Om säkerhetsinnehållet i iOS 8.4.1

Det här dokumentet beskriver säkerhetsinnehållet i iOS 8.4.1.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apples produktsäkerhet på webbplatsen Apple produktsäkerhet.

Mer information om Apples PGP-nyckel för produktsäkerhet finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Läs mer om Säkerhetsuppdateringar i artikeln Säkerhetsuppdateringar från Apple.

iOS 8.4.1

  • AppleFileConduit

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett afc-kommando skrivet i skadligt syfte kan medge åtkomst till skyddade delar av filsystemet

    Beskrivning: Det fanns ett problem med den symboliska länkningsmekanismen i afc. Problemet åtgärdades genom ytterligare sökvägskontroller.

    CVE-ID

    CVE-2015-5746: evad3rs, TaiG Jailbreak Team

  • Air Traffic

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: AirTraffic kan ha tillåtit åtkomst till skyddade delar av systemet

    Beskrivning: Ett sökvägsintrångsproblem förekom i tillgångshanteringen. Det har åtgärdats genom förbättrad validering.

    CVE-ID

    CVE-2015-5766: TaiG Jailbreak Team

  • Säkerhetskopiering

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan skapa symlänkar till skyddade områden på disken

    Beskrivning: Det förekom ett problem med logiken för validering av sökvägar för symlänkar. Problemet åtgärdades genom förbättrad sökvägssanering.

    CVE-ID

    CVE-2015-5752: TaiG Jailbreak Team

  • bootp

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En angripare kan avgöra vilka Wi-Fi-nätverk en enhet har tidigare anslutit till

    Beskrivning: Vid anslutning till ett Wi-Fi-nätverk kan MAC-adresser för nätverk som tidigare anslutits ha skickats. Problemet åtgärdades genom skicka endast MAC-adresser associerade med det aktuella SSID.

    CVE-ID

    CVE-2015-3778: Piers O'Hanlon på Oxford Internet Institute, University of Oxford (i EPSRC Being There-projektet)

  • Certificate UI

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En angripare med en privilegierad nätverksposition kan godkänna obetrodda certifikat från låsskärmen

    Beskrivning: Under vissa omständigheter kunde enheten visa en dialogruta om certifikatet är betrott i låst tillstånd. Problemet åtgärdades genom förbättrad tillståndshantering.

    CVE-ID

    CVE-2015-3756: Andy Grant på NCC Group

  • CloudKit

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan komma åt iCloud-användarhistorik för en tidigare inloggad användare

    Beskrivning: En lägesinkonsekvens förekom i CloudKit när användare loggades ut. Problemet åtgärdades genom förbättrad tillståndshantering.

    CVE-ID

    CVE-2015-3782: Deepkanwal Plaha på University of Toronto

  • CFPreferences

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En skadlig app kan läsa hanterade inställningar för andra appar

    Beskrivning: Ett problem fanns i sandlådan med tredjepartsappen. Problemet åtgärdades genom förbättring av sandlådeprofilen för tredje part.

    CVE-ID

    CVE-2015-3793: Andreas Weinlein på Appthority Mobility Threat Team

  • Kodsignering

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En skadlig app kan köra osignerad kod

    Beskrivning: Det förekom ett problem som ledde till att osignerad kod lades till i signerad kod i en speciellt utformad körbar fil. Problemet åtgärdades genom förbättrad validering av kodsignatur.

    CVE-ID

    CVE-2015-3806: TaiG Jailbreak Team

  • Kodsignering

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En speciellt utformad körbar fil kunde tillåta att osignerad och skadlig kod kördes

    Beskrivning: Ett problem förekom i hur körbara filer inom flera arkitekturer utvärderades som kunde leda till att osignerad kod kördes. Det här problemet åtgärdades genom förbättrad validering av körbara filer.

    CVE-ID

    CVE-2015-3803: TaiG Jailbreak Team

  • Kodsignering

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En lokal användare kan köra osignerad kod

    Beskrivning: Ett valideringsproblem förekom i hanteringen av Mach-O-filer. Det åtgärdades genom utökade kontroller.

    CVE-ID

    CVE-2015-3802: TaiG Jailbreak Team

    CVE-2015-3805: TaiG Jailbreak Team

  • Uppspelning av CoreMedia

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod

    Beskrivning: Ett minnesfel förekom i CoreMedia Playback. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5777: Apple

    CVE-2015-5778: Apple

  • CoreText

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 eller senare

    Effekt: Öppning av en skadlig typsnittsfil kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Ett minnesfel förekom i bearbetningen av typsnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.

    CVE-ID

    CVE-2015-5755: John Villamil (@day6reak), Yahoo Pentest Team 

    CVE-2015-5761: John Villamil (@day6reak), Yahoo Pentest Team

  • DiskImages

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Öppning av en uppsåtligt skapad DMG-fil kan leda till oväntad programavslutning eller körning av opålitlig kod med systembehörighet

    Beskrivning: Ett minnesfel förekom vid tolkning av felformaterade DMG-avbilder. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3800: Frank Graziano på Yahoo Pentest Team

  • FontParser

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Öppning av en skadlig typsnittsfil kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Ett minnesfel förekom i bearbetningen av typsnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.

    CVE-ID

    CVE-2015-3804: Apple

    CVE-2015-5756: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-5775: Apple

  • ImageIO

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Bearbetning av en uppsåtligt skapad TIFF-fil kan leda till oväntad programavslutning eller att opålitlig kod körs

    Beskrivning: Ett minnesfel förekom i bearbetning av TIFF-filer. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-5758: Apple

  • ImageIO

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Besök på en webbplats med skadligt innehåll kan leda till spridning av processminne

    Beskrivning: Det förekom ett problem med oinitierad minnesåtkomst i ImageIO:s hantering av PNG-bilder. Besök på en webbplats med skadligt innehåll kan leda till att data skickas från processminnet till webbplatsen. Det här problemet åtgärdades genom bättre minneshantering och ytterligare validering av PNG-bilder.

    CVE-ID

    CVE-2015-5781: Michal Zalewski

  • ImageIO

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Besök på en webbplats med skadligt innehåll kan leda till spridning av processminne

    Beskrivning: Det förekom ett problem med oinitierad minnesåtkomst i ImageIO:s hantering av TIFF-bilder. Besök på en webbplats med skadligt innehåll kan leda till att data skickas från processminnet till webbplatsen. Det här problemet åtgärdas genom bättre minneshantering och ytterligare validering av TIFF-bilder.

    CVE-ID

    CVE-2015-5782: Michal Zalewski

  • IOKit

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Tolkning av en uppsåtligt skapad plist kan leda till oväntad programavslutning eller körning av opålitlig kod med systembehörighet

    Beskrivning: Ett minnesfel förekom i bearbetningen av felformaterade plister. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3776: Teddy Reed på Facebook Security, Patrick Stein (@jollyjinx) på Jinx Germany

  • IOHIDFamily

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systemprivilegier

    Beskrivning: Ett buffertspillproblem förekom i IOHIDFamily. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5774: TaiG Jailbreak Team

  • Kärna

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet

    Beskrivning: Ett fel förekom i mach_port_space_info-gränssnittet, vilket kunde leda till att schemat för kärnminnet avslöjades. Det åtgärdades genom att inaktivera mach_port_space_info-gränssnittet.

    CVE-ID

    CVE-2015-3766: Cererdlong på Alibaba Mobile Security Team, @PanguTeam

  • Kärna

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

    Beskrivning: Ett heltalsspill förekom vid hanteringen av IOKit-funktioner. Problemet har åtgärdats genom förbättrad validering av IOKit API-argument.

    CVE-ID

    CVE-2015-3768: Ilja van Sprundel

  • Kärna

    iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan ha kringgått begränsningar för bakgrundskörningar

    Beskrivning: Ett problem med åtkomst förekom med vissa felsökningsmekanismer. Problemet åtgärdades genom utökade verifieringskontroller.

    CVE-ID

    CVE-2015-5787: Alessandro Reina, Mattia Pagnozzi och Stefano Bianchi Mazzone på FireEye

  • Libc

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Öppning av ett uppsåtligt skapat reguljärt uttryck kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Ett minnesfel förekom i TRE-biblioteket. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3796: Ian Beer på Google Project Zero

    CVE-2015-3797: Ian Beer på Google Project Zero

    CVE-2015-3798: Ian Beer på Google Project Zero

  • Libinfo

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En fjärrangripare kunde orsaka oväntade programavslut eller godtycklig kodkörning

    Beskrivning: Ett minnesfel förekom i hanteringen av AF_INET6-uttag. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5776: Apple

  • libpthread

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

    Beskrivning: Ett minnesfel förekom i hanteringen av systemanrop. Problemet åtgärdades genom förbättrad låsstatuskontroll.

    CVE-ID

    CVE-2015-5757: Lufeng Li på Qihoo 360

  • libxml2

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 eller senare

    Effekt: Tolkning av ett skadligt XML-dokument kan leda till att användarinformation avslöjas

    Beskrivning: Det fanns ett minnesfel under tolkningen av XML-filer. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3807: Michal Zalewski

  • libxml2

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Flera sårbarheter förekom i libxml2-versioner äldre än 2.9.2, varav den allvarligaste kan leda till att en fjärrangripare kan orsaka att tjänster nekas

    Beskrivning: Flera sårbarheter förekom i libxml2-versioner äldre än 2.9.2. De hanterades genom att uppdatera libxml2 till version 2.9.2.

    CVE-ID

    CVE-2014-0191: Felix Groebert på Google

    CVE-2014-3660: Felix Groebert på Google

  • libxpc

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

    Beskrivning: Ett minnesfel förekom i hanteringen av felformaterade XPC-meddelanden. Problemet förbättrades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-3795: Mathew Rowley

  • Location Framework

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En lokal användare kan ändra skyddade delar av filsystemet

    Beskrivning: Ett problem med en symbollänk hanterades genom förbättrad sökvägsvalidering.

    CVE-ID

    CVE-2015-3759: Cererdlong på Alibaba Mobile Security Team

  • MobileInstallation

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En skadlig företagsapp kan ersätta tillägg för andra appar

    Beskrivning: Det förekom ett fel i installationslogiken för appar med universella hanteringsprofiler, vilket ledde till konflikter med befintliga grupp-ID:n. Problemet åtgärdades genom förbättrad validering av ID:n för programpaket.

    CVE-ID

    CVE-2015-5770: Zhaofeng Chen, Yulong Zhang och Tao Wei på FireEye, Inc

  • MSVDX-drivrutin

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Visning av en skadlig video kan leda till oväntat systemavslut

    Beskrivning: Ett problem med tjänster som nekades åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5769: Proteas på Qihoo 360 Nirvan Team

  • Office Viewer

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Tolkning av en skadligt XML-fil kan leda till att användarinformation avslöjas

    Beskrivning: Ett problem med External Entity-referenser förekom i tolkning av XML-filer. Det här problemet åtgärdades genom förbättrad tolkning.

    CVE-ID

    CVE-2015-3784: Bruno Morisson på INTEGRITY S.A. 

  • QL Office

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Tolkning av ett Office-dokument med skadligt innehåll kan leda till att ett program avslutas oväntat eller körning av opålitlig kod

    Beskrivning: Det fanns ett minnesfel i tolkningen av Office-dokument. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5773: Apple

  • Safari

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Besök på en skadlig webbplats kan leda till att användargränssnittet förfalskas

    Beskrivning: En skadlig webbplats kan öppna en annan webbplats och uppmana till inmatning från användaren utan att användaren kan avgöra var uppmaningen kommer från. Problemet åtgärdades genom att visa användaren var uppmaningen kommer från.

    CVE-ID

    CVE-2015-3729: Code Audit Labs på VulnHunt.com

  • Safari

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En skadlig webbplats kan utlösa ett obegränsat antal varningsmeddelanden

    Beskrivning: Ett problem förekom som ledde till att en skadlig eller hackad webbplats kunde visa ett obegränsat antal varningsmeddelanden och få användaren att tro att webbläsaren var låst. Problemet åtgärdades genom att JavaScript-varningar begränsades.

    CVE-ID

    CVE-2015-3763

  • Sandbox_profiles

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En skadlig app kan läsa hanterade inställningar för andra appar

    Beskrivning: Ett problem fanns i sandlådan med tredjepartsappen. Problemet åtgärdades genom förbättring av sandlådeprofilen för tredje part.

    CVE-ID

    CVE-2015-5749: Andreas Weinlein på Appthority Mobility Threat Team

  • UIKit WebView

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En skadlig app kan starta FaceTime-samtal utan att användaren godkänt det

    Beskrivning: Ett problem förekom med tolkningen av FaceTime-webbadresser inom WebView. Problemet har åtgärdats genom förbättrad URL-validering.

    CVE-ID

    CVE-2015-3758: Brian Simmons på Salesforce, Guillaume Ross

  • WebKit

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Flera minnesfel förekom i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3730: Apple

    CVE-2015-3731: Apple

    CVE-2015-3732: Apple

    CVE-2015-3733: Apple

    CVE-2015-3734: Apple

    CVE-2015-3735: Apple

    CVE-2015-3736: Apple

    CVE-2015-3737: Apple

    CVE-2015-3738: Apple

    CVE-2015-3739: Apple

    CVE-2015-3740: Apple

    CVE-2015-3741: Apple

    CVE-2015-3742: Apple

    CVE-2015-3743: Apple

    CVE-2015-3744: Apple

    CVE-2015-3745: Apple

    CVE-2015-3746: Apple

    CVE-2015-3747: Apple

    CVE-2015-3748: Apple

    CVE-2015-3749: Apple

  • Webben

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Besök på en skadlig webbplats kan leda till att användargränssnittet förfalskas

    Beskrivning: Navigering till en felformaterad webbadress kunde leda till att en skadlig webbplats visade en godtycklig webbadress. Problemet åtgärdades genom förbättrad URL-hantering.

    CVE-ID

    CVE-2015-3755: xisigr på Tencents Xuanwu Lab

  • WebKit

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En skadlig webbplats kan komma åt bilddata från flera källor

    Beskrivning: Bilder som hämtas via webbadresser som omdirigerar till en data:image-resurs kan nås från flera källor. Problemet åtgärdades genom förbättrad spårning av canvas taint.

    CVE-ID

    CVE-2015-3753: Antonio Sanso och Damien Antipa på Adobe

  • WebKit

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En skadlig webbplats kan utlösa plaintext-begäranden till ett ursprung med HTTP Strict Transport Security

    Beskrivning: Ett problem förekom som ledde till att Content Security Policy-rapportförfrågningar inte tillämpade HTTP Strict Transport Security (HSTS). Problemet hanterades genom att tillämpa HSTS för CSP.

    CVE-ID

    CVE-2015-3750: Muneaki Nishimura (nishimunea)

  • WebKit

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En skadlig webbplats kan genomföra en tryckhändelse som skapar ett syntetiskt klick på en annan sida

    Beskrivning: Ett problem förekom med hur syntetiska klick genereras från tryckhändelser som kan leda till att tryck riktas till andra sidor. Problemet hanterades genom begränsad klickspridning.

    CVE-ID

    CVE-2015-5759: Phillip Moon och Matt Weston på Sandfield

  • WebKit

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Content Security Policy-rapportförfrågningar kan läcka cookies

    Beskrivning: Två problem förekom med hur cookies lades till i Content Security Policy-rapportförfrågningar. Cookies skickades i cross-origin-rapportförfrågningar i strid mot standardinställningen. Cookies som ställts in under vanlig surfning skickades under privat surfning. Dessa problem åtgärdades genom förbättrad hantering av cookies.

    CVE-ID

    CVE-2015-3752: Muneaki Nishimura (nishimunea)

  • WebKit

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Laddning av bilder kan strida mot en webbplats Content Security Policy-direktiv

    Beskrivning: Det förekom ett problem som ledde till att webbplatser med videoreglage läste in bilder som var inbäddade i objektelement i strid mot webbplatsens Content Security Policy-direktiv. Problemet hanterades genom förbättrad efterlevnad av Content Security Policy.

    CVE-ID

    CVE-2015-3751: Muneaki Nishimura (nishimunea)

FaceTime är inte tillgängligt i alla länder och regioner.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: