Om sikkerhetsinnholdet i iOS 9.1

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 9.1.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Finn ut mer om PGP-nøkkelen for Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen for Apple Produktsikkerhet.

Der det er mulig brukes CVE-ID-er som referanse til sårbarheter for ytterligere informasjon.

Finn ut mer om andre sikkerhetsoppdateringer på Sikkerhetsoppdateringer fra Apple.

iOS 9.1

  • Accelerate Framework

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres

    Beskrivelse: Det var et problem med ødelagt hukommelse i Accelerate Framework i modus med flere tråder. Problemet ble løst gjennom forbedret validering av tilgangselementer og forbedret objektlåsing.

    CVE-ID

    CVE-2015-5940: Apple

  • Bom

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Utpakking av et skadelig arkiv kan føre til at vilkårlig kode utføres

    Beskrivelse: Det var en sårbarhet i filtraversering i håndteringen av CPIO-arkiver. Problemet ble løst gjennom forbedret validering av metadata.

    CVE-ID

    CVE-2015-7006: Mark Dowd fra Azimuth Security

  • CFNetwork

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til at informasjonskapsler overskrives

    Beskrivelse: Det var et problem med parsing ved håndtering av informasjonskapsler med forskjellig bruk av store og små bokstaver. Problemet ble løst gjennom forbedret analyse.

    CVE-ID

    CVE-2015-7023: Marvin Scholz og Michael Lutonsky, Xiaofeng Zheng og Jinjin Liang fra Tsinghua University, Jian Jiang fra University of California, Berkeley, Haixin Duan fra Tsinghua University and International Computer Science Institute, Shuo Chen fra Microsoft Research Redmond, Tao Wan fra Huawei Canada, Nicholas Weaver fra International Computer Science Institute og University of California, Berkeley, koordinert via CERT/CC

  • configd

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig program kan bli i stand til å heve rettigheter

    Beskrivelse: Det var en heap-basert bufferoverflyt i DNS-klientbiblioteket. Et skadelig program med mulighet til å forfalske responser fra den lokale configd-tjenesten, kan ha vært i stand til å forårsake kjøring av vilkårlig kode i DNS-klienter.

    CVE-ID

    CVE-2015-7015: PanguTeam

  • CoreGraphics

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres

    Beskrivelse: Det var flere problemer med ødelagt hukommelse i CoreGraphics. Problemene ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-5925: Apple

    CVE-2015-5926: Apple

  • CoreText

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode

    Beskrivelse: Det var flere problemer med ødelagt hukommelse under håndtering av fontfiler. Problemene ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2015-6975: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6992: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7017: John Villamil (@day6reak), Yahoo Pentest Team

  • Diskfiler

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med ødelagt hukommelse i parsingen av diskfiler. Problemet er løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-6995: Ian Beer fra Google Project Zero

  • FontParser

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode

    Beskrivelse: Det var flere problemer med ødelagt hukommelse under håndtering av fontfiler. Problemene ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2015-5927: Apple

    CVE-2015-5942

    CVE-2015-6976: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6977: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6978: Jaanus Kp, Clarified Security som arbeider ved HPs Zero Day Initiative

    CVE-2015-6990: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6991: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6993: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7008: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7009: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7010: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7018: John Villamil (@day6reak), Yahoo Pentest Team

  • GasGauge

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med kjernerettigheter

    Beskrivelse: Det var et problem med ødelagt hukommelse i kjernen. Problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-6979: PanguTeam

  • Grand Central Dispatch

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Behandling av en skadelig pakke kan føre til utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt hukommelse ved håndtering av dispatch-anrop. Problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-6989: Apple

  • Grafikkdriver

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Kjøring av et skadelig program kan føre til at vilkårlig kode kjøres i kjernen

    Beskrivelse: Det var en type forvirring i AppleVXD393. Problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-6986: Proteas fra Qihoo 360 Nirvan Team

  • ImageIO

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Visning av et skadelig bilde kan føre til utføring av vilkårlig kode

    Beskrivelse: Det var flere problemer med ødelagt hukommelse i parsingen av bildemetadata. Problemene ble løst gjennom forbedret validering av metadata.

    CVE-ID

    CVE-2015-5935: Apple

    CVE-2015-5936: Apple

    CVE-2015-5937: Apple

    CVE-2015-5939: Apple

  • IOAcceleratorFamily

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med ødelagt hukommelse i IOAcceleratorFamily. Problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-6996: Ian Beer fra Google Project Zero

  • IOHIDFamily

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med kjernerettigheter

    Beskrivelse: Det var et problem med ødelagt hukommelse i kjernen. Problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-6974: Luca Todesco (@qwertyoruiop)

  • Kjerne

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et lokalt program kan forårsake tjenestenekt

    Beskrivelse: Det var et problem med validering av inndata i kjernen. Problemet ble løst gjennom forbedret validering av inndata.

    CVE-ID

    CVE-2015-7004: Sergi Alvarez (pancake) fra NowSecure Research Team

  • Kjerne

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å utføre vilkårlig kode

    Beskrivelse: Det var et problem med uinitialisert hukommelse i kjernen. Problemet ble løst ved forbedret initialisering av hukommelsen.

    CVE-ID

    CVE-2015-6988: The Brainy Code Scanner (m00nbsd)

  • Kjerne

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et lokalt program kan forårsake tjenestenekt

    Beskrivelse: Det var et problem under gjenbruk av virtuell hukommelse. Problemet ble løst gjennom forbedret validering.

    CVE-ID

    CVE-2015-6994: Mark Mentovai of Google Inc.

  • mDNSResponder

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var flere problemer med ødelagt hukommelse i DNS-dataparsingen. Problemene ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2015-7987: Alexandre Helie

  • mDNSResponder

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et lokalt program kan forårsake tjenestenekt

    Beskrivelse: Et dereferanseproblem for en null-peker ble løst ved at inndatavalideringen ble forbedret.

    CVE-ID

    CVE-2015-7988: Alexandre Helie

  • Varslingssenter

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Telefon- og meldingsvarsler kan vises på låseskjermen selv når de er deaktivert

    Beskrivelse: Når «Vis på låst skjerm» ble slått av for Telefon eller meldinger, ble ikke konfigurasjonsendringene tatt i bruk umiddelbart. Problemet ble løst ved forbedret tilstandshåndtering.

    CVE-ID

    CVE-2015-7000: William Redwood fra Hampton School

  • OpenGL

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres

    Beskrivelse: Det var et problem med ødelagt hukommelse i OpenGL. Problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-5924: Apple

  • Sikkerhet

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Behandling av et skadelig sertifikat kan føre til utføring av vilkårlig kode

    Beskrivelse: Det var flere problemer med ødelagt hukommelse i ASN.1-dekoderen. Problemene ble løst gjennom forbedret validering av inndata.

    CVE-ID

    CVE-2015-7059: David Keeler fra Mozilla

    CVE-2015-7060: Tyson Smith fra Mozilla

    CVE-2015-7061: Ryan Sleevi fra Google

  • Sikkerhet

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig program kan være i stand til å overskrive vilkårlige filer

    Beskrivelse: Det var et problem med dobbel frigivelse i håndteringen av AtomicBufferedFile-deskriptorer. Problemet ble løst gjennom forbedret validering av AtomicBufferedFile-deskriptorer.

    CVE-ID

    CVE-2015-6983: David Benjamin, Greg Kerr, Mark Mentovai og Sergey Ulanov fra Chrome Team

  • Sikkerhet

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper kan være i stand til å få et inndratt sertifikat til å fremstå som gyldig

    Beskrivelse: Det var et valideringsproblem i OCSP-klienten. Problemet ble løst ved å sjekke OCSP-sertifikatets utløpstidspunkt.

    CVE-ID

    CVE-2015-6999: Apple

  • Sikkerhet

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En trust-evaluering som er konfigurert for å kreve tilbakekallingskontroll, kan lykkes selv om tilbakekallingkontroll mislykkes

    Beskrivelse: kSecRevocationRequirePositiveResponse-flagget ble angitt, men ikke implementert. Problemet ble løst ved å implementere flagget.

    CVE-ID

    CVE-2015-6997: Apple

  • Telefoni

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig program kan være i stand til å lekke sensitiv brukerinformasjon

    Beskrivelse: Det var et problem i godkjenningskontrollene for spørring av telefonsamtalestatus. Problemet ble løst gjennom ekstra godkjenningstilstandsspørringer.

    CVE-ID

    CVE-2015-7022: Andreas Kurtz fra NESO Security Labs

  • WebKit

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres

    Beskrivelse: Det var flere problemer med ødelagt hukommelse i WebKit. Problemene ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-5928: Apple

    CVE-2015-5929: Apple

    CVE-2015-5930: Apple

    CVE-2015-6981

    CVE-2015-6982

    CVE-2015-7002: Apple

    CVE-2015-7005: Apple

    CVE-2015-7012: Apple

    CVE-2015-7014

    CVE-2015-7104: Apple

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: