Om sikkerhetsinnholdet i iOS 8.3

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 8.3.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. For å finne ut mer om Apple Produktsikkerhet går du til Apple Produktsikkerhet.

For å finne ut mer om PGP-nøkkelen fra Apple Produktsikkerhet går du til Slik bruker du PGP-nøkkelen fra Apple Produktsikkerhet.

Der det er mulig brukes CVE-IDer som referanse til sårbarheter for ytterligere informasjon.

For å finne ut mer om sikkerhetsoppdateringer går du til Apple Sikkerhetsoppdateringer.

iOS 8.3

  • AppleKeyStore
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: Et skadelig program kan være i stand til å gjette brukerens sikkerhetskode
    Beskrivelse: iOS ga tilgang til et grensesnitt som tillot forsøk på å bekrefte brukerens sikkerhetskode. Problemet ble løst gjennom forbedret kontroll av berettigelse.
    CVE-ID
    CVE-2015-1085: Elias Limneos
    Oppføring oppdatert 17. mai 2017
  • Lyddrivere
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: Et skadelig program kan utføre vilkårlig kode med systemrettigheter
    Beskrivelse: Det var et valideringsproblem i IOKit-objekter som brukes av en lyddriver. Problemet ble løst gjennom forbedret validering av metadata.
    CVE-ID
    CVE-2015-1086
  • Sikkerhetskopiering
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: En angriper kan være i stand til å bruke sikkerhetskopieringssystemet til å få tilgang til områder av filsystemet med begrenset tilgang
    Beskrivelse: Det var et problem i den relative banevurderingslogikken til sikkerhetskopieringssystemet. Problemet ble løst gjennom forbedret banevurdering.
    CVE-ID
    CVE-2015-1087: TaiG Jailbreak Team
  • Retningslinjer for sertifikatgodkjenning
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: Oppdatering av retningslinjer for sertifikatgodkjenning
    Beskrivelse: Retningslinjene for sertifikatgodkjenning ble oppdatert. Den komplette listen over sertifikater kan vises på https://support.apple.com/no-no/HT204132
  • CFNetwork
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: Infokapsler som tilhører ett opphav kan bli sendt til et annet opphav
    Beskrivelse: Det var et problem med infokapsler på tvers av domener i håndteringen av omdirigering. Infokapsler som var angitt i en omdirigeringsrespons, kunne bli sendt til et omdirigeringsmål som tilhørte et annet opphav. Problemet ble løst gjennom forbedret håndtering av omdirigering.
    CVE-ID
    CVE-2015-1089 : Niklas Keller (http://kelunik.com)
  • CFNetwork
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: En bruker kan kanskje ikke slette nettlesingsloggen fullstendig
    Beskrivelse: Fjerning av Safaris historikk fjernet ikke arkivert HTTP Strict Transport Security-tilstand. Problemet ble løst gjennom forbedret datasletting.
    CVE-ID
    CVE-2015-1090
  • CFNetwork-økt
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: Godkjenningsakkreditiver kan bli sendt til en tjener med et annet opphav
    Beskrivelse: Det var et problem med HTTP-forespørselshoder på tvers av domener i håndteringen av omdirigering. HTTP-forespørselshoder som ble sendt i en omdirigeringsrespons, kunne bli sendt til et annet opphav. Problemet ble løst gjennom forbedret håndtering av omdirigeringer.
    CVE-ID
    CVE-2015-1091: Diego Torres (http://dtorres.me)
  • CFURL
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres
    Beskrivelse: Det var et problem med validering av inndata i URL-behandlingen. Problemet ble løst gjennom forbedret URL-validering.
    CVE-ID
    CVE-2015-1088
  • Foundation
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: Et program som bruker NSXMLParser, kan misbrukes til å avdekke informasjon
    Beskrivelse: Det var et XML External Entity-problem i NSXMLParsers håndtering av XML. Problemet ble løst ved ikke å laste inn eksterne objekter på tvers av opphav.
    CVE-ID
    CVE-2015-1092: Ikuya Fukumoto
  • FontParser
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
    Beskrivelse: Det var flere problemer med ødelagt minne i behandlingen av fontfiler. Problemene ble løst gjennom forbedret grensekontroll.
    CVE-ID
    CVE-2015-1093: Marc Schoenefeld
  • IOAcceleratorFamily
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet
    Beskrivelse: Det var et problem i IOAcceleratorFamily som førte til avdekking av innhold i kjerneminnet. Problemet ble løst ved å fjerne unødvendig kode.
    CVE-ID
    CVE-2015-1094: Cererdlong i Alibaba Mobile Security Team
  • IOHIDFamily
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: En skadelig HID-enhet kan føre til utføring av vilkårlig kode
    Beskrivelse: Det var et problem med ødelagt minne i et IOHIDFamily API. Problemet ble løst gjennom forbedret minnehåndtering.
    CVE-ID
    CVE-2015-1095: Andrew Church
  • IOHIDFamily
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet
    Beskrivelse: Det var et problem i IOHIDFamily som førte til avdekking av innhold i kjerneminnet. Problemet ble løst gjennom forbedret grensekontroll.
    CVE-ID
    CVE-2015-1096: Ilja van Sprundel i IOActive
  • IOMobileFramebuffer
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet
    Beskrivelse: Det var et problem i MobileFrameBuffer som førte til avdekking av innhold i kjerneminnet. Problemet ble løst gjennom forbedret grensekontroll.
    CVE-ID
    CVE-2015-1097: Barak Gabai i IBM X-Force Application Security Research Team
  • iWork-visning
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: Åpning av en skadelig iWork-fil kan føre til utføring av vilkårlig kode
    Beskrivelse: Det var et problem med ødelagt minne i håndteringen av iWork-filer. Problemet ble løst gjennom forbedret minnehåndtering.
    CVE-ID
    CVE-2015-1098: Christopher Hickstein
  • Kjerne
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: Et skadelig program kan forårsake systemnekting av tjeneste
    Beskrivelse: Det var en race-tilstand i kjernens setreuid-systemkall. Problemet ble løst ved forbedret tilstandshåndtering.
    CVE-ID
    CVE-2015-1099: Mark Mentovai i Google Inc.
  • Kjerne
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: Et skadelig program kan eskalere rettigheter ved bruk av en kompromittert tjeneste som var tenkt kjørt med reduserte rettigheter
    Beskrivelse: setreuid- og setregid-systemkallene fikk ikke sluppet rettigheter permanent. Problemet ble løst ved å slippe rettigheter riktig.
    CVE-ID
    CVE-2015-1117: Mark Mentovai i Google Inc.
  • Kjerne
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: Et skadelig program kan være i stand til å forårsake uventet systemavslutning eller lesing av kjerneminne
    Beskrivelse: Det var et problem med tilgang til minne utenfor grensene i kjernen. Problemet ble løst gjennom forbedret minnehåndtering.
    CVE-ID
    CVE-2015-1100: Maxime Villard i m00nbsd
  • Kjerne
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: Et skadelig program kan utføre vilkårlig kode med systemrettigheter
    Beskrivelse: Det var et problem med skadet minne i kjernen. Problemet ble løst gjennom forbedret minnehåndtering.
    CVE-ID
    CVE-2015-1101: lokihardt@ASRT som arbeider med HPs Zero Day Initiative
  • Kjerne
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å forårsake tjenestenekt
    Beskrivelse: Det var en tilstandsinkonsistens i behandlingen av TCP-hoder. Problemet ble løst gjennom forbedret tilstandshåndtering.
    CVE-ID
    CVE-2015-1102: Andrey Khudyakov og Maxim Zhuravlev ved Kaspersky Lab
  • Kjerne
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å omdirigere brukertrafikk til vilkårlige verter
    Beskrivelse: ICMP-omdirigering var aktivert som standard i iOS. Problemet ble løst ved å deaktivere ICMP-omdirigering.
    CVE-ID
    CVE-2015-1103: Zimperium Mobile Security Labs
  • Kjerne
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: En ekstern angriper kan være i stand til å omgå nettverksfiltre
    Beskrivelse: Systemet ville behandle noen IPv6-pakker fra eksterne nettverksgrensesnitt som lokale pakker. Problemet ble løst ved å avvise disse pakkene.
    CVE-ID
    CVE-2015-1104: Stephen Roettger i Google Security Team
  • Kjerne
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: En ekstern angriper kan forårsake nekting av tjeneste
    Beskrivelse: Det var en tilstandsinkonsistens i håndteringen av TCP-data utenfor frekvensbåndet. Problemet ble løst ved forbedret tilstandshåndtering.
    CVE-ID
    CVE-2015-1105: Kenton Varda i Sandstorm.io
  • Tastaturer
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: QuickType kunne lære brukerens sikkerhetskoder
    Beskrivelse: Ved bruk av Bluetooth-tastatur kunne QuickType lære brukerens sikkerhetskoder. Problemet ble løst ved å hindre QuickType i å bli vist på låst skjerm.
    CVE-ID
    CVE-2015-1106: Jarrod Dwenger, Steve Favorito, Paul Reedy i ConocoPhillips, Pedro Tavares i Molecular Biophysics ved UCIBIO/FCT/UNL, De Paul Sunny, Christian Still i Evolve Media, Canada
  • libnetcore
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: Behandling av en skadelig konfigurasjonsprofil kan føre til uventet avslutning av programmer
    Beskrivelse: Det var et problem med ødelagt minne i håndteringen av konfigurasjonsprofiler. Problemet ble løst gjennom forbedret grensekontroll.
    CVE-ID
    CVE-2015-1118: Zhaofeng Chen, Hui Xue, Yulong Zhang og Tao Wei i FireEye, Inc.
  • Låst skjerm
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: En angriper i besittelse av en enhet kan hindre sletting av enheten etter mislykkede passordforsøk
    Beskrivelse: I noen tilfeller vil en enhet kanskje ikke slette seg selv etter mislykkede forsøk på å oppgi sikkerhetskoden. Problemet ble løst gjennom ekstra håndheving av sletting.
    CVE-ID
    CVE-2015-1107: Brent Erickson, Stuart Ryan ved University of Technology, Sydney
  • Låst skjerm
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: En angriper med en enhet kan overskride det maksimale antall mislykkede kodeforsøk
    Beskrivelse: I enkelte tilfeller ble ikke grensen for antall mislykkede kodeforsøk håndhevet. Problemet ble løst gjennom ekstra håndheving av denne grensen.
    CVE-ID
    CVE-2015-1108
  • NetworkExtension
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: En angriper i besittelse av en enhet kan være i stand til å gjenopprette VPN-akkreditiver
    Beskrivelse: Det var et problem med håndteringen av VPN-konfigurasjonslogger. Problemet ble løst ved å fjerne logging av akkreditiver.
    CVE-ID
    CVE-2015-1109: Josh Tway i IPVanish
  • Podkaster
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: Unødvendig informasjon kan bli sendt til eksterne tjenere ved nedlasting av podkastressurser
    Beskrivelse: Unike identifikatorer ble sendt til eksterne tjenere ved nedlasting av ressurser for en podkast som brukeren abonnerte på. Problemet ble løst ved å fjerne disse identifikatorene.
    CVE-ID
    CVE-2015-1110: Alex Selivanov
  • Safari
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: En bruker kan kanskje ikke slette nettlesingsloggen fullstendig
    Beskrivelse: Fjerning av Safaris historikk fjernet ikke «Nylig lukkede faner». Problemet ble løst gjennom forbedret datasletting.
    CVE-ID
    CVE-2015-1111: Frode Moe i LastFriday.no
  • Safari
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: Brukeres nettleserhistorikk blir kanskje ikke slettet fullstendig
    Beskrivelse: Det var et tilstandshåndteringsproblem i Safari som førte til at brukeres nettleserhistorikk ikke ble slettet fra history.plist. Problemet ble løst ved forbedret tilstandshåndtering.
    CVE-ID
    CVE-2015-1112: William Breuer, Nederland
  • Sandkasseprofiler
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: Et skadelig program kan være i stand til å få tilgang til telefonnumre eller e-postadresser til nylige kontakter
    Beskrivelse: Det var et problem med avdekking av informasjon i sandkassen for tredjeparts apper. Problemet ble løst ved å forbedre sandkasseprofilen.
    CVE-ID
    CVE-2015-1113: Andreas Kurtz i NESO Security Labs, Markus Troßbach ved Universitetet i Heilbronn
  • Sandkasseprofiler
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: Maskinvareidentifikatorer kan være tilgjengelig for tredjeparts apper
    Beskrivelse: Det var et problem med avdekking av informasjon i sandkassen for tredjeparts apper. Problemet ble løst ved å forbedre sandkasseprofilen.
    CVE-ID
    CVE-2015-1114

  • Secure Transport
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: Behandling av et skadelig X.509-sertifikat kan føre til at et program avsluttes uventet
    Beskrivelse: Det var en dereferanse til NULL-peker i håndteringen av X.509-sertifikater. Problemet ble løst gjennom forbedret validering av inndata.
    CVE-ID
    CVE-2015-1160 : Elisha Eshed, Roy Iarchy og Yair Amit fra Skycure Security Research
  • Telefoni
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: Et skadelig program kan være i stand til å få tilgang til begrensede telefonifunksjoner
    Beskrivelse: Det var et problem med tilgangskontroll i telefoniundersystemet. Apper i sandkassen fikk tilgang til begrensede telefonifunksjoner. Problemet ble løst gjennom forbedret kontroll av berettigelse.
    CVE-ID
    CVE-2015-1115: Andreas Kurtz i NESO Security Labs, Markus Troßbach ved Universitetet i Heilbronn
  • UIKit-visning
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: Sensitive data kan bli eksponert i programbilder som vises i oppgaveveksleren
    Beskrivelse: Det var et problem i UIKit, som ikke tonet ned programbilder med sensitive data i oppgaveveksleren. Problemet ble løst gjennom riktig nedtoning av bildene.
    CVE-ID
    CVE-2015-1116: Mobilappteamet i HP Security Voltage, Aaron Rogers i Mint.com, David Edwards i Tech4Tomorrow, David Zhang i Dropbox
  • WebKit
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: Inkonsistent brukergrensesnitt kan hindre brukere i å oppdage et phishing-angrep
    Beskrivelse: Det var en inkonsistens i brukergrensesnittet i Safari som gjorde det mulig for en angriper å feilrepresentere en URL. Problemet ble løst gjennom forbedret konsistenskontroll i brukergrensesnittet.
    CVE-ID
    CVE-2015-1084: Apple
  • WebKit
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres
    Beskrivelse: Det var flere problemer med ødelagt minne i WebKit. Problemene ble løst gjennom forbedret minnehåndtering.
    CVE-ID
    CVE-2015-1068: Apple
    CVE-2015-1069: lokihardt@ASRT som arbeider med HPs Zero Day Initiative
    CVE-2015-1070: Apple
    CVE-2015-1071: Apple
    CVE-2015-1072
    CVE-2015-1073: Apple
    CVE-2015-1074: Apple
    CVE-2015-1076
    CVE-2015-1077: Apple
    CVE-2015-1078: Apple
    CVE-2015-1079: Apple
    CVE-2015-1080: Apple
    CVE-2015-1081: Apple
    CVE-2015-1082: Apple
    CVE-2015-1083: Apple
    CVE-2015-1119: Renata Hodovan ved Universitetet i Szeged / Samsung Electronics
    CVE-2015-1120: Apple
    CVE-2015-1121: Apple
    CVE-2015-1122: Apple
    CVE-2015-1123: Randy Luecke og Anoop Menon i Google Inc.
    CVE-2015-1124: Apple
  • WebKit
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: Besøk på et skadelig nettsted kan føre til at en bruker utløser et klikk på et annet nettsted
    Beskrivelse: Det var et problem i håndteringen av berøringshendelser. Et trykk kunne bli viderebefordret til et annet nettsted. Problemet ble løst gjennom forbedret håndtering av hendelser.
    CVE-ID
    CVE-2015-1125: Phillip Moon og Matt Weston i www.sandfield.co.nz
  • WebKit
    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
    Virkning: Besøk på et skadelig nettsted kan føre til at man får tilgang til ressurser med et annet opphav
    Beskrivelse: Det var et problem i WebKit ved håndtering av akkreditiver i FTP URL-er. Problemet ble løst gjennom forbedret dekoding.
    CVE-ID
    CVE-2015-1126: Jouko Pynnonen i Klikki Oy
  • Wi-Fi
    Virkning: En brukers passord kan bli sendt til et ikke-godkjent Wi-Fi-tilgangspunkt
    Beskrivelse: Skjermen som rapporterer et ikke-godkjent Wi-Fi-sertifikat, hadde bare én knapp som godkjente sertifikatet. En bruker som ikke ønsket å bruke Wi-Fi-tilgangspunktet, måtte ha trykt på Hjem- eller låseknappen for å avslutte skjermen. Problemet ble løst ved å legge til en synlig Avbryt-knapp.
    CVE-ID
    CVE-2015-5762 : Michael Santos

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: