Over de beveiligingsinhoud van iOS 9
In dit document wordt de beveiligingsinhoud van iOS 9 beschreven.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vindt u op de website Apple productbeveiliging.
Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.
iOS 9
Apple Pay
Beschikbaar voor: iPhone 6 en iPhone 6 Plus
Impact: sommige kaarten staan mogelijk toe dat een betaalterminal beperkte informatie van recente transacties achterhaalt bij een betaling
Beschrijving: in bepaalde configuraties zijn de logbestanden van transacties ingeschakeld. Dit probleem is verholpen door de logbestanden van transacties te verwijderen. Dit probleem was niet van invloed op iPads.
CVE-ID
CVE-2015-5916
AppleKeyStore
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een lokale aanvaller kan de mislukte toegangscodepogingen opnieuw instellen met een iOS-reservekopie
Beschrijving: er was een probleem bij het opnieuw instellen van mislukte toegangscodepogingen met een reservekopie van het iOS-apparaat. Dit is verholpen door een verbeterde logica van mislukte toegangscodes.
CVE-ID
CVE-2015-5850: een anonieme onderzoeker
Application Store
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: klikken op een kwaadaardige ITMS-koppeling kan leiden tot een Denial of Service in een app die door een bedrijf is ondertekend
Beschrijving: er was een probleem met de installatie via ITMS-koppelingen. Dit is verholpen door een extra controle van de installatie.
CVE-ID
CVE-2015-5856: Zhaofeng Chen, Hui Xue en Tao (Lenx) Wei van FireEye, Inc.
Audio
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: het afspelen van een kwaadaardig audiobestand kan leiden tot het onverwacht beëindigen van een app
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van audiobestanden. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5862: YoungJin Yoon van Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei University, Seoul, Korea
Certificaatvertrouwensbeleid
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: update voor het certificaatvertrouwensbeleid
Beschrijving: het certificaatvertrouwensbeleid is bijgewerkt. De volledige lijst met certificaten vindt u op https://support.apple.com/nl-nl/HT204132.
CFNetwork
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een kwaadwillig vervaardigde URL kan HTTP Strict Transport Security (HSTS) negeren en vertrouwelijke gegevens vrijgeven
Beschrijving: er was een kwetsbaarheid tijdens het parseren van URL's bij de verwerking van HSTS. Dit probleem is verholpen door een verbeterde parsering van URL's.
CVE-ID
CVE-2015-5858: Xiaofeng Zheng van Blue Lotus Team, Tsinghua University
CFNetwork
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een kwaadaardige website kan gebruikers in de privémodus van Safari volgen
Beschrijving: er was een probleem bij de verwerking van de HSTS-status in de privémodus van Safari. Dit probleem is verholpen door een verbeterde verwerking van de status.
CVE-ID
CVE-2015-5860: Sam Greenhalgh van RadicalResearch Ltd
CFNetwork
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een persoon met fysieke toegang tot een iOS-apparaat kan de cachegegevens van Apple-apps lezen
Beschrijving: cachegegevens waren gecodeerd met een sleutel die alleen door de hardware-UID was beschermd. Dit probleem is verholpen door de cachegegevens te coderen met een sleutel die wordt beschermd door de hardware-UID en de toegangscode van de gebruiker.
CVE-ID
CVE-2015-5898: Andreas Kurtz van NESO Security Labs
CFNetwork-cookies
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan de activiteit van een gebruiker bijhouden
Beschrijving: er was een probleem met cookies tussen verschillende domeinen bij de verwerking van domeinen van het hoogste niveau. Het probleem is verholpen door verbeterde beperkingen bij de aanmaak van cookies.
CVE-ID
CVE-2015-5885: Xiaofeng Zheng van Blue Lotus Team, Tsinghua University
CFNetwork-cookies
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een aanvaller kan onbedoelde cookies voor een website aanmaken
Beschrijving: WebKit accepteerde dat meerdere cookies werden ingesteld in de document.cookie-API. Dit probleem is verholpen door een verbeterde parsering.
CVE-ID
CVE-2015-3801: Erling Ellingsen van Facebook
CFNetwork FTPProtocol
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: kwaadaardige FTP-servers kunnen ervoor zorgen dat de client andere hosts gaat verkennen
Beschrijving: er was een probleem bij de verwerking van FTP-pakketten wanneer het PASV-commando werd gebruikt. Dit probleem is verholpen door een verbeterde validatie.
CVE-ID
CVE-2015-5912: Amit Klein
CFNetwork HTTP-protocol
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan netwerkverkeer onderscheppen
Beschrijving: er was een probleem bij de verwerking van de vooraf geladen HSTS-lijstgegevens in de privémodus van Safari. Dit probleem is verholpen door een verbeterde verwerking van de status.
CVE-ID
CVE-2015-5859: Rosario Giustolisi van University of Luxembourg
CFNetwork-proxy's
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: verbinden met een kwaadaardige webproxy kan kwaadaardige cookies voor een website instellen
Beschrijving: er was een probleem bij de verwerking van reacties op verbindingen met een proxy. Dit probleem is verholpen door de Set-Cookie headers te verwijderen tijdens het parseren van de reacties op verbindingen.
CVE-ID
CVE-2015-5841: Xiaofeng Zheng van Blue Lotus Team, Tsinghua University
CFNetwork SSL
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een aanvaller met een geprivilegieerde netwerkpositie kan SSL/TLS-verbindingen onderscheppen
Beschrijving: er was een probleem met de validatie van het certificaat in NSURL wanneer een certificaat werd gewijzigd. Dit probleem is verholpen door een verbeterde validatie van certificaten.
CVE-ID
CVE-2015-5824: Timothy J. Wood van The Omni Group
CFNetwork SSL
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een aanvaller kan gegevens decoderen die met SSL zijn beveiligd
Beschrijving: er zijn bekende aanvallen op de vertrouwelijkheid van RC4. Zelfs als de server de voorkeur geeft aan betere codes, kan een aanvaller het gebruik van RC4 forceren door verbindingen via TLS 1.0 en hoger te blokkeren tot CFNetwork de verbinding via SSL 3.0 probeert (waarbij alleen RC4 is toegestaan). Dit probleem is verholpen door de terugval op SSL 3.0 te verwijderen.
CoreAnimation
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een schadelijke app kan vertrouwelijke gebruikersinformatie vrijgeven
Beschrijving: apps hebben toegang tot de framebuffer van het scherm terwijl deze op de achtergrond werden uitgevoerd. Dit probleem is verholpen door een verbeterde toegangscontrole in IOSurfaces.
CVE-ID
CVE-2015-5880: Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li van School of Information Systems Singapore Management University, Feng Bao en Jianying Zhou van Cryptography and Security Department Institute for Infocomm Research
CoreCrypto
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een aanvaller kan een private sleutel bepalen
Beschrijving: door talrijke pogingen tot ondertekenen of decoderen te observeren, kon een aanvaller de private RSA-sleutel bepalen. Dit probleem is verholpen door verbeterde coderingsalgoritmen te gebruiken.
CoreText
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van lettertypebestanden. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-ID
CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team
Data Detectors Engine
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: het verwerken van een kwaadwillig vervaardigd tekstbestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er waren problemen met geheugenbeschadiging bij de verwerking van tekstbestanden. Deze problemen zijn verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2015-5829: M1x7e1 van Safeye Team (www.safeye.org)
Dev Tools
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging in dyld. Dit is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5876: beist van grayhash
Schijfkopieën
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging in DiskImages. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5847: Filippo Bigarella, Luca Todesco
dyld
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een programma kan de codeondertekening omzeilen
Beschrijving: er was een probleem met de validatie van codeondertekening bij uitvoerbare bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team
Game Center
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een kwaadaardige Game Center-app kan toegang krijgen tot het e-mailadres van de speler
Beschrijving: er was een probleem bij de verwerking van het e-mailadres van een speler in Game Center. Dit probleem is verholpen door middel van verbeterde toegangsbeperkingen.
CVE-ID
CVE-2015-5855: Nasser Alnasser
ICU
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: meerdere kwetsbaarheden in ICU
Beschrijving: er waren meerdere kwetsbaarheden in versies van ICU lager dan 53.1.0. Deze problemen zijn verholpen door ICU bij te werken naar versie 55.1.
CVE-ID
CVE-2014-8146: Marc Deslauriers
CVE-2014-8147: Marc Deslauriers
CVE-2015-5922: Mark Brand van Google Project Zero
IOAcceleratorFamily
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen
Beschrijving: er was een probleem dat leidde tot de vrijgave van de inhoud van het kernelgeheugen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2015-5834: Cererdlong van Alibaba Mobile Security Team
IOAcceleratorFamily
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging in IOAcceleratorFamily. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5848: Filippo Bigarella
IOHIDFamily
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging in IOHIDFamily. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5867: moony li van Trend Micro
IOKit
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5844: Filippo Bigarella
CVE-2015-5845: Filippo Bigarella
CVE-2015-5846: Filippo Bigarella
IOMobileFrameBuffer
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging in IOMobileFrameBuffer. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5843: Filippo Bigarella
IOStorageFamily
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een lokale aanvaller kan mogelijk het kernelgeheugen lezen
Beschrijving: er was een probleem met de geheugeninitialisatie in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5863: Ilja van Sprundel van IOActive
iTunes Store
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: Apple ID-gegevens blijven na het uitloggen mogelijk in de sleutelhanger
Beschrijving: er was een probleem bij het verwijderen van de sleutelhanger. Dit probleem is verholpen door een verbeterde opschoning van de account.
CVE-ID
CVE-2015-5832: Kasif Dekel van Check Point Software Technologies
JavaScriptCore
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er waren problemen met geheugenbeschadiging in WebKit. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5791: Apple
CVE-2015-5793: Apple
CVE-2015-5814: Apple
CVE-2015-5816: Apple
CVE-2015-5822: Mark S. Miller van Google
CVE-2015-5823: Apple
Kernel
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een lokale gebruiker kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5868: Cererdlong van Alibaba Mobile Security Team
CVE-2015-5896: Maxime Villard van m00nbsd
CVE-2015-5903: CESG
Bijgewerkt op 21 december 2016
Kernel
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een lokale aanvaller kan de waarde van stack-cookies beheren
Beschrijving: er waren meerdere kwetsbaarheden bij de aanmaak van stack cookies in gebruikersruimtes. Dit is verholpen door een verbeterde aanmaak van stack cookies.
CVE-ID
CVE-2013-3951: Stefan Esser
Kernel
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een lokaal proces kan andere processen wijzigen zonder controle van de bevoegdheden
Beschrijving: er was een probleem waarbij rootprocessen die de API processor_set_tasks gebruikten, de taakpoorten van andere processen mochten opvragen. Dit probleem is verholpen door een extra controle van de bevoegdheden.
CVE-ID
CVE-2015-5882: Pedro Vilaça in samenwerking met het oorspronkelijke onderzoek van Ming-chieh Pan en Sung-ting Tsai; Jonathan Levin
Kernel
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een aanvaller kan Denial of Service-aanvallen op doelgerichte TCP-verbindingen starten zonder het juiste reeksnummer te weten
Beschrijving: er was een probleem met de validatie van headers van TCP-pakketten in xnu. Dit probleem is verholpen door een verbeterde validatie van headers van TCP-pakketten.
CVE-ID
CVE-2015-5879: Jonathan Looney
Kernel
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een aanvaller in een lokaal LAN-segment kan IPv6-routering uitschakelen
Beschrijving: er was een probleem met onvoldoende validatie bij de verwerking van IPv6-routeraankondigingen waardoor een aanvaller de hoplimiet kon instellen op een willekeurige waarde. Dit probleem is verholpen door een minimale hoplimiet op te leggen.
CVE-ID
CVE-2015-5869: Dennis Spindel Ljungmark
Kernel
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een lokale gebruiker kan de indeling van het kernelgeheugen bepalen
Beschrijving: er was een probleem in XNU dat leidde tot de vrijgave van het kernelgeheugen. Dit probleem is verholpen door een verbeterde initialisatie van kernelgeheugenstructuren.
CVE-ID
CVE-2015-5842: beist van grayhash
Kernel
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een lokale gebruiker kan zorgen voor een Denial of Service van het systeem
Beschrijving: er was een probleem met de activering van de HFS-schijf. Dit is verholpen door extra validatiecontroles.
CVE-ID
CVE-2015-5748: Maxime Villard van m00nbsd
libc
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken
Beschrijving: er was een probleem met geheugenbeschadiging in de fflush-functie. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2014-8611: Adrian Chadd en Alfred Perlstein van Norse Corporation
libpthread
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een lokale gebruiker kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5899: Lufeng Li van Qihoo 360 Vulcan Team
Mail
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een aanvaller kan een e-mail versturen die afkomstig lijkt te zijn van een contact uit het adresboek van de geadresseerde
Beschrijving: er was een probleem met de verwerking van het adres van de geadresseerde. Dit probleem is verholpen door een verbeterde validatie.
CVE-ID
CVE-2015-5857: Emre Saglam van salesforce.com
Multipeer Connectivity
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een lokale aanvaller kan mogelijk onbeveiligde multipeergegevens observeren
Beschrijving: er was een probleem bij de verwerking door de initialisator waardoor de codering actief kon worden gedowngraded naar een niet-gecodeerde sessie. Dit probleem is verholpen door de initialisator zo te wijzigen dat codering verplicht is.
CVE-ID
CVE-2015-5851: Alban Diquet (@nabla_c0d3) van Data Theorem
NetworkExtension
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen
Beschrijving: een probleem met een niet-geïnitialiseerd geheugen in de kernel leidde tot de vrijgave van de inhoud van het kernelgeheugen. Dit probleem is verholpen door een geheugeninitialisatie.
CVE-ID
CVE-2015-5831: Maxime Villard van m00nbsd
OpenSSL
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: meerdere kwetsbaarheden in OpenSSL
Beschrijving: er waren meerdere kwetsbaarheden in versies van OpenSSL lager dan 0.9.8zg. Deze zijn verholpen door OpenSSL bij te werken naar versie 0.9.8zg.
CVE-ID
CVE-2015-0286
CVE-2015-0287
PluginKit
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een kwaadaardig bedrijfsprogramma kan extensies installeren zonder dat het programma is vertrouwd
Beschrijving: er was een probleem met de validatie van extensies tijdens installaties. Dit is verholpen door een verbeterde controle van apps.
CVE-ID
CVE-2015-5837: Zhaofeng Chen, Hui Xue en Tao (Lenx) Wei van FireEye, Inc.
removefile
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: de verwerking van kwaadaardige gegevens kan leiden tot het onverwacht beëindigen van het programma
Beschrijving: er was een overflow-fout in de delingsroutines van checkint. Dit probleem is verholpen door verbeterde delingsroutines.
CVE-ID
CVE-2015-5840: een anonieme onderzoeker
Safari
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een lokale gebruiker kan mogelijk Safari-bladwijzers op een vergrendeld iOS-apparaat lezen zonder toegangscode
Beschrijving: de gegevens van de Safari-bladwijzers waren gecodeerd met een sleutel die alleen door de hardware-UID was beschermd. Dit probleem is verholpen door de gegevens van de Safari-bladwijzers te coderen met een sleutel die wordt beschermd door de hardware-UID en de toegangscode van de gebruiker.
CVE-ID
CVE-2015-7118: Jonathan Zdziarski
Bijgewerkt op 21 december 2016
Safari
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een bezoek aan een schadelijke website kan leiden tot vervalsing van de gebruikersinterface
Beschrijving: een probleem stond mogelijk toe dat een website inhoud met een URL van een andere website weergaf. Dit probleem is verholpen door een verbeterde verwerking van URL's.
CVE-ID
CVE-2015-5904: Erling Ellingsen van Facebook, Łukasz Pilorz
Safari
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een bezoek aan een schadelijke website kan leiden tot vervalsing van de gebruikersinterface
Beschrijving: navigeren naar een kwaadaardige website met een misvormde vensteropener kon ervoor zorgen dat willekeurige URL's werden weergegeven. Dit probleem is verholpen door een verbeterde verwerking van vensteropeners.
CVE-ID
CVE-2015-5905: Keita Haga van keitahaga.com
Safari
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: gebruikers kunnen via clientcertificaten worden gevolgd door kwaadaardige websites
Beschrijving: er was een probleem in het clientcertificaat van Safari dat de SSL-identiteitscontrole vergeleek. Dit probleem is verholpen door een verbeterde vergelijking van geldige clientcertificaten.
CVE-ID
CVE-2015-1129: Stefan Kraus van fluid Operations AG, Sylvain Munaut van Whatever s.a.
Safari
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een bezoek aan een schadelijke website kan leiden tot vervalsing van de gebruikersinterface
Beschrijving: meerdere inconsistenties in de gebruikersinterface konden ervoor zorgen dat een kwaadaardige website een willekeurige URL weergaf. Deze problemen zijn verholpen door een verbeterde logica van de URL-weergave.
CVE-ID
CVE-2015-5764: Antonio Sanso (@asanso) van Adobe
CVE-2015-5765: Ron Masas
CVE-2015-5767: Krystian Kloskowski via Secunia, Masato Kinugawa
Privémodus in Safari
iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: navigeren naar het IP-adres van een bekende kwaadaardige website activeert mogelijk geen beveiligingswaarschuwing
Beschrijving: de functie voor veilig browsen van Safari waarschuwde gebruikers niet wanneer ze IP-adressen van bekende kwaadaardige websites bezochten. Het probleem is verholpen door een verbeterde detectie van kwaadaardige sites.
Rahul M van TagsDock
Beveiliging
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een kwaadaardige app kon mogelijk de communicatie tussen apps onderscheppen
Beschrijving: er was een probleem waardoor een kwaadaardige app de communicatie van URL-schema's tussen apps kon onderscheppen. Dit is gematigd door een dialoogvenster weer te geven wanneer een URL-schema voor het eerst wordt gebruikt.
CVE-ID
CVE-2015-5835: Teun van Run van FiftyTwoDegreesNorth B.V.; XiaoFeng Wang van Indiana University, Luyi Xing van Indiana University, Tongxin Li van Peking University, Tongxin Li van Peking University, Xiaolong Bai van Tsinghua University
Siri
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een persoon met fysieke toegang tot een iOS-apparaat kan mogelijk Siri gebruiken om meldingen van inhoud te lezen die zijn ingesteld om niet op het toegangsscherm te worden weergegeven
Beschrijving: wanneer Siri iets werd gevraagd, werden de beperkingen aan clientzijde niet gecontroleerd door de server. Dit probleem is verholpen door een verbeterde controle van beperkingen.
CVE-ID
CVE-2015-5892: Robert S Mozayeni, Joshua Donvito
SpringBoard
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een persoon met fysieke toegang tot een iOS-apparaat kan een audiobericht vanaf het toegangsscherm beantwoorden wanneer voorbeelden van het bericht op het toegangsscherm zijn uitgeschakeld
Beschrijving: een probleem met het toegangsscherm liet gebruikers toe audioberichten te beantwoorden wanneer voorbeelden van berichten waren uitgeschakeld. Dit probleem is verholpen door een verbeterd statusbeheer.
CVE-ID
CVE-2015-5861: Daniel Miedema van Meridian Apps
SpringBoard
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een kwaadaardig programma kon de dialoogvensters van andere programma's vervalsen
Beschrijving: er was een toegangsprobleem met geprivilegieerde API-aanroepen. Dit probleem is verholpen door extra beperkingen.
CVE-ID
CVE-2015-5838: Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei, John C.S. Lui
SQLite
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: meerdere kwetsbaarheden in SQLite v3.8.5
Beschrijving: er waren meerdere kwetsbaarheden in SQLite v3.8.5. Deze problemen zijn verholpen door SQLite bij te werken naar versie 3.8.10.2.
CVE-ID
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
tidy
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging in Tidy. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5522: Fernando Muñoz van NULLGroup.com
CVE-2015-5523: Fernando Muñoz van NULLGroup.com
WebKit
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: objectverwijzingen zijn mogelijk uitgelekt tussen afgescheiden oorsprongen bij aangepaste activiteiten, berichtactiviteiten en popstatusactiviteiten
Beschrijving: een probleem met het uitlekken van objecten verbrak de afscheidingsgrens tussen oorsprongen. Dit probleem is verholpen door een verbeterde afscheiding tussen oorsprongen.
CVE-ID
CVE-2015-5827: Gildas
WebKit
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er waren problemen met geheugenbeschadiging in WebKit. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5789: Apple
CVE-2015-5790: Apple
CVE-2015-5792: Apple
CVE-2015-5794: Apple
CVE-2015-5795: Apple
CVE-2015-5796: Apple
CVE-2015-5797: Apple
CVE-2015-5799: Apple
CVE-2015-5800: Apple
CVE-2015-5801: Apple
CVE-2015-5802: Apple
CVE-2015-5803: Apple
CVE-2015-5804: Apple
CVE-2015-5805
CVE-2015-5806: Apple
CVE-2015-5807: Apple
CVE-2015-5809: Apple
CVE-2015-5810: Apple
CVE-2015-5811: Apple
CVE-2015-5812: Apple
CVE-2015-5813: Apple
CVE-2015-5817: Apple
CVE-2015-5818: Apple
CVE-2015-5819: Apple
CVE-2015-5821: Apple
WebKit
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een bezoek aan een kwaadaardige website kan leiden tot onbedoeld bellen
Beschrijving: er was een probleem met de verwerking van tel://-, facetime://- en facetime-audio://-URL's. Dit probleem is verholpen door een verbeterde verwerking van URL's.
CVE-ID
CVE-2015-5820: Andrei Neculaesei, Guillaume Ross
WebKit
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: QuickType kan het laatste teken van een wachtwoord in een ingevuld webformulier te weten komen
Beschrijving: er was een probleem met de verwerking van de context van ingevoerde wachtwoorden door WebKit. Dit probleem is verholpen door een verbeterde verwerking van de context van invoer.
CVE-ID
CVE-2015-5906: Louis Romero van Google Inc.
WebKit
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan een omleiding naar een kwaadaardig domein instellen
Beschrijving: er was een probleem met de verwerking van broncaches op sites met ongeldige certificaten. Het probleem is verholpen door de appcache van domeinen met ongeldige certificaten te weigeren.
CVE-ID
CVE-2015-5907: Yaoqi Jia van National University of Singapore (NUS)
WebKit
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een kwaadaardige website kan gegevens 'cross-origin' exfiltreren
Beschrijving: Safari stond toe dat 'cross-origin' stijlbladen werden geladen met niet-CSS MIME-typen die konden worden gebruikt voor het 'cross-origin' exfiltreren van gegevens. Dit probleem is verholpen door MIME-typen voor 'cross-origin' stijlbladen te beperken.
CVE-ID
CVE-2015-5826: filedescriptor, Chris Evans
WebKit
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: de API Performance staat een kwaadaardige website mogelijk toe om de browsegeschiedenis, netwerkactiviteit en muisbewegingen vrij te geven
Beschrijving: de API Performance van WebKit kon een kwaadaardige website mogelijk toestaan om de browsegeschiedenis, netwerkactiviteit en muisbewegingen vrij te geven door de tijd te meten. Dit probleem is verholpen door de tijdresolutie te beperken.
CVE-ID
CVE-2015-5825: Yossi Oren et al. van Columbia University's Network Security Lab
WebKit
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk vertrouwelijke gebruikersgegevens vrijgeven
Beschrijving: er was een probleem met de headers Content-Disposition met het type Bijlage. Dit probleem is verholpen door bepaalde functionaliteit voor het type Bijlagepagina's niet toe te staan.
CVE-ID
CVE-2015-5921: Mickey Shkatov van het Intel(r) Advanced Threat Research Team, Daoyuan Wu van Singapore Management University, Rocky K. C. Chang van Hong Kong Polytechnic University, Łukasz Pilorz, superhei van www.knownsec.com
WebKit-canvas
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een bezoek aan een kwaadaardige website kan afbeeldingsgegevens vanaf een andere website vrijgeven
Beschrijving: er was een 'cross-origin'-probleem bij afbeeldingen die zijn gemaakt met 'canvas'-elementen in WebKit. Dit is verholpen door een verbeterde tracking van beveiligingsbronnen.
CVE-ID
CVE-2015-5788: Apple
Het laden van pagina's in WebKit
Beschikbaar voor: iPhone 4s en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: WebSockets kan het opgelegde beleid voor gemengde inhoud omzeilen
Beschrijving: een probleem met een niet goed opgelegd beleid stond toe dat WebSockets gemengde inhoud laadde. Dit probleem is verholpen door het opleggen van het beleid voor gemengde inhoud aan WebSockets uit te breiden.
Kevin G. Jones van Higher Logic
FaceTime is niet in alle landen of regio's beschikbaar.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.