Om sikkerhetsinnholdet i iOS 9.3
Dette dokumentet beskriver sikkerhetsinnholdet i iOS 9.3.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.
Finn ut mer om PGP-nøkkelen for Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen for Apple Produktsikkerhet.
Der det er mulig brukes CVE-IDer som referanse til sårbarheter for ytterligere informasjon.
Finn ut mer om andre sikkerhetsoppdateringer på Sikkerhetsoppdateringer fra Apple.
iOS 9.3
AppleUSBNetworking
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En USB-enhet kan kanskje forårsake tjenestenekt
Beskrivelse: Det var et problem med feilhåndtering under pakkevalidering. Problemet ble løst gjennom forbedret feilhåndtering.
CVE-ID
CVE-2016-1734: Andrea Barisani og Andrej Rosano fra Inverse Path
FontParser
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Et problem med ødelagt minne ble håndtert ved forbedret minnehåndtering.
CVE-ID
CVE-2016-1740: HappilyCoded (ant4g0nist and r3dsm0k3) i samarbeid med Trend Micros Zero Day Initiative (ZDI)
HTTPProtocol
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper utenfra kan kanskje kjøre tilfeldig kode
Beskrivelse: Det var flere svakheter i nghttp2-versjoner før 1.6.0. Den alvorligste av dem kunne medføre ekstern kjøring av kode. Disse problemene ble løst ved å oppdatere nghttp2 til versjon 1.6.0.
CVE-ID
CVE-2015-8659
IOHIDFamily
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et program kan kanskje fastslå layouten til kjerneminnet
Beskrivelse: Et problem med ødelagt minne ble håndtert ved forbedret minnehåndtering.
CVE-ID
CVE-2016-1748: Brandon Azad
Kjerne
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et program kan kanskje forårsake tjenestenekt
Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret validering.
CVE-ID
CVE-2016-1752: CESG
Kjerne
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med fortsatt bruk etter utløpt gratisversjon ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2016-1750: CESG
Kjerne
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Flere tilfeller av heltallsoverflyt ble løst gjennom forbedret validering av inndata.
CVE-ID
CVE-2016-1753: Juwei Lin Trend Micro arbeider sammen med Trend Micros Zero Day Initiative (ZDI)
Kjerne
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et program kan kanskje omgå kodesigneringskontroller
Beskrivelse: Det oppstod et tillatelsesproblem der en kjøringstillatelse ble gitt ved en feil. Problemet ble løst gjennom forbedret validering av tillatelser.
CVE-ID
CVE-2016-1751: Eric Monti fra Square Mobile Security
Kjerne
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: En kappløpssituasjon eksisterte under opprettelsen av nye prosesser. Dette ble løst gjennom forbedret tilstandshåndtering.
CVE-ID
CVE-2016-1757: Ian Beer fra Google Project Zero og Pedro Vilaça
Kjerne
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: En dereferanse for en nullpeker ble løst ved at inndatavalideringen ble forbedret.
CVE-ID
CVE-2016-1756: Lufeng Li fra Qihoo 360 Vulcan Team
Kjerne
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Flere problemer med ødelagt minne ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2016-1754: Lufeng Li fra Qihoo 360 Vulcan Team
CVE-2016-1755: Ian Beer fra Google Project Zero
Kjerne
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et program kan kanskje fastslå layouten til kjerneminnet
Beskrivelse: Det var et problem med lesing utenfor området som førte til avdekking av kjerneminnet. Dette ble løst gjennom forbedret validering av inndata.
CVE-ID
CVE-2016-1758: Brandon Azad
LaunchServices
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et program kan kanskje endre hendelser fra andre programmer
Beskrivelse: Det var et problem med validering av hendelsesbehandling i XPC Services API. Problemet ble løst gjennom forbedret meldingsvalidering.
CVE-ID
CVE-2016-1760: Proteas fra Qihoo 360 Nirvan Team
libxml2
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Behandling av skadelig XML kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode
Beskrivelse: Flere problemer med ødelagt minne ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-1819
CVE-2015-5312: David Drysdale fra Google
CVE-2015-7499
CVE-2015-7500: Kostya Serebryany fra Google
CVE-2015-7942: Kostya Serebryany fra Google
CVE-2015-8035: gustavo.grieco
CVE-2015-8242: Hugh Davenport
CVE-2016-1761: wol0xff i samarbeid med Trend Micros Zero Day Initiative (ZDI)
CVE-2016-1762
Meldinger
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til at tekst fylles ut automatisk i andre meldingstråder
Beskrivelse: Det var et problem med analysering av URL-adresser for SMS-meldinger. Problemet ble løst gjennom forbedret URL-validering.
CVE-ID
CVE-2016-1763: CityTog
Meldinger
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper som klarer å koble seg forbi Apples sertifikatfesting, fange opp TLS-tilkoblinger, sette inn meldinger og registrere krypterte meldinger av vedleggstypen, kan kanskje lese vedlegg
Beskrivelse: Et kryptografisk problem ble løst ved å avvise dupliserte meldinger på klienten.
CVE-ID
CVE-2016-1788: Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers og Michael Rushanan fra Johns Hopkins University
Profiler
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En ikke-klarert MDM-profil kan vises som verifisert ved en feil
Beskrivelse: Det var et problem med validering av sertifikater i MDM-profiler. Dette ble løst gjennom ytterligere kontroller.
CVE-ID
CVE-2016-1766: Taylor Boyko i samarbeid med Trend Micros Zero Day Initiative (ZDI)
Sikkerhet
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Behandling av et skadelig sertifikat kan føre til kjøring av vilkårlig kode
Beskrivelse: Det var et problem med ødelagt minne i ASN.1-dekoderen. Problemet ble løst gjennom forbedret validering av inndata.
CVE-ID
CVE-2016-1950: Francis Gabriel fra Quarkslab
TrueTypeScaler
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Det var et problem med ødelagt minne i behandlingen av fontfiler. Problemet ble løst gjennom forbedret validering av inndata.
CVE-ID
CVE-2016-1775: 0x1byte i samarbeid med Trend Micros Zero Day Initiative (ZDI)
WebKit
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til at vilkårlig kode kjøres
Beskrivelse: Flere problemer med ødelagt minne ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2016-1778: 0x1byte i samarbeid med Trend Micros Zero Day Initiative (ZDI) og Yang Zhao fra CM Security
CVE-2016-1783: Mihai Parparita fra Google
WebKit
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et nettsted kan kanskje spore sensitiv brukerinformasjon
Beskrivelse: Det var et problem med håndtering av URL-adresser for vedlegg. Problemet ble løst med forbedret URL-håndtering.
CVE-ID
CVE-2016-1781: Devdatta Akhawe fra Dropbox, Inc.
WebKit
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et nettsted kan kanskje spore sensitiv brukerinformasjon
Beskrivelse: En skjult nettside kan kanskje få tilgang til data om enhetsorientering og enhetsbevegelse. Dette problemet ble løst ved å oppheve tilgjengeligheten av disse dataene når nettvisningen er skjult.
CVE-ID
CVE-2016-1780: Maryam Mehrnezhad, Ehsan Toreini, Siamak F. Shahandashti og Feng Hao fra School of Computing Science, Newcastle University, Storbritannia
WebKit
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til at brukerens nåværende geografiske posisjon avsløres
Beskrivelse: Det var et problem med analysering av forespørsler om geografisk posisjon. Dette ble løst gjennom forbedret validering av sikkerhetsopprinnelsen til forespørsler om geografisk posisjon.
CVE-ID
CVE-2016-1779: xisigr fra Tencents Xuanwu Lab (http://www.tencent.com)
WebKit
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig nettsted kan kanskje få tilgang til begrensede porter på vilkårlige servere
Beskrivelse: Et problem med omdirigering av porter ble løst med ekstra portvalidering.
CVE-ID
CVE-2016-1782: Muneaki Nishimura (nishimunea) fra Recruit Technologies Co.,Ltd.
WebKit
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Åpning av en skadelig URL kan føre til avsløring av sensitiv brukerinformasjon
Beskrivelse: Et problem oppsto under omdirigering av URL når XSS Auditor ble brukt i blokkeringsmodus. Dette problemet ble løst gjennom forbedret URL-navigering.
CVE-ID
CVE-2016-1864: Takeshi Terada hos Mitsui Bussan Secure Directions, Inc.
WebKit-logg
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Behandling av skadelig innhold på nettet kan føre til at Safari krasjer uventet
Beskrivelse: Et problem med oppbrukte ressurser ble løst gjennom forbedret validering av inndata.
CVE-ID
CVE-2016-1784: Moony Li og Jack Tang fra TrendMicro og 李普君 of 无声信息技术PKAV Team (PKAV.net)
Laster inn WebKit-sider
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til grensesnittsvindel
Beskrivelse: Omdirigeringssvar kan ha tillatt et skadelig nettsted å vise en vilkårlig URL og lese hurtigbufret innhold i det opprinnelige målet. Problemet ble løst gjennom forbedret URL-visningslogikk.
CVE-ID
CVE-2016-1786: ma.la fra LINE Corporation
Laster inn WebKit-sider
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig nettsted kan eksfiltrere data på tvers av opphav
Beskrivelse: Det var et bufferproblem med tegnkoding. Dette ble løst gjennom ekstra forespørselskontroll.
CVE-ID
CVE-2016-1785: En anonym forsker
Wi-Fi
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper i en privilegert nettverksposisjon kan kanskje kjøre vilkårlig kode
Beskrivelse: Det var et problem med rammevalidering og ødelagt minne for en gitt ethertype. Problemet ble løst gjennom ytterligere ethertype-validering og forbedret minnehåndtering.
CVE-ID
CVE-2016-0801: En anonym forsker
CVE-2016-0802: En anonym forsker
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.