Om säkerhetsinnehållet i iOS 9.3
Det här dokumentet beskriver säkerhetsinnehållet i iOS 9.3.
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apples produktsäkerhet på webbplatsen Apple produktsäkerhet.
Mer information om Apples PGP-nyckel för produktsäkerhet finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Läs mer om andra säkerhetsuppdateringar i artikeln Säkerhetsuppdateringar från Apple.
iOS 9.3
AppleUSBNetworking
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En USB-enhet kan orsaka att tjänster nekas
Beskrivning: Det förekom ett problem med felhantering i paketvalidering. Problemet har åtgärdats genom förbättrad felhantering.
CVE-ID
CVE-2016-1734: Andrea Barisani och Andrej Rosano på Inverse Path
FontParser
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Öppning av en skadlig PDF-fil kan leda till att program avslutas oväntat eller till godtycklig kodkörning
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2016-1740: HappilyCoded (ant4g0nist och r3dsm0k3) i samarbete med Trend Micros Zero Day Initiative (ZDI)
HTTPProtocol
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En angripare kan lyckas köra godtycklig kod
Beskrivning: Flera sårbarheter förekom i nghttp2-versioner innan 1.6.0, av vilka den allvarligaste kan leda till fjärrkörning av kod. Dessa åtgärdades genom att nghttp2 uppdaterades till 1.6.0.
CVE-ID
CVE-2015-8659
IOHIDFamily
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett program kan ta reda på layouten för kärnminnet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2016-1748: Brandon Azad
Kärna
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett program kan orsaka att tjänster nekas
Beskrivning: Ett problem med tjänster som nekades åtgärdades genom förbättrad validering.
CVE-ID
CVE-2016-1752: CESG
Kärna
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett program kan köra godtycklig kod med kärnprivilegier
Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2016-1750: CESG
Kärna
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett program kan köra godtycklig kod med kärnprivilegier
Beskrivning: Flera heltalsspill åtgärdades genom förbättrad indatavalidering.
CVE-ID
CVE-2016-1753: Juwei Lin, Trend Micro, i samarbete med Trend Micros Zero Day Initiative (ZDI)
Kärna
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett program kan kringgå kodsignering
Beskrivning: Det förekom ett behörighetsproblem som ledde till att körningsbehörighet felaktigt beviljades. Problemet har åtgärdats genom förbättrad behörighetsvalidering.
CVE-ID
CVE-2016-1751: Eric Monti på Square Mobile Security
Kärna
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett program kan köra godtycklig kod med kärnprivilegier
Beskrivning: Ett konkurrenstillstånd förekom när nya processer skapades. Detta åtgärdades genom förbättrad lägeshantering.
CVE-ID
CVE-2016-1757: Ian Beer på Google Project Zero och Pedro Vilaça
Kärna
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett program kan köra godtycklig kod med kärnprivilegier
Beskrivning: En nollpekarreferens åtgärdades genom förbättrad indatavalidering.
CVE-ID
CVE-2016-1756: Lufeng Li på Qihoo 360 Vulcan Team
Kärna
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett program kan köra godtycklig kod med kärnprivilegier
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2016-1754: Lufeng Li på Qihoo 360 Vulcan Team
CVE-2016-1755: Ian Beer på Google Project Zero
Kärna
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett program kan ta reda på layouten för kärnminnet
Beskrivning: Det förekom ett problem med läsning utanför gränserna som ledde till att kärnminne avslöjades. Detta har åtgärdats genom förbättrad indatavalidering.
CVE-ID
CVE-2016-1758: Brandon Azad
LaunchServices
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett program kan modifiera händelser från andra program
Beskrivning: Det förekom ett problem med validering av händelsehanterare i programmeringsgränssnittet för XPC Services. Problemet har åtgärdats genom förbättrad meddelandevalidering.
CVE-ID
CVE-2016-1760: Proteas på Qihoo 360 Nirvan Team
libxml2
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Bearbetning av uppsåtligt skapad XML kan leda till oväntad programavslutning eller godtycklig kodkörning
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-1819
CVE-2015-5312: David Drysdale på Google
CVE-2015-7499
CVE-2015-7500: Kostya Serebryany på Google
CVE-2015-7942: Kostya Serebryany på Google
CVE-2015-8035: gustavo.grieco
CVE-2015-8242: Hugh Davenport
CVE-2016-1761: wol0xff i samarbete med Trend Micros Zero Day Initiative (ZDI)
CVE-2016-1762
Meddelanden
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en webbplats med skadligt innehåll kan leda till automatisk ifyllnad av text i andra meddelandetrådar
Beskrivning: Ett problem förekom i tolkningen av URL-adresser för SMS. Problemet har åtgärdats genom förbättrad URL-validering.
CVE-ID
CVE-2016-1763: CityTog
Meddelanden
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En angripare som klarar av att gå förbi Apples certifikatpinning, fånga upp TLS-anslutningar, mata in meddelanden och registrera krypterade meddelanden av bilagetyp kan ha förmåga att läsa bilagor
Beskrivning: Ett kryptografiskt problem åtgärdades genom att dubblerade meddelanden nekas på klienten.
CVE-ID
CVE-2016-1788: Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers, och Michael Rushanan på Johns Hopkins University
Profiler
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En otillförlitlig MDM-profil kan felaktigt visas som verifierad
Beskrivning: Ett problem med godkännande av certifikat förekom i MDM-profiler. Det har åtgärdats genom ytterligare kontroller.
CVE-ID
CVE-2016-1766: Taylor Boyko i samarbete med Trend Micros Zero Day Initiative (ZDI)
Säkerhet
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Bearbetning av ett felaktigt utformat certifikat kan ge upphov till godtycklig kodkörning
Beskrivning: Ett minnesfel förekom i ASN.1-avkodaren. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-ID
CVE-2016-1950: Francis Gabriel på Quarkslab
TrueTypeScaler
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Bearbetning av en felaktigt utformad teckensnittsfil kan ge upphov till godtycklig kodkörning
Beskrivning: Ett minnesfel förekom i bearbetningen av typsnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-ID
CVE-2016-1775: 0x1byte i samarbete med Trend Micros Zero Day Initiative (ZDI)
WebKit
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Att öppna skadligt webbinnehåll kan leda till godtycklig kodkörning
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2016-1778: 0x1byte i samarbete med Trend Micros Zero Day Initiative (ZDI) och Yang Zhao på CM Security
CVE-2016-1783: Mihai Parparita på Google
WebKit
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En webbplats kan spåra känslig användarinformation
Beskrivning: Ett problem förekom i hanteringen av URL-adresser för bilagor. Problemet har åtgärdats genom förbättrad URL-hantering.
CVE-ID
CVE-2016-1781: Devdatta Akhawe på Dropbox, Inc.
WebKit
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En webbplats kan spåra känslig användarinformation
Beskrivning: En dold webbsida kan få åtkomst till enhetsorienterings- och enhetsrörelsedata. Problemet har åtgärdats genom att dessa data tillfälligt görs otillgängliga när webbvyn är dold.
CVE-ID
CVE-2016-1780: Maryam Mehrnezhad, Ehsan Toreini, Siamak F. Shahandashti och Feng Hao på School of Computing Science, Newcastle University, Storbritannien
WebKit
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en webbplats med skadligt innehåll kan leda till avslöjande av användarens nuvarande plats
Beskrivning: Ett problem förekom i tolkningen av platsbestämningsförfrågningar. Detta åtgärdades genom förbättrad validering av säkerhetskällan för platsbestämningsförfrågningar.
CVE-ID
CVE-2016-1779: xisigr på Tencents Xuanwu Lab (http://www.tencent.com)
WebKit
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En webbplats med skadligt innehåll kan få åtkomst till skyddade portar på godtyckliga servrar
Beskrivning: Ett problem med omdirigering av portar åtgärdades genom ytterligare portvalidering.
CVE-ID
CVE-2016-1782: Muneaki Nishimura (nishimunea) på Recruit Technologies Co.,Ltd.
WebKit
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Att öppna en uppsåtligt skapad URL kan leda till spridning av känslig användarinformation
Beskrivning: Ett problem förekom vid URL-omdirigering när XSS Auditor användes i blockeringsläge. Problemet åtgärdades genom förbättrad URL-navigering.
CVE-ID
CVE-2016-1864: Takeshi Terada på Mitsui Bussan Secure Directions, Inc.
WebKit-historik
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Safari kraschar oväntat
Beskrivning: Ett problem med resursbegränsning åtgärdades genom förbättrad indataverifiering.
CVE-ID
CVE-2016-1784: Moony Li och Jack Tang på TrendMicro och 李普君 på 无声信息技术PKAV Team (PKAV.net)
WebKits laddning av sidor
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en skadlig webbplats kan leda till att användargränssnittet förfalskas
Beskrivning: Omdirigeringar kan ha gjort det möjligt för en webbplats med skadligt innehåll att visa en godtycklig URL-adress och läsa cachelagrat innehåll från destinationens ursprung. Problemet har åtgärdats genom förbättrad visningslogik för URL-adresser.
CVE-ID
CVE-2016-1786: ma.la på LINE Corporation
WebKits laddning av sidor
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En webbplats med skadligt innehåll kan komma åt data från flera källor
Beskrivning: Ett cachelagringsproblem förekom vid teckenkodning. Det åtgärdades genom ytterligare kontroll av förfrågningar.
CVE-ID
CVE-2016-1785: En anonym forskare
Wi-Fi
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En angripare med en privilegierad nätverksposition kan orsaka godtycklig kodkörning
Beskrivning: Ett ramvaliderings- och minnesproblem förekom för en given ethertype. Problemet har åtgärdats genom ytterligare ethertype-validering och förbättrad minneshantering.
CVE-ID
CVE-2016-0801: En anonym forskare
CVE-2016-0802: En anonym forskare
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.