Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.
Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg Apple-beveiligingsupdates voor meer informatie over andere beveiligingsupdates.
iOS 8.4
- Application Store
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een kwaadaardige app met een universeel voorzieningenprofiel kan ervoor zorgen dat apps niet worden gestart
Beschrijving: er was een probleem in de installatielogica voor apps met een universeel voorzieningenprofiel, waardoor een conflict met bestaande bundel-ID’s zich voordeed. Dit probleem is verholpen door een verbeterde controle van conflicten.
CVE-ID
CVE-2015-3722: Zhaofeng Chen, Hui Xue en Tao (Lenx) Wei van FireEye, Inc.
Certificaatvertrouwensbeleid
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan netwerkverkeer onderscheppen
Beschrijving: een intermediair certificaat is verkeerd uitgereikt door de certificaatautoriteit CNNIC. Dit probleem is verholpen door het toevoegen van een mechanisme waarbij alleen een subreeks van certificaten wordt vertrouwd die vóór het uitreiken van het intermediaire certificaat zijn uitgereikt. U vindt meer informatie over de toestemmingslijst met gedeeltelijk vertrouwen in veiligheidskwesties.
Certificaatvertrouwensbeleid
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: update voor het certificaatvertrouwensbeleid
Beschrijving: het certificaatvertrouwensbeleid is bijgewerkt. De volledige lijst met certificaten vindt u in de vertrouwde opslag in iOS.
CFNetwork HTTPAuthentication
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hogerImpact: het volgen van een kwaadwillig vervaardigde URL kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van bepaalde URL-inloggegevens. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-3684: Apple
CoreGraphics
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: het openen van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij de verwerking van ICC-profielen. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-3723: chaithanya (SegFault) in samenwerking met het Zero Day Initiative van HP
CVE-2015-3724: WanderingGlitch van het Zero Day Initiative van HP
CoreText
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: het verwerken van een kwaadwillig vervaardigd tekstbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij de verwerking van tekstbestanden. Deze problemen zijn verholpen door middel van een verbeterde controle van het bereik.
CVE-ID
CVE-2015-1157
CVE-2015-3685: Apple
CVE-2015-3686: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-3687: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-3688: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-3689: Apple
coreTLS
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een aanvaller met een geprivilegieerde netwerkpositie kan SSL/TLS-verbindingen onderscheppen
Beschrijving: coreTLS accepteerde kortstondige Diffie-Hellman (DH)-sleutels zoals de sleutels die in exportsterke, kortstondige DH-coderingssuites worden gebruikt. Dit probleem, ook gekend als Logjam, liet een aanvaller in een geprivilegieerde netwerkpositie toe een downgrade van de beveiliging naar 512-bits DH uit te voeren als de server een exportsterke, kortstondige DH-coderingssuite ondersteunde. Het probleem is verholpen door de standaard minimale grootte voor kortstondige DH-sleutels te verhogen tot 768 bits.
CVE-ID
CVE-2015-4000: het weakdh-team bij weakdh.org, Hanno Boeck
DiskImages
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen
Beschrijving: er was een probleem met de vrijgave van informatie bij de verwerking van schijfkopieën. Dit probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-ID
CVE-2015-3690: Peter Rutenbar in samenwerking met het Zero Day Initiative van HP
FontParser
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij de verwerking van lettertypebestanden. Deze problemen zijn verholpen door een verbeterde invoervalidatie.
CVE-ID
CVE-2015-3694: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-3719: John Villamil (@day6reak), Yahoo Pentest Team
ImageIO
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: het verwerken van een kwaadwillig vervaardigd TIFF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van TIFF-bestanden. Dit probleem is verholpen door een verbeterde bounds checking.
CVE-ID
CVE-2015-3703: Apple
ImageIO
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: er zijn meerdere kwetsbaarheden in libtiff, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code
Beschrijving: er waren meerdere kwetsbaarheden in versies van libtiff lager dan 4.0.4. Deze zijn verholpen door libtiff bij te werken naar versie 4.0.4.
CVE-ID
CVE-2014-8127
CVE-2014-8128
CVE-2014-8129
CVE-2014-8130
- Kernel
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen
Beschrijving: er was een probleem met geheugenbeheer bij de verwerking van HFS-parameters dat mogelijk heeft geleid tot de vrijgave van de lay-out van het kernelgeheugen. Dit probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-ID
CVE-2015-3721: Ian Beer van Google Project Zero
- Mail
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een kwaadwillig vervaardigde e-mail kan de inhoud van het bericht vervangen door een willekeurige webpagina wanneer het bericht wordt geopend
Beschrijving: er was een probleem bij de ondersteuning voor HTML-e-mail waarbij de inhoud van een bericht werd vernieuwd door een willekeurige webpagina. Het probleem is verholpen door beperkte ondersteuning voor HTML-inhoud.
CVE-ID
CVE-2015-3710: Aaron Sigel van vtty.com, Jan Souček
MobileInstallation
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een kwaadaardige app met een universeel voorzieningenprofiel kan ervoor zorgen dat een Watch-app niet wordt gestart
Beschrijving: er was een probleem in de installatielogica voor apps met een universeel voorzieningenprofiel op de Watch, waardoor een conflict met bestaande bundel-ID’s zich voordeed. Dit probleem is verholpen door een verbeterde controle van conflicten.
CVE-ID
CVE-2015-3725: Zhaofeng Chen, Hui Xue en Tao (Lenx) Wei van FireEye, Inc.Safari
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een bezoek aan een kwaadwillig vervaardigde website kan gebruikersgegevens op het bestandssysteem in gevaar brengen
Beschrijving: er was een probleem met het statusbeheer in Safari waardoor onbevoegde bronnen toegang tot het bestandssysteem hadden. Dit probleem is verholpen door een verbeterd statusbeheer.
CVE-ID
CVE-2015-1155: Joe Vennix van Rapid7 Inc. in samenwerking met het Zero Day Initiative van HP
- Safari
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot een overname van de account
Beschrijving: er was een probleem waarbij Safari de verzoekheader Oorsprong bewaarde voor doorverwijzingen vanaf de oorsprong, waardoor kwaadaardige websites de CSRF-beveiligingen konden omzeilen. Het probleem is verholpen door een verbeterde verwerking van doorverwijzingen.
CVE-ID
CVE-2015-3658: Brad Hill van Facebook
Beveiliging
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een externe aanvaller kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een overloop bij gehele getallen in de code van het beveiligingskader bij het analyseren van S/MIME-e-mail en bepaalde andere ondertekende of gecodeerde objecten. Dit probleem is verholpen door middel van een verbeterde controle van de geldigheid.
CVE-ID
CVE-2013-1741
SQLite
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een externe aanvaller kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met bufferoverlopen bij de implementatie van SQLite’s printf. Deze problemen zijn verholpen door middel van verbeterde bounds checking.
CVE-ID
CVE-2015-3717: Peter Rutenbar in samenwerking met het Zero Day Initiative van HPSQLite
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een kwaadwillig vervaardigd SQL-commando kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code toestaan
Beschrijving: er was een API-probleem in de SQLite-functionaliteit. Dit is verholpen door middel van verbeterde beperkingen.
CVE-ID
CVE-2015-7036: Peter Rutenbar in samenwerking met het Zero Day Initiative van HP
Telefonie
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: kwaadwillig vervaardigde simkaarten kunnen leiden tot het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met de invoervalidatie bij het parseren van SIM/UIM-payloads. Deze problemen zijn verholpen door een verbeterde validatie van payloads.
CVE-ID
CVE-2015-3726: Matt Spisak van Endgame
- WebKit
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een bezoek aan een kwaadwillige website door op een koppeling te klikken kan leiden tot vervalsing van de gebruikersinterface
Beschrijving: er was een probleem bij de verwerking van het kenmerk rel in anchor-elementen. Doelobjecten kunnen onbevoegde toegang krijgen tot gekoppelde objecten. Dit probleem is verholpen door het type koppelingen beter te volgen.
CVE-ID
CVE-2015-1156: Zachary Durber van Moodle
WebKit
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging in WebKit. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-1152: Apple
CVE-2015-1153: Apple
WebKit
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een bezoek aan een kwaadwillig vervaardigde webpagina kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met onvoldoende vergelijking in de SQLite Authorizer waardoor willekeurige SQL-functies konden worden aangeroepen. Dit probleem is verholpen door middel van verbeterde identiteitscontroles.
CVE-ID
CVE-2015-3659: Peter Rutenbar in samenwerking met het Zero Day Initiative van HP
WebKit
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een kwaadwillig vervaardigde website heeft toegang tot de WebSQL-databases van andere websites
Beschrijving: er was een probleem bij de identiteitscontroles voor het wijzigen van de naam van WebSQL-tabellen waardoor een kwaadwillig vervaardigde website toegang kon hebben tot databases die tot andere websites behoren. Dit is verholpen door middel van verbeterde identiteitscontroles.
CVE-ID
CVE-2015-3727: Peter Rutenbar in samenwerking met het Zero Day Initiative van HP
Wi-Fi-verbindingen
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: iOS-apparaten kunnen automatisch worden gekoppeld met onbetrouwbare toegangspunten die reclame maken voor een gekend ESSID maar een gedowngraded beveiligingstype hebben
Beschrijving: er was een probleem met onvoldoende vergelijking in de evaluatie van advertenties van gekende toegangspunten door de Wi-Fi-beheerder. Dit probleem wordt verholpen door een verbeterde vergelijking van de beveiligingsparameters.
CVE-ID
CVE-2015-3728: Brian W. Gray van Carnegie Mellon University, Craig Young van TripWire