Om säkerhetsinnehållet i iOS 8.4

Det här dokumentet beskriver säkerhetsinnehållet i iOS 8.4.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apples produktsäkerhet på webbplatsen Apple produktsäkerhet.

Mer information om Apples PGP-nyckel för produktsäkerhet finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Läs mer om Säkerhetsuppdateringar i artikeln Säkerhetsuppdateringar från Apple.

iOS 8.4

  • Application Store

    Tillgänglig på: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En skadlig universell hanteringsprofilapp kan förhindra appar från att starta

    Beskrivning: Det förekom ett fel i installationslogiken för appar med universella hanteringsprofiler, vilket ledde till konflikter med befintliga grupp-ID:n. Problemet åtgärdades genom förbättrad konfliktkontroll.

    CVE-ID

    CVE-2015-3722: Zhaofeng Chen, Hui Xue och Tao (Lenx) Wei från FireEye, Inc.
  • Certifierad förtroendepolicy

    Tillgänglig på: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En angripare med en privilegierad nätverksposition kan påverka nätverkstrafiken

    Beskrivning: Ett mellanliggande certifikat utfärdades felaktigt av certifikatutgivaren CNNIC. Det här problemet åtgärdades genom att en mekanism lades till som endast betror en delmängd av utfärdade certifikat innan det mellanliggande utfärdas felaktigt. Det finns mer information om listan för delvis betrodda certifikat.

  • Certifierad förtroendepolicy

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Uppdatering av den certifierade förtroendepolicyn

    Beskrivning: Den certifierade förtroendepolicyn uppdaterades. Du kan visa den fullständiga listan med certifikat i iOS Trust Store.

  • CFNetwork HTTPAuthentication

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare Effekt: Om du följer en skadlig webbadress kan det leda till att opålitlig kod körs

    Beskrivning: Ett minnesfel förekom i hanteringen av vissa URL-uppgifter. Problemet har åtgärdats genom förbättrad hantering av behörigheter.

    CVE-ID

    CVE-2015-3684: Apple

  • CoreGraphics

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Öppning av en skadlig PDF-fil kan leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Flera problem med minneskorruption förekom i hanteringen av ICC-profiler. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3723: chaithanya (SegFault) i samarbete med HP:s Zero Day Initiative

    CVE-2015-3724: WanderingGlitch på HP:s Zero Day Initiative

  • CoreText

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Öppning av en uppsåtligt skapad textfil kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Flera minnesfel förekom i bearbetningen av textfiler. Dessa problem åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-1157

    CVE-2015-3685: Apple

    CVE-2015-3686: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3687: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3688: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3689: Apple

  • coreTLS

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En angripare med en privilegierad nätverksposition kan påverka SSL-/TLS-anslutningar

    Beskrivning: coreTLS accepterade korta flyktiga Diffie-Hellman (DH)-nycklar, som används i flyktiga DH-chifferpaket med exportstryka. Det här problemet, även känt som ”logjam”, tillät en angripare i en privilegierad nätverksposition att nedgradera säkerheten till 512-bit DH om servern hade stöd för ett flyktigt DH-chifferpaket med exportstyrka. Problemet löstes genom att öka den minsta storleken som tilläts som standard för DH-flyktiga nycklar till 768 bitar.

    CVE-ID

    CVE-2015-4000: weakdh-teamet på weakdh.org, Hanno Boeck

  • DiskImages

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet

    Beskrivning: Ett problem med avslöjande av information förekom i bearbetningen av skivavbilder. Det här problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3690: Peter Rutenbar i samarbete med HP:s Zero Day Initiative

  • FontParser

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Öppning av en uppsåtligt skapad typsnittsfil kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Flera minnesfel förekom i bearbetningen av teckensnittsfiler. Dessa problem har åtgärdats genom förbättrad indatavalidering.

    CVE-ID

    CVE-2015-3694: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3719: John Villamil (@day6reak), Yahoo Pentest Team

  • ImageIO

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Bearbetning av en uppsåtligt skapad TIFF-fil kan leda till oväntad programavslutning eller att opålitlig kod körs

    Beskrivning: Ett minnesfel förekom i bearbetning av TIFF-filer. Problemet har åtgärdats genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-3703: Apple

  • ImageIO

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Flera sårbarheter förekom i libtiff, av vilka den allvarligaste kunde leda till att godtycklig kod körs

    Beskrivning: Flera sårbarheter förekom i libtiff-versioner äldre än 4.0.4. De hanterades genom att uppdatera libtiff till version 4.0.4.

    CVE-ID

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130
     

  • Kärna

    Tillgänglig på: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan ta reda på layouten för kernelminnet

    Beskrivning: Det förekom ett minneshanteringsfel i hanteringen av HFS-parametrar vilket kunde ha lett till att kärnminneslayout avslöjades. Det här problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3721: Ian Beer på Google Project Zero
  • Mail

    Tillgänglig på: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt e-postmeddelande kan ersätta meddelandets innehåll med en opålitlig webbsida när meddelandet visas

    Beskrivning: Det förekom ett problem i stödet för HTML-e-post som innebar att meddelandeinnehåll uppdaterades med en opålitlig webbsida. Problemet åtgärdades genom begränsat stöd för HTML-innehåll.

    CVE-ID

    CVE-2015-3710: Aaron Sigel på vtty.com, Jan Souček
  • MobileInstallation

    Tillgänglig på: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En skadlig app för universell profilhantering kan förhindra en Watch-app från att starta

    Beskrivning: Det förekom ett fel i installationslogiken för appar med universella hanteringsprofiler för Watch, vilket ledde till konflikter med befintliga grupp-ID:n. Problemet åtgärdades genom förbättrad konfliktkontroll.

    CVE-ID

    CVE-2015-3725: Zhaofeng Chen, Hui Xue och Tao (Lenx) Wei från FireEye, Inc.

  • Safari

    Tillgänglig på: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Om du besöker en webbplats med skadligt innehåll kan information i filsystemet avslöjas

    Beskrivning: Det förekom ett problem med tillståndshantering i Safari som tillät åtkomst med obehörigt ursprung i filsystemet. Problemet åtgärdades genom förbättrad tillståndshantering.

    CVE-ID

    CVE-2015-1155: Joe Vennix på Rapid7 Inc. i samarbete med HP:s Zero Day Initiative
     

  • Safari

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Besök på en webbplats med skadligt innehåll kan leda till kontokapning

    Beskrivning: Det förekom ett problem som ledde till att Safari bevarade sidhuvud för ursprungsförfrågningar för omdirigeringar mellan olika källor, vilket ledde till att skadliga webbplatser kunde kringgå CSRF-skydd. Problemet åtgärdades genom förbättrad hantering av omdirigeringar.

    CVE-ID

    CVE-2015-3658: Brad Hill på Facebook
  • Säkerhet

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En fjärrangripare kan orsaka att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett heltalsspill förekom i säkerhetsramverkskoden för tolkning av S/MIME e-post och vissa andra signerade och krypterade objekt. Problemet åtgärdades genom förbättrad giltighetskontroll.

    CVE-ID

    CVE-2013-1741

  • SQLite

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En fjärrangripare kan orsaka att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Flera buffertspill förekom i SQLites printf-implementering. Dessa problem åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-3717: Peter Rutenbar i samarbete med HP:s Zero Day Initiative

  • SQLite

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En uppsåtligt skapad SQL-kommando kan orsaka att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett problem med API förekom i SQLite-funktionen. Det åtgärdades genom förbättrade begräsningar.

    CVE-ID

    CVE-2015-7036: Peter Rutenbar i samarbete med HP:s Zero Day Initiative

  • Telefoni

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Skadliga SIM-kort kan leda till att opålitlig kod körs

    Beskrivning: Flera verifieringsproblem av indata förekom i tolkningen av SIM-/UIM-nyttolaster. Dessa problem har åtgärdats genom förbättrad validering av nyttolaster.

    CVE-ID

    CVE-2015-3726: Matt Spisak på Endgame

  • WebKit

    Tillgänglig på: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Om du besöker en webbplats med skadligt innehåll genom att klicka på en länk kan det leda till att användargränssnittet förfalskas

    Beskrivning: Det fanns ett fel i hanteringen av rel-attributet i anchor-element. Målobjekt kunde få oauktoriserad åtkomst till länkobjekt. Det här problemet åtgärdades genom förbättrad efterlevnad av länktyper.

    CVE-ID

    CVE-2015-1156: Zachary Durber på Moodle
  • WebKit

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Flera minnesfel förekom i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-1152: Apple

    CVE-2015-1153: Apple

  • WebKit

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Om du besöker en webbsida med skadligt innehåll kan det hända att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Det förekom ett problem med otillräcklig jämförelse i SQLite-auktoriseraren vilket tillät att opålitliga SQL-funktioner anropades. Problemet har åtgärdats genom förbättrade auktoriseringskontroller.

    CVE-ID

    CVE-2015-3659 : Peter Rutenbar i samarbete med HP:s Zero Day Initiative

  • WebKit

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En skadlig webbplats kan få åtkomst till WebSQL-databaser för andra webbplatser

    Beskrivning: Det förekom ett fel med auktoriseringskontroll för namnbyte av WebSQL-tabeller vilket kunde ha gett en skadlig webbplats åtkomst till databaser som tillhör andra webbplatser. Det här problemet åtgärdas genom förbättrade auktoriseringskontroller.

    CVE-ID

    CVE-2015-3727: Peter Rutenbar i samarbete med HP:s Zero Day Initiative

  • Wi-Fi-anslutning

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: iOS-enheter kan automatiskt kopplas till obetrodda åtkomstpunkter som anger en känd ESSID men med nedgraderad säkerhetstyp

    Beskrivning: Det förekom ett problem med otillräcklig jämförelse i Wi-Fi-hanterarens utvärdering av kända angivelser för åtkomstpunkter. Problemet åtgärdades genom förbättrad matchning av säkerhetsparametrar.

    CVE-ID

    CVE-2015-3728: Brian W. Gray på Carnegie Mellon University, Craig Young från TripWire

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: