Om säkerhetsinnehållet i iOS 8.3

Det här dokumentet beskriver säkerhetsinnehållet i iOS 8.3.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apple produktsäkerhet på webbplatsen Apple produktsäkerhet.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.

iOS 8.3

  • AppleKeyStore
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: Ett skadligt program kan eventuellt gissa användarens lösenkod
    Beskrivning: iOS gav åtkomst till ett gränssnitt som tillät försök att bekräfta användarens lösenkod. Problemet har åtgärdats genom förbättrad behörighetskontroll.
    CVE-ID
    CVE-2015-1085: Elias Limneos
    Lades till 17 maj 2017
  • Ljuddrivrutiner
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet
    Beskrivning: Ett valideringsfel förekom i IOKit-objekt som användes av en ljuddrivrutin. Problemet åtgärdades genom förbättrad validering av metadata.
    CVE-ID
    CVE-2015-1086
  • Säkerhetskopiering
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: En angripare kan eventuellt använda säkerhetskopieringssystemet för åtkomst till begränsade områden av filsystemet
    Beskrivning: Ett problem förelåg i logiken för utvärdering av relativa sökvägar i säkerhetskopieringssystemet. Detta problem åtgärdades genom förbättrad sökvägsutvärdering.
    CVE-ID
    CVE-2015-1087: TaiG Jailbreak Team
  • Certifierad förtroendepolicy
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: Uppdatering av den certifierade förtroendepolicyn
    Beskrivning: Den certifierade förtroendepolicyn uppdaterades. Du kan läsa den fullständiga listan över certifikat på http://support.apple.com/sv-se/HT204132
  • CFNetwork
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: Cookies från ett ursprung kunde eventuellt skickas till ett annat ursprung
    Beskrivning: Ett problem med cookies över flera domäner förekom i omdirigeringshanteringen. Cookies som angetts i ett omdirigeringssvar kunde skickas vidare till ett omdirigeringssvar som tillhörde ett annat ursprung. Problemet åtgärdades genom förbättrad hantering av omdirigeringar.
    CVE-ID
    CVE-2015-1089: Niklas Keller (http://kelunik.com)
  • CFNetwork
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: En användare kan eventuellt ta bort hela webbläsarhistoriken
    Beskrivning: Vid nollställning av Safaris historik nollställdes inte det sparade HTTP Strict Transport Security-tillståndet. Problemet har åtgärdats genom förbättrad databorttagning.
    CVE-ID
    CVE-2015-1090
  • CFNetwork Session
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: Autentiseringsuppgifter kan eventuellt skickas till en server på ett annat ursprung
    Beskrivning: Ett problem med huvuden i HTTP-begäran över flera domäner förekom i omdirigeringshanteringen. Huvuden i HTTP-begäran som skickats i ett omdirigeringssvar kunde skickas vidare till ett annat ursprung. Problemet åtgärdades genom förbättrad hantering av omdirigeringar.
    CVE-ID
    CVE-2015-1091: Diego Torres (http://dtorres.me)
  • CFURL
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till godtycklig kodkörning
    Beskrivning: Ett problem med indatavalidering förekom i URL-bearbetningen. Problemet har åtgärdats genom förbättrad URL-validering.
    CVE-ID
    CVE-2015-1088
  • Foundation
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: Ett program som använder NSXMLParser kan användas felaktigt för att avslöja information
    Beskrivning: Ett problem med XML External Entity förekom i hanteringen av XML i NSXMLParser. Problemet åtgärdades genom att inte läsa in externa entiteter mellan olika ursprung.
    CVE-ID
    CVE-2015-1092: Ikuya Fukumoto
  • FontParser
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: Bearbetning av en felaktigt utformad typsnittsfil kan leda till körning av godtycklig kod
    Beskrivning: Flera minnesfel förekom i bearbetningen av teckensnittsfiler. Dessa problem åtgärdades genom förbättrad gränskontroll.
    CVE-ID
    CVE-2015-1093: Marc Schoenefeld
  • IOAcceleratorFamily
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet
    Beskrivning: Ett problem förekom i IOAcceleratorFamily som ledde till att kernelminnets innehåll avslöjades. Problemet åtgärdades genom att ta bort onödig kod.
    CVE-ID
    CVE-2015-1094: Cererdlong på Alibaba Mobile Security Team
  • IOHIDFamily
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: En skadlig HID-enhet kan orsaka körning av opålitlig kod
    Beskrivning: Ett minnesfel förekom i ett IOHIDFamily-API. Problemet åtgärdades genom förbättrad minneshantering.
    CVE-ID
    CVE-2015-1095: Andrew Church
  • IOHIDFamily
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet
    Beskrivning: Ett problem förekom i IOHIDFamily som ledde till att kernelminnets innehåll avslöjades. Problemet åtgärdades genom förbättrad gränskontroll.
    CVE-ID
    CVE-2015-1096: Ilja van Sprundel på IOActive
  • IOMobileFramebuffer
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet
    Beskrivning: Ett problem förekom i MobileFrameBuffer som ledde till att kernelminnets innehåll avslöjades. Problemet åtgärdades genom förbättrad gränskontroll.
    CVE-ID
    CVE-2015-1097: Barak Gabai på IBM X-Force Application Security Research Team
  • iWork Viewer
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: Öppning av en felaktigt utformad iWork-fil kan leda till körning av opålitlig kod.
    Beskrivning: Ett minnesfel förekom i hantering av iWork-filer. Problemet åtgärdades genom förbättrad minneshantering.
    CVE-ID
    CVE-2015-1098: Christopher Hickstein
  • Kärna
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: Ett skadligt program kan orsaka att tjänster nekas
    Beskrivning: Ett race-tillstånd förekom i kärnans setreuid-systemanrop. Problemet åtgärdades genom förbättrad tillståndshantering.
    CVE-ID
    CVE-2015-1099: Mark Mentovai på Google Inc.
  • Kärna
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: Ett skadligt program kan eskalera behörigheter med en komprometterad tjänst avsedd att köras med begränsad behörighet
    Beskrivning: setreuid- och setregid-systemanropen kunde inte sänka behörigheter permanent. Problemet åtgärdades genom att behörigheter nu sänks korrekt.
    CVE-ID
    CVE-2015-1117: Mark Mentovai på Google Inc.
  • Kärna
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: Ett skadligt program kan eventuellt orsaka att systemet avslutas oväntat eller att kärnminnet läses
    Beskrivning: Ett out of bounds-minnesåtkomstproblem förekom i kärnan. Problemet åtgärdades genom förbättrad minneshantering.
    CVE-ID
    CVE-2015-1100: Maxime Villard på m00nbsd
  • Kärna
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet
    Beskrivning: Ett minnesfel förekom i kärnan. Problemet åtgärdades genom förbättrad minneshantering.
    CVE-ID
    CVE-2015-1101: lokihardt@ASRT i samarbete med HP:s Zero Day Initiative
  • Kärna
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: En angripare med en privilegierad nätverksposition kan orsaka att tjänster nekas
    Beskrivning: En lägesinkonsekvens förekom i bearbetningen av TCP-rubriker. Problemet åtgärdades genom förbättrad tillståndshantering.
    CVE-ID
    CVE-2015-1102: Andrey Khudyakov och Maxim Zhuravlev på Kaspersky Lab
  • Kärna
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: En angripare med en privilegierad nätverksposition kan dirigera om användartrafik till godtyckliga värdar
    Beskrivning: ICMP-omdirigeringar var aktiverade som standard i iOS. Problemet åtgärdades genom inaktivering av ICMP-omdirigeringar.
    CVE-ID
    CVE-2015-1103: Zimperium Mobile Security Labs
  • Kärna
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: En fjärrangripare kan kringgå nätverksfilter
    Beskrivning: Systemet behandlade vissa IPv6-paket från fjärrnätverksgränssnitt som lokala paket. Problemet åtgärdades genom att dessa paket avvisades.
    CVE-ID
    CVE-2015-1104: Stephen Roettger på Google Security Team
  • Kärna
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas
    Beskrivning: Ett lägesinkonsekvensproblem förekom i hanteringen av TCP out of band-data. Problemet åtgärdades genom förbättrad tillståndshantering.
    CVE-ID
    CVE-2015-1105: Kenton Varda på Sandstorm.io
  • Tangentbord
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: QuickType kunde lära sig användarnas lösenkoder
    Beskrivning: Vid användning av Bluetooth-tangentbord kunde QuickType lära sig användarnas lösenkoder. Problemet åtgärdades genom att förhindra QuickType från att visas på låsskärmen.
    CVE-ID
    CVE-2015-1106: Jarrod Dwenger, Steve Favorito, Paul Reedy på ConocoPhillips, Pedro Tavares på Molecular Biophysics vid UCIBIO/FCT/UNL, De Paul Sunny, Christian Still på Evolve Media, Kanada
  • libnetcore
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: Bearbetning av en skadligt utformad konfigurationsprofil kunde leda till att program avslutas oväntat
    Beskrivning: Ett minnesfel förekom i hantering av konfigurationsprofiler. Problemet åtgärdades genom förbättrad gränskontroll.
    CVE-ID
    CVE-2015-1118: Zhaofeng Chen, Hui Xue, Yulong Zhang och Tao Wei på FireEye, Inc.
  • Den låsta skärmen
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: En angripare i besittning av en enhet kan förhindra att enheten raderas efter misslyckade försök att ange lösenkoden
    Beskrivning: Under vissa förhållanden kan det hända att en enhet inte raderas efter misslyckade försök att ange lösenkoden. Problemet åtgärdades genom ytterligare kontroller av raderingen.
    CVE-ID
    CVE-2015-1107: Brent Erickson, Stuart Ryan på University of Technology, Sydney
  • Den låsta skärmen
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: En angripare som hade en enhet kunde överskrida gränsen för antalet misslyckade försök att ange lösenkoden
    Beskrivning: Under vissa omständigheter upprätthölls inte gränsen för antalet misslyckade försök att ange lösenkoden. Problemet åtgärdades genom ytterligare kontroller av att gränsen upprätthålls.
    CVE-ID
    CVE-2015-1108
  • NetworkExtension
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: En angripare i besittning av enhet kan komma åt VPN-inloggningsinformation
    Beskrivning: Ett problem förekom i hanteringen av VPN-konfigurationsloggar. Det här problemet har åtgärdats genom borttagning av inloggningsinformation.
    CVE-ID
    CVE-2015-1109: Josh Tway på IPVanish
  • Podcaster
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: Onödig information kan skickas till externa servrar vid hämtning av podcasttillgångar
    Beskrivning: Vid hämtning av tillgångar för en podcast som en användare prenumererade på, skickades unika identifierare till externa servrar. Problemet åtgärdades genom borttagning av dessa identifierare.
    CVE-ID
    CVE-2015-1110: Alex Selivanov
  • Safari
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: En användare kan eventuellt ta bort hela webbläsarhistoriken
    Beskrivning: Nollställning av Safaris historik rensade inte Nyligen stängda flikar. Problemet har åtgärdats genom förbättrad databorttagning.
    CVE-ID
    CVE-2015-1111: Frode Moe på LastFriday.no
  • Safari
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: Användarens surfhistorik kunde inte tas bort helt
    Beskrivning: Ett lägeshanteringsproblem förekom i Safari som ledde till att användarens surfhistorik inte togs bort från history.plist. Problemet åtgärdades med förbättrad statushantering.
    CVE-ID
    CVE-2015-1112: William Breuer, Nederländerna
  • Sandlådeprofiler
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: Ett skadligt program kunde komma åt telefonnummer eller e-postadresser för aktuella kontakter
    Beskrivning: Ett problem med avslöjande av information fanns i sandlådan med tredjepartsappen. Problemet åtgärdades genom förbättring av sandlådeprofilen.
    CVE-ID
    CVE-2015-1113: Andreas Kurtz på NESO Security Labs, Markus Troßbach på Heilbronn University
  • Sandlådeprofiler
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: Maskinvaruidentifierare kunde nås av tredjepartsappar
    Beskrivning: Ett problem med avslöjande av information fanns i sandlådan med tredjepartsappen. Problemet åtgärdades genom förbättring av sandlådeprofilen.
    CVE-ID
    CVE-2015-1114

  • Secure Transport
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: Bearbetning av ett skadligt utformat X.509-certifikat kunde leda till att program avslutades oväntat
    Beskrivning: Det fanns ett problem med nollpekarreferens vid hantering av X.509-certifikat. Problemet har åtgärdats genom förbättrad indatavalidering.
    CVE-ID
    CVE-2015-1160: Elisha Eshed, Roy Iarchy och Yair Amit på Skycure Security Research
  • Telefoni
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: Ett skadligt program kunde få åtkomst till begränsade telefonifunktioner
    Beskrivning: Ett problem med åtkomstkontroll fanns i telefonens delsystem. Appar som kördes i sandlåda kunde komma åt begränsade telefonifunktioner. Problemet har åtgärdats genom förbättrad behörighetskontroll.
    CVE-ID
    CVE-2015-1115: Andreas Kurtz på NESO Security Labs, Markus Troßbach på Heilbronn University
  • UIKit View
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: Känsliga data kunde exponeras i programögonblicksbilder som visades i programväxlaren
    Beskrivning: Ett problem förekom i UIKit, som inte dolde programögonblicksbilder innehållande känsliga data i programväxlaren. Problemet åtgärdades genom att ögonblicksbilden doldes på rätt sätt.
    CVE-ID
    CVE-2015-1116: Mobilappgruppen på HP Security Voltage, Aaron Rogers på Mint.com, David Edwards på Tech4Tomorrow, David Zhang på Dropbox
  • WebKit
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: Ett inkonsekvent användargränssnitt förhindrade användare från att urskilja nätfiskeattacker
    Beskrivning: Det fanns ett inkonsekvent användargränssnitt i Safari som tillät en angripare att visa en falsk URL. Dessa problem åtgärdades genom förbättrad kontroll av användargränssnittet.
    CVE-ID
    CVE-2015-1084: Apple
  • WebKit
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till godtycklig kodkörning
    Beskrivning: Flera minnesfel förekom i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.
    CVE-ID
    CVE-2015-1068: Apple
    CVE-2015-1069: lokihardt@ASRT i samarbete med HP:s Zero Day Initiative
    CVE-2015-1070: Apple
    CVE-2015-1071: Apple
    CVE-2015-1072
    CVE-2015-1073: Apple
    CVE-2015-1074: Apple
    CVE-2015-1076
    CVE-2015-1077: Apple
    CVE-2015-1078: Apple
    CVE-2015-1079: Apple
    CVE-2015-1080: Apple
    CVE-2015-1081: Apple
    CVE-2015-1082: Apple
    CVE-2015-1083: Apple
    CVE-2015-1119: Renata Hodovan på University of Szeged/Samsung Electronics
    CVE-2015-1120: Apple
    CVE-2015-1121: Apple
    CVE-2015-1122: Apple
    CVE-2015-1123: Randy Luecke och Anoop Menon på Google Inc.
    CVE-2015-1124: Apple
  • WebKit
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: Besök på en skadligt utformad webbplats kunde leda till att användaren i praktiken klickade på en annan webbplats
    Beskrivning: Ett problem förekom vid hantering av tryckhändelser. En tryckning kunde skickas vidare till en annan webbplats. Problemet åtgärdades genom förbättrad händelsehantering.
    CVE-ID
    CVE-2015-1125: Phillip Moon och Matt Weston på www.sandfield.co.nz
  • WebKit
    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
    Effekt: Besök av en skadligt utformad webbplats kunde leda till åtkomst av resurser med ett annat ursprung
    Beskrivning: Ett problem förekom i WebKit vid hantering av inloggningsinformation i FTP-URL:er. Problemet åtgärdades genom förbättrad avkodning.
    CVE-ID
    CVE-2015-1126: Jouko Pynnonen på Klikki Oy
  • Wifi
    Effekt: En användares lösenord kan skickas till en obetrodd Wi-Fi-åtkomstpunkt
    Beskrivning: Skärmen som rapporterar ett obetrott Wi-Fi-certifikat hade endast en knapp som användes för att betro certifikat. En användare som inte ville använda Wi-Fi-åtkomstpunkten var tvungen att trycka på hem- eller låsknappen för att lämna skärmen. Problemet hanterades genom att lägga till en synlig Avbryt-knapp.
    CVE-ID
    CVE-2015-5762: Michael Santos

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: