Over de beveiligingsinhoud van iOS 9

In dit document wordt de beveiligingsinhoud van iOS 9 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vindt u op de website Apple productbeveiliging.

Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

iOS 9

  • Apple Pay

    Beschikbaar voor: iPhone 6 en iPhone 6 Plus

    Impact: sommige kaarten staan mogelijk toe dat een betaalterminal beperkte informatie van recente transacties achterhaalt bij een betaling

    Beschrijving: in bepaalde configuraties zijn de logbestanden van transacties ingeschakeld. Dit probleem is verholpen door de logbestanden van transacties te verwijderen. Dit probleem was niet van invloed op iPads.

    CVE-ID

    CVE-2015-5916

  • AppleKeyStore

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een lokale aanvaller kan de mislukte toegangscodepogingen opnieuw instellen met een iOS-reservekopie

    Beschrijving: er was een probleem bij het opnieuw instellen van mislukte toegangscodepogingen met een reservekopie van het iOS-apparaat. Dit is verholpen door een verbeterde logica van mislukte toegangscodes.

    CVE-ID

    CVE-2015-5850: een anonieme onderzoeker

  • Application Store

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: klikken op een kwaadaardige ITMS-koppeling kan leiden tot een Denial of Service in een app die door een bedrijf is ondertekend

    Beschrijving: er was een probleem met de installatie via ITMS-koppelingen. Dit is verholpen door een extra controle van de installatie.

    CVE-ID

    CVE-2015-5856: Zhaofeng Chen, Hui Xue en Tao (Lenx) Wei van FireEye, Inc.

  • Audio

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het afspelen van een kwaadaardig audiobestand kan leiden tot het onverwacht beëindigen van een app

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van audiobestanden. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5862: YoungJin Yoon van Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei University, Seoul, Korea

  • Certificaatvertrouwensbeleid

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: update voor het certificaatvertrouwensbeleid

    Beschrijving: het certificaatvertrouwensbeleid is bijgewerkt. De volledige lijst met certificaten vindt u op https://support.apple.com/nl-nl/HT204132.

  • CFNetwork

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadwillig vervaardigde URL kan HTTP Strict Transport Security (HSTS) negeren en vertrouwelijke gegevens vrijgeven

    Beschrijving: er was een kwetsbaarheid tijdens het parseren van URL's bij de verwerking van HSTS. Dit probleem is verholpen door een verbeterde parsering van URL's.

    CVE-ID

    CVE-2015-5858: Xiaofeng Zheng van Blue Lotus Team, Tsinghua University

  • CFNetwork

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadaardige website kan gebruikers in de privémodus van Safari volgen

    Beschrijving: er was een probleem bij de verwerking van de HSTS-status in de privémodus van Safari. Dit probleem is verholpen door een verbeterde verwerking van de status.

    CVE-ID

    CVE-2015-5860: Sam Greenhalgh van RadicalResearch Ltd

  • CFNetwork

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een persoon met fysieke toegang tot een iOS-apparaat kan de cachegegevens van Apple-apps lezen

    Beschrijving: cachegegevens waren gecodeerd met een sleutel die alleen door de hardware-UID was beschermd. Dit probleem is verholpen door de cachegegevens te coderen met een sleutel die wordt beschermd door de hardware-UID en de toegangscode van de gebruiker.

    CVE-ID

    CVE-2015-5898: Andreas Kurtz van NESO Security Labs

  • CFNetwork-cookies

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een aanvaller in een geprivilegieerde netwerkpositie kan de activiteit van een gebruiker bijhouden

    Beschrijving: er was een probleem met cookies tussen verschillende domeinen bij de verwerking van domeinen van het hoogste niveau. Het probleem is verholpen door verbeterde beperkingen bij de aanmaak van cookies.

    CVE-ID

    CVE-2015-5885: Xiaofeng Zheng van Blue Lotus Team, Tsinghua University

  • CFNetwork-cookies

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een aanvaller kan onbedoelde cookies voor een website aanmaken

    Beschrijving: WebKit accepteerde dat meerdere cookies werden ingesteld in de document.cookie-API. Dit probleem is verholpen door een verbeterde parsering.

    CVE-ID

    CVE-2015-3801: Erling Ellingsen van Facebook

  • CFNetwork FTPProtocol

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: kwaadaardige FTP-servers kunnen ervoor zorgen dat de client andere hosts gaat verkennen

    Beschrijving: er was een probleem bij de verwerking van FTP-pakketten wanneer het PASV-commando werd gebruikt. Dit probleem is verholpen door een verbeterde validatie.

    CVE-ID

    CVE-2015-5912: Amit Klein

  • CFNetwork HTTP-protocol

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een aanvaller in een geprivilegieerde netwerkpositie kan netwerkverkeer onderscheppen

    Beschrijving: er was een probleem bij de verwerking van de vooraf geladen HSTS-lijstgegevens in de privémodus van Safari. Dit probleem is verholpen door een verbeterde verwerking van de status.

    CVE-ID

    CVE-2015-5859: Rosario Giustolisi van University of Luxembourg

  • CFNetwork-proxy's

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: verbinden met een kwaadaardige webproxy kan kwaadaardige cookies voor een website instellen

    Beschrijving: er was een probleem bij de verwerking van reacties op verbindingen met een proxy. Dit probleem is verholpen door de Set-Cookie headers te verwijderen tijdens het parseren van de reacties op verbindingen.

    CVE-ID

    CVE-2015-5841: Xiaofeng Zheng van Blue Lotus Team, Tsinghua University

  • CFNetwork SSL

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een aanvaller met een geprivilegieerde netwerkpositie kan SSL/TLS-verbindingen onderscheppen

    Beschrijving: er was een probleem met de validatie van het certificaat in NSURL wanneer een certificaat werd gewijzigd. Dit probleem is verholpen door een verbeterde validatie van certificaten.

    CVE-ID

    CVE-2015-5824: Timothy J. Wood van The Omni Group

  • CFNetwork SSL

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een aanvaller kan gegevens decoderen die met SSL zijn beveiligd

    Beschrijving: er zijn bekende aanvallen op de vertrouwelijkheid van RC4. Zelfs als de server de voorkeur geeft aan betere codes, kan een aanvaller het gebruik van RC4 forceren door verbindingen via TLS 1.0 en hoger te blokkeren tot CFNetwork de verbinding via SSL 3.0 probeert (waarbij alleen RC4 is toegestaan). Dit probleem is verholpen door de terugval op SSL 3.0 te verwijderen.

  • CoreAnimation

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een schadelijke app kan vertrouwelijke gebruikersinformatie vrijgeven

    Beschrijving: apps hebben toegang tot de framebuffer van het scherm terwijl deze op de achtergrond werden uitgevoerd. Dit probleem is verholpen door een verbeterde toegangscontrole in IOSurfaces.

    CVE-ID

    CVE-2015-5880: Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li van School of Information Systems Singapore Management University, Feng Bao en Jianying Zhou van Cryptography and Security Department Institute for Infocomm Research

  • CoreCrypto

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een aanvaller kan een private sleutel bepalen

    Beschrijving: door talrijke pogingen tot ondertekenen of decoderen te observeren, kon een aanvaller de private RSA-sleutel bepalen. Dit probleem is verholpen door verbeterde coderingsalgoritmen te gebruiken.

  • CoreText

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van lettertypebestanden. Dit probleem is verholpen door een verbeterde invoervalidatie.

    CVE-ID

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Data Detectors Engine

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het verwerken van een kwaadwillig vervaardigd tekstbestand kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er waren problemen met geheugenbeschadiging bij de verwerking van tekstbestanden. Deze problemen zijn verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2015-5829: M1x7e1 van Safeye Team (www.safeye.org)

  • Dev Tools

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in dyld. Dit is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5876: beist van grayhash

  • Schijfkopieën

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in DiskImages. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een programma kan de codeondertekening omzeilen

    Beschrijving: er was een probleem met de validatie van codeondertekening bij uitvoerbare bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • Game Center

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadaardige Game Center-app kan toegang krijgen tot het e-mailadres van de speler

    Beschrijving: er was een probleem bij de verwerking van het e-mailadres van een speler in Game Center. Dit probleem is verholpen door middel van verbeterde toegangsbeperkingen.

    CVE-ID

    CVE-2015-5855: Nasser Alnasser

  • ICU

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: meerdere kwetsbaarheden in ICU

    Beschrijving: er waren meerdere kwetsbaarheden in versies van ICU lager dan 53.1.0. Deze problemen zijn verholpen door ICU bij te werken naar versie 55.1.

    CVE-ID

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922: Mark Brand van Google Project Zero

  • IOAcceleratorFamily

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen

    Beschrijving: er was een probleem dat leidde tot de vrijgave van de inhoud van het kernelgeheugen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2015-5834: Cererdlong van Alibaba Mobile Security Team

  • IOAcceleratorFamily

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in IOAcceleratorFamily. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5848: Filippo Bigarella

  • IOHIDFamily

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in IOHIDFamily. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5867: moony li van Trend Micro

  • IOKit

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in IOMobileFrameBuffer. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een lokale aanvaller kan mogelijk het kernelgeheugen lezen

    Beschrijving: er was een probleem met de geheugeninitialisatie in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5863: Ilja van Sprundel van IOActive

  • iTunes Store

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: Apple ID-gegevens blijven na het uitloggen mogelijk in de sleutelhanger

    Beschrijving: er was een probleem bij het verwijderen van de sleutelhanger. Dit probleem is verholpen door een verbeterde opschoning van de account.

    CVE-ID

    CVE-2015-5832: Kasif Dekel van Check Point Software Technologies

  • JavaScriptCore

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er waren problemen met geheugenbeschadiging in WebKit. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5791: Apple

    CVE-2015-5793: Apple

    CVE-2015-5814: Apple

    CVE-2015-5816: Apple

    CVE-2015-5822: Mark S. Miller van Google

    CVE-2015-5823: Apple

  • Kernel

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met kernelbevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5868: Cererdlong van Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard van m00nbsd

    CVE-2015-5903: CESG

    Bijgewerkt op 21 december 2016

  • Kernel

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een lokale aanvaller kan de waarde van stack-cookies beheren

    Beschrijving: er waren meerdere kwetsbaarheden bij de aanmaak van stack cookies in gebruikersruimtes. Dit is verholpen door een verbeterde aanmaak van stack cookies.

    CVE-ID

    CVE-2013-3951: Stefan Esser

  • Kernel

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een lokaal proces kan andere processen wijzigen zonder controle van de bevoegdheden

    Beschrijving: er was een probleem waarbij rootprocessen die de API processor_set_tasks gebruikten, de taakpoorten van andere processen mochten opvragen. Dit probleem is verholpen door een extra controle van de bevoegdheden.

    CVE-ID

    CVE-2015-5882: Pedro Vilaça in samenwerking met het oorspronkelijke onderzoek van Ming-chieh Pan en Sung-ting Tsai; Jonathan Levin

  • Kernel

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een aanvaller kan Denial of Service-aanvallen op doelgerichte TCP-verbindingen starten zonder het juiste reeksnummer te weten

    Beschrijving: er was een probleem met de validatie van headers van TCP-pakketten in xnu. Dit probleem is verholpen door een verbeterde validatie van headers van TCP-pakketten.

    CVE-ID

    CVE-2015-5879: Jonathan Looney

  • Kernel

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een aanvaller in een lokaal LAN-segment kan IPv6-routering uitschakelen

    Beschrijving: er was een probleem met onvoldoende validatie bij de verwerking van IPv6-routeraankondigingen waardoor een aanvaller de hoplimiet kon instellen op een willekeurige waarde. Dit probleem is verholpen door een minimale hoplimiet op te leggen.

    CVE-ID

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een lokale gebruiker kan de indeling van het kernelgeheugen bepalen

    Beschrijving: er was een probleem in XNU dat leidde tot de vrijgave van het kernelgeheugen. Dit probleem is verholpen door een verbeterde initialisatie van kernelgeheugenstructuren.

    CVE-ID

    CVE-2015-5842: beist van grayhash

  • Kernel

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een lokale gebruiker kan zorgen voor een Denial of Service van het systeem

    Beschrijving: er was een probleem met de activering van de HFS-schijf. Dit is verholpen door extra validatiecontroles.

    CVE-ID

    CVE-2015-5748: Maxime Villard van m00nbsd

  • libc

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken

    Beschrijving: er was een probleem met geheugenbeschadiging in de fflush-functie. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2014-8611: Adrian Chadd en Alfred Perlstein van Norse Corporation

  • libpthread

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met kernelbevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5899: Lufeng Li van Qihoo 360 Vulcan Team

  • Mail

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een aanvaller kan een e-mail versturen die afkomstig lijkt te zijn van een contact uit het adresboek van de geadresseerde

    Beschrijving: er was een probleem met de verwerking van het adres van de geadresseerde. Dit probleem is verholpen door een verbeterde validatie.

    CVE-ID

    CVE-2015-5857: Emre Saglam van salesforce.com

  • Multipeer Connectivity

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een lokale aanvaller kan mogelijk onbeveiligde multipeergegevens observeren

    Beschrijving: er was een probleem bij de verwerking door de initialisator waardoor de codering actief kon worden gedowngraded naar een niet-gecodeerde sessie. Dit probleem is verholpen door de initialisator zo te wijzigen dat codering verplicht is.

    CVE-ID

    CVE-2015-5851: Alban Diquet (@nabla_c0d3) van Data Theorem

  • NetworkExtension

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen

    Beschrijving: een probleem met een niet-geïnitialiseerd geheugen in de kernel leidde tot de vrijgave van de inhoud van het kernelgeheugen. Dit probleem is verholpen door een geheugeninitialisatie.

    CVE-ID

    CVE-2015-5831: Maxime Villard van m00nbsd

  • OpenSSL

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: meerdere kwetsbaarheden in OpenSSL

    Beschrijving: er waren meerdere kwetsbaarheden in versies van OpenSSL lager dan 0.9.8zg. Deze zijn verholpen door OpenSSL bij te werken naar versie 0.9.8zg.

    CVE-ID

    CVE-2015-0286

    CVE-2015-0287

  • PluginKit

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadaardig bedrijfsprogramma kan extensies installeren zonder dat het programma is vertrouwd

    Beschrijving: er was een probleem met de validatie van extensies tijdens installaties. Dit is verholpen door een verbeterde controle van apps.

    CVE-ID

    CVE-2015-5837: Zhaofeng Chen, Hui Xue en Tao (Lenx) Wei van FireEye, Inc.

  • removefile

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: de verwerking van kwaadaardige gegevens kan leiden tot het onverwacht beëindigen van het programma

    Beschrijving: er was een overflow-fout in de delingsroutines van checkint. Dit probleem is verholpen door verbeterde delingsroutines.

    CVE-ID

    CVE-2015-5840: een anonieme onderzoeker

  • Safari

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een lokale gebruiker kan mogelijk Safari-bladwijzers op een vergrendeld iOS-apparaat lezen zonder toegangscode

    Beschrijving: de gegevens van de Safari-bladwijzers waren gecodeerd met een sleutel die alleen door de hardware-UID was beschermd. Dit probleem is verholpen door de gegevens van de Safari-bladwijzers te coderen met een sleutel die wordt beschermd door de hardware-UID en de toegangscode van de gebruiker.

    CVE-ID

    CVE-2015-7118: Jonathan Zdziarski

    Bijgewerkt op 21 december 2016

  • Safari

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een bezoek aan een schadelijke website kan leiden tot vervalsing van de gebruikersinterface

    Beschrijving: een probleem stond mogelijk toe dat een website inhoud met een URL van een andere website weergaf. Dit probleem is verholpen door een verbeterde verwerking van URL's.

    CVE-ID

    CVE-2015-5904: Erling Ellingsen van Facebook, Łukasz Pilorz

  • Safari

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een bezoek aan een schadelijke website kan leiden tot vervalsing van de gebruikersinterface

    Beschrijving: navigeren naar een kwaadaardige website met een misvormde vensteropener kon ervoor zorgen dat willekeurige URL's werden weergegeven. Dit probleem is verholpen door een verbeterde verwerking van vensteropeners.

    CVE-ID

    CVE-2015-5905: Keita Haga van keitahaga.com

  • Safari

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: gebruikers kunnen via clientcertificaten worden gevolgd door kwaadaardige websites

    Beschrijving: er was een probleem in het clientcertificaat van Safari dat de SSL-identiteitscontrole vergeleek. Dit probleem is verholpen door een verbeterde vergelijking van geldige clientcertificaten.

    CVE-ID

    CVE-2015-1129: Stefan Kraus van fluid Operations AG, Sylvain Munaut van Whatever s.a.

  • Safari

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een bezoek aan een schadelijke website kan leiden tot vervalsing van de gebruikersinterface

    Beschrijving: meerdere inconsistenties in de gebruikersinterface konden ervoor zorgen dat een kwaadaardige website een willekeurige URL weergaf. Deze problemen zijn verholpen door een verbeterde logica van de URL-weergave.

    CVE-ID

    CVE-2015-5764: Antonio Sanso (@asanso) van Adobe

    CVE-2015-5765: Ron Masas

    CVE-2015-5767: Krystian Kloskowski via Secunia, Masato Kinugawa

  • Privémodus in Safari

    iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: navigeren naar het IP-adres van een bekende kwaadaardige website activeert mogelijk geen beveiligingswaarschuwing

    Beschrijving: de functie voor veilig browsen van Safari waarschuwde gebruikers niet wanneer ze IP-adressen van bekende kwaadaardige websites bezochten. Het probleem is verholpen door een verbeterde detectie van kwaadaardige sites.

    Rahul M van TagsDock

  • Beveiliging

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadaardige app kon mogelijk de communicatie tussen apps onderscheppen

    Beschrijving: er was een probleem waardoor een kwaadaardige app de communicatie van URL-schema's tussen apps kon onderscheppen. Dit is gematigd door een dialoogvenster weer te geven wanneer een URL-schema voor het eerst wordt gebruikt.

    CVE-ID

    CVE-2015-5835: Teun van Run van FiftyTwoDegreesNorth B.V.; XiaoFeng Wang van Indiana University, Luyi Xing van Indiana University, Tongxin Li van Peking University, Tongxin Li van Peking University, Xiaolong Bai van Tsinghua University

  • Siri

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een persoon met fysieke toegang tot een iOS-apparaat kan mogelijk Siri gebruiken om meldingen van inhoud te lezen die zijn ingesteld om niet op het toegangsscherm te worden weergegeven

    Beschrijving: wanneer Siri iets werd gevraagd, werden de beperkingen aan clientzijde niet gecontroleerd door de server. Dit probleem is verholpen door een verbeterde controle van beperkingen.

    CVE-ID

    CVE-2015-5892: Robert S Mozayeni, Joshua Donvito

  • SpringBoard

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een persoon met fysieke toegang tot een iOS-apparaat kan een audiobericht vanaf het toegangsscherm beantwoorden wanneer voorbeelden van het bericht op het toegangsscherm zijn uitgeschakeld

    Beschrijving: een probleem met het toegangsscherm liet gebruikers toe audioberichten te beantwoorden wanneer voorbeelden van berichten waren uitgeschakeld. Dit probleem is verholpen door een verbeterd statusbeheer.

    CVE-ID

    CVE-2015-5861: Daniel Miedema van Meridian Apps

  • SpringBoard

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadaardig programma kon de dialoogvensters van andere programma's vervalsen

    Beschrijving: er was een toegangsprobleem met geprivilegieerde API-aanroepen. Dit probleem is verholpen door extra beperkingen.

    CVE-ID

    CVE-2015-5838: Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei, John C.S. Lui

  • SQLite

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: meerdere kwetsbaarheden in SQLite v3.8.5

    Beschrijving: er waren meerdere kwetsbaarheden in SQLite v3.8.5. Deze problemen zijn verholpen door SQLite bij te werken naar versie 3.8.10.2.

    CVE-ID

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • tidy

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging in Tidy. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5522: Fernando Muñoz van NULLGroup.com

    CVE-2015-5523: Fernando Muñoz van NULLGroup.com

  • WebKit

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: objectverwijzingen zijn mogelijk uitgelekt tussen afgescheiden oorsprongen bij aangepaste activiteiten, berichtactiviteiten en popstatusactiviteiten

    Beschrijving: een probleem met het uitlekken van objecten verbrak de afscheidingsgrens tussen oorsprongen. Dit probleem is verholpen door een verbeterde afscheiding tussen oorsprongen.

    CVE-ID

    CVE-2015-5827: Gildas

  • WebKit

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er waren problemen met geheugenbeschadiging in WebKit. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5789: Apple

    CVE-2015-5790: Apple

    CVE-2015-5792: Apple

    CVE-2015-5794: Apple

    CVE-2015-5795: Apple

    CVE-2015-5796: Apple

    CVE-2015-5797: Apple

    CVE-2015-5799: Apple

    CVE-2015-5800: Apple

    CVE-2015-5801: Apple

    CVE-2015-5802: Apple

    CVE-2015-5803: Apple

    CVE-2015-5804: Apple

    CVE-2015-5805

    CVE-2015-5806: Apple

    CVE-2015-5807: Apple

    CVE-2015-5809: Apple

    CVE-2015-5810: Apple

    CVE-2015-5811: Apple

    CVE-2015-5812: Apple

    CVE-2015-5813: Apple

    CVE-2015-5817: Apple

    CVE-2015-5818: Apple

    CVE-2015-5819: Apple

    CVE-2015-5821: Apple

  • WebKit

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een bezoek aan een kwaadaardige website kan leiden tot onbedoeld bellen

    Beschrijving: er was een probleem met de verwerking van tel://-, facetime://- en facetime-audio://-URL's. Dit probleem is verholpen door een verbeterde verwerking van URL's.

    CVE-ID

    CVE-2015-5820: Andrei Neculaesei, Guillaume Ross

  • WebKit

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: QuickType kan het laatste teken van een wachtwoord in een ingevuld webformulier te weten komen

    Beschrijving: er was een probleem met de verwerking van de context van ingevoerde wachtwoorden door WebKit. Dit probleem is verholpen door een verbeterde verwerking van de context van invoer.

    CVE-ID

    CVE-2015-5906: Louis Romero van Google Inc.

  • WebKit

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een aanvaller in een geprivilegieerde netwerkpositie kan een omleiding naar een kwaadaardig domein instellen

    Beschrijving: er was een probleem met de verwerking van broncaches op sites met ongeldige certificaten. Het probleem is verholpen door de appcache van domeinen met ongeldige certificaten te weigeren.

    CVE-ID

    CVE-2015-5907: Yaoqi Jia van National University of Singapore (NUS)

  • WebKit

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadaardige website kan gegevens 'cross-origin' exfiltreren

    Beschrijving: Safari stond toe dat 'cross-origin' stijlbladen werden geladen met niet-CSS MIME-typen die konden worden gebruikt voor het 'cross-origin' exfiltreren van gegevens. Dit probleem is verholpen door MIME-typen voor 'cross-origin' stijlbladen te beperken.

    CVE-ID

    CVE-2015-5826: filedescriptor, Chris Evans

  • WebKit

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: de API Performance staat een kwaadaardige website mogelijk toe om de browsegeschiedenis, netwerkactiviteit en muisbewegingen vrij te geven

    Beschrijving: de API Performance van WebKit kon een kwaadaardige website mogelijk toestaan om de browsegeschiedenis, netwerkactiviteit en muisbewegingen vrij te geven door de tijd te meten. Dit probleem is verholpen door de tijdresolutie te beperken.

    CVE-ID

    CVE-2015-5825: Yossi Oren et al. van Columbia University's Network Security Lab

  • WebKit

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk vertrouwelijke gebruikersgegevens vrijgeven

    Beschrijving: er was een probleem met de headers Content-Disposition met het type Bijlage. Dit probleem is verholpen door bepaalde functionaliteit voor het type Bijlagepagina's niet toe te staan.

    CVE-ID

    CVE-2015-5921: Mickey Shkatov van het Intel(r) Advanced Threat Research Team, Daoyuan Wu van Singapore Management University, Rocky K. C. Chang van Hong Kong Polytechnic University, Łukasz Pilorz, superhei van www.knownsec.com

  • WebKit-canvas

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een bezoek aan een kwaadaardige website kan afbeeldingsgegevens vanaf een andere website vrijgeven

    Beschrijving: er was een 'cross-origin'-probleem bij afbeeldingen die zijn gemaakt met 'canvas'-elementen in WebKit. Dit is verholpen door een verbeterde tracking van beveiligingsbronnen.

    CVE-ID

    CVE-2015-5788: Apple

  • Het laden van pagina's in WebKit

    Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: WebSockets kan het opgelegde beleid voor gemengde inhoud omzeilen

    Beschrijving: een probleem met een niet goed opgelegd beleid stond toe dat WebSockets gemengde inhoud laadde. Dit probleem is verholpen door het opleggen van het beleid voor gemengde inhoud aan WebSockets uit te breiden.

    Kevin G. Jones van Higher Logic

FaceTime is niet in alle landen of regio's beschikbaar.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: