Om sikkerhetsinnholdet i iOS 9.3

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 9.3.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Finn ut mer om PGP-nøkkelen for Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen for Apple Produktsikkerhet.

Der det er mulig brukes CVE-IDer som referanse til sårbarheter for ytterligere informasjon.

Finn ut mer om andre sikkerhetsoppdateringer på Sikkerhetsoppdateringer fra Apple.

iOS 9.3

  • AppleUSBNetworking

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En USB-enhet kan kanskje forårsake tjenestenekt

    Beskrivelse: Det var et problem med feilhåndtering under pakkevalidering. Problemet ble løst gjennom forbedret feilhåndtering.

    CVE-ID

    CVE-2016-1734: Andrea Barisani og Andrej Rosano fra Inverse Path

  • FontParser

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Et problem med ødelagt minne ble håndtert ved forbedret minnehåndtering.

    CVE-ID

    CVE-2016-1740: HappilyCoded (ant4g0nist and r3dsm0k3) i samarbeid med Trend Micros Zero Day Initiative (ZDI)

  • HTTPProtocol

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper utenfra kan kanskje kjøre tilfeldig kode

    Beskrivelse: Det var flere svakheter i nghttp2-versjoner før 1.6.0. Den alvorligste av dem kunne medføre ekstern kjøring av kode. Disse problemene ble løst ved å oppdatere nghttp2 til versjon 1.6.0.

    CVE-ID

    CVE-2015-8659

  • IOHIDFamily

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et program kan kanskje fastslå layouten til kjerneminnet

    Beskrivelse: Et problem med ødelagt minne ble håndtert ved forbedret minnehåndtering.

    CVE-ID

    CVE-2016-1748: Brandon Azad

  • Kjerne

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et program kan kanskje forårsake tjenestenekt

    Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret validering.

    CVE-ID

    CVE-2016-1752: CESG

  • Kjerne

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

    Beskrivelse: Et problem med fortsatt bruk etter utløpt gratisversjon ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2016-1750: CESG

  • Kjerne

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

    Beskrivelse: Flere tilfeller av heltallsoverflyt ble løst gjennom forbedret validering av inndata.

    CVE-ID

    CVE-2016-1753: Juwei Lin Trend Micro arbeider sammen med Trend Micros Zero Day Initiative (ZDI)

  • Kjerne

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et program kan kanskje omgå kodesigneringskontroller

    Beskrivelse: Det oppstod et tillatelsesproblem der en kjøringstillatelse ble gitt ved en feil. Problemet ble løst gjennom forbedret validering av tillatelser.

    CVE-ID

    CVE-2016-1751: Eric Monti fra Square Mobile Security

  • Kjerne

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

    Beskrivelse: En kappløpssituasjon eksisterte under opprettelsen av nye prosesser. Dette ble løst gjennom forbedret tilstandshåndtering.

    CVE-ID

    CVE-2016-1757: Ian Beer fra Google Project Zero og Pedro Vilaça

  • Kjerne

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

    Beskrivelse: En dereferanse for en nullpeker ble løst ved at inndatavalideringen ble forbedret.

    CVE-ID

    CVE-2016-1756: Lufeng Li fra Qihoo 360 Vulcan Team

  • Kjerne

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

    Beskrivelse: Flere problemer med ødelagt minne ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2016-1754: Lufeng Li fra Qihoo 360 Vulcan Team

    CVE-2016-1755: Ian Beer fra Google Project Zero

  • Kjerne

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et program kan kanskje fastslå layouten til kjerneminnet

    Beskrivelse: Det var et problem med lesing utenfor området som førte til avdekking av kjerneminnet. Dette ble løst gjennom forbedret validering av inndata.

    CVE-ID

    CVE-2016-1758: Brandon Azad

  • LaunchServices

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et program kan kanskje endre hendelser fra andre programmer

    Beskrivelse: Det var et problem med validering av hendelsesbehandling i XPC Services API. Problemet ble løst gjennom forbedret meldingsvalidering.

    CVE-ID

    CVE-2016-1760: Proteas fra Qihoo 360 Nirvan Team

  • libxml2

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Behandling av skadelig XML kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode

    Beskrivelse: Flere problemer med ødelagt minne ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-1819

    CVE-2015-5312: David Drysdale fra Google

    CVE-2015-7499

    CVE-2015-7500: Kostya Serebryany fra Google

    CVE-2015-7942: Kostya Serebryany fra Google

    CVE-2015-8035: gustavo.grieco

    CVE-2015-8242: Hugh Davenport

    CVE-2016-1761: wol0xff i samarbeid med Trend Micros Zero Day Initiative (ZDI)

    CVE-2016-1762

  • Meldinger

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til at tekst fylles ut automatisk i andre meldingstråder

    Beskrivelse: Det var et problem med analysering av URL-adresser for SMS-meldinger. Problemet ble løst gjennom forbedret URL-validering.

    CVE-ID

    CVE-2016-1763: CityTog

  • Meldinger

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper som klarer å koble seg forbi Apples sertifikatfesting, fange opp TLS-tilkoblinger, sette inn meldinger og registrere krypterte meldinger av vedleggstypen, kan kanskje lese vedlegg

    Beskrivelse: Et kryptografisk problem ble løst ved å avvise dupliserte meldinger på klienten.

    CVE-ID

    CVE-2016-1788: Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers og Michael Rushanan fra Johns Hopkins University

  • Profiler

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En ikke-klarert MDM-profil kan vises som verifisert ved en feil

    Beskrivelse: Det var et problem med validering av sertifikater i MDM-profiler. Dette ble løst gjennom ytterligere kontroller.

    CVE-ID

    CVE-2016-1766: Taylor Boyko i samarbeid med Trend Micros Zero Day Initiative (ZDI)

  • Sikkerhet

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Behandling av et skadelig sertifikat kan føre til kjøring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt minne i ASN.1-dekoderen. Problemet ble løst gjennom forbedret validering av inndata.

    CVE-ID

    CVE-2016-1950: Francis Gabriel fra Quarkslab

  • TrueTypeScaler

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt minne i behandlingen av fontfiler. Problemet ble løst gjennom forbedret validering av inndata.

    CVE-ID

    CVE-2016-1775: 0x1byte i samarbeid med Trend Micros Zero Day Initiative (ZDI)

  • WebKit

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Behandling av skadelig nettinnhold kan føre til at vilkårlig kode kjøres

    Beskrivelse: Flere problemer med ødelagt minne ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2016-1778: 0x1byte i samarbeid med Trend Micros Zero Day Initiative (ZDI) og Yang Zhao fra CM Security

    CVE-2016-1783: Mihai Parparita fra Google

  • WebKit

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et nettsted kan kanskje spore sensitiv brukerinformasjon

    Beskrivelse: Det var et problem med håndtering av URL-adresser for vedlegg. Problemet ble løst med forbedret URL-håndtering.

    CVE-ID

    CVE-2016-1781: Devdatta Akhawe fra Dropbox, Inc.

  • WebKit

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et nettsted kan kanskje spore sensitiv brukerinformasjon

    Beskrivelse: En skjult nettside kan kanskje få tilgang til data om enhetsorientering og enhetsbevegelse. Dette problemet ble løst ved å oppheve tilgjengeligheten av disse dataene når nettvisningen er skjult.

    CVE-ID

    CVE-2016-1780: Maryam Mehrnezhad, Ehsan Toreini, Siamak F. Shahandashti og Feng Hao fra School of Computing Science, Newcastle University, Storbritannia

  • WebKit

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til at brukerens nåværende geografiske posisjon avsløres

    Beskrivelse: Det var et problem med analysering av forespørsler om geografisk posisjon. Dette ble løst gjennom forbedret validering av sikkerhetsopprinnelsen til forespørsler om geografisk posisjon.

    CVE-ID

    CVE-2016-1779: xisigr fra Tencents Xuanwu Lab (http://www.tencent.com)

  • WebKit

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig nettsted kan kanskje få tilgang til begrensede porter på vilkårlige servere

    Beskrivelse: Et problem med omdirigering av porter ble løst med ekstra portvalidering.

    CVE-ID

    CVE-2016-1782: Muneaki Nishimura (nishimunea) fra Recruit Technologies Co.,Ltd.

  • WebKit

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Åpning av en skadelig URL kan føre til avsløring av sensitiv brukerinformasjon

    Beskrivelse: Et problem oppsto under omdirigering av URL når XSS Auditor ble brukt i blokkeringsmodus. Dette problemet ble løst gjennom forbedret URL-navigering.

    CVE-ID

    CVE-2016-1864: Takeshi Terada hos Mitsui Bussan Secure Directions, Inc.

  • WebKit-logg

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Behandling av skadelig innhold på nettet kan føre til at Safari krasjer uventet

    Beskrivelse: Et problem med oppbrukte ressurser ble løst gjennom forbedret validering av inndata.

    CVE-ID

    CVE-2016-1784: Moony Li og Jack Tang fra TrendMicro og 李普君 of 无声信息技术PKAV Team (PKAV.net)

  • Laster inn WebKit-sider

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til grensesnittsvindel

    Beskrivelse: Omdirigeringssvar kan ha tillatt et skadelig nettsted å vise en vilkårlig URL og lese hurtigbufret innhold i det opprinnelige målet. Problemet ble løst gjennom forbedret URL-visningslogikk.

    CVE-ID

    CVE-2016-1786: ma.la fra LINE Corporation

  • Laster inn WebKit-sider

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig nettsted kan eksfiltrere data på tvers av opphav

    Beskrivelse: Det var et bufferproblem med tegnkoding. Dette ble løst gjennom ekstra forespørselskontroll.

    CVE-ID

    CVE-2016-1785: En anonym forsker

  • Wi-Fi

    Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper i en privilegert nettverksposisjon kan kanskje kjøre vilkårlig kode

    Beskrivelse: Det var et problem med rammevalidering og ødelagt minne for en gitt ethertype. Problemet ble løst gjennom ytterligere ethertype-validering og forbedret minnehåndtering.

    CVE-ID

    CVE-2016-0801: En anonym forsker

    CVE-2016-0802: En anonym forsker

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: