Store

    Beschrijving: er was een probleem met de verwerking van URL’s die van Safari naar de iTunes Store worden doorverwezen en die een kwaadaardige website kunnen toestaan de sandbox-beperkingen van Safari te omzeilen. Het probleem is verholpen door een verbeterde filtering van URL’s die door de iTunes Store worden geopend.

    CVE-ID

    CVE-2014-8840: lokihardt@ASRT in samenwerking met het Zero Day Initiative van HP

  • Kerberos

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: de libgssapi-bibliotheek in Kerberos heeft een context-token met een zwevende aanwijzer als resultaat gegeven. Dit probleem is verholpen door het statusbeheer te verbeteren.

    CVE-ID

    CVE-2014-5352

  • Kernel

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: kwaadwillig vervaardigde of aangetaste iOS-apps kunnen adressen bepalen in de kernel

    Beschrijving: er was een probleem met de vrijgave van informatie bij de verwerking van API’s gerelateerd aan kernelextensies. Reacties op een OSBundleMachOHeaders-sleutel kunnen mogelijk kerneladressen bevatten, wat kan bijdragen tot het omleiden van de bescherming die bestaat uit de willekeurige lay-out van adresruimten. Dit probleem is verholpen door de verschuiving van de adressen ongedaan te maken voordat ze worden geretourneerd.

    CVE-ID

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Kernel

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem in het subsysteem van het gedeelde geheugen van de kernel waardoor een aanvaller kon schrijven in geheugen dat alleen mocht worden gelezen. Dit probleem is verholpen door een strengere controle van de bevoegdheden van gedeeld geheugen.

    CVE-ID

    CVE-2014-4495: Ian Beer van Google Project Zero

  • Kernel

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: kwaadwillig vervaardigde of aangetaste iOS-apps kunnen adressen bepalen in de kernel

    Beschrijving: de kernelinterface mach_port_kobject heeft kerneladressen en de waarde van heap-permutatie onthuld, wat kan bijdragen aan het omleiden van de bescherming die bestaat uit de willekeurige lay-out van adresruimten. Dit is verholpen door de interface mach_port_kobject in productieconfiguraties uit te schakelen.

    CVE-ID

    CVE-2014-4496: TaiG Jailbreak Team

  • libnetcore

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadaardig programma in een sandbox kan de networkd daemon in gevaar brengen

    Beschrijving: er waren meerdere problemen met verwarring van het type bij de verwerking van de communicatie tussen processen door networkd. Door het versturen van een kwaadwillig opgemaakt bericht naar networkd kan willekeurige code als het networkd-proces worden uitgevoerd. Het probleem is verholpen door een extra controle van het type.

    CVE-ID

    CVE-2014-4492: Ian Beer van Google Project Zero

  • MobileInstallation

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadaardig, door een bedrijf ondertekend programma kan de controle nemen over de lokale container voor programma’s die zich al op het apparaat bevinden

    Beschrijving: er was een kwetsbaarheid bij de installatie van programma’s. Dit is verholpen door te beletten dat bedrijfsprogramma’s bestaande programma’s in bepaalde omstandigheden overschrijven.

    CVE-ID

    CVE-2014-4493: Hui Xue en Tao Wei van FireEye, Inc.

  • Springboard

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: door een bedrijf ondertekende programma’s kunnen worden gestart zonder een vertrouwenscontrole uit te voeren

    Beschrijving: er was een probleem bij het bepalen van het tijdstip van de uitvoering van een vertrouwenscontrole bij de eerste opening van een door een bedrijf ondertekend programma. Dit probleem is verholpen door een verbeterde validatie van handtekeningen.

    CVE-ID

    CVE-2014-4494: Song Jin, Hui Xue en Tao Wei van FireEye, Inc.

  • WebKit

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een bezoek aan een website met kwaadaardige inhoud, kan leiden tot het vervalsen van de

    Beschrijving: er was een probleem met vervalsing van de gebruikersinterface bij de verwerking van de grenzen van de schuifbalk. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-4467: Jordan Milne

  • WebKit

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: opmaaksjablonen worden cross-origin geladen, wat tot de exfiltratie van gegevens kan leiden

    Beschrijving: een SVG die in een img-element wordt geladen, kan een cross-origin CSS-bestand laden. Dit probleem is verholpen door een verbeterde blokkering van externe CSS-referenties in SVG’s.

    CVE-ID

    CVE-2014-4465: Rennie deGraaf van iSEC Partners

  • WebKit

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging in WebKit. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2014-3192: cloudfuzzer

    CVE-2014-4459

    CVE-2014-4466: Apple

    CVE-2014-4468: Apple

    CVE-2014-4469: Apple

    CVE-2014-4470: Apple

    CVE-2014-4471: Apple

    CVE-2014-4472: Apple

    CVE-2014-4473: Apple

    CVE-2014-4474: Apple

    CVE-2014-4475: Apple

    CVE-2014-4476: Apple

    CVE-2014-4477: lokihardt@ASRT in samenwerking met het Zero Day Initiative van HP

    CVE-2014-4479: Apple

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: