Om säkerhetsinnehållet i iOS 9.3.3
Det här dokumentet beskriver säkerhetsinnehållet i iOS 9.3.3.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
iOS 9.3.3
Kalender
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En kalenderinbjudan med skadligt innehåll kan leda till att en enhet startas om oväntat
Beskrivning: En nullpekarreferens åtgärdades genom förbättrad minneshantering.
CVE-2016-4605: Henry Feldman, chef på Beth Israel Deaconess Medical Center
CFNetwork-inloggning
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En angripare med privilegierad nätverksposition kan läcka känslig användarinformation
Beskrivning: Ett problem med nedgradering förekom i HTTP-autentiseringsuppgifter som sparats i Nyckelring. Problemet åtgärdades genom att autentiseringstyperna lagrades tillsammans med inloggningsuppgifterna.
CVE-2016-4644: Jerry Decime koordinerad via CERT
CFNetwork Proxies
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En angripare med privilegierad nätverksposition kan läcka känslig användarinformation
Beskrivning: Det fanns ett valideringsproblem i tolkningen av 407-svar. Problemet åtgärdades genom förbättrad svarsvalidering.
CVE-2016-4643: Xiaofeng Zheng på Blue Lotus Team, Tsinghua University; Jerry Decime koordinerad via CERT
CFNetwork Proxies
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett program kan oavsiktligt skicka ett lösenord okrypterat över nätverket
Beskrivning: Proxyautentiseringen rapporterade felaktigt att HTTP-proxyservrar tagit emot inloggningsuppgifterna på ett säkert sätt. Problemet åtgärdades genom förbättrade varningar.
CVE-2016-4642: Jerry Decime koordinerad via CERT
CoreGraphics
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En fjärrangripare kan köra godtycklig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2016-4637: Tyler Bohan på Cisco Talos (talosintel.com/vulnerability-reports)
FaceTime
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En angripare med en privilegierad nätverksposition kan göra så att ett överfört samtal fortsätter att skicka ljud men visas som avslutat
Beskrivning: Inkonsekvenser i gränssnittet förekom i hanteringen av överförda samtal. Problemen åtgärdades genom förbättrad logik för visning av FaceTime.
CVE-2016-4635: Martin Vigo
GasGauge
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan köra godtycklig kod med kernelbehörighet
Beskrivning: Ett minnesfel förekom i kernel. Problemet åtgärdades genom förbättrad minneshantering.
CVE-2016-7576: qwertyoruiop
ImageIO
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas
Beskrivning: Ett problem med minnesförbrukningen åtgärdades genom förbättrad minneshantering.
CVE-2016-4632: Evgeny Sidorov på Yandex
ImageIO
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En fjärrangripare kan köra godtycklig kod
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2016-4631: Tyler Bohan på Cisco Talos (talosintel.com/vulnerability-reports)
ImageIO
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2016-7705: Craig Young på Tripwire VERT
IOAcceleratorFamily
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En lokal användare kan läsa kernelminne
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad kontroll av gränserna.
CVE-2016-4628: Ju Zhu på Trend Micro
IOAcceleratorFamily
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Det kan hända att en lokal användare kan köra godtycklig kod med kernelprivilegier
Beskrivning: En nullpekarreferens åtgärdades genom förbättrad validering.
CVE-2016-4627: Ju Zhu på Trend Micro
IOHIDFamily
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Det kan hända att en lokal användare kan köra godtycklig kod med kernelprivilegier
Beskrivning: En nullpekarreferens åtgärdades genom förbättrad indatavalidering.
CVE-2016-4626: Stefan Esser på SektionEins
Kernel
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Det kan hända att en lokal användare kan köra godtycklig kod med kernelprivilegier
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2016-1863: Ian Beer på Google Project Zero
CVE-2016-4653: Ju Zhu på Trend Micro
CVE-2016-4582: Shrek_wzw och Proteas på Qihoo 360 Nirvan Team
Kernel
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En lokal användare kan orsaka att tjänster nekas i systemet
Beskrivning: En nullpekarreferens åtgärdades genom förbättrad indatavalidering.
CVE-2016-1865: CESG, Marco Grassi (@marcograss) på KeenLab (@keen_lab), Tencent
Libc
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En fjärrangripare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod
Beskrivning: Buffertspill förekom i funktionen ”link_ntoa()” i linkaddr.c. Detta problem åtgärdades genom ytterligare gränskontroll.
CVE-2016-6559: Apple
libxml2
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Flera sårbarheter i libxml2
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2015-8317: Hanno Boeck
CVE-2016-1836: Wei Lei och Liu Yang på Nanyang Technological University
CVE-2016-4447: Wei Lei och Liu Yang på Nanyang Technological University
CVE-2016-4448: Apple
CVE-2016-4483: Gustavo Grieco
CVE-2016-4614: Nick Wellnhofer
CVE-2016-4615: Nick Wellnhofer
CVE-2016-4616: Michael Paddon
libxml2
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Tolkning av ett skadligt XML-dokument kan leda till att användarinformation avslöjas
Beskrivning: Ett åtkomstproblem förekom i tolkningen av skadliga XML-filer. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-2016-4449: Kostya Serebryany
libxslt
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Flera sårbarheter i libxslt
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2016-1683: Nicolas Grégoire
CVE-2016-1684: Nicolas Grégoire
CVE-2016-4607: Nick Wellnhofer
CVE-2016-4608: Nicolas Grégoire
CVE-2016-4609: Nick Wellnhofer
CVE-2016-4610: Nick Wellnhofer
Safari
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en skadlig webbplats kan leda till att användargränssnittet förfalskas
Beskrivning: Omdirigeringssvar till ogiltiga portar kan ha tillåtit en skadlig webbplats att visa en godtycklig domän samtidigt som godtyckligt innehåll visas. Problemet åtgärdades genom förbättrad URL-visningslogik.
CVE-2016-4604: xisigr på Tencents Xuanwu Lab (www.tencent.com)
Sandlådeprofiler
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett lokalt program kan få åtkomst till processlistan
Beskrivning: Det förekom ett åtkomstproblem med privilegierade API-samtal. Problemet åtgärdades med ytterligare begränsningar.
CVE-2016-4594: Stefan Esser på SektionEins
Kontakter i Siri
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En person med fysisk åtkomst till en enhet kan se privat kontaktinformation
Beskrivning: Ett integritetsproblem förekom i hanteringen av kontaktkort. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-2016-4593: Pedro Pinheiro (facebook.com/pedro.pinheiro.1996)
Webbmedia
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Vid visning av en video i Safaris privata surfningsläge visas webbadressen för videon utanför det privata surfningsläget
Beskrivning: Ett integritetsproblem förekom i hanteringen av användardata av Safari View Controller. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-2016-4603: Brian Porter (@portex33)
WebKit
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en webbplats med skadligt innehåll kan leda till spridning av processminne
Beskrivning: Ett problem med minnesinitieringen åtgärdades genom förbättrad minneshantering.
CVE-2016-4587: Apple
WebKit
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en skadlig webbplats kan avslöja bilddata från en annan webbplats
Beskrivning: Ett problem med timing förekom i bearbetningen av SVG. Problemet har åtgärdats genom förbättrad validering.
CVE-2016-4583: Roeland Krak
WebKit
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en webbplats med skadligt innehåll kan läcka känsliga data
Beskrivning: Ett behörighetsproblem förekom i hanteringen av platsvariabeln. Det åtgärdades genom ytterligare ägarskapskontroller.
CVE-2016-4591: ma.la på LINE Corporation
WebKit
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2016-4589: Tongbo Luo och Bo Qu på Palo Alto Networks
CVE-2016-4622: Samuel Gross i samarbete med Trend Micros Zero Day Initiative
CVE-2016-4623: Apple
CVE-2016-4624: Apple
WebKit
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en skadlig webbplats kan leda till att användargränssnittet förfalskas
Beskrivning: Ett problem med ursprungsarv förekom i tolkningen av webbadresser. Problemet åtgärdades genom förbättrad validering av säkerhetskällor.
CVE-2016-4590: xisigr på Tencents Xuanwu Lab (www.tencent.com)
WebKit
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Om du besöker en webbsida med skadligt innehåll kan det leda till att tjänster nekas av systemet
Beskrivning: Ett problem med minnesförbrukningen åtgärdades genom förbättrad minneshantering.
CVE-2016-4592: Mikhail
WebKit JavaScript Bindings
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en webbplats med skadligt innehåll kan leda till att skript körs i samband med icke-HTTP-tjänster
Beskrivning: Ett problem med skriptkörning och protokoll över flera platser (XPXSS) förekom i Safari när formulär skickades till icke-HTTP-tjänster som är kompatibla med HTTP/0.9. Det här problemet åtgärdades genom att inaktivera skript och insticksfiler för resurser som lästs in över HTTP/0.9.
CVE-2016-4651: Obscure
WebKits laddning av sidor
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En webbplats med skadligt innehåll kan komma åt data från flera källor
Beskrivning: Ett problem med skriptkörning över flera platser förekom vid omdirigering av Safari-webbadresser. Problemet åtgärdades genom förbättrad URL-validering vid omdirigering.
CVE-2016-4585: Takeshi Terada på Mitsui Bussan Secure Directions, Inc. (www.mbsd.jp)
WebKits laddning av sidor
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2016-4584: Chris Vienneau
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.