Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apple produktsäkerhet på webbplatsen Apple produktsäkerhet.
Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.
iOS 8.3
- AppleKeyStore
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan eventuellt gissa användarens lösenkod
Beskrivning: iOS gav åtkomst till ett gränssnitt som tillät försök att bekräfta användarens lösenkod. Problemet har åtgärdats genom förbättrad behörighetskontroll.
CVE-ID
CVE-2015-1085: Elias Limneos
Lades till 17 maj 2017
- Ljuddrivrutiner
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet
Beskrivning: Ett valideringsfel förekom i IOKit-objekt som användes av en ljuddrivrutin. Problemet åtgärdades genom förbättrad validering av metadata.
CVE-ID
CVE-2015-1086
- Säkerhetskopiering
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En angripare kan eventuellt använda säkerhetskopieringssystemet för åtkomst till begränsade områden av filsystemet
Beskrivning: Ett problem förelåg i logiken för utvärdering av relativa sökvägar i säkerhetskopieringssystemet. Detta problem åtgärdades genom förbättrad sökvägsutvärdering.
CVE-ID
CVE-2015-1087: TaiG Jailbreak Team
- Certifierad förtroendepolicy
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Uppdatering av den certifierade förtroendepolicyn
Beskrivning: Den certifierade förtroendepolicyn uppdaterades. Du kan läsa den fullständiga listan över certifikat på http://support.apple.com/sv-se/HT204132
- CFNetwork
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Cookies från ett ursprung kunde eventuellt skickas till ett annat ursprung
Beskrivning: Ett problem med cookies över flera domäner förekom i omdirigeringshanteringen. Cookies som angetts i ett omdirigeringssvar kunde skickas vidare till ett omdirigeringssvar som tillhörde ett annat ursprung. Problemet åtgärdades genom förbättrad hantering av omdirigeringar.
CVE-ID
CVE-2015-1089: Niklas Keller (http://kelunik.com)
- CFNetwork
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En användare kan eventuellt ta bort hela webbläsarhistoriken
Beskrivning: Vid nollställning av Safaris historik nollställdes inte det sparade HTTP Strict Transport Security-tillståndet. Problemet har åtgärdats genom förbättrad databorttagning.
CVE-ID
CVE-2015-1090
- CFNetwork Session
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Autentiseringsuppgifter kan eventuellt skickas till en server på ett annat ursprung
Beskrivning: Ett problem med huvuden i HTTP-begäran över flera domäner förekom i omdirigeringshanteringen. Huvuden i HTTP-begäran som skickats i ett omdirigeringssvar kunde skickas vidare till ett annat ursprung. Problemet åtgärdades genom förbättrad hantering av omdirigeringar.
CVE-ID
CVE-2015-1091: Diego Torres (http://dtorres.me)
- CFURL
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till godtycklig kodkörning
Beskrivning: Ett problem med indatavalidering förekom i URL-bearbetningen. Problemet har åtgärdats genom förbättrad URL-validering.
CVE-ID
CVE-2015-1088
- Foundation
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett program som använder NSXMLParser kan användas felaktigt för att avslöja information
Beskrivning: Ett problem med XML External Entity förekom i hanteringen av XML i NSXMLParser. Problemet åtgärdades genom att inte läsa in externa entiteter mellan olika ursprung.
CVE-ID
CVE-2015-1092: Ikuya Fukumoto
- FontParser
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Bearbetning av en felaktigt utformad typsnittsfil kan leda till körning av godtycklig kod
Beskrivning: Flera minnesfel förekom i bearbetningen av teckensnittsfiler. Dessa problem åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2015-1093: Marc Schoenefeld
- IOAcceleratorFamily
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet
Beskrivning: Ett problem förekom i IOAcceleratorFamily som ledde till att kernelminnets innehåll avslöjades. Problemet åtgärdades genom att ta bort onödig kod.
CVE-ID
CVE-2015-1094: Cererdlong på Alibaba Mobile Security Team
- IOHIDFamily
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En skadlig HID-enhet kan orsaka körning av opålitlig kod
Beskrivning: Ett minnesfel förekom i ett IOHIDFamily-API. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-1095: Andrew Church
- IOHIDFamily
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet
Beskrivning: Ett problem förekom i IOHIDFamily som ledde till att kernelminnets innehåll avslöjades. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2015-1096: Ilja van Sprundel på IOActive
- IOMobileFramebuffer
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet
Beskrivning: Ett problem förekom i MobileFrameBuffer som ledde till att kernelminnets innehåll avslöjades. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2015-1097: Barak Gabai på IBM X-Force Application Security Research Team
- iWork Viewer
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Öppning av en felaktigt utformad iWork-fil kan leda till körning av opålitlig kod.
Beskrivning: Ett minnesfel förekom i hantering av iWork-filer. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-1098: Christopher Hickstein
- Kärna
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan orsaka att tjänster nekas
Beskrivning: Ett race-tillstånd förekom i kärnans setreuid-systemanrop. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-ID
CVE-2015-1099: Mark Mentovai på Google Inc.
- Kärna
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan eskalera behörigheter med en komprometterad tjänst avsedd att köras med begränsad behörighet
Beskrivning: setreuid- och setregid-systemanropen kunde inte sänka behörigheter permanent. Problemet åtgärdades genom att behörigheter nu sänks korrekt.
CVE-ID
CVE-2015-1117: Mark Mentovai på Google Inc.
- Kärna
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan eventuellt orsaka att systemet avslutas oväntat eller att kärnminnet läses
Beskrivning: Ett out of bounds-minnesåtkomstproblem förekom i kärnan. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-1100: Maxime Villard på m00nbsd
- Kärna
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet
Beskrivning: Ett minnesfel förekom i kärnan. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-1101: lokihardt@ASRT i samarbete med HP:s Zero Day Initiative
- Kärna
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En angripare med en privilegierad nätverksposition kan orsaka att tjänster nekas
Beskrivning: En lägesinkonsekvens förekom i bearbetningen av TCP-rubriker. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-ID
CVE-2015-1102: Andrey Khudyakov och Maxim Zhuravlev på Kaspersky Lab
- Kärna
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En angripare med en privilegierad nätverksposition kan dirigera om användartrafik till godtyckliga värdar
Beskrivning: ICMP-omdirigeringar var aktiverade som standard i iOS. Problemet åtgärdades genom inaktivering av ICMP-omdirigeringar.
CVE-ID
CVE-2015-1103: Zimperium Mobile Security Labs
- Kärna
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En fjärrangripare kan kringgå nätverksfilter
Beskrivning: Systemet behandlade vissa IPv6-paket från fjärrnätverksgränssnitt som lokala paket. Problemet åtgärdades genom att dessa paket avvisades.
CVE-ID
CVE-2015-1104: Stephen Roettger på Google Security Team
- Kärna
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas
Beskrivning: Ett lägesinkonsekvensproblem förekom i hanteringen av TCP out of band-data. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-ID
CVE-2015-1105: Kenton Varda på Sandstorm.io
- Tangentbord
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: QuickType kunde lära sig användarnas lösenkoder
Beskrivning: Vid användning av Bluetooth-tangentbord kunde QuickType lära sig användarnas lösenkoder. Problemet åtgärdades genom att förhindra QuickType från att visas på låsskärmen.
CVE-ID
CVE-2015-1106: Jarrod Dwenger, Steve Favorito, Paul Reedy på ConocoPhillips, Pedro Tavares på Molecular Biophysics vid UCIBIO/FCT/UNL, De Paul Sunny, Christian Still på Evolve Media, Kanada
- libnetcore
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Bearbetning av en skadligt utformad konfigurationsprofil kunde leda till att program avslutas oväntat
Beskrivning: Ett minnesfel förekom i hantering av konfigurationsprofiler. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2015-1118: Zhaofeng Chen, Hui Xue, Yulong Zhang och Tao Wei på FireEye, Inc.
- Den låsta skärmen
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En angripare i besittning av en enhet kan förhindra att enheten raderas efter misslyckade försök att ange lösenkoden
Beskrivning: Under vissa förhållanden kan det hända att en enhet inte raderas efter misslyckade försök att ange lösenkoden. Problemet åtgärdades genom ytterligare kontroller av raderingen.
CVE-ID
CVE-2015-1107: Brent Erickson, Stuart Ryan på University of Technology, Sydney
- Den låsta skärmen
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En angripare som hade en enhet kunde överskrida gränsen för antalet misslyckade försök att ange lösenkoden
Beskrivning: Under vissa omständigheter upprätthölls inte gränsen för antalet misslyckade försök att ange lösenkoden. Problemet åtgärdades genom ytterligare kontroller av att gränsen upprätthålls.
CVE-ID
CVE-2015-1108
- NetworkExtension
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En angripare i besittning av enhet kan komma åt VPN-inloggningsinformation
Beskrivning: Ett problem förekom i hanteringen av VPN-konfigurationsloggar. Det här problemet har åtgärdats genom borttagning av inloggningsinformation.
CVE-ID
CVE-2015-1109: Josh Tway på IPVanish
- Podcaster
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Onödig information kan skickas till externa servrar vid hämtning av podcasttillgångar
Beskrivning: Vid hämtning av tillgångar för en podcast som en användare prenumererade på, skickades unika identifierare till externa servrar. Problemet åtgärdades genom borttagning av dessa identifierare.
CVE-ID
CVE-2015-1110: Alex Selivanov
- Safari
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En användare kan eventuellt ta bort hela webbläsarhistoriken
Beskrivning: Nollställning av Safaris historik rensade inte Nyligen stängda flikar. Problemet har åtgärdats genom förbättrad databorttagning.
CVE-ID
CVE-2015-1111: Frode Moe på LastFriday.no
- Safari
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Användarens surfhistorik kunde inte tas bort helt
Beskrivning: Ett lägeshanteringsproblem förekom i Safari som ledde till att användarens surfhistorik inte togs bort från history.plist. Problemet åtgärdades med förbättrad statushantering.
CVE-ID
CVE-2015-1112: William Breuer, Nederländerna
- Sandlådeprofiler
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kunde komma åt telefonnummer eller e-postadresser för aktuella kontakter
Beskrivning: Ett problem med avslöjande av information fanns i sandlådan med tredjepartsappen. Problemet åtgärdades genom förbättring av sandlådeprofilen.
CVE-ID
CVE-2015-1113: Andreas Kurtz på NESO Security Labs, Markus Troßbach på Heilbronn University
- Sandlådeprofiler
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Maskinvaruidentifierare kunde nås av tredjepartsappar
Beskrivning: Ett problem med avslöjande av information fanns i sandlådan med tredjepartsappen. Problemet åtgärdades genom förbättring av sandlådeprofilen.
CVE-ID
CVE-2015-1114
- Secure Transport
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Bearbetning av ett skadligt utformat X.509-certifikat kunde leda till att program avslutades oväntat
Beskrivning: Det fanns ett problem med nollpekarreferens vid hantering av X.509-certifikat. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-ID
CVE-2015-1160: Elisha Eshed, Roy Iarchy och Yair Amit på Skycure Security Research
- Telefoni
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kunde få åtkomst till begränsade telefonifunktioner
Beskrivning: Ett problem med åtkomstkontroll fanns i telefonens delsystem. Appar som kördes i sandlåda kunde komma åt begränsade telefonifunktioner. Problemet har åtgärdats genom förbättrad behörighetskontroll.
CVE-ID
CVE-2015-1115: Andreas Kurtz på NESO Security Labs, Markus Troßbach på Heilbronn University
- UIKit View
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Känsliga data kunde exponeras i programögonblicksbilder som visades i programväxlaren
Beskrivning: Ett problem förekom i UIKit, som inte dolde programögonblicksbilder innehållande känsliga data i programväxlaren. Problemet åtgärdades genom att ögonblicksbilden doldes på rätt sätt.
CVE-ID
CVE-2015-1116: Mobilappgruppen på HP Security Voltage, Aaron Rogers på Mint.com, David Edwards på Tech4Tomorrow, David Zhang på Dropbox
- WebKit
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett inkonsekvent användargränssnitt förhindrade användare från att urskilja nätfiskeattacker
Beskrivning: Det fanns ett inkonsekvent användargränssnitt i Safari som tillät en angripare att visa en falsk URL. Dessa problem åtgärdades genom förbättrad kontroll av användargränssnittet.
CVE-ID
CVE-2015-1084: Apple
- WebKit
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till godtycklig kodkörning
Beskrivning: Flera minnesfel förekom i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-1068: Apple
CVE-2015-1069: lokihardt@ASRT i samarbete med HP:s Zero Day Initiative
CVE-2015-1070: Apple
CVE-2015-1071: Apple
CVE-2015-1072
CVE-2015-1073: Apple
CVE-2015-1074: Apple
CVE-2015-1076
CVE-2015-1077: Apple
CVE-2015-1078: Apple
CVE-2015-1079: Apple
CVE-2015-1080: Apple
CVE-2015-1081: Apple
CVE-2015-1082: Apple
CVE-2015-1083: Apple
CVE-2015-1119: Renata Hodovan på University of Szeged/Samsung Electronics
CVE-2015-1120: Apple
CVE-2015-1121: Apple
CVE-2015-1122: Apple
CVE-2015-1123: Randy Luecke och Anoop Menon på Google Inc.
CVE-2015-1124: Apple
- WebKit
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en skadligt utformad webbplats kunde leda till att användaren i praktiken klickade på en annan webbplats
Beskrivning: Ett problem förekom vid hantering av tryckhändelser. En tryckning kunde skickas vidare till en annan webbplats. Problemet åtgärdades genom förbättrad händelsehantering.
CVE-ID
CVE-2015-1125: Phillip Moon och Matt Weston på www.sandfield.co.nz
- WebKit
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök av en skadligt utformad webbplats kunde leda till åtkomst av resurser med ett annat ursprung
Beskrivning: Ett problem förekom i WebKit vid hantering av inloggningsinformation i FTP-URL:er. Problemet åtgärdades genom förbättrad avkodning.
CVE-ID
CVE-2015-1126: Jouko Pynnonen på Klikki Oy
Wifi
Effekt: En användares lösenord kan skickas till en obetrodd Wi-Fi-åtkomstpunkt
Beskrivning: Skärmen som rapporterar ett obetrott Wi-Fi-certifikat hade endast en knapp som användes för att betro certifikat. En användare som inte ville använda Wi-Fi-åtkomstpunkten var tvungen att trycka på hem- eller låsknappen för att lämna skärmen. Problemet hanterades genom att lägga till en synlig Avbryt-knapp.
CVE-ID
CVE-2015-5762: Michael Santos