Om säkerhetsinnehållet i iOS 9.2
Det här dokumentet beskriver säkerhetsinnehållet i iOS 9.2.
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apples produktsäkerhet på webbplatsen Apple produktsäkerhet.
Mer information om PGP-nyckeln från Apple Product Security finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Läs mer om andra säkerhetsuppdateringar i artikeln Säkerhetsuppdateringar från Apple.
iOS 9.2
AppleMobileFileIntegrity
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet
Beskrivning: Ett åtkomstkontrollsproblem åtgärdades genom att förhindra modifiering av åtkomstkontrollsstrukturer.
CVE-ID
CVE-2015-7055: Apple
AppSandbox
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan upprätthålla åtkomst till Kontakter efter återkallad åtkomst
Beskrivning: Ett problem förekom i sandlådans hantering av hårda länkar. Problemet åtgärdades genom förbättrad hårdhet för appsandlådan.
CVE-ID
CVE-2015-7001: Razvan Deaconescu och Mihai Bucicoiu på University POLITEHNICA of Bucharest; Luke Deshotels och William Enck på North Carolina State University; Lucas Vincenzo Davi och Ahmad-Reza Sadeghi på TU Darmstadt
CFNetwork HTTPProtocol
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En angripare med en privilegierad nätverksposition kan kringgå HSTS
Beskrivning: Ett problem med indatavalidering förekom i URL-bearbetningen. Problemet har åtgärdats genom förbättrad URL-validering.
CVE-ID
CVE-2015-7094: Tsubasa Iinuma (@llamakko_cafe) på Gehirn Inc. och Muneaki Nishimura (nishimunea)
Komprimering
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till godtycklig kodkörning
Beskrivning: Ett oinitierat minnesåtkomstproblem förekom i zlib. Det här problemet åtgärdades genom bättre minneshantering och ytterligare validering av zlib-strömmar.
CVE-ID
CVE-2015-7054: j00ru
CoreGraphics
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Bearbetning av en skadlig teckensnittsfil kan leda till körning av opålitlig kod
Beskrivning: Ett minnesfel förekom i bearbetningen av teckensnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-ID
CVE-2015-7105: John Villamil (@day6reak), Yahoo Pentest Team
Uppspelning av CoreMedia
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till godtycklig kodkörning
Beskrivning: Flera minnesfel förekom i bearbetningen av felformaterade mediefiler. Dessa problem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-7074: Apple
CVE-2015-7075
dyld
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet
Beskrivning: Flera problem med segmentvalidering förekom i dyld. Dessa åtgärdades genom förbättrad sanering av miljön.
CVE-ID
CVE-2015-7072: Apple
CVE-2015-7079: PanguTeam
GPUTools Framework
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet
Beskrivning: Flera problem med validering av sökvägar förekom i Mobile Replayer. Dessa åtgärdades genom förbättrad sanering av miljön.
CVE-ID
CVE-2015-7069: Luca Todesco (@qwertyoruiop)
CVE-2015-7070: Luca Todesco (@qwertyoruiop)
iBooks
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Tolkning av en skadlig iBooks-fil kan leda till att användarinformation avslöjas
Beskrivning: Det fanns ett problem med XML External Entity-referenser vid iBook-tolkning. Det här problemet åtgärdades genom förbättrad tolkning.
CVE-ID
CVE-2015-7081: Behrouz Sadeghipour (@Nahamsec) och Patrik Fehrenbach (@ITSecurityguard)
ImageIO
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Bearbetning av en skadlig bildfil kan ge upphov till körning av opålitlig kod
Beskrivning: Ett minnesfel förekom i hanteringen av ImageIO. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-7053: Apple
IOHIDFamily
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet
Beskrivning: Flera minnesfel förekom i IOHIDFamily API. Dessa problem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-7111: beist och ABH på BoB
CVE-2015-7112: Ian Beer på Google Project Zero
IOKit SCSI
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan köra opålitlig kod med kärnbehörighet
Beskrivning: En nollpekarreferens förekom vid hanteringen av en särskild användarklienttyp. Problemet har åtgärdats genom förbättrad validering.
CVE-ID
CVE-2015-7068: Ian Beer på Google Project Zero
Kärna
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett lokalt program kan orsaka att tjänster nekas
Beskrivning: Flera problem där tjänster nekades åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-7040: Lufeng Li på Qihoo 360 Vulcan Team
CVE-2015-7041: Lufeng Li på Qihoo 360 Vulcan Team
CVE-2015-7042: Lufeng Li på Qihoo 360 Vulcan Team
CVE-2015-7043: Tarjei Mandt (@kernelpool)
Kärna
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med kärnbehörighet
Beskrivning: Flera minneskorruptionsproblem förekom i kärnan. Dessa problem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-7083: Ian Beer på Google Project Zero
CVE-2015-7084: Ian Beer på Google Project Zero
Kärna
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med kärnbehörighet
Beskrivning: Ett problem förekom i tolkningen av mach-meddelanden. Problemet åtgärdades genom ytterligare validering av mach-meddelanden.
CVE-ID
CVE-2015-7047: Ian Beer på Google Project Zero
LaunchServices
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet
Beskrivning: Ett minnesfel förekom i bearbetningen av felformaterade plister. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-7113: Olivier Goguel på Free Tools Association
libarchive
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till godtycklig kodkörning
Beskrivning: Ett minnesfel förekom i bearbetningen av arkiv. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2011-2895: @practicalswift
libc
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Bearbetning av ett felaktigt utformat paket kan ge upphov till körning av godtycklig kod
Beskrivning: Flera buffertspill förekom i standardbiblioteket C. Dessa problem åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2015-7038 : Brian D. Wells of E. W. Scripps, Narayan Subramanian of Symantec Corporation/Veritas LLC
CVE-2015-7039: Maksymilian Arciemowicz (CXSECURITY.COM)
Posten uppdaterades 3 mars, 2017
libxml2
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Tolkning av ett skadligt XML-dokument kan leda till att användarinformation avslöjas
Beskrivning: Ett problem med minneskorruption fanns i tolkningen av XML-filer. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-7115 : Wei Lei och Liu Yang of Nanyang Technological University
CVE-2015-7116 : Wei Lei och Liu Yang of Nanyang Technological University
MobileStorageMounter
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet
Beskrivning: Ett problem med timing förekom i laddning av förtroendecachen. Problemet åtgärdades genom att validera systemmiljön innan laddning av förtroendecachen.
CVE-ID
CVE-2015-7051: PanguTeam
OpenGL
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till godtycklig kodkörning
Beskrivning: Flera minnesfel förekom i OpenGL. Dessa problem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-7064: Apple
CVE-2015-7065: Apple
CVE-2015-7066: Tongbo Luo och Bo Qu på Palo Alto Networks
Bilder
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En angripare kan eventuellt använda säkerhetskopieringssystemet för åtkomst till begränsade områden av filsystemet
Beskrivning: Ett problem med validering av sökväg förekom i Mobile Backup. Problemet åtgärdades genom förbättrad sanering av miljön.
CVE-ID
CVE-2015-7037: PanguTeam
Överblick
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Öppning av en felaktigt utformad iWork-fil kan leda till körning av opålitlig kod.
Beskrivning: Ett minnesfel förekom i hantering av iWork-filer. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-7107
Safari
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en skadlig webbplats kan leda till att användargränssnittet förfalskas
Beskrivning: Det förekom ett fel som tillät en webbplats att visa innehåll med en webbadress från en annan webbplats. Problemet åtgärdades genom förbättrad URL-hantering.
CVE-ID
CVE-2015-7093: xisigr på Tencents Xuanwu LAB (www.tencent.com)
Sandlåda
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program med rotbehörigheter kan kringgå kärnadressens slumpmässiga utrymmeslayout
Beskrivning: Ett problem med otillräckligt privilegierad separation förekom i xnu. Problemet åtgärdades genom förbättrade auktorisationskontroller.
CVE-ID
CVE-2015-7046: Apple
Säkerhet
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En fjärrangripare kan orsaka att program avslutas oväntat eller att opålitlig kod körs
Beskrivning: Ett minnesfel förekom i hanteringen av SSL-handskakningar. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-7073: Benoit Foucher på ZeroC, Inc.
Säkerhet
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kunde få åtkomst till en användares nyckelringsobjekt
Beskrivning: Ett problem förekom i valideringen av åtkomstkontrollistor för objekt i nyckelringen. Problemet åtgärdades genom förbättrade kontroller av åtkomstkontrollistor.
CVE-ID
CVE-2015-7058
Siri
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En person med fysisk tillgång till en iOS-enhet kan använda Siri till att läsa notiser om innehåll som är inställt att inte visas på låsskärmen
Beskrivning: När en begäran gjordes till Siri kontrollerades inte begränsningar på klientsidan av servern. Problemet åtgärdades genom förbättrad begränsningskontroll.
CVE-ID
CVE-2015-7080: Or Safran (www.linkedin.com/profile/view?id=33912591)
WebKit
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till godtycklig kodkörning
Beskrivning: Flera minnesfel förekom i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-7048: Apple
CVE-2015-7095: Apple
CVE-2015-7096: Apple
CVE-2015-7097: Apple
CVE-2015-7098: Apple
CVE-2015-7099: Apple
CVE-2015-7100: Apple
CVE-2015-7101: Apple
CVE-2015-7102: Apple
CVE-2015-7103: Apple
WebKit
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en webbplats med skadligt innehåll kan avslöja användarens surfhistorik
Beskrivning: Ett problem med otillräckligt indatavalidering förekom i innehållsblockeringar. Det här problemet åtgärdades genom förbättrad tolkning av innehållstillägg.
CVE-ID
CVE-2015-7050: Luke Li och Jonathan Metzman
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.