Om sikkerhetsinnholdet i iOS 9.2

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 9.2.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Finn ut mer om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Finn ut mer om PGP-nøkkelen for Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen for Apple Produktsikkerhet.

Der det er mulig brukes CVE-IDer som referanse til sårbarheter for ytterligere informasjon.

Finn ut mer om andre sikkerhetsoppdateringer på Sikkerhetsoppdateringer fra Apple.

iOS 9.2

  • AppleMobileFileIntegrity

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Et problem med tilgangskontroll ble løst ved å hindre endring av tilgangskontrollstrukturer.

    CVE-ID

    CVE-2015-7055 : Apple

  • AppSandbox

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En skadelig applikasjon kan beholde tilgangen til Kontakter selv etter at den er fratatt tilgangsrettighetene

    Beskrivelse: Det var et problem med sandkassens håndtering av harde koblinger. Problemet ble løst ved å styrke appsandkassens hardhet.

    CVE-ID

    CVE-2015-7001 : Razvan Deaconescu og Mihai Bucicoiu ved Det politekniske institutt i Bucureşti; Luke Deshotels og William Enck ved North Carolina State University; Lucas Vincenzo Davi og Ahmad-Reza Sadeghi ved TU Darmstadt

  • CFNetwork HTTPProtocol

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper som har en nettverksplassering med rettigheter kan være i stand til å omgå HSTS

    Beskrivelse: Det var et problem med validering av inndata i URL-behandlingen. Problemet ble løst gjennom forbedret URL-validering.

    CVE-ID

    CVE-2015-7094 : Tsubasa Iinuma (@llamakko_cafe) fra Gehirn Inc. og Muneaki Nishimura (nishimunea)

  • Datakomprimering

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres

    Beskrivelse: Det eksisterte et problem med ikke-initialisert minnetilgang i zlib. Problemet ble løst gjennom forbedret initialisering av minne og ekstra validering av zlib-strømmer.

    CVE-ID

    CVE-2015-7054: j00ru

  • CoreGraphics

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode

    Beskrivelse: Det var et problem med skadet minne i håndteringen av fontfiler. Problemet ble løst gjennom forbedret validering av inndata.

    CVE-ID

    CVE-2015-7105: John Villamil (@day6reak), Yahoo Pentest Team

  • CoreMedia Playback

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres

    Beskrivelse: Det var flere problemer med ødelagt minne under behandling av misformede mediefiler. Problemene ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-7074 : Apple

    CVE-2015-7075

  • dyld

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var flere problemer med segmentvalidering i dyld. Disse problemene ble løst gjennom forbedret miljørensing.

    CVE-ID

    CVE-2015-7072: Apple

    CVE-2015-7079 : PanguTeam

  • GPUTools-rammeverk

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var flere problemer med banevalidering i Mobile Replayer. Disse problemene ble løst gjennom forbedret miljørensing.

    CVE-ID

    CVE-2015-7069 : Luca Todesco (@qwertyoruiop)

    CVE-2015-7070 : Luca Todesco (@qwertyoruiop)

  • iBooks

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Parsing av en skadelig iBooks-fil kan føre til at brukerinformasjon avsløres

    Beskrivelse: Det var et problem med referanse til eksterne enheter i XML under parsing av iBook. Problemet ble løst gjennom forbedret parsing.

    CVE-ID

    CVE-2015-7081 : Behrouz Sadeghipour (@Nahamsec) og Patrik Fehrenbach (@ITSecurityguard)

  • ImageIO

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Behandling av et skadelig bilde kan føre til utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt minne i ImageIO. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-7053: Apple

  • IOHIDFamily

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var flere problemer med ødelagt minne i IOHIDFamily API. Problemene ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-7111: Beist and ABH of BoB

    CVE-2015-7112: Ian Beer i Google Project Zero

  • IOKit SCSI

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med kjernerettigheter

    Beskrivelse: Det fantes et dereferanseproblem for en null-peker i håndteringen av visse typer brukerklienter. Problemet ble løst gjennom forbedret validering.

    CVE-ID

    CVE-2015-7068: Ian Beer i Google Project Zero

  • Kjerne

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et lokalt program kan forårsake tjenestenekt

    Beskrivelse: Flere problemer med tjenestenekt ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-7040: Lufeng Li i Qihoo 360 Vulcan Team

    CVE-2015-7041: Lufeng Li i Qihoo 360 Vulcan Team

    CVE-2015-7042: Lufeng Li i Qihoo 360 Vulcan Team

    CVE-2015-7043: Tarjei Mandt (@kernelpool)

  • Kjerne

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En lokal bruker kan være i stand til å utføre vilkårlig kode med kjernerettigheter

    Beskrivelse: Det var flere problemer med ødelagt minne i kjernen. Problemene ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-7083: Ian Beer i Google Project Zero

    CVE-2015-7084: Ian Beer i Google Project Zero

  • Kjerne

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En lokal bruker kan være i stand til å utføre vilkårlig kode med kjernerettigheter

    Beskrivelse: Det fantes et problem med parsing av Mach-meldinger. Problemet ble løst ved forbedret kontroll av Mach-meldinger.

    CVE-ID

    CVE-2015-7047: Ian Beer i Google Project Zero

  • LaunchServices

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med ødelagt minne i behandlingen av feilformaterte plist-filer. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-7113: Olivier Goguel i Free Tools Association

  • libarchive

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres

    Beskrivelse: Det var et problem med ødelagt minne i behandlingen av arkiver. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2011-2895: @practicalswift

  • libc

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Behandling av en skadelig pakke kan føre til utføring av vilkårlig kode

    Beskrivelse: Det fantes flere bufferoverflyter i standardbiblioteket C. Problemene ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2015-7038 : Brian D. Wells fra E. W. Scripps, Narayan Subramanian fra Symantec Corporation/Veritas LLC

    CVE-2015-7039: Maksymilian Arciemowicz (CXSECURITY.COM)

    Oppføring oppdatert 3. mars 2017

  • libxml2

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Parsing av et skadelig XML-dokument kan føre til at brukerinformasjon avsløres

    Beskrivelse: Det var et problem med ødelagt minne under parsing av XML-filer. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-7115 : Wei Lei og Liu Yang fra det teknologiske universitetet i Nanyang

    CVE-2015-7116 : Wei Lei og Liu Yang fra det teknologiske universitetet i Nanyang

  • MobileStorageMounter

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et timingproblem under lasting av den klarerte hurtigbufferen. Dette problemet ble løst ved å validere systemmiljøet før den klarerte hurtigbufferen lastes inn.

    CVE-ID

    CVE-2015-7051 : PanguTeam

  • OpenGL

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres

    Beskrivelse: Det var flere problemer med ødelagt minne i OpenGL. Problemene ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-7064: Apple

    CVE-2015-7065 : Apple

    CVE-2015-7066: Tongbo Luo og Bo Qu i Palo Alto Networks

  • Bilder

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper kan være i stand til å bruke sikkerhetskopieringssystemet til å få tilgang til områder av filsystemet med begrenset tilgang

    Beskrivelse: Det var et problem med banevalidering i Mobile Backup. Dette ble løst gjennom forbedret miljørensing.

    CVE-ID

    CVE-2015-7037 : PanguTeam

  • QuickLook

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Åpning av en skadelig iWork-fil kan føre til utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt minne i håndteringen av iWork-filer. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-7107

  • Safari

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til grensesnittsvindel

    Beskrivelse: Et problem kan ha gjort det mulig for et nettsted å vise innhold med en URL fra et annet nettsted. Problemet ble løst gjennom forbedret URL-håndtering.

    CVE-ID

    CVE-2015-7093 : xisigr fra Tencents Xuanwu LAB (www.tencent.com)

  • Sandbox

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En skadelig applikasjon med rotrettigheter kan omgå randomiseringen av områdelayouten for kjerneadressen

    Beskrivelse: Det fantes et problem med utilstrekkelig rettighetsseparasjon i xnu. Dette problemet ble løst gjennom forbedrede godkjenningskontroller.

    CVE-ID

    CVE-2015-7046: Apple

  • Sikkerhet

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En ekstern angriper kan forårsake uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt minne i håndteringen av SSL-håndtrykk. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-7073: Benoit Foucher fra ZeroC, Inc.

  • Sikkerhet

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig program kan få tilgang til en brukers nøkkelringelementer

    Beskrivelse: Det var et problem med valideringen av tilgangskontrollistene for nøkkelringelementer. Dette problemet ble løst ved forbedret kontroll av tilgangskontrollister.

    CVE-ID

    CVE-2015-7058

  • Siri

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En person med fysisk tilgang til en iOS-enhet kan være i stand til å bruke Siri til å lese varselmeldinger om innhold der det er angitt at det ikke skal vises på låst skjerm

    Beskrivelse: Når det ble gjort en forespørsel til Siri, ble ikke restriksjonene på klientsiden kontrollert av tjeneren. Problemet ble løst gjennom forbedret kontroll av begrensninger.

    CVE-ID

    CVE-2015-7080 : Or Safran (www.linkedin.com/profile/view?id=33912591)

  • WebKit

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres

    Beskrivelse: Det var flere problemer med ødelagt minne i WebKit. Problemene ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-7048: Apple

    CVE-2015-7095: Apple

    CVE-2015-7096: Apple

    CVE-2015-7097: Apple

    CVE-2015-7098: Apple

    CVE-2015-7099: Apple

    CVE-2015-7100: Apple

    CVE-2015-7101: Apple

    CVE-2015-7102: Apple

    CVE-2015-7103: Apple

  • WebKit

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Hvis du besøker et skadelig nettsted, kan nettlesingsloggen din blir avslørt

    Beskrivelse: Det fantes et problem med utilstrekkelig inndatavalidering i innholdsblokkeringen. Dette problemet ble løst ved forbedret parsing av innholdsutvidelser.

    CVE-ID

    CVE-2015-7050: Luke Li og Jonathan Metzman

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: