Om sikkerhetsinnholdet i iOS 9.3.2
Dette dokumentet beskriver sikkerhetsinnholdet i iOS 9.3.2.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Finn ut mer om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.
Finn ut mer om PGP-nøkkelen for Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen for Apple Produktsikkerhet.
Der det er mulig brukes CVE-IDer som referanse til sårbarheter for ytterligere informasjon.
Finn ut mer om andre sikkerhetsoppdateringer på Sikkerhetsoppdateringer fra Apple.
iOS 9.3.2
Tilgjengelighet
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan være i stand til å lekke sensitiv brukerinformasjon
Beskrivelse: Et problem med lesing utenfor grensene ble løst gjennom forbedret validering av inndata.
CVE-ID
CVE-2016-1790: Rapelly Akhil
CFNetwork-proxier
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å lekke sensitiv brukerinformasjon
Beskrivelse: Det var en informasjonslekkasje i håndteringen av HTTP- og HTTPS-forespørsler. Problemet ble løst gjennom forbedret URL-håndtering.
CVE-ID
CVE-2016-1801: Alex Chapman og Paul Stone fra Context Information Security
CommonCrypto
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan kanskje lekke sensitiv brukerinformasjon
Beskrivelse: Det var et problem med håndtering av returverdier i CCCrypt. Problemet ble løst gjennom forbedret håndtering av nøkkellengde.
CVE-ID
CVE-2016-1802: Klaus Rodewig
CoreCapture
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: En dereferanse for en nullpeker ble løst gjennom forbedret validering.
CVE-ID
CVE-2016-1803: Ian Beer fra Google Project Zero, daybreaker som arbeider med Trend Micros Zero Day Initiative
Diskfiler
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En lokal angriper kan være i stand til å lese kjerneminne
Beskrivelse: En kappløpssituasjon ble løst gjennom forbedret låsing.
CVE-ID
CVE-2016-1807: Ian Beer fra Google Project Zero
Diskfiler
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Det var et problem med skadet minne i parsingen av diskfiler. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2016-1808: Moony Li (@Flyic) og Jack Tang (@jacktang310) fra Trend Micro
ImageIO
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Behandling av en skadelig fil kan føre til tjenestenekt
Beskrivelse: En dereferanse for en nullpeker ble løst gjennom forbedret validering.
CVE-ID
CVE-2016-1811: Lander Brandt (@landaire)
IOAcceleratorFamily
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2016-1817: Moony Li (@Flyic) og Jack Tang (@jacktang310) fra Trend Micro arbeider med Trend Micros Zero Day Initiative
CVE-2016-1818: Juwei Lin fra Trend Micro, sweetchip@GRAYHASH arbeider med Trend Micros Zero Day Initiative
CVE-2016-1819: Ian Beer fra Google Project Zero
Oppføring lagt til 13. desember 2016
IOAcceleratorFamily
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et program kan forårsake tjenestenekt
Beskrivelse: En dereferanse for en nullpeker ble løst gjennom forbedret låsing.
CVE-ID
CVE-2016-1814: Juwei Lin fra Trend Micro
IOAcceleratorFamily
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: En dereferanse for en nullpeker ble løst gjennom forbedret validering.
CVE-ID
CVE-2016-1813: Ian Beer fra Google Project Zero
IOHIDFamily
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2016-1823: Ian Beer fra Google Project Zero
CVE-2016-1824: Marco Grassi (@marcograss) fra KeenLab (@keen_lab), Tencent
CVE-2016-4650: Peter Pi fraTrend Micro arbeider med HPs Zero Day Initiative
Kjerne
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2016-1827: Brandon Azad
CVE-2016-1828: Brandon Azad
CVE-2016-1829: CESG
CVE-2016-1830: Brandon Azad
CVE-2016-1831: Brandon Azad
libc
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En lokal angriper kan forårsake uventet avslutning av en applikasjon eller utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-ID
CVE-2016-1832: Karl Williamson
libxml2
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Behandling av en skadelig XML-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2016-1833: Mateusz Jurczyk
CVE-2016-1834: Apple
CVE-2016-1835: Wei Lei og Liu Yang fra Det teknologiske universitetet i Nanyang
CVE-2016-1836: Wei Lei og Liu Yang fra det teknologiske universitetet i Nanyang
CVE-2016-1837: Wei Lei og Liu Yang fra Det teknologiske universitetet i Nanyang
CVE-2016-1838: Mateusz Jurczyk
CVE-2016-1839: Mateusz Jurczyk
CVE-2016-1840: Kostya Serebryany
libxslt
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2016-1841: Sebastian Apelt
MapKit
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å lekke sensitiv brukerinformasjon
Beskrivelse: Delte lenker ble sendt med HTTP i stedet for HTTPS. Dette ble løst ved å aktivere HTTPS for delte koblinger.
CVE-ID
CVE-2016-1842: Richard Shupak (https://www.linkedin.com/in/rshupak)
OpenGL
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til at vilkårlig kode kjøres
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2016-1847: Tongbo Luo og Bo Qu fra Palo Alto Networks
Safari
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En bruker kan kanskje ikke slette nettlesingsloggen fullstendig
Beskrivelse: «Tøm logg og nettverksdata» tømte ikke loggen. Problemet ble løst gjennom forbedret datasletting.
CVE-ID
CVE-2016-1849 : en anonym forsker
Siri
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En person med fysisk tilgang til en iOS-enhet kan bruke Siri for å få tilgang til kontakter og bilder fra låst skjerm
Beskrivelse: Det ble funnet et problem med tilstandshåndtering når vi skulle få tilgang til Siri-resultater på låseskjermen. Dette problemet ble løst ved å deaktivere datadetektorer i Twitter-resultater når enheten er låst.
CVE-ID
CVE-2016-1852: videosdebarraquito
WebKit
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan avdekke data fra et annet nettsted
Beskrivelse: Et problem med manglende tilstandssporing av svg-bilder ble løst gjennom forbedret tilstandssporing.
CVE-ID
CVE-2016-1858: en anonym forsker
WebKit
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2016-1854: En anonym arbeider med Trend Micros Zero Day Initiative
CVE-2016-1855: Tongbo Luo og Bo Qu fra Palo Alto Networks
CVE-2016-1856: lokihardt arbeider med Trend Micros Zero Day Initiative
CVE-2016-1857: Jeonghoon Shin@A.D.D og Liang Chen, Zhen Feng, wushi fra KeenLab, Tencent arbeider med Trend Micros Zero Day Initiative
WebKit Canvas
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2016-1859: Liang Chen, wushi fra KeenLab, Tencent arbeider med Trend Micros Zero Day Initiative
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.