Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.
Hvis du vil ha mer informasjon om sikkerhet, kan du gå til siden for Apple Produktsikkerhet. Du kan kryptere kommunikasjon med Apple ved å bruke PGP-nøkkelen for Apple-produktsikkerhet.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
iOS 10
Utgitt 13. september 2016
AppleMobileFileIntegrity
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Et lokalt program kan kanskje kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med valideringen i arvepolicy for oppgaver. Problemet ble løst gjennom forbedret validering av prosessrettigheten og team-ID-en.
CVE-2016-4698: Pedro Vilaça
Oppføring lagt til 20. september 2016
Ressurser
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å blokkere en enhet slik at den ikke mottar programvareoppdateringer
Beskrivelse: Det var et problem i iOS-oppdateringer som ikke sikret brukerkommunikasjon ordentlig. Problemet ble løst gjennom bruk av HTTPS til programvareoppdateringer.
CVE-2016-4741: Raul Siles fra DinoSec
Lyd
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: En angriper utenfra kan være i stand til å kjøre vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park og Taekyoung Kwon fra Information Security Lab ved Yonsei-universitetet
Oppføring lagt til 20. september 2016
Retningslinjer for sertifikatgodkjenning
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Oppdatering av retningslinjer for sertifikatgodkjenning
Beskrivelse: Retningslinjene for sertifikatgodkjenning ble oppdatert. Den fullstendige listen over sertifikater finnes på https://support.apple.com/no-no/HT204132.
Oppføring lagt til 20. september 2016
CFNetwork
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: En lokal bruker kan være i stand til å finne nettsteder som en annen bruker har besøkt
Beskrivelse: Det var et problem med sletting av lokal lagringsplass. Problemet ble løst gjennom forbedret rydding av lokal lagringsplass.
CVE-2016-4707: En anonym forsker
Oppføring lagt til 20. september 2016
CFNetwork
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av skadelig nettinnhold kan påvirke brukerinformasjon
Beskrivelse: Det var et problem med validering i analysen av «set-cookie»-overskriften. Problemet ble løst gjennom forbedret kontroll av validering.
CVE-2016-4708: Dawid Czagan fra Silesia Security Lab
Oppføring lagt til 20. september 2016
CommonCrypto
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Et program som bruker CCrypt kan avsløre sensitiv ren tekst hvis utdata- og inndatabuffer er den samme
Beskrivelse: Det var et problem med validering av inndata i corecrypto. Problemet ble løst gjennom forbedret validering av inndata.
CVE-2016-4711: Max Lohrmann
Oppføring lagt til 20. september 2016
CoreCrypto
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Et program kan utføre vilkårlig kode
Beskrivelse: Et problem med lesing utenfor grensene ble løst gjennom fjerning av den utsatte koden.
CVE-2016-4712: Gergo Koteles
Oppføring lagt til 20. september 2016
FontParser
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres
Beskrivelse: Det var en bufferoverflyt i håndteringen av fontfiler.
Problemet ble løst gjennom forbedret grensekontroll.
CVE-2016-4718: Apple
Oppføring lagt til 20. september 2016
GeoServices
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Et program kan være i stand til å lese sensitiv stedsinformasjon
Beskrivelse: Det var et problem med rettigheter i PlaceData. Problemet ble løst gjennom forbedret validering av rettigheter.
CVE-2016-4719: Razvan Deaconescu, Mihai Chiroiu (POLITEHNICA-universitetet i Bucuresti); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
IDS – Tilkobling
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: En angriper i en privilegert nettverksposisjon kan forårsake tjenestenekt
Beskrivelse: Det var et problem med forfalskning i håndteringen av viderekobling av anrop. Problemet ble løst gjennom forbedret validering av inndata.
CVE-2016-4722: Martin Vigo (@martin_vigo) fra salesforce.com
Oppføring lagt til 20. september 2016
IOAcceleratorFamily
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: En dereferanse for en nullpeker ble løst gjennom forbedret validering av inndata.
CVE-2016-4724: Cererdlong, Eakerqiu fra Team OverSky
Oppføring lagt til 20. september 2016
IOAcceleratorFamily
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til at prosessminne avsløres
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2016-4725: Rodger Combs fra Plex, Inc.
Oppføring lagt til 20. september 2016
IOAcceleratorFamily
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-4726: En anonym forsker
Oppføring lagt til 20. september 2016
Kjerne
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Et lokalt program kan få tilgang til begrensede filer
Beskrivelse: Et problem med analyse i behandlingen av registerbaner ble løst gjennom forbedret validering av baner.
CVE-2016-4771: Balazs Bucsay, Research Director hos MRG Effitas
Oppføring lagt til 20. september 2016
Kjerne
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: En ekstern angriper kan forårsake nekting av tjeneste
Beskrivelse: Et problem med låshåndtering ble løst gjennom forbedret låshåndtering.
CVE-2016-4772: Marc Heuse fra mh-sec
Oppføring lagt til 20. september 2016
Kjerne
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Et program kan kanskje fastslå layouten til kjerneminnet
Beskrivelse: Det var flere problemer med lesing utenfor området som førte til avsløring av kjerneminne. Problemene ble løst gjennom forbedret validering av inndata.
CVE-2016-4773: Brandon Azad
CVE-2016-4774: Brandon Azad
CVE-2016-4776: Brandon Azad
Oppføring lagt til 20. september 2016
Kjerne
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med en upålitelig dereferansepeker ble løst gjennom fjerning av den påvirkede koden.
CVE-2016-4777: Lufeng Li fra Qihoo 360 Vulcan Team
Oppføring lagt til 20. september 2016
Kjerne
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-4778: CESG
Oppføring lagt til 20. september 2016
Tastaturer
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Foreslått tekst på tastaturet kan avsløre sensitiv informasjon
Beskrivelse: iOS-tastaturet bufret sensitiv informasjon ved en feiltakelse. Problemet ble løst gjennom forbedret heuristikk.
CVE-2016-4746: Antoine M fra Frankrike
libxml2
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Flere problemer i libxml2, der de største problemene kan føre til uventet lukking av programmer eller vilkårlig kjøring av kode.
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-4658: Nick Wellnhofer
CVE-2016-5131: Nick Wellnhofer
Oppføring lagt til 20. september 2016
libxslt
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-4738: Nick Wellnhofer
Oppføring lagt til 20. september 2016
E-post
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å fange opp brukernavn og passord for e-post
Beskrivelse: Det var et problem med håndteringen av ikke godkjente sertifikater. Dette ble løst ved å avslutte ikke godkjente tilkoblinger.
CVE-2016-4747: Dave Aitel
Meldinger
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Meldinger kan være synlige på en enhet som ikke er pålogget Meldinger
Beskrivelse: Det var et problem når Handoff ble brukt med Meldinger. Problemet ble løst gjennom bedre tilstandshåndtering.
CVE-2016-4740: Step Wallace
Utskrift av UIKit
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Ved bruk av forhåndsvisning i AirPrint kan et ukryptert dokument bli skrevet til en midlertidig fil
Beskrivelse: Det var et problem med forhåndsvisningen i AirPrint. Dette ble løst gjennom forbedret miljørensing.
CVE-2016-4749: Scott Alexander (@gooshy)
Oppføring oppdatert 12. september 2018
S2-kamera
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-4750: Jack Tang (@jacktang310) og Moony Li fra Trend Micro arbeider med Trend Micros Zero Day Initiative
Oppføring lagt til 20. september 2016
Leserfunksjonen i Safari
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Aktivering av leserfunksjonen i Safari på en skadelig nettside kan føre til universell skripting mellom nettsteder
Beskrivelse: Flere valideringsproblemer ble løst gjennom forbedret inndatarensing.
CVE-2016-4618: Erling Ellingsen
Oppføring lagt til 20. september 2016 og oppdatert 23. september 2016.
Sandkasseprofiler
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Et skadelig program kan være i stand til å finne ut hvem brukeren sender tekstmelding til
Beskrivelse: Det var et problem med tilgangskontroll i SMS-utkastmappen. Problemet ble løst gjennom å hindre apper i å utføre «stat» på de aktuelle mappene.
CVE-2016-4620: Razvan Deaconescu, Mihai Chiroiu (POLITEHNICA-universitetet i Bucuresti); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
Sikkerhet
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med signerte diskfiler. Problemet ble løst gjennom forbedret validering av størrelse.
CVE-2016-4753: Mark Mentovai fra Google Inc.
Oppføring lagt til 20. september 2016
Springboard
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Sensitive data kan bli eksponert i programbilder som vises i oppgaveveksleren
Beskrivelse: Det var et problem i Springboard som førte til at bufrede bilder med sensitive data ble vist i oppgaveveksleren. Problemet ble løst ved å vise oppdaterte bilder.
CVE-2016-7759: Fatma Yılmaz i Ptt Genel Müdürlüğü fra Ankara
Oppføring lagt til 17. januar 2017
WebKit
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Det var et analyseproblem i håndteringen av feilprototyper. Dette ble håndtert gjennom forbedret validering.
CVE-2016-4728: Daniel Divricean
Oppføring lagt til 20. september 2016
WebKit
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Besøk på et skadelig nettsted kan lekke sensitive opplysninger
Beskrivelse: Det var et problem med tillatelser i håndteringen av posisjonsvariabelen. Problemet ble løst gjennom ytterligere kontroller av eierskap.
CVE-2016-4758: Masato Kinugawa fra Cure53
Oppføring lagt til 20. september 2016
WebKit
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-4611: Apple
CVE-2016-4729: Apple
CVE-2016-4730: Apple
CVE-2016-4731: Apple
CVE-2016-4734: Natalie Silvanovich fra Google Project Zero
CVE-2016-4735: André Bargull
CVE-2016-4737: Apple
CVE-2016-4759: Tongbo Luo fra Palo Alto Networks
CVE-2016-4762: Zheng Huang fra Baidu Security Lab
CVE-2016-4766: Apple
CVE-2016-4767: Apple
CVE-2016-4768: Anonym som jobber med Trend Micros Zero Day Initiative
Oppføring lagt til 20. september 2016
WebKit
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Et skadelig nettsted kan få tilgang til ikke-HTTP-tjenester
Beskrivelse: Safaris støtte for HTTP/0.9 tillot utnyttelse av ikke-HTTP-tjenester på tvers av protokoller ved hjelp av DNS-ombinding. Problemet ble løst ved å begrense HTTP/0.9-svar til standardporter og å avbryte ressurslasting hvis dokumentet ble lastet med en annen HTTP-protokollversjon.
CVE-2016-4760: Jordan Milne
Oppføring lagt til 20. september 2016
WebKit
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret tilstandshåndtering.
CVE-2016-4733: Natalie Silvanovich fra Google Project Zero
CVE-2016-4765: Apple
Oppføring lagt til 20. september 2016
WebKit
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: En angriper som har en nettverksplassering med rettigheter, kan være i stand til å fange opp og endre nettverkstrafikk ved hjelp av WKWebView med HTTPS
Beskrivelse: Det var et problem med sertifikatvalidering i håndteringen av WKWebView. Problemet ble løst gjennom forbedret validering.
CVE-2016-4763: en anonym forsker
Oppføring lagt til 20. september 2016
WebKit
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret tilstandshåndtering.
CVE-2016-4764: Apple
Oppføring lagt til 3. november 2016