Om säkerhetsinnehållet i iOS 8.4

Det här dokumentet beskriver säkerhetsinnehållet i iOS 8.4.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apples produktsäkerhet på webbplatsen Apple produktsäkerhet.

Mer information om PGP-nyckeln från Apple Product Security finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Läs mer om andra säkerhetsuppdateringar i artikeln Säkerhetsuppdateringar från Apple.

iOS 8.4

  • Application Store

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program med universell hanteringsprofil kan förhindra program från att starta

    Beskrivning: Det förekom ett fel i installationslogiken för program med universella hanteringsprofiler, vilket ledde till konflikter med befintliga grupp-ID:n. Problemet åtgärdades genom förbättrad konfliktkontroll.

    CVE-ID

    CVE-2015-3722: Zhaofeng Chen, Hui Xue och Tao (Lenx) Wei från FireEye, Inc.

  • Certificate Trust Policy

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En angripare med en behörig nätverksposition kan påverka nätverkstrafik

    Beskrivning: Ett mellanliggande certifikat var felaktigt utfärdat av certifikatutfärdaren CNNIC. Problemet åtgärdades genom att lägga till en mekanism för att endast lita på en deluppsättning av de certifikat som utfärdats före det felaktigt utfärdade mellanliggande certifikatet. Det finns mer information om listan för delvis betrodda certifikat.

  • Certificate Trust Policy

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Uppdatering av förtroendepolicyn för certifikat

    Beskrivning: Förtroendepolicyn för certifikat har uppdaterats. Du kan visa den fullständiga listan med certifikat i iOS Trust Store.

  • CFNetwork HTTPAuthentication

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Att följa en skadligt utformad webbadress kan leda till körning av opålitlig kod

    Beskrivning: Det förekom ett minnesfel i hanteringen av vissa webbadressuppgifter. Problemet har åtgärdats genom förbättrad hantering av behörigheter.

    CVE-ID

    CVE-2015-3684: Apple

  • CoreGraphics

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Att öppna en skadligt utformad PDF-fil kan orsaka oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Det förekom flera minnesfel i hanteringen av ICC-profiler. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3723: chaithanya (SegFault) i samarbete med HP:s Zero Day Initiative

    CVE-2015-3724: WanderingGlitch på HP:s Zero Day Initiative

  • CoreText

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Bearbetning av en skadligt utformad textfil kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Det fanns flera problem med minnesfel vid bearbetning av textfiler. Dessa problem åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-1157

    CVE-2015-3685: Apple

    CVE-2015-3686: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3687: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3688: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3689: Apple

  • coreTLS

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En angripare med en behörig nätverksposition kan påverka TLS/SSL-anslutningar

    Beskrivning: coreTLS accepterade korta flyktiga Diffie-Hellman-nycklar (DH), som används i flyktiga DH-chiffersviter med exportstyrka. Problemet, även känt som Logjam, tillät en angripare med en behörig nätverksposition att nedgradera säkerheten till 512-bitars DH om servern hade stöd för en DH-chiffersvit med exportstyrka. Problemet åtgärdades genom att öka standardinställningen för minsta tillåtna minimumstorlek för flyktiga DH-nycklar till 768 bitar.

    CVE-ID

    CVE-2015-4000: Weakdh-teamet på weakdh.org, Hanno Boeck

  • DiskImages

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan fastställa kernelns minneslayout

    Beskrivning: Det fanns ett problem med att information avslöjades i bearbetningen av diskavbilder. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3690: Peter Rutenbar i samarbete med HP:s Zero Day Initiative

  • FontParser

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Bearbetning av en skadligt utformad typsnittsfil kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Det fanns flera problem med minnesfel vid bearbetning av typsnittsfiler. Dessa problem har åtgärdats genom förbättrad indatavalidering.

    CVE-ID

    CVE-2015-3694: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3719: John Villamil (@day6reak), Yahoo Pentest Team

  • ImageIO

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Bearbetning av en skadlig .tiff-fil kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Det förekom ett problem med minnesfel vid bearbetning av .tiff-filer. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-3703: Apple

  • ImageIO

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Flera sårbarheter i libtiff, av vilka den allvarligaste kunde leda till körning av opålitlig kod

    Beskrivning: Det fanns flera sårbarheter i libtiff-versionerna före 4.0.4. Problemen har åtgärdats genom uppdatering av libtiff till version 4.0.4.

    CVE-ID

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130

  • Kernel

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett program med skadligt innehåll kan fastställa kernelns minneslayout

    Beskrivning: Det fanns ett problem med minneshanteringen i hanteringen av HFS-parametrar vilket kan ha lett till att kernelns minneslayout avslöjas. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3721: Ian Beer på Google Project Zero

  • Mail

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt utformat e-postmeddelande kan ersätta meddelandets innehåll med en webbsida som har opålitligt innehåll när meddelandet visas.

    Beskrivning: Det förekom ett problem i stödet för HTML-e-post som gjorde att meddelandets innehåll kunde uppdateras med en webbsida som har opålitligt innehåll. Problemet åtgärdades genom begränsat stöd för HTML-innehåll.

    CVE-ID

    CVE-2015-3710: Aaron Sigel på vtty.com, Jan Souček

  • MobileInstallation

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett program för universell profilhantering med skadligt innehåll kan förhindra en Watch-app från att starta

    Beskrivning: Det förekom ett fel i installationslogiken för program med universella hanteringsprofiler för Watch, vilket ledde till konflikter med befintliga grupp-ID:n. Problemet åtgärdades genom förbättrad konfliktkontroll.

    CVE-ID

    CVE-2015-3725: Zhaofeng Chen, Hui Xue och Tao (Lenx) Wei från FireEye, Inc.

  • Safari

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Besök på en skadligt utformad webbplats kan riskera användarinformation i filsystemet

    Beskrivning: Det förekom ett problem med tillståndshanteringen i Safari som tillät åtkomst med obehörigt ursprung i filsystemet. Problemet åtgärdades genom förbättrad tillståndshantering.

    CVE-ID

    CVE-2015-1155: Joe Vennix på Rapid7 Inc. i samarbete med HP:s Zero Day Initiative

  • Safari

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Besök på en skadligt utformad webbsida kan leda till kontokapning

    Beskrivning: Det förekom ett problem som ledde till att Safari bevarade sidhuvudet för ursprungsförfrågningar för omdirigeringar mellan olika källor, vilket ledde till att skadliga webbplatser kunde kringgå CSRF-skydden. Problemet åtgärdades genom förbättrad hantering av omdirigeringar.

    CVE-ID

    CVE-2015-3658: Brad Hill på Facebook

  • Security

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En fjärrangripare kan orsaka att oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Det fanns ett heltalsspill i säkerhetsramverkets kod för tolkning av S/MIME-e-post och vissa andra signerade eller krypterade objekt. Problemet åtgärdades genom förbättrad valideringskontroll.

    CVE-ID

    CVE-2013-1741

  • SQLite

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En fjärrangripare kan orsaka oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Det förekom flera buffertspill i SQLites printf-implementering. Dessa problem åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-3717: Peter Rutenbar i samarbete med HP:s Zero Day Initiative

  • SQLite

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt utformat SQL-kommando kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Det förekom ett API-problem i SQLite-funktionen. Det hanterades genom förbättrade begränsningar.

    CVE-ID

    CVE-2015-7036: Peter Rutenbar i samarbete med HP:s Zero Day Initiative

  • Telephony

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt utformat SIM-kort kan leda till körning av opålitlig kod

    Beskrivning: Det förekom flera verifieringsproblem av indata i tolkningen av SIM-/UIM-nyttolaster. Dessa problem har åtgärdats genom förbättrad validering av nyttolaster.

    CVE-ID

    CVE-2015-3726: Matt Spisak på Endgame

  • WebKit

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Besök på en webbplats med skadligt innehåll via länkklick kan leda till att användargränssnittet förfalskas

    Beskrivning: Det fanns ett fel i hanteringen av rel-attributet i anchor-element. Målobjekt kunde få obehörig åtkomst till länkobjekt. Det här problemet åtgärdades genom förbättrad efterlevnad av länktyper.

    CVE-ID

    CVE-2015-1156: Zachary Durber på Moodle

  • WebKit

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Besök på en webbplats med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Det fanns flera problem med minnesfel i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-1152: Apple

    CVE-2015-1153: Apple

  • WebKit

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Besök på en skadligt utformad webbplats kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Det förekom ett problem med otillräcklig jämförelse i SQLite-auktoriseraren vilket tillät att opålitliga SQL-funktioner anropades. Problemet åtgärdades genom förbättrade auktorisationskontroller.

    CVE-ID

    CVE-2015-3659: Peter Rutenbar i samarbete med HP:s Zero Day Initiative

  • WebKit

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En skadligt utformad webbplats kan få åtkomst till WebSQL-databaser för andra webbplatser

    Beskrivning: Det förekom ett problem med auktorisationskontroll för namnbyte av WebSQL-tabeller vilket kunde ge en skadligt utformad webbplats åtkomst till databaser som tillhör andra webbplatser. Det här problemet åtgärdas genom förbättrade auktorisationskontroller.

    CVE-ID

    CVE-2015-3727: Peter Rutenbar i samarbete med HP:s Zero Day Initiative

  • Wi-Fi Connectivity

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: iOS-enheter kan automatiskt kopplas till obetrodda åtkomstpunkter som anger en känd ESSID men med nedgraderad säkerhetstyp

    Beskrivning: Det förekom ett problem med otillräcklig jämförelse i wifi-hanterarens utvärdering av kända angivelser för åtkomstpunkter. Problemet åtgärdades genom förbättrad matchning av säkerhetsparametrar.

    CVE-ID

    CVE-2015-3728: Brian W. Gray på Carnegie Mellon University, Craig Young från TripWire

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: