Om säkerhetsinnehållet i iOS 8.4

Det här dokumentet beskriver säkerhetsinnehållet i iOS 8.4.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apples produktsäkerhet på webbplatsen Apple produktsäkerhet.

Mer information om PGP-nyckeln från Apple Product Security finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Läs mer om andra säkerhetsuppdateringar i artikeln Säkerhetsuppdateringar från Apple.

iOS 8.4

  • Application Store

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En skadlig universell hanteringsprofilapp kan förhindra appar från att starta

    Beskrivning: Det förekom ett fel i installationslogiken för appar med universella hanteringsprofiler, vilket ledde till konflikter med befintliga grupp-ID:n. Problemet åtgärdades genom förbättrad konfliktkontroll.

    CVE-ID

    CVE-2015-3722: Zhaofeng Chen, Hui Xue och Tao (Lenx) Wei från FireEye, Inc.
  • Certifierad förtroendepolicy

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En angripare med en behörig nätverksposition kan påverka nätverkstrafiken

    Beskrivning: Ett mellanliggande certifikat var felaktigt utfärdat av certifikatutfärdaren CCNIC. Problemet åtgärdades genom tillägg av en mekanism för att endast lita på en deluppsättning av de certifikat som utfärdats före det felaktigt utfärdade mellanliggande certifikatet. Det finns mer information om listan för delvis betrodda certifikat.

  • Certifierad förtroendepolicy

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Uppdatering av den certifierade förtroendepolicyn

    Beskrivning: Den certifierade förtroendepolicyn uppdaterades. Du kan visa den fullständiga listan med certifikat i iOS Trust Store.

  • CFNetwork HTTPAuthentication

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Att följa en URL med skadligt innehåll kan leda till körning av opålitlig kod

    Beskrivning: Det förekom ett minneskorruptionsfel i hanteringen av vissa webbadressuppgifter. Problemet har åtgärdats genom förbättrad hantering av behörigheter.

    CVE-ID

    CVE-2015-3684: Apple

  • CoreGraphics

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Öppnande av en uppsåtligt skadlig PDF-fil kan leda till att appen oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Flera problem med minneskorruption förekom i hanteringen av ICC-profiler. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3723: chaithanya (SegFault) i samarbete med HP:s Zero Day Initiative

    CVE-2015-3724: WanderingGlitch på HP:s Zero Day Initiative

  • CoreText

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Öppning av en uppsåtligt skapad textfil kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Flera minnesfel förekom i bearbetningen av textfiler. Dessa problem åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-1157

    CVE-2015-3685: Apple

    CVE-2015-3686: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3687: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3688: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3689: Apple

  • coreTLS

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En angripare med en behörig nätverksposition kan påverka SSL-/TLS-anslutningar

    Beskrivning: coreTLS accepterade korta flyktiga Diffie-Hellman-nycklar (DH) som används i flyktiga DH-chiffersviter med exportstyrka. Problemet, även känt som Logjam, tillät en angripare med en behörig nätverksposition att nedgradera säkerheten till 512-bitars DH om servern hade stöd för en DH-chiffersvit med exportstyrka. Problemet åtgärdades genom att öka standardinställningen för minsta tillåtna minimumstorlek för flyktiga DH-nycklar till 768 bitar.

    CVE-ID

    CVE-2015-4000: Weakdh team på weakdh.org, Hanno Boeck

  • DiskImages

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet

    Beskrivning: Ett problem med avslöjande av information förekom i bearbetningen av skivavbilder. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3690: Peter Rutenbar i samarbete med HP:s Zero Day Initiative

  • FontParser

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Öppning av en skadlig typsnittsfil kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Flera minnesfel förekom i bearbetningen av teckensnittsfiler. Dessa problem har åtgärdats genom förbättrad indatavalidering.

    CVE-ID

    CVE-2015-3694: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3719: John Villamil (@day6reak), Yahoo Pentest Team

  • ImageIO

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Körning av en skadlig TIFF-fil kan leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett minnesfel förekom i bearbetningen av TIFF-filer. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-3703: Apple

  • ImageIO

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Flera sårbarheter förekom i libtiff, av vilka den allvarligaste kunde leda till att opålitlig kod körs

    Beskrivning: Flera sårbarheter förekom i libtiff-versioner äldre än 4.0.4. Det åtgärdades genom att uppdatera libtiff till version 4.0.4.

    CVE-ID

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130
     

  • Kernel

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet

    Beskrivning: Ett problem med minneshanteringen förekom i hanteringen av HFS-parametrar som kunde leda till avslöjande av schemat för kärnminnet. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3721: Ian Beer på Google Project Zero
  • Mail

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt e-postmeddelande kan ersätta innehållet i meddelandet med en opålitlig webbsida när meddelandet visas

    Beskrivning: Ett problem förekom i stödet för HTML-e-post som tillät innehållet i meddelandet att uppdateras med en opålitlig webbsida. Problemet åtgärdades genom begränsat stöd för HTML-innehåll.

    CVE-ID

    CVE-2015-3710: Aaron Sigel från vtty.com, Jan Souček
  • MobileInstallation

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En skadlig app för universell profilhantering kan förhindra en Watch-app från att starta

    Beskrivning: Det förekom ett fel i installationslogiken för appar med universella hanteringsprofiler för Watch, vilket ledde till konflikter med befintliga grupp-ID:n. Problemet åtgärdades genom förbättrad konfliktkontroll.

    CVE-ID

    CVE-2015-3725: Zhaofeng Chen, Hui Xue och Tao (Lenx) Wei från FireEye, Inc.

  • Safari

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Om du besöker en webbplats med skadligt innehåll kan information i filsystemet avslöjas

    Beskrivning: Det förekom ett problem med tillståndshantering i Safari som tillät åtkomst med obehörigt ursprung i filsystemet. Problemet åtgärdades genom förbättrad tillståndshantering.

    CVE-ID

    CVE-2015-1155: Joe Vennix på Rapid7 Inc. i samarbete med HP:s Zero Day Initiative
     

  • Safari

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Besök på en webbplats med skadligt innehåll kan leda till kontokapning

    Beskrivning: Det förekom ett problem som ledde till att Safari bevarade sidhuvud för ursprungsförfrågningar för omdirigeringar mellan olika källor, vilket ledde till att skadliga webbplatser kunde kringgå CSRF-skydd. Problemet åtgärdades genom förbättrad hantering av omdirigeringar.

    CVE-ID

    CVE-2015-3658: Brad Hill på Facebook
  • Säkerhet

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En fjärrangripare kan orsaka att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett heltalsspill förekom i Security Framework-koden vid tolkning av S/MIME-e-post och andra signerade eller krypterade objekt. Problemet åtgärdades genom förbättrad valideringskontroll.

    CVE-ID

    CVE-2013-1741

  • SQLite

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En fjärrangripare kan orsaka att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett antal buffertspill förekom i SQLites printf-implementering. Dessa problem åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-3717: Peter Rutenbar i samarbete med HP:s Zero Day Initiative

  • SQLite

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt SQL-kommando kan leda till oväntat programavslut eller körning av opålitlig kod

    Beskrivning: Det förekom ett API-problem i SQLite-funktionen. Det hanterades genom förbättrade begränsningar.

    CVE-ID

    CVE-2015-7036: Peter Rutenbar i samarbete med HP:s Zero Day Initiative

  • Telefoni

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Skadliga SIM-kort kan leda till att opålitlig kod körs

    Beskrivning: Flera verifieringsproblem av indata förekom i tolkningen av SIM-/UIM-nyttolaster. Dessa problem har åtgärdats genom förbättrad validering av nyttolaster.

    CVE-ID

    CVE-2015-3726: Matt Spisak på Endgame

  • WebKit

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Besök på en webbplats med skadligt innehåll via länkklick kan leda till att användargränssnittet förfalskas

    Beskrivning: Det fanns ett fel i hanteringen av rel-attributet i anchor-element. Målobjekt kunde få oauktoriserad åtkomst till länkobjekt. Det här problemet åtgärdades genom förbättrad efterlevnad av länktyper.

    CVE-ID

    CVE-2015-1156: Zachary Durber på Moodle
  • WebKit

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller opålitlig kod köras

    Beskrivning: Flera minnesfel förekom i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-1152: Apple

    CVE-2015-1153: Apple

  • WebKit

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod

    Beskrivning: Det förekom ett problem med otillräcklig jämförelse i SQLite-auktoriseraren vilket tillät att opålitliga SQL-funktioner anropades. Problemet åtgärdades genom förbättrade auktorisationskontroller.

    CVE-ID

    CVE-2015-3659: Peter Rutenbar i samarbete med HP:s Zero Day Initiative

  • WebKit

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En skadlig webbplats kan få åtkomst till WebSQL-databaser för andra webbplatser

    Beskrivning: Det förekom ett fel med auktorisationskontroll för namnbyte av WebSQL-tabeller vilket kunde ha gett en skadlig webbplats åtkomst till databaser som tillhör andra webbplatser. Det här problemet åtgärdas genom förbättrade auktorisationskontroller.

    CVE-ID

    CVE-2015-3727: Peter Rutenbar i samarbete med HP:s Zero Day Initiative

  • Wifi-anslutning

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: iOS-enheter kan automatiskt kopplas till obetrodda åtkomstpunkter som anger en känd ESSID men med nedgraderad säkerhetstyp

    Beskrivning: Det förekom ett problem med otillräcklig jämförelse i wifi-hanterarens utvärdering av kända angivelser för åtkomstpunkter. Problemet åtgärdades genom förbättrad matchning av säkerhetsparametrar.

    CVE-ID

    CVE-2015-3728: Brian W. Gray på Carnegie Mellon University, Craig Young från TripWire

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: