Om säkerhetsinnehållet i iOS 9.3.3

Det här dokumentet beskriver säkerhetsinnehållet i iOS 9.3.3.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

iOS 9.3.3

Släpptes 18 juli 2016

Kalender

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: En kalenderinbjudan med skadligt innehåll kan leda till att en enhet startas om oväntat

Beskrivning: En nullpekarreferens åtgärdades genom förbättrad minneshantering.

CVE-2016-4605: Henry Feldman, chef på Beth Israel Deaconess Medical Center

CFNetwork-inloggning

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: En angripare med privilegierad nätverksposition kan läcka känslig användarinformation

Beskrivning: Ett problem med nedgradering förekom i HTTP-autentiseringsuppgifter som sparats i Nyckelring. Problemet åtgärdades genom att autentiseringstyperna lagrades tillsammans med inloggningsuppgifterna.

CVE-2016-4644: Jerry Decime koordinerad via CERT

CFNetwork Proxies

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: En angripare med privilegierad nätverksposition kan läcka känslig användarinformation

Beskrivning: Det fanns ett valideringsproblem i tolkningen av 407-svar. Problemet åtgärdades genom förbättrad svarsvalidering.

CVE-2016-4643: Xiaofeng Zheng på Blue Lotus Team, Tsinghua University; Jerry Decime koordinerad via CERT

CFNetwork Proxies

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: Ett program kan oavsiktligt skicka ett lösenord okrypterat över nätverket

Beskrivning: Proxyautentiseringen rapporterade felaktigt att HTTP-proxyservrar tagit emot inloggningsuppgifterna på ett säkert sätt. Problemet åtgärdades genom förbättrade varningar.

CVE-2016-4642: Jerry Decime koordinerad via CERT

CoreGraphics

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: En fjärrangripare kan köra godtycklig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2016-4637: Tyler Bohan på Cisco Talos (talosintel.com/vulnerability-reports)

FaceTime

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: En angripare med en privilegierad nätverksposition kan göra så att ett överfört samtal fortsätter att skicka ljud men visas som avslutat

Beskrivning: Inkonsekvenser i gränssnittet förekom i hanteringen av överförda samtal. Problemen åtgärdades genom förbättrad logik för visning av FaceTime.

CVE-2016-4635: Martin Vigo

GasGauge

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: Ett skadligt program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett minnesfel förekom i kernel. Problemet åtgärdades genom förbättrad minneshantering.

CVE-2016-7576: qwertyoruiop

Posten lades till 27 september 2016

ImageIO

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: Ett problem med minnesförbrukningen åtgärdades genom förbättrad minneshantering.

CVE-2016-4632: Evgeny Sidorov på Yandex

ImageIO

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: En fjärrangripare kan köra godtycklig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2016-4631: Tyler Bohan på Cisco Talos (talosintel.com/vulnerability-reports)

ImageIO

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2016-7705: Craig Young på Tripwire VERT

Posten lades till 30 november 2017

IOAcceleratorFamily

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: En lokal användare kan läsa kernelminne

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad kontroll av gränserna.

CVE-2016-4628: Ju Zhu på Trend Micro

IOAcceleratorFamily

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: Det kan hända att en lokal användare kan köra godtycklig kod med kernelprivilegier

Beskrivning: En nullpekarreferens åtgärdades genom förbättrad validering.

CVE-2016-4627: Ju Zhu på Trend Micro

IOHIDFamily

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: Det kan hända att en lokal användare kan köra godtycklig kod med kernelprivilegier

Beskrivning: En nullpekarreferens åtgärdades genom förbättrad indatavalidering.

CVE-2016-4626: Stefan Esser på SektionEins

Kernel

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: Det kan hända att en lokal användare kan köra godtycklig kod med kernelprivilegier

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2016-1863: Ian Beer på Google Project Zero

CVE-2016-4653: Ju Zhu på Trend Micro

CVE-2016-4582: Shrek_wzw och Proteas på Qihoo 360 Nirvan Team

Kernel

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: En lokal användare kan orsaka att tjänster nekas i systemet

Beskrivning: En nullpekarreferens åtgärdades genom förbättrad indatavalidering.

CVE-2016-1865: CESG, Marco Grassi (@marcograss) på KeenLab (@keen_lab), Tencent

Libc

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: En fjärrangripare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod

Beskrivning: Buffertspill förekom i funktionen ”link_ntoa()” i linkaddr.c. Detta problem åtgärdades genom ytterligare gränskontroll.

CVE-2016-6559: Apple

Lades till 10 januari 2017

libxml2

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: Flera sårbarheter i libxml2

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2015-8317: Hanno Boeck

CVE-2016-1836: Wei Lei och Liu Yang på Nanyang Technological University

CVE-2016-4447: Wei Lei och Liu Yang på Nanyang Technological University

CVE-2016-4448: Apple

CVE-2016-4483: Gustavo Grieco

CVE-2016-4614: Nick Wellnhofer

CVE-2016-4615: Nick Wellnhofer

CVE-2016-4616: Michael Paddon

Uppdaterades 4 juni 2017

libxml2

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: Tolkning av ett skadligt XML-dokument kan leda till att användarinformation avslöjas

Beskrivning: Ett åtkomstproblem förekom i tolkningen av skadliga XML-filer. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2016-4449: Kostya Serebryany

libxslt

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: Flera sårbarheter i libxslt

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2016-1683: Nicolas Grégoire

CVE-2016-1684: Nicolas Grégoire

CVE-2016-4607: Nick Wellnhofer

CVE-2016-4608: Nicolas Grégoire

CVE-2016-4609: Nick Wellnhofer

CVE-2016-4610: Nick Wellnhofer

Uppdaterades 11 april 2017

Safari

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: Besök på en skadlig webbplats kan leda till att användargränssnittet förfalskas

Beskrivning: Omdirigeringssvar till ogiltiga portar kan ha tillåtit en skadlig webbplats att visa en godtycklig domän samtidigt som godtyckligt innehåll visas. Problemet åtgärdades genom förbättrad URL-visningslogik.

CVE-2016-4604: xisigr på Tencents Xuanwu Lab (www.tencent.com)

Sandlådeprofiler

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: Ett lokalt program kan få åtkomst till processlistan

Beskrivning: Det förekom ett åtkomstproblem med privilegierade API-samtal. Problemet åtgärdades med ytterligare begränsningar.

CVE-2016-4594: Stefan Esser på SektionEins

Kontakter i Siri

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: En person med fysisk åtkomst till en enhet kan se privat kontaktinformation

Beskrivning: Ett integritetsproblem förekom i hanteringen av kontaktkort. Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2016-4593: Pedro Pinheiro (facebook.com/pedro.pinheiro.1996)

Webbmedia

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: Vid visning av en video i Safaris privata surfningsläge visas webbadressen för videon utanför det privata surfningsläget

Beskrivning: Ett integritetsproblem förekom i hanteringen av användardata av Safari View Controller. Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2016-4603: Brian Porter (@portex33)

WebKit

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: Besök på en webbplats med skadligt innehåll kan leda till spridning av processminne

Beskrivning: Ett problem med minnesinitieringen åtgärdades genom förbättrad minneshantering.

CVE-2016-4587: Apple

WebKit

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: Besök på en skadlig webbplats kan avslöja bilddata från en annan webbplats

Beskrivning: Ett problem med timing förekom i bearbetningen av SVG. Problemet har åtgärdats genom förbättrad validering.

CVE-2016-4583: Roeland Krak

WebKit

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: Besök på en webbplats med skadligt innehåll kan läcka känsliga data

Beskrivning: Ett behörighetsproblem förekom i hanteringen av platsvariabeln. Det åtgärdades genom ytterligare ägarskapskontroller.

CVE-2016-4591: ma.la på LINE Corporation

WebKit

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2016-4589: Tongbo Luo och Bo Qu på Palo Alto Networks

CVE-2016-4622: Samuel Gross i samarbete med Trend Micros Zero Day Initiative

CVE-2016-4623: Apple

CVE-2016-4624: Apple

WebKit

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: Besök på en skadlig webbplats kan leda till att användargränssnittet förfalskas

Beskrivning: Ett problem med ursprungsarv förekom i tolkningen av webbadresser. Problemet åtgärdades genom förbättrad validering av säkerhetskällor.

CVE-2016-4590: xisigr på Tencents Xuanwu Lab (www.tencent.com)

WebKit

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: Om du besöker en webbsida med skadligt innehåll kan det leda till att tjänster nekas av systemet

Beskrivning: Ett problem med minnesförbrukningen åtgärdades genom förbättrad minneshantering.

CVE-2016-4592: Mikhail

WebKit JavaScript Bindings

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: Besök på en webbplats med skadligt innehåll kan leda till att skript körs i samband med icke-HTTP-tjänster

Beskrivning: Ett problem med skriptkörning och protokoll över flera platser (XPXSS) förekom i Safari när formulär skickades till icke-HTTP-tjänster som är kompatibla med HTTP/0.9. Det här problemet åtgärdades genom att inaktivera skript och insticksfiler för resurser som lästs in över HTTP/0.9.

CVE-2016-4651: Obscure

WebKits laddning av sidor

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: En webbplats med skadligt innehåll kan komma åt data från flera källor

Beskrivning: Ett problem med skriptkörning över flera platser förekom vid omdirigering av Safari-webbadresser. Problemet åtgärdades genom förbättrad URL-validering vid omdirigering.

CVE-2016-4585: Takeshi Terada på Mitsui Bussan Secure Directions, Inc. (www.mbsd.jp)

WebKits laddning av sidor

Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2016-4584: Chris Vienneau

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: