Om sikkerhetsinnholdet i iOS 9

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 9.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Finn ut mer om Apple-produktsikkerhet på nettstedet Apple-produktsikkerhet.

Finn ut mer om PGP-nøkkelen for Apple-produktsikkerhet under Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet.

Der det er mulig brukes CVE-IDer som referanse til sårbarheter for ytterligere informasjon.

Finn ut mer om andre sikkerhetsoppdateringer på Sikkerhetsoppdateringer fra Apple.

iOS 9

  • Apple Pay

    Tilgjengelig for: iPhone 6 og iPhone 6 Plus

    Virkning: Noen kort kan gi en terminal mulighet til å innhente begrenset informasjon om de siste transaksjonene ved betaling

    Beskrivelse: Transaksjonsloggfunksjonaliteten ble aktivert i visse konfigurasjoner. Problemet ble løst ved å fjerne transaksjonsloggfunksjonaliteten. Problemet berørte ikke iPad-enheter.

    CVE-ID

    CVE-2015-5916

  • AppleKeyStore

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En lokal angriper kan kanskje nullstille antall mislykkede forsøk på å oppgi sikkerhetskoden med en iOS-sikkerhetskopi

    Beskrivelse: Det var et problem med nullstilling av antall mislykkede forsøk på å oppgi sikkerhetskoden med en sikkerhetskopi av iOS-enheten. Dette ble løst gjennom forbedringer i koden for feil sikkerhetskoder.

    CVE-ID

    CVE-2015-5850: en anonym forsker

  • Application Store

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Klikking på en skadelig ITM-kobling kan føre til tjenestenekt i et bedriftssignert program

    Beskrivelse: Det var et problem med installering via ITMS-koblinger. Dette ble løst gjennom ekstra verifisering av installasjonen.

    CVE-ID

    CVE-2015-5856: Zhaofeng Chen, Hui Xue og Tao (Lenx) Wei fra FireEye, Inc.

  • Lyd

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Avspilling av en skadelig lydfil kan føre til uventet avslutning av et program

    Beskrivelse: Det var et problem med skadet minne i håndteringen av lydfiler. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5862: YoungJin Yoon fra Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei-universitetet, Seoul, Sør-Korea

  • Retningslinjer for sertifikatgodkjenning

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Oppdatering av retningslinjer for sertifikatgodkjenning

    Beskrivelse: Retningslinjene for sertifikatgodkjenning ble oppdatert. Den komplette listen over sertifikater kan vises på https://support.apple.com/no-no/HT204132.

  • CFNetwork

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En skadelig URL-adresse kan være i stand til å omgå HTTP Strict Transport Security (HSTS) og lekke sensitive data

    Beskrivelse: Det var en sårbarhet i URL-analysen ved HSTS-håndtering. Problemet ble løst gjennom forbedret URL-analyse.

    CVE-ID

    CVE-2015-5858: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua-universitetet

  • CFNetwork

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig nettsted kan være i stand til å spore brukere i privat Safari-nettlesermodus

    Beskrivelse: Det var et problem i håndteringen av HSTS-tilstanden i privat Safari-nettlesermodus. Problemet ble løst gjennom forbedret tilstandshåndtering.

    CVE-ID

    CVE-2015-5860: Sam Greenhalgh fra RadicalResearch Ltd

  • CFNetwork

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En person med fysisk tilgang til en iOS-enhet kan lese bufferdata fra Apple-apper

    Beskrivelse: Bufferdata ble kryptert med en nøkkel som ble beskyttet kun av maskinvare-UID. Problemet ble løst ved å kryptere bufferdata med en nøkkel som beskyttes av maskinvare-UID og brukerens sikkerhetskode.

    CVE-ID

    CVE-2015-5898: Andreas Kurtz fra NESO Security Labs

  • CFNetwork-informasjonskapsler

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper i en privilegert nettverksposisjon kan spore en brukers aktivitet

    Beskrivelse: Det var et problem med informasjonskapsler på tvers av domener i håndteringen av domener på øverste nivå. Problemet ble løst gjennom forbedret begrensning av mulighetene til å opprette informasjonskapsler.

    CVE-ID

    CVE-2015-5885: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua-universitetet

  • CFNetwork-informasjonskapsler

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper kan være i stand til å opprette utilsiktede informasjonskapsler for et nettsted

    Beskrivelse: WebKit ville godta at det ble angitt flere informasjonskapsler i document.cookie-API-et. Problemet ble løst gjennom forbedret parsing.

    CVE-ID

    CVE-2015-3801: Erling Ellingsen fra Facebook

  • CFNetwork FTPProtocol

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Skadelige FTP-tjenere kan være i stand til å forårsake at klienten utfører rekognosering på andre verter

    Beskrivelse: Det var et problem i håndteringen av FTP-pakker ved bruk av PASV-kommandoen. Problemet ble løst gjennom forbedret validering.

    CVE-ID

    CVE-2015-5912: Amit Klein

  • CFNetwork HTTPProtocol

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å avskjære nettverkstrafikk

    Beskrivelse: Det var et problem i håndteringen av oppføringer i HSTS-forhåndslastingslisten i privat Safari-nettlesermodus. Problemet ble løst gjennom forbedret tilstandshåndtering.

    CVE-ID

    CVE-2015-5859 : Rosario Giustolisi fra University of Luxembourg

  • CFNetwork-proxyer

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Tilkobling til en skadelig webproxytjener kan angi skadelige informasjonskapsler for et nettsted

    Beskrivelse: Det var et problem i håndteringen av proxytilkoblingssvar. Problemet ble løst ved å fjerne «set-cookie»-hodet ved analyse av tilkoblingssvaret.

    CVE-ID

    CVE-2015-5841: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua-universitetet

  • CFNetwork SSL

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper i en privilegert nettverksposisjon kan kanskje avskjære SSL/TLS-forbindelser

    Beskrivelse: Det var problem med sertifikatvalidering i NSURL når et sertifikat ble endret. Problemet ble løst gjennom forbedret validering av sertifikater.

    CVE-ID

    CVE-2015-5824: Timothy J. Wood fra The Omni Group

  • CFNetwork SSL

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper kan dekryptere data som er beskyttet av SSL

    Beskrivelse: Det er kjente angrep på konfidensialiteten til RC4. En angriper kunne framtvinge bruk av RC4, selv om en tjener foretrakk bedre chiffrering, ved å blokkere TLS 1.0- og høyere tilkoblinger til CFNetwork forsøkte SSL 3.0, som bare tillater RC4. Problemet ble løst ved å fjerne muligheten til å ta steget ned til SSL 3.0.

  • CoreAnimation

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig program kan kanskje lekke sensitiv brukerinformasjon

    Beskrivelse: Programmer kunne få tilgang til skjermens rammebuffer mens de var i bakgrunnen. Problemet ble løst gjennom forbedret tilgangskontroll i IOSurfaces.

    CVE-ID

    CVE-2015-5880: Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li fra School of Information Systems ved Singapore Management University, Feng Bao og Jianying Zhou fra kryptografi- og sikkerhetsavdelingen ved Institute for Infocomm Research

  • CoreCrypto

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper kan være i stand til å fastslå en privat nøkkel

    Beskrivelse: Ved å observere mange signerings- eller dekrypteringsforsøk kan en angriper ha vært i stand til å fastslå den private RSA-nøkkelen. Problemet ble løst gjennom forbedrede krypteringsalgoritmer.

  • CoreText

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Behandling av en skadelig fontfil kan føre til at vilkårlig kode utføres

    Beskrivelse: Det var et problem med skadet minne i håndteringen av fontfiler. Problemet ble løst gjennom forbedret validering av inndata.

    CVE-ID

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Data Detectors Engine

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Behandling av en skadelig tekstfil kan føre til at vilkårlig kode utføres

    Beskrivelse: Det var problemer med skadet minne i behandlingen av tekstfiler. Problemene ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2015-5829: M1x7e1 fra Safeye Team (www.safeye.org)

  • Dev Tools

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med skadet minne i dyld. Dette ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5876 : beist fra grayhash

  • Diskfiler

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med skadet minne i DiskImages. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et program kan kanskje omgå kodesigneringskontroller

    Beskrivelse: Det var et problem med valideringen av kodesignaturen til programmer. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • Game Center

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig Game Center-program kan skaffe seg tilgang til en spillers e-postadresse

    Beskrivelse: Det var et problem i Game Center med håndtering av spilleres e-post. Problemet ble løst gjennom forbedring av tilgangsrestriksjoner.

    CVE-ID

    CVE-2015-5855: Nasser Alnasser

  • ICU

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Flere sårbarheter i ICU

    Beskrivelse: Det var flere sårbarheter i ICU-versjonene før 53.1.0. Problemene ble løst ved å oppdatere ICU til versjon 55.1.

    CVE-ID

    CVE-2014-8146 : Marc Deslauriers

    CVE-2014-8147 : Marc Deslauriers

    CVE-2015-5922 : Mark Brand fra Google Project Zero

  • IOAcceleratorFamily

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet

    Beskrivelse: Det var et problem som førte til avdekking av innhold i kjerneminnet. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2015-5834: Cererdlong fra Alibaba Mobile Security Team

  • IOAcceleratorFamily

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med skadet minne i IOAcceleratorFamily. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5848: Filippo Bigarella

  • IOHIDFamily

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med skadet minne i IOHIDFamily. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5867: moony li fra Trend Micro

  • IOKit

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med skadet minne i kjernen. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med skadet minne i IOMobileFrameBuffer. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En lokal angriper kan være i stand til å lese kjerneminne

    Beskrivelse: Det var et problem med initialisering av minne i kjernen. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5863: Ilja van Sprundel fra IOActive

  • iTunes Store

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Apple-ID-påloggingsinformasjon kan bli værende i nøkkelringen etter avlogging

    Beskrivelse: Det var et problem med sletting av nøkkelringen. Problemet ble løst gjennom forbedret kontorydding.

    CVE-ID

    CVE-2015-5832: Kasif Dekel fra Check Point Software Technologies

  • JavaScriptCore

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres

    Beskrivelse: Det var problemer med skadet minne i WebKit. Problemene ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5791: Apple

    CVE-2015-5793: Apple

    CVE-2015-5814: Apple

    CVE-2015-5816: Apple

    CVE-2015-5822: Mark S. Miller fra Google

    CVE-2015-5823: Apple

  • Kjerne

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med kjernerettigheter

    Beskrivelse: Det var et problem med skadet minne i kjernen. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5868: Cererdlong fra Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard fra m00nbsd

    CVE-2015-5903: CESG

    Oppføring lagt til 21. desember 2016

  • Kjerne

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En lokal angriper kan styre verdien til stakkinformasjonskapsler

    Beskrivelse: Det var flere svakheter i genereringen av stakkinformasjonskapsler for brukerplass. Problemet ble løst gjennom forbedret generering av stakkinformasjonskapsler.

    CVE-ID

    CVE-2013-3951: Stefan Esser

  • Kjerne

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En lokal prosess kan endre andre prosesser uten berettigelseskontroller

    Beskrivelse: Det var et problem der rotprosesser som benyttet API-et processor_set_tasks kunne hente oppgaveportene til andre prosesser. Problemet ble løst gjennom forbedrede berettigelseskontroller.

    CVE-ID

    CVE-2015-5882: Pedro Vilaça på grunnlag av opprinnelige undersøkelser utført av Ming-chieh Pan og Sung-ting Tsai; Jonathan Levin

  • Kjerne

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper kan være i stand til å starte tjenestenektangrep på utpekte TCP-forbindelser uten å kunne det riktige sekvensnummeret

    Beskrivelse: Det var et problem i xnus validering av TCP-pakkehoder. Problemene ble løst gjennom forbedret validering av TCP-pakkehoder.

    CVE-ID

    CVE-2015-5879: Jonathan Looney

  • Kjerne

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper i et lokalt LAN-segment kan deaktivere IPv6-ruting

    Beskrivelse: Det var et problem med utilstrekkelig validering i håndteringen av iPv6-ruterannonseringer som tillot en angriper å sette hoppgrensen til en vilkårlig verdi. Problemet ble løst ved å innføre en minste hoppgrense.

    CVE-ID

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kjerne

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En lokal bruker kan være i stand til å fastslå layouten til kjerneminnet

    Beskrivelse: Det var et problem i XNU som førte til avdekking av kjerneminne. Problemet ble løst gjennom forbedret initialisering av kjerneminnestrukturer.

    CVE-ID

    CVE-2015-5842: beist fra grayhash

  • Kjerne

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En lokal bruker kan være i stand til å forårsake tjenestenekt i systemet

    Beskrivelse: Det var et problem med aktivering av HFS-stasjoner. Problemet ble løst gjennom ekstra valideringskontroller.

    CVE-ID

    CVE-2015-5748: Maxime Villard fra m00nbsd

  • libc

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En ekstern angriper kan være i stand til å kjøre vilkårlig kode

    Beskrivelse: Det var et problem med skadet minne i fflush-funksjonen. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2014-8611: Adrian Chadd og Alfred Perlstein fra Norse Corporation

  • libpthread

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med kjernerettigheter

    Beskrivelse: Det var et problem med skadet minne i kjernen. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5899: Lufeng Li fra Qihoo 360 Vulcan Team

  • Mail

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper kan sende en e-post som ser ut til å komme fra en kontakt i mottakerens adressebok

    Beskrivelse: Det var et problem med håndteringen av avsenderadresser. Problemet ble løst gjennom forbedret validering.

    CVE-ID

    CVE-2015-5857: Emre Saglam fra salesforce.com

  • Multipeer-kommunikasjon

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En lokal angriper kan være i stand til å observere ubeskyttede multipeer-data

    Beskrivelse: Det var et problem med håndteringen av «convenience initializer», der krypteringen aktivt kunne nedgraderes til en ukryptert økt. Problemet ble løst ved å endre «convenience initializer», slik at kryptering er påkrevd.

    CVE-ID

    CVE-2015-5851: Alban Diquet (@nabla_c0d3) fra Data Theorem

  • NetworkExtension

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet

    Beskrivelse: Et problem med ikke-initialisert minne i kjernen førte til avdekking av innhold i kjerneminnet. Problemet ble løst gjennom initialisering av minnet.

    CVE-ID

    CVE-2015-5831: Maxime Villard fra m00nbsd

  • OpenSSL

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Flere sårbarheter i OpenSSL

    Beskrivelse: Det var flere sårbarheter i OpenSSL-versjoner før 0.9.8zg. Disse ble løst ved å oppdatere OpenSSL til versjon 0.9.8zg.

    CVE-ID

    CVE-2015-0286

    CVE-2015-0287

  • PluginKit

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig bedriftsprogram kan installere tillegg før programmet har blitt godkjent

    Beskrivelse: Det var et problem med valideringen av tillegg under installering. Problemet ble løst gjennom forbedret appverifisering.

    CVE-ID

    CVE-2015-5837: Zhaofeng Chen, Hui Xue og Tao (Lenx) Wei fra FireEye, Inc.

  • removefile

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Behandling av skadelige data kan føre til uventet avslutning av et program

    Beskrivelse: Det var en overflytfeil i checkint-delingsrutinene. Problemet ble løst gjennom forbedrede delingsrutiner.

    CVE-ID

    CVE-2015-5840: en anonym forsker

  • Safari

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En lokal bruker kan være i stand til å lese Safari-bokmerker på en låst iOS-enhet uten sikkerhetskoden

    Beskrivelse: Safari-bokmerkedata ble kryptert med en nøkkel som ble beskyttet kun av maskinvare-UID. Problemet ble løst ved å kryptere Safari-bokmerkedata med en nøkkel som beskyttes av maskinvare-UID og brukerens sikkerhetskode.

    CVE-ID

    CVE-2015-7118 : Jonathan Zdziarski

    Oppføring lagt til 21. desember 2016

  • Safari

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til grensesnittsvindel

    Beskrivelse: Et problem kan ha gjort det mulig for et nettsted å vise innhold med en URL fra et annet nettsted. Problemet ble løst gjennom forbedret håndtering av nettadresser.

    CVE-ID

    CVE-2015-5904: Erling Ellingsen fra Facebook, Łukasz Pilorz

  • Safari

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til grensesnittsvindel

    Beskrivelse: Navigering til et skadelig nettsted med en feilaktig vindusåpner kan ha muliggjort visning av vilkårlige URL-er. Problemet ble løst gjennom forbedret håndtering av vindusåpnere.

    CVE-ID

    CVE-2015-5905: Keita Haga fra keitahaga.com

  • Safari

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Brukere kan bli sporet av skadelige nettsteder ved bruk av klientsertifikater

    Beskrivelse: Det var et problem i Safaris sammenholding av klientsertifikater for SSL-godkjenning. Problemet ble løst gjennom forbedret sammenholding av gyldige klientsertifikater.

    CVE-ID

    CVE-2015-1129: Stefan Kraus fra fluid Operations AG, Sylvain Munaut fra Whatever s.a.

  • Safari

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til grensesnittsvindel

    Beskrivelse: Flere uoverensstemmelser i brukergrensesnittet kan ha gjort det mulig for et skadelig nettsted å vise en vilkårlig URL. Problemene ble løst gjennom forbedret URL-visningslogikk.

    CVE-ID

    CVE-2015-5764: Antonio Sanso (@asanso) fra Adobe

    CVE-2015-5765: Ron Masas

    CVE-2015-5767: Krystian Kloskowski via Secunia, Masato Kinugawa

  • Trygg Safari-nettlesing

    iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Navigering til IP-adressen til et kjent skadelig nettsted vil kanskje ikke utløse noen sikkerhetsadvarsel

    Beskrivelse: Safari-funksjonen for trygg nettlesing advarte ikke brukere ved besøk på kjente skadelige nettsteder via IP-adressen. Problemet ble løst gjennom forbedret oppdagelse av skadelige nettsteder.

    Rahul M fra TagsDock

  • Sikkerhet

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En skadelig app kan være i stand til å avskjære kommunikasjon mellom apper

    Beskrivelse: Det var et problem som gjorde det mulig for en skadelig app å avskjære kommunikasjonen av URL-oppsett mellom apper. Dette ble avhjulpet ved å vise en dialog første gang et URL-oppsett ble brukt.

    CVE-ID

    CVE-2015-5835: Teun van Run fra FiftyTwoDegreesNorth B.V.; XiaoFeng Wang ved Indiana University, Luyi Xing ved Indiana University, Tongxin Li ved Beijing-universitetet, Tongxin Li ved Beijing-universitetet, Xiaolong Bai ved Tsinghua-universitetet

  • Siri

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En person med fysisk tilgang til en iOS-enhet kan være i stand til å bruke Siri til å lese varselmeldinger om innhold der det er angitt at det ikke skal vises på låst skjerm

    Beskrivelse: Når det ble gjort en forespørsel til Siri, ble ikke restriksjonene på klientsiden kontrollert av tjeneren. Problemet ble løst gjennom forbedret kontroll av begrensninger.

    CVE-ID

    CVE-2015-5892: Robert S Mozayeni, Joshua Donvito

  • SpringBoard

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En person med fysisk tilgang til en iOS-enhet kan svare på en lydmelding fra låst skjerm når forhåndsvisning av meldinger på låst skjerm er deaktivert

    Beskrivelse: Et problem med låst skjerm gjorde det mulig for brukere å svare på lydmeldinger selv om forhåndsvisning av meldinger var deaktivert. Problemet ble løst gjennom forbedret tilstandshåndtering.

    CVE-ID

    CVE-2015-5861: Daniel Miedema fra Meridian Apps

  • SpringBoard

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig program kan være i stand til å lure et annet programs dialogvinduer

    Beskrivelse: Det var et problem med tilgangen til privilegerte API-kall. Problemet ble løst gjennom ekstra restriksjoner.

    CVE-ID

    CVE-2015-5838: Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei, John C.S. Lui

  • SQLite

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Flere sårbarheter i SQLite v3.8.5

    Beskrivelse: Det var flere sårbarheter i SQLite v3.8.5. Problemene ble løst ved å oppdatere SQLite til versjon v3.8.10.2.

    CVE-ID

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • tidy

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres

    Beskrivelse: Det var et problem med skadet minne i Tidy. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5522: Fernando Muñoz fra NULLGroup.com

    CVE-2015-5523: Fernando Muñoz fra NULLGroup.com

  • WebKit

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Objektreferanser kan lekkes mellom isolerte opphav i tilpassede hendelser, meldingshendelser og «pop state»-hendelser

    Beskrivelse: Et problem med objektlekkasje brøt isoleringsgrensen mellom opphav. Problemet ble løst gjennom forbedret isolering mellom opphav.

    CVE-ID

    CVE-2015-5827: Gildas

  • WebKit

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres

    Beskrivelse: Det var problemer med skadet minne i WebKit. Problemene ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5789: Apple

    CVE-2015-5790: Apple

    CVE-2015-5792: Apple

    CVE-2015-5794: Apple

    CVE-2015-5795: Apple

    CVE-2015-5796: Apple

    CVE-2015-5797: Apple

    CVE-2015-5799: Apple

    CVE-2015-5800: Apple

    CVE-2015-5801: Apple

    CVE-2015-5802: Apple

    CVE-2015-5803: Apple

    CVE-2015-5804: Apple

    CVE-2015-5805

    CVE-2015-5806: Apple

    CVE-2015-5807: Apple

    CVE-2015-5809: Apple

    CVE-2015-5810: Apple

    CVE-2015-5811: Apple

    CVE-2015-5812: Apple

    CVE-2015-5813: Apple

    CVE-2015-5817: Apple

    CVE-2015-5818: Apple

    CVE-2015-5819: Apple

    CVE-2015-5821: Apple

  • WebKit

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til utilsiktet oppringning

    Beskrivelse: Det var et problem i håndteringen av URL-er av typen tel://, facetime:// og facetime-audio://. Problemet ble løst gjennom forbedret håndtering av nettadresser.

    CVE-ID

    CVE-2015-5820: Andrei Neculaesei, Guillaume Ross

  • WebKit

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: QuickType kan fange opp det siste tegnet i et passord i et utfylt webskjema

    Beskrivelse: Det var et problem i WebKits håndtering av konteksten for passordinndata. Problemet ble løst gjennom forbedret håndtering av inndatakonteksten.

    CVE-ID

    CVE-2015-5906: Louis Romero fra Google Inc.

  • WebKit

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å omdirigere til et skadelig domene

    Beskrivelse: Det var et problem i håndteringen av ressursbufre på nettsteder med ugyldige sertifikater. Problemet ble løst ved å avvise programbufferen til domener med ugyldige sertifikater.

    CVE-ID

    CVE-2015-5907: Yaoqi Jia ved National University of Singapore (NUS)

  • WebKit

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig nettsted kan eksfiltrere data på tvers av opphav

    Beskrivelse: Safari tillot at stilark ble lastet på tvers av opphav med ikke-CSS MIME-typer som kunne brukes til dataeksfiltrering på tvers av opphav. Problemet ble løst ved å begrense MIME-typer for stilark på tvers av opphav.

    CVE-ID

    CVE-2015-5826: filedescriptor, Chris Evans

  • WebKit

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Performance API kan gjøre det mulig for et skadelig nettsted å lekke nettleserhistorikk, nettverksaktivitet og musebevegelser

    Beskrivelse: WebKits Performance API kunne ha tillatt et skadelig nettsted å lekke nettleserhistorikk, nettverksaktivitet og musebevegelser gjennom tidsmålinger. Problemet ble løst ved å begrense tidsoppløsningen.

    CVE-ID

    CVE-2015-5825: Yossi Oren et al. ved Columbia Universitys Network Security Lab

  • WebKit

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper med nettverksrettigheter kan være i stand til å lekke sensitiv brukerinformasjon

    Beskrivelse: Det var et problem med Content-Disposition-hoder som inneholder typevedlegg. Problemet ble løst ved ikke å tillate noe funksjonalitet for typevedleggssider.

    CVE-ID

    CVE-2015-5921: Mickey Shkatov fra Intel(r) Advanced Threat Research Team, Daoyuan Wu ved Singapore Management University, Rocky K. C. Chang ved Hong Kong Polytechnic University, Łukasz Pilorz, superhei fra www.knownsec.com

  • WebKit Canvas

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan avdekke bildedata fra et annet nettsted

    Beskrivelse: Det var et tverropphavlig problem med «canvas»-elementbilder i WebKit. Problemet ble løst gjennom forbedret sporing av sikkerhetsopphav.

    CVE-ID

    CVE-2015-5788: Apple

  • Laster inn WebKit-sider

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: WebSockets kan omgå håndhevelsen av retningslinjer for blandet innhold

    Beskrivelse: Et problem med utilstrekkelig håndhevelse av retningslinjer gjorde at WebSockets kunne laste blandet innhold. Problemet ble løst ved å utvide håndhevelsen av retningslinjer for blandet innhold til WebSockets.

    Kevin G. Jones fra Higher Logic

FaceTime er ikke tilgjengelig i alle land eller regioner.

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: