Om sikkerhetsinnholdet i iOS 9.3.3
Dette dokumentet beskriver sikkerhetsinnholdet i iOS 9.3.3.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.
Hvis du vil ha mer informasjon om sikkerhet, kan du gå til siden for Apple Produktsikkerhet. Du kan kryptere kommunikasjon med Apple ved å bruke PGP-nøkkelen for Apple-produktsikkerhet.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
iOS 9.3.3
Kalender
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En skadelig kalenderinvitasjon kan forårsake en uventet omstart av en enhet
Beskrivelse: Et dereferanseproblem for en nullpeker ble løst gjennom forbedret minnehåndtering.
CVE-2016-4605: Henry Feldman MD hos Beth Israel Deaconess Medical Center
CFNetwork-legitimasjon
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper med nettverksrettigheter kan være i stand til å lekke sensitiv brukerinformasjon
Beskrivelse: Det var et nedgraderingsproblem med HTTP-godkjenningslegitimasjon lagret i nøkkelring. Problemet ble løst ved å lagre godkjenningstypene sammen med legitimasjonen.
CVE-2016-4644: Jerry Decime koordinert via CERT
CFNetwork-proxyer
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper med nettverksrettigheter kan være i stand til å lekke sensitiv brukerinformasjon
Beskrivelse: Det var et valideringsproblem i analysen av 407-svar. Problemet ble løst gjennom forbedret svarvalidering.
CVE-2016-4643: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua University; Jerry Decime koordinerte via CERT
CFNetwork-proxyer
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et program kan sende et passord ukryptert over nettverket uten å vite det
Beskrivelse: Proxy-godkjenning rapporterte feilaktig at HTTP-proxyer mottok legitimasjon på en sikker måte. Problemet ble løst gjennom forbedrede advarsler.
CVE-2016-4642: Jerry Decime koordinerte via CERT
CoreGraphics
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper utenfra kan være i stand til å kjøre tilfeldig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-4637: Tyler Bohan fra Cisco Talos (talosintel.com/vulnerability-reports)
FaceTime
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper i en privilegert nettverksposisjon kan få et videresendt anrop til å fortsette å sende lyd mens det ser ut til at anropet er avsluttet
Beskrivelse: Flere uoverensstemmelser i brukergrensesnittet fantes i håndteringen av videresendte anrop. Problemene ble løst gjennom forbedret FaceTime-visningslogikk.
CVE-2016-4635: Martin Vigo
GasGauge
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med kjernerettigheter
Beskrivelse: Det var et problem med skadet minne i kjernen. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-2016-7576: qwertyoruiop
ImageIO
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En ekstern angriper kan forårsake nekting av tjeneste
Beskrivelse: Et problem med bruk av minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-4632: Evgeny Sidorov fra Yandex
ImageIO
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper utenfra kan være i stand til å kjøre vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-4631: Tyler Bohan fra Cisco Talos (talosintel.com/vulnerability-reports)
ImageIO
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Behandling av et skadelig bilde kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-7705: Craig Young i Tripwire VERT
IOAcceleratorFamily
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En lokal bruker kan være i stand til å lese kjerneminne
Beskrivelse: Et problem med lesing utenfor grensene ble løst gjennom forbedret grensekontroll.
CVE-2016-4628: Ju Zhu fra Trend Micro
IOAcceleratorFamily
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: En dereferanse for en nullpeker ble løst gjennom forbedret validering.
CVE-2016-4627: Ju Zhu fra Trend Micro
IOHIDFamily
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: En dereferanse for en nullpeker ble løst gjennom forbedret validering av inndata.
CVE-2016-4626: Stefan Esser fra SektionEins
Kjerne
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-1863: Ian Beer fra Google Project Zero
CVE-2016-4653: Ju Zhu fra Trend Micro
CVE-2016-4582: Shrek_wzw og Proteas fra Qihoo 360 Nirvan Team
Kjerne
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En lokal bruker kan være i stand til å forårsake tjenestenekt i systemet
Beskrivelse: En dereferanse for en nullpeker ble løst gjennom forbedret validering av inndata.
CVE-2016-1865:CESG, Marco Grassi (@marcograss) fra KeenLab (@keen_lab), Tencent
Libc
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller kjøring av vilkårlig kode
Beskrivelse: Det var bufferoverflyt i «link_ntoa()»-funksjonen i linkaddr.c. Problemet ble løst gjennom mer grensekontroll.
CVE-2016-6559: Apple
libxml2
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Flere sårbarheter i libxml2
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2015-8317: Hanno Boeck
CVE-2016-1836: Wei Lei og Liu Yang fra det teknologiske universitetet i Nanyang
CVE-2016-4447: Wei Lei og Liu Yang fra det teknologiske universitetet i Nanyang
CVE-2016-4448: Apple
CVE-2016-4483: Gustavo Grieco
CVE-2016-4614: Nick Wellnhofer
CVE-2016-4615: Nick Wellnhofer
CVE-2016-4616: Michael Paddon
libxml2
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Parsing av et skadelig XML-dokument kan føre til at brukerinformasjon avsløres
Beskrivelse: Det var et problem med tilgang i parsingen av skadelige XML-filer. Problemet ble løst gjennom forbedret validering av inndata.
CVE-2016-4449: Kostya Serebryany
libxslt
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Flere sårbarheter i libxslt
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-1683: Nicolas Grégoire
CVE-2016-1684: Nicolas Grégoire
CVE-2016-4607: Nick Wellnhofer
CVE-2016-4608: Nicolas Grégoire
CVE-2016-4609: Nick Wellnhofer
CVE-2016-4610: Nick Wellnhofer
Safari
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til grensesnittsvindel
Beskrivelse: Viderekoblingssvar til ugyldige porter kan ha tillatt at et skadelig nettsted viste et vilkårlig domene samtidig som det viste vilkårlig innhold. Problemet ble løst gjennom forbedret URL-visningslogikk.
CVE-2016-4604: xisigr hos Tencents Xuanwu Lab (www.tencent.com)
Sandkasseprofiler
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et lokalt program kan få tilgang til prosesslisten
Beskrivelse: Det var et problem med tilgangen til privilegerte API-kall. Problemet ble løst gjennom ekstra restriksjoner.
CVE-2016-4594: Stefan Esser fra SektionEins
Siri-kontakter
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En person med fysisk tilgang til en enhet kan være i stand til å se privat kontaktinformasjon
Beskrivelse: Det var et problem med personvern i håndteringen av kontaktkort. Problemet ble løst gjennom forbedret tilstandshåndtering.
CVE-2016-4593: Pedro Pinheiro (facebook.com/pedro.pinheiro.1996)
Medier på nettet
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Visning av en video i modus for privat nettlesing i Safari viser URL-en til videoen utenfor modusen for privat nettlesing
Beskrivelse: Det var et problem med personvern i håndteringen av brukerdata av Safari View Controller. Problemet ble løst gjennom forbedret tilstandshåndtering.
CVE-2016-4603: Brian Porter (@portex33)
WebKit
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan resultere i blottlegging av prosessminne
Beskrivelse: Et problem med initialisering av minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-4587: Apple
WebKit
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan avdekke bildedata fra et annet nettsted
Beskrivelse: Det var et timingproblem i behandlingen av SVG. Problemet ble løst gjennom forbedret validering.
CVE-2016-4583: Roeland Krak
WebKit
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan lekke sensitive opplysninger
Beskrivelse: Det var et problem med tillatelser i håndteringen av posisjonsvariabelen. Problemet ble løst gjennom ytterligere kontroller av eierskap.
CVE-2016-4591: ma.la fra LINE Corporation
WebKit
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-4589: Tongbo Luo og Bo Qu fra Palo Alto Networks
CVE-2016-4622: Samuel Gross arbeider med Trend Micros Zero Day Initiative
CVE-2016-4623: Apple
CVE-2016-4624: Apple
WebKit
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til grensesnittsvindel
Beskrivelse: Det var et problem med opprinnelsesarv i parsingen av about:-nettadresser. Problemet ble løst gjennom forbedret sporing av sikkerhetsopphav.
CVE-2016-4590: xisigr fra Tencents Xuanwu Lab (www.tencent.com)
WebKit
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan forårsake tjenestenekt (DoS) på systemet
Beskrivelse: Et problem med bruk av minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-4592: Mikhail
WebKit JavaScript-bindinger
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til kjøring av skript i konteksten av en tjeneste som ikke er HTTP
Beskrivelse: Det var et problem med skript på tvers av protokoller og nettsteder (XPXSS) i Safari, når skjemaer ble sendt inn til tjenester uten HTTP som er kompatible med HTTP/0.9. Dette problemet ble løst gjennom deaktivering av skript og programtillegg på ressurser som lastes inn via HTTP/0.9.
CVE-2016-4651: Obscure
Innlasting av WebKit-sider
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig nettsted kan eksfiltrere data på tvers av opphav
Beskrivelse: Det var et problem med skript på tvers av nettsteder ved omdirigering av URL i Safari. Problemet ble løst gjennom forbedret URL-validering ved omdirigering.
CVE-2016-4585: Takeshi Terada hos Mitsui Bussan Secure Directions, Inc. (www.mbsd.jp)
Innlasting av WebKit-sider
Tilgjengelig for: iPhone 4s og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-4584: Chris Vienneau
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.