Om sikkerhetsinnholdet i iOS 9
Dette dokumentet beskriver sikkerhetsinnholdet i iOS 9.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Finn ut mer om Apple-produktsikkerhet på nettstedet Apple-produktsikkerhet.
Finn ut mer om PGP-nøkkelen for Apple-produktsikkerhet under Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet.
Der det er mulig brukes CVE-IDer som referanse til sårbarheter for ytterligere informasjon.
Finn ut mer om andre sikkerhetsoppdateringer på Sikkerhetsoppdateringer fra Apple.
iOS 9
Apple Pay
Tilgjengelig for: iPhone 6 og iPhone 6 Plus
Virkning: Noen kort kan gi en terminal mulighet til å innhente begrenset informasjon om de siste transaksjonene ved betaling
Beskrivelse: Transaksjonsloggfunksjonaliteten ble aktivert i visse konfigurasjoner. Problemet ble løst ved å fjerne transaksjonsloggfunksjonaliteten. Problemet berørte ikke iPad-enheter.
CVE-ID
CVE-2015-5916
AppleKeyStore
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En lokal angriper kan kanskje nullstille antall mislykkede forsøk på å oppgi sikkerhetskoden med en iOS-sikkerhetskopi
Beskrivelse: Det var et problem med nullstilling av antall mislykkede forsøk på å oppgi sikkerhetskoden med en sikkerhetskopi av iOS-enheten. Dette ble løst gjennom forbedringer i koden for feil sikkerhetskoder.
CVE-ID
CVE-2015-5850: en anonym forsker
Application Store
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Klikking på en skadelig ITM-kobling kan føre til tjenestenekt i et bedriftssignert program
Beskrivelse: Det var et problem med installering via ITMS-koblinger. Dette ble løst gjennom ekstra verifisering av installasjonen.
CVE-ID
CVE-2015-5856: Zhaofeng Chen, Hui Xue og Tao (Lenx) Wei fra FireEye, Inc.
Lyd
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Avspilling av en skadelig lydfil kan føre til uventet avslutning av et program
Beskrivelse: Det var et problem med skadet minne i håndteringen av lydfiler. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5862: YoungJin Yoon fra Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei-universitetet, Seoul, Sør-Korea
Retningslinjer for sertifikatgodkjenning
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Oppdatering av retningslinjer for sertifikatgodkjenning
Beskrivelse: Retningslinjene for sertifikatgodkjenning ble oppdatert. Den komplette listen over sertifikater kan vises på https://support.apple.com/no-no/HT204132.
CFNetwork
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En skadelig URL-adresse kan være i stand til å omgå HTTP Strict Transport Security (HSTS) og lekke sensitive data
Beskrivelse: Det var en sårbarhet i URL-analysen ved HSTS-håndtering. Problemet ble løst gjennom forbedret URL-analyse.
CVE-ID
CVE-2015-5858: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua-universitetet
CFNetwork
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig nettsted kan være i stand til å spore brukere i privat Safari-nettlesermodus
Beskrivelse: Det var et problem i håndteringen av HSTS-tilstanden i privat Safari-nettlesermodus. Problemet ble løst gjennom forbedret tilstandshåndtering.
CVE-ID
CVE-2015-5860: Sam Greenhalgh fra RadicalResearch Ltd
CFNetwork
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En person med fysisk tilgang til en iOS-enhet kan lese bufferdata fra Apple-apper
Beskrivelse: Bufferdata ble kryptert med en nøkkel som ble beskyttet kun av maskinvare-UID. Problemet ble løst ved å kryptere bufferdata med en nøkkel som beskyttes av maskinvare-UID og brukerens sikkerhetskode.
CVE-ID
CVE-2015-5898: Andreas Kurtz fra NESO Security Labs
CFNetwork-informasjonskapsler
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper i en privilegert nettverksposisjon kan spore en brukers aktivitet
Beskrivelse: Det var et problem med informasjonskapsler på tvers av domener i håndteringen av domener på øverste nivå. Problemet ble løst gjennom forbedret begrensning av mulighetene til å opprette informasjonskapsler.
CVE-ID
CVE-2015-5885: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua-universitetet
CFNetwork-informasjonskapsler
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper kan være i stand til å opprette utilsiktede informasjonskapsler for et nettsted
Beskrivelse: WebKit ville godta at det ble angitt flere informasjonskapsler i document.cookie-API-et. Problemet ble løst gjennom forbedret parsing.
CVE-ID
CVE-2015-3801: Erling Ellingsen fra Facebook
CFNetwork FTPProtocol
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Skadelige FTP-tjenere kan være i stand til å forårsake at klienten utfører rekognosering på andre verter
Beskrivelse: Det var et problem i håndteringen av FTP-pakker ved bruk av PASV-kommandoen. Problemet ble løst gjennom forbedret validering.
CVE-ID
CVE-2015-5912: Amit Klein
CFNetwork HTTPProtocol
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å avskjære nettverkstrafikk
Beskrivelse: Det var et problem i håndteringen av oppføringer i HSTS-forhåndslastingslisten i privat Safari-nettlesermodus. Problemet ble løst gjennom forbedret tilstandshåndtering.
CVE-ID
CVE-2015-5859 : Rosario Giustolisi fra University of Luxembourg
CFNetwork-proxyer
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Tilkobling til en skadelig webproxytjener kan angi skadelige informasjonskapsler for et nettsted
Beskrivelse: Det var et problem i håndteringen av proxytilkoblingssvar. Problemet ble løst ved å fjerne «set-cookie»-hodet ved analyse av tilkoblingssvaret.
CVE-ID
CVE-2015-5841: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua-universitetet
CFNetwork SSL
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper i en privilegert nettverksposisjon kan kanskje avskjære SSL/TLS-forbindelser
Beskrivelse: Det var problem med sertifikatvalidering i NSURL når et sertifikat ble endret. Problemet ble løst gjennom forbedret validering av sertifikater.
CVE-ID
CVE-2015-5824: Timothy J. Wood fra The Omni Group
CFNetwork SSL
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper kan dekryptere data som er beskyttet av SSL
Beskrivelse: Det er kjente angrep på konfidensialiteten til RC4. En angriper kunne framtvinge bruk av RC4, selv om en tjener foretrakk bedre chiffrering, ved å blokkere TLS 1.0- og høyere tilkoblinger til CFNetwork forsøkte SSL 3.0, som bare tillater RC4. Problemet ble løst ved å fjerne muligheten til å ta steget ned til SSL 3.0.
CoreAnimation
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan kanskje lekke sensitiv brukerinformasjon
Beskrivelse: Programmer kunne få tilgang til skjermens rammebuffer mens de var i bakgrunnen. Problemet ble løst gjennom forbedret tilgangskontroll i IOSurfaces.
CVE-ID
CVE-2015-5880: Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li fra School of Information Systems ved Singapore Management University, Feng Bao og Jianying Zhou fra kryptografi- og sikkerhetsavdelingen ved Institute for Infocomm Research
CoreCrypto
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper kan være i stand til å fastslå en privat nøkkel
Beskrivelse: Ved å observere mange signerings- eller dekrypteringsforsøk kan en angriper ha vært i stand til å fastslå den private RSA-nøkkelen. Problemet ble løst gjennom forbedrede krypteringsalgoritmer.
CoreText
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Behandling av en skadelig fontfil kan føre til at vilkårlig kode utføres
Beskrivelse: Det var et problem med skadet minne i håndteringen av fontfiler. Problemet ble løst gjennom forbedret validering av inndata.
CVE-ID
CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team
Data Detectors Engine
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Behandling av en skadelig tekstfil kan føre til at vilkårlig kode utføres
Beskrivelse: Det var problemer med skadet minne i behandlingen av tekstfiler. Problemene ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2015-5829: M1x7e1 fra Safeye Team (www.safeye.org)
Dev Tools
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med skadet minne i dyld. Dette ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5876 : beist fra grayhash
Diskfiler
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med skadet minne i DiskImages. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5847: Filippo Bigarella, Luca Todesco
dyld
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et program kan kanskje omgå kodesigneringskontroller
Beskrivelse: Det var et problem med valideringen av kodesignaturen til programmer. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team
Game Center
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig Game Center-program kan skaffe seg tilgang til en spillers e-postadresse
Beskrivelse: Det var et problem i Game Center med håndtering av spilleres e-post. Problemet ble løst gjennom forbedring av tilgangsrestriksjoner.
CVE-ID
CVE-2015-5855: Nasser Alnasser
ICU
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Flere sårbarheter i ICU
Beskrivelse: Det var flere sårbarheter i ICU-versjonene før 53.1.0. Problemene ble løst ved å oppdatere ICU til versjon 55.1.
CVE-ID
CVE-2014-8146 : Marc Deslauriers
CVE-2014-8147 : Marc Deslauriers
CVE-2015-5922 : Mark Brand fra Google Project Zero
IOAcceleratorFamily
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet
Beskrivelse: Det var et problem som førte til avdekking av innhold i kjerneminnet. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2015-5834: Cererdlong fra Alibaba Mobile Security Team
IOAcceleratorFamily
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med skadet minne i IOAcceleratorFamily. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5848: Filippo Bigarella
IOHIDFamily
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med skadet minne i IOHIDFamily. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5867: moony li fra Trend Micro
IOKit
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med skadet minne i kjernen. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5844: Filippo Bigarella
CVE-2015-5845: Filippo Bigarella
CVE-2015-5846: Filippo Bigarella
IOMobileFrameBuffer
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med skadet minne i IOMobileFrameBuffer. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5843: Filippo Bigarella
IOStorageFamily
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En lokal angriper kan være i stand til å lese kjerneminne
Beskrivelse: Det var et problem med initialisering av minne i kjernen. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5863: Ilja van Sprundel fra IOActive
iTunes Store
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Apple-ID-påloggingsinformasjon kan bli værende i nøkkelringen etter avlogging
Beskrivelse: Det var et problem med sletting av nøkkelringen. Problemet ble løst gjennom forbedret kontorydding.
CVE-ID
CVE-2015-5832: Kasif Dekel fra Check Point Software Technologies
JavaScriptCore
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres
Beskrivelse: Det var problemer med skadet minne i WebKit. Problemene ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5791: Apple
CVE-2015-5793: Apple
CVE-2015-5814: Apple
CVE-2015-5816: Apple
CVE-2015-5822: Mark S. Miller fra Google
CVE-2015-5823: Apple
Kjerne
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Det var et problem med skadet minne i kjernen. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5868: Cererdlong fra Alibaba Mobile Security Team
CVE-2015-5896: Maxime Villard fra m00nbsd
CVE-2015-5903: CESG
Oppføring lagt til 21. desember 2016
Kjerne
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En lokal angriper kan styre verdien til stakkinformasjonskapsler
Beskrivelse: Det var flere svakheter i genereringen av stakkinformasjonskapsler for brukerplass. Problemet ble løst gjennom forbedret generering av stakkinformasjonskapsler.
CVE-ID
CVE-2013-3951: Stefan Esser
Kjerne
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En lokal prosess kan endre andre prosesser uten berettigelseskontroller
Beskrivelse: Det var et problem der rotprosesser som benyttet API-et processor_set_tasks kunne hente oppgaveportene til andre prosesser. Problemet ble løst gjennom forbedrede berettigelseskontroller.
CVE-ID
CVE-2015-5882: Pedro Vilaça på grunnlag av opprinnelige undersøkelser utført av Ming-chieh Pan og Sung-ting Tsai; Jonathan Levin
Kjerne
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper kan være i stand til å starte tjenestenektangrep på utpekte TCP-forbindelser uten å kunne det riktige sekvensnummeret
Beskrivelse: Det var et problem i xnus validering av TCP-pakkehoder. Problemene ble løst gjennom forbedret validering av TCP-pakkehoder.
CVE-ID
CVE-2015-5879: Jonathan Looney
Kjerne
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper i et lokalt LAN-segment kan deaktivere IPv6-ruting
Beskrivelse: Det var et problem med utilstrekkelig validering i håndteringen av iPv6-ruterannonseringer som tillot en angriper å sette hoppgrensen til en vilkårlig verdi. Problemet ble løst ved å innføre en minste hoppgrense.
CVE-ID
CVE-2015-5869: Dennis Spindel Ljungmark
Kjerne
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En lokal bruker kan være i stand til å fastslå layouten til kjerneminnet
Beskrivelse: Det var et problem i XNU som førte til avdekking av kjerneminne. Problemet ble løst gjennom forbedret initialisering av kjerneminnestrukturer.
CVE-ID
CVE-2015-5842: beist fra grayhash
Kjerne
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En lokal bruker kan være i stand til å forårsake tjenestenekt i systemet
Beskrivelse: Det var et problem med aktivering av HFS-stasjoner. Problemet ble løst gjennom ekstra valideringskontroller.
CVE-ID
CVE-2015-5748: Maxime Villard fra m00nbsd
libc
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En ekstern angriper kan være i stand til å kjøre vilkårlig kode
Beskrivelse: Det var et problem med skadet minne i fflush-funksjonen. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2014-8611: Adrian Chadd og Alfred Perlstein fra Norse Corporation
libpthread
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Det var et problem med skadet minne i kjernen. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5899: Lufeng Li fra Qihoo 360 Vulcan Team
Mail
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper kan sende en e-post som ser ut til å komme fra en kontakt i mottakerens adressebok
Beskrivelse: Det var et problem med håndteringen av avsenderadresser. Problemet ble løst gjennom forbedret validering.
CVE-ID
CVE-2015-5857: Emre Saglam fra salesforce.com
Multipeer-kommunikasjon
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En lokal angriper kan være i stand til å observere ubeskyttede multipeer-data
Beskrivelse: Det var et problem med håndteringen av «convenience initializer», der krypteringen aktivt kunne nedgraderes til en ukryptert økt. Problemet ble løst ved å endre «convenience initializer», slik at kryptering er påkrevd.
CVE-ID
CVE-2015-5851: Alban Diquet (@nabla_c0d3) fra Data Theorem
NetworkExtension
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet
Beskrivelse: Et problem med ikke-initialisert minne i kjernen førte til avdekking av innhold i kjerneminnet. Problemet ble løst gjennom initialisering av minnet.
CVE-ID
CVE-2015-5831: Maxime Villard fra m00nbsd
OpenSSL
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Flere sårbarheter i OpenSSL
Beskrivelse: Det var flere sårbarheter i OpenSSL-versjoner før 0.9.8zg. Disse ble løst ved å oppdatere OpenSSL til versjon 0.9.8zg.
CVE-ID
CVE-2015-0286
CVE-2015-0287
PluginKit
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig bedriftsprogram kan installere tillegg før programmet har blitt godkjent
Beskrivelse: Det var et problem med valideringen av tillegg under installering. Problemet ble løst gjennom forbedret appverifisering.
CVE-ID
CVE-2015-5837: Zhaofeng Chen, Hui Xue og Tao (Lenx) Wei fra FireEye, Inc.
removefile
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Behandling av skadelige data kan føre til uventet avslutning av et program
Beskrivelse: Det var en overflytfeil i checkint-delingsrutinene. Problemet ble løst gjennom forbedrede delingsrutiner.
CVE-ID
CVE-2015-5840: en anonym forsker
Safari
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En lokal bruker kan være i stand til å lese Safari-bokmerker på en låst iOS-enhet uten sikkerhetskoden
Beskrivelse: Safari-bokmerkedata ble kryptert med en nøkkel som ble beskyttet kun av maskinvare-UID. Problemet ble løst ved å kryptere Safari-bokmerkedata med en nøkkel som beskyttes av maskinvare-UID og brukerens sikkerhetskode.
CVE-ID
CVE-2015-7118 : Jonathan Zdziarski
Oppføring lagt til 21. desember 2016
Safari
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til grensesnittsvindel
Beskrivelse: Et problem kan ha gjort det mulig for et nettsted å vise innhold med en URL fra et annet nettsted. Problemet ble løst gjennom forbedret håndtering av nettadresser.
CVE-ID
CVE-2015-5904: Erling Ellingsen fra Facebook, Łukasz Pilorz
Safari
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til grensesnittsvindel
Beskrivelse: Navigering til et skadelig nettsted med en feilaktig vindusåpner kan ha muliggjort visning av vilkårlige URL-er. Problemet ble løst gjennom forbedret håndtering av vindusåpnere.
CVE-ID
CVE-2015-5905: Keita Haga fra keitahaga.com
Safari
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Brukere kan bli sporet av skadelige nettsteder ved bruk av klientsertifikater
Beskrivelse: Det var et problem i Safaris sammenholding av klientsertifikater for SSL-godkjenning. Problemet ble løst gjennom forbedret sammenholding av gyldige klientsertifikater.
CVE-ID
CVE-2015-1129: Stefan Kraus fra fluid Operations AG, Sylvain Munaut fra Whatever s.a.
Safari
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til grensesnittsvindel
Beskrivelse: Flere uoverensstemmelser i brukergrensesnittet kan ha gjort det mulig for et skadelig nettsted å vise en vilkårlig URL. Problemene ble løst gjennom forbedret URL-visningslogikk.
CVE-ID
CVE-2015-5764: Antonio Sanso (@asanso) fra Adobe
CVE-2015-5765: Ron Masas
CVE-2015-5767: Krystian Kloskowski via Secunia, Masato Kinugawa
Trygg Safari-nettlesing
iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Navigering til IP-adressen til et kjent skadelig nettsted vil kanskje ikke utløse noen sikkerhetsadvarsel
Beskrivelse: Safari-funksjonen for trygg nettlesing advarte ikke brukere ved besøk på kjente skadelige nettsteder via IP-adressen. Problemet ble løst gjennom forbedret oppdagelse av skadelige nettsteder.
Rahul M fra TagsDock
Sikkerhet
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En skadelig app kan være i stand til å avskjære kommunikasjon mellom apper
Beskrivelse: Det var et problem som gjorde det mulig for en skadelig app å avskjære kommunikasjonen av URL-oppsett mellom apper. Dette ble avhjulpet ved å vise en dialog første gang et URL-oppsett ble brukt.
CVE-ID
CVE-2015-5835: Teun van Run fra FiftyTwoDegreesNorth B.V.; XiaoFeng Wang ved Indiana University, Luyi Xing ved Indiana University, Tongxin Li ved Beijing-universitetet, Tongxin Li ved Beijing-universitetet, Xiaolong Bai ved Tsinghua-universitetet
Siri
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En person med fysisk tilgang til en iOS-enhet kan være i stand til å bruke Siri til å lese varselmeldinger om innhold der det er angitt at det ikke skal vises på låst skjerm
Beskrivelse: Når det ble gjort en forespørsel til Siri, ble ikke restriksjonene på klientsiden kontrollert av tjeneren. Problemet ble løst gjennom forbedret kontroll av begrensninger.
CVE-ID
CVE-2015-5892: Robert S Mozayeni, Joshua Donvito
SpringBoard
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En person med fysisk tilgang til en iOS-enhet kan svare på en lydmelding fra låst skjerm når forhåndsvisning av meldinger på låst skjerm er deaktivert
Beskrivelse: Et problem med låst skjerm gjorde det mulig for brukere å svare på lydmeldinger selv om forhåndsvisning av meldinger var deaktivert. Problemet ble løst gjennom forbedret tilstandshåndtering.
CVE-ID
CVE-2015-5861: Daniel Miedema fra Meridian Apps
SpringBoard
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan være i stand til å lure et annet programs dialogvinduer
Beskrivelse: Det var et problem med tilgangen til privilegerte API-kall. Problemet ble løst gjennom ekstra restriksjoner.
CVE-ID
CVE-2015-5838: Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei, John C.S. Lui
SQLite
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Flere sårbarheter i SQLite v3.8.5
Beskrivelse: Det var flere sårbarheter i SQLite v3.8.5. Problemene ble løst ved å oppdatere SQLite til versjon v3.8.10.2.
CVE-ID
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
tidy
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres
Beskrivelse: Det var et problem med skadet minne i Tidy. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5522: Fernando Muñoz fra NULLGroup.com
CVE-2015-5523: Fernando Muñoz fra NULLGroup.com
WebKit
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Objektreferanser kan lekkes mellom isolerte opphav i tilpassede hendelser, meldingshendelser og «pop state»-hendelser
Beskrivelse: Et problem med objektlekkasje brøt isoleringsgrensen mellom opphav. Problemet ble løst gjennom forbedret isolering mellom opphav.
CVE-ID
CVE-2015-5827: Gildas
WebKit
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres
Beskrivelse: Det var problemer med skadet minne i WebKit. Problemene ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5789: Apple
CVE-2015-5790: Apple
CVE-2015-5792: Apple
CVE-2015-5794: Apple
CVE-2015-5795: Apple
CVE-2015-5796: Apple
CVE-2015-5797: Apple
CVE-2015-5799: Apple
CVE-2015-5800: Apple
CVE-2015-5801: Apple
CVE-2015-5802: Apple
CVE-2015-5803: Apple
CVE-2015-5804: Apple
CVE-2015-5805
CVE-2015-5806: Apple
CVE-2015-5807: Apple
CVE-2015-5809: Apple
CVE-2015-5810: Apple
CVE-2015-5811: Apple
CVE-2015-5812: Apple
CVE-2015-5813: Apple
CVE-2015-5817: Apple
CVE-2015-5818: Apple
CVE-2015-5819: Apple
CVE-2015-5821: Apple
WebKit
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til utilsiktet oppringning
Beskrivelse: Det var et problem i håndteringen av URL-er av typen tel://, facetime:// og facetime-audio://. Problemet ble løst gjennom forbedret håndtering av nettadresser.
CVE-ID
CVE-2015-5820: Andrei Neculaesei, Guillaume Ross
WebKit
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: QuickType kan fange opp det siste tegnet i et passord i et utfylt webskjema
Beskrivelse: Det var et problem i WebKits håndtering av konteksten for passordinndata. Problemet ble løst gjennom forbedret håndtering av inndatakonteksten.
CVE-ID
CVE-2015-5906: Louis Romero fra Google Inc.
WebKit
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å omdirigere til et skadelig domene
Beskrivelse: Det var et problem i håndteringen av ressursbufre på nettsteder med ugyldige sertifikater. Problemet ble løst ved å avvise programbufferen til domener med ugyldige sertifikater.
CVE-ID
CVE-2015-5907: Yaoqi Jia ved National University of Singapore (NUS)
WebKit
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig nettsted kan eksfiltrere data på tvers av opphav
Beskrivelse: Safari tillot at stilark ble lastet på tvers av opphav med ikke-CSS MIME-typer som kunne brukes til dataeksfiltrering på tvers av opphav. Problemet ble løst ved å begrense MIME-typer for stilark på tvers av opphav.
CVE-ID
CVE-2015-5826: filedescriptor, Chris Evans
WebKit
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Performance API kan gjøre det mulig for et skadelig nettsted å lekke nettleserhistorikk, nettverksaktivitet og musebevegelser
Beskrivelse: WebKits Performance API kunne ha tillatt et skadelig nettsted å lekke nettleserhistorikk, nettverksaktivitet og musebevegelser gjennom tidsmålinger. Problemet ble løst ved å begrense tidsoppløsningen.
CVE-ID
CVE-2015-5825: Yossi Oren et al. ved Columbia Universitys Network Security Lab
WebKit
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper med nettverksrettigheter kan være i stand til å lekke sensitiv brukerinformasjon
Beskrivelse: Det var et problem med Content-Disposition-hoder som inneholder typevedlegg. Problemet ble løst ved ikke å tillate noe funksjonalitet for typevedleggssider.
CVE-ID
CVE-2015-5921: Mickey Shkatov fra Intel(r) Advanced Threat Research Team, Daoyuan Wu ved Singapore Management University, Rocky K. C. Chang ved Hong Kong Polytechnic University, Łukasz Pilorz, superhei fra www.knownsec.com
WebKit Canvas
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan avdekke bildedata fra et annet nettsted
Beskrivelse: Det var et tverropphavlig problem med «canvas»-elementbilder i WebKit. Problemet ble løst gjennom forbedret sporing av sikkerhetsopphav.
CVE-ID
CVE-2015-5788: Apple
Laster inn WebKit-sider
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: WebSockets kan omgå håndhevelsen av retningslinjer for blandet innhold
Beskrivelse: Et problem med utilstrekkelig håndhevelse av retningslinjer gjorde at WebSockets kunne laste blandet innhold. Problemet ble løst ved å utvide håndhevelsen av retningslinjer for blandet innhold til WebSockets.
Kevin G. Jones fra Higher Logic
FaceTime er ikke tilgjengelig i alle land eller regioner.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.