Om säkerhetsinnehållet i iOS 9

Det här dokumentet beskriver säkerhetsinnehållet i iOS 9.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apples produktsäkerhet på webbplatsen Apple produktsäkerhet.

Mer information om PGP-nyckeln från Apple Product Security finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Läs mer om andra säkerhetsuppdateringar i artikeln Säkerhetsuppdateringar från Apple.

iOS 9

  • Apple Pay

    Tillgängligt för: iPhone 6 och iPhone 6 Plus

    Effekt: Vissa kort kan tillåta att en terminal hämtar begränsad information om de senaste transaktionerna när kunden gör en betalning

    Beskrivning: Transaktionsloggsfunktionen aktiverades i vissa konfigurationer. Problemet åtgärdades genom att ta bort funktionen för att logga transaktioner. Problemet påverkade inte iPad-enheter.

    CVE-ID

    CVE-2015-5916

  • AppleKeyStore

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En lokal angripare kan nollställa misslyckade lösenkodsförsök med en iOS-säkerhetskopia

    Beskrivning: Det förekom ett problem med nollställning av misslyckade lösenkodsförsök med en säkerhetskopia av iOS-enheten. Det hanterades genom förbättrad logik för misslyckade lösenkoder.

    CVE-ID

    CVE-2015-5850: en anonym person

  • Application Store

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Om du klickar på en skadlig ITMS-länk kan det leda till ett dos-angrepp med ett företagssignerat program

    Beskrivning: Det förekom ett problem med att installera med ITMS-länkar. Det hanterades genom ytterligare installationsverifiering.

    CVE-ID

    CVE-2015-5856: Zhaofeng Chen, Hui Xue och Tao (Lenx) Wei på FireEye, Inc.

  • Ljud

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Uppspelning av en skadlig ljudfil kan leda till en oväntad programavslutning

    Beskrivning: Ett minnesfel förekom i hantering av ljudfiler. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5862: YoungJin Yoon på Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei University, Seoul, Sydkorea

  • Certifierad förtroendepolicy

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Uppdatering av den certifierade förtroendepolicyn

    Beskrivning: Den certifierade förtroendepolicyn uppdaterades. Du kan läsa den fullständiga listan över certifikat på http://support.apple.com/sv-se/HT204132.

  • CFNetwork

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En skadlig webbadress kan kringgå HTTP Strict Transport Security (HSTS) och läcka känsliga data

    Beskrivning: Det förekom sårbarhet vid webbadresstolkning i HSTS-hantering. Problemet åtgärdades genom förbättrad URL-tolkning.

    CVE-ID

    CVE-2015-5858: Xiaofeng Zheng på Blue Lotus Team, Tsinghua University

  • CFNetwork

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En skadlig webbplats kan spåra användare som använder privat surfning i Safari

    Beskrivning: Det förekom ett fel i hanteringen av HSTS-tillstånd med privat surfning i Safari. Problemet åtgärdades genom förbättrad tillståndshantering.

    CVE-ID

    CVE-2015-5860: Sam Greenhalgh på RadicalResearch Ltd

  • CFNetwork

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En person med fysisk tillgång till iOS-enheter kan läsa cachedata från Apple-appar

    Beskrivning: Cachedata krypterades med en nyckel som enbart skyddas av maskinvaru-UID. Problemet åtgärdades genom att kryptera cachedata med en nyckel som skyddas av både maskinvaru-UID och användarens lösenkod.

    CVE-ID

    CVE-2015-5898: Andreas Kurtz på NESO Security Labs

  • CFNetwork-cookies

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En angripare i en privilegierad nätverksposition kan spåra en användares aktivitet

    Beskrivning: Ett problem med cookies över flera domäner förekom i hanteringen av domäner på toppnivå. Problemet hanterades genom förbättrade begräsningar för att skapa cookies.

    CVE-ID

    CVE-2015-5885: Xiaofeng Zheng på Blue Lotus Team, Tsinghua University

  • CFNetwork-cookies

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En angripare kan skapa andra cookies än de avsedda för en webbplats

    Beskrivning: WebKit godkände att flera cookies ställdes in i document.cookie-API:n. Det här problemet åtgärdades genom förbättrad tolkning.

    CVE-ID

    CVE-2015-3801: Erling Ellingsen på Facebook

  • CFNetwork FTPProtocol

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Skadliga FTP-servrar kan leda till att klienten kan spionera på andra värdar

    Beskrivning: Det förekom ett problem med hanteringen av FTP-paket när PASV-kommandot användes. Problemet löstes genom förbättrad validering.

    CVE-ID

    CVE-2015-5912: Amit Klein

  • CFNetwork HTTPProtocol

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En angripare med en privilegierad nätverksposition kan påverka nätverkstrafik

    Beskrivning: Ett problem förekom i hanteringen av förhämtade HSTS-listposter i Safaris privata surfningsläge. Problemet åtgärdades genom förbättrad tillståndshantering.

    CVE-ID

    CVE-2015-5859: Rosario Giustolisi på University of Luxembourg

  • CFNetwork Proxies

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Vid anslutning till en skadlig webbproxy kan skadliga cookies för en webbplats ställas in

    Beskrivning: Det förekom ett problem med hanteringen av svar på proxyanslutningar. Problemet hanterades genom att ta bort rubriken för inställning av cookies vid tolkning av anslutningssvaret.

    CVE-ID

    CVE-2015-5841: Xiaofeng Zheng på Blue Lotus Team, Tsinghua University

  • CFNetwork SSL

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En angripare med en privilegierad nätverksposition kan påverka SSL-/TLS-anslutningar

    Beskrivning: Det förekom ett problem med certifikatvalidering i NSURL när ett certifikat ändrades. Problemet åtgärdades genom förbättrad certifikatvalidering.

    CVE-ID

    CVE-2015-5824: Timothy J. Wood på The Omni Group

  • CFNetwork SSL

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Problem: En angripare kan avkryptera data som skyddas av SSL

    Beskrivning: Det finns kända attacker på konfidentialiteten för RC4. En angripare kunde tvinga fram användning av RC4, även om servern föredrog bättre chiffer, genom att blockera TLS 1.0 och högre anslutningar tills CFNetwork provade SSL 3.0, som endast tillåter RC4. Problemet åtgärdades genom att användning av SSL 3.0 som reserv uteslöts.

  • CoreAnimation

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan läcka känslig användarinformation

    Beskrivning: Program kunde komma åt skärmens framebuffer när de låg i bakgrunden. Problemet åtgärdades genom förbättrad åtkomstkontroll på IOSurfaces.

    CVE-ID

    CVE-2015-5880: Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li från School of Information Systems Singapore Management University, Feng Bao och Jianying Zhou på Cryptography and Security Department Institute for Infocomm Research

  • CoreCrypto

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En angripare kan bestämma en privat nyckel

    Beskrivning: Genom att observera flera signerings- och avkrypteringsförsök kan en angripare avgöra den privata RSA-nyckel. Problemet hanterades genom förbättrade krypteringsalgoritmer.

  • CoreText

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod

    Beskrivning: Ett minnesfel förekom i bearbetningen av teckensnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.

    CVE-ID

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Data Detectors Engine

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Bearbetning av en skadlig textfil kan leda till opålitlig kodkörning

    Beskrivning: Det förekom minnesfel i bearbetningen av textfiler. Dessa problem åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-5829: M1x7e1 på Safeye Team (www.safeye.org)

  • Dev Tools

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett minnesfel förekom i hanteringen av dyld. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5876: beist på grayhash

  • Skivavbilder

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systembehörigheter

    Beskrivning: Ett minnesfel förekom i DiskImages. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett program kan kringgå kodsignering

    Beskrivning: Ett problem förekom med validering av kodsignaturen för körbara filer. Problemet åtgärdades med förbättrad kontroll av gränserna.

    CVE-ID

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • Game Center

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt Game Center-program kan komma åt en spelares e-postadress

    Beskrivning: Det förekom ett problem i Game Centers hantering av en spelares e-post. Problemet åtgärdades genom förbättrad åtkomstbegränsning.

    CVE-ID

    CVE-2015-5855: Nasser Alnasser

  • ICU

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Flera sårbarheter i ICU

    Beskrivning: Flera sårbarheter fanns i ICU-versioner äldre än 53.1.0. De hanterades genom att uppdatera ICU till version 55.1.

    CVE-ID

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922: Mark Brand på Google Project Zero

  • IOAcceleratorFamily

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet

    Beskrivning: Ett fel förekom som ledde till att kärnminnesinnehåll avslöjades. Problemet åtgärdades med förbättrad kontroll av gränserna.

    CVE-ID

    CVE-2015-5834: Cererdlong på Alibaba Mobile Security Team

  • IOAcceleratorFamily

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systembehörigheter

    Beskrivning: Ett minneskorruptionsfel förekom i IOAcceleratorFamily. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5848: Filippo Bigarella

  • IOHIDFamily

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett minnesfel förekom i IOHIDFamily. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5867: moony li på Trend Micro

  • IOKit

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett minnesfel förekom i kernel. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systembehörigheter

    Beskrivning: Ett minnesfel förekom i IOMobileFrameBuffer. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En lokal angripare kan läsa kärnminne

    Beskrivning: Ett fel med minnesinitialisering förekom i en kernel. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5863: Ilja van Sprundel på IOActive

  • iTunes Store

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Inloggningsinformation för Apple-ID kan finnas kvar i nyckelringen efter utloggning

    Beskrivning: Det förekom ett problem med nyckelringsradering. Problemet åtgärdades genom förbättrad kontorensning.

    CVE-ID

    CVE-2015-5832: Kasif Dekel på Check Point Software Technologies

  • JavaScriptCore

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till körning av opålitlig kod

    Beskrivning: Minnesfel förekom i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5791: Apple

    CVE-2015-5793: Apple

    CVE-2015-5814: Apple

    CVE-2015-5816: Apple

    CVE-2015-5822: Mark S. Miller på Google

    CVE-2015-5823: Apple

  • Kernel

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med kernelprivilegier

    Beskrivning: Ett minnesfel förekom i kernel. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5868: Cererdlong på Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard på m00nbsd

    CVE-2015-5903: CESG

    Informationen uppdaterades 21 december 2016

  • Kernel

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En lokal angripare kan styra värdet för cookies i stacken

    Beskrivning: Det förekom flera svagheter när cookies i stacken för användarutrymmet skulle genereras. Det hanterades genom förbättrad generering av cookies i stacken.

    CVE-ID

    CVE-2013-3951: Stefan Esser

  • Kernel

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En lokal process kan ändra andra processer utan behörighetskontroller

    Beskrivning: Det förekom ett problem där rotprocesser som använder processor_set_tasks API tilläts hämta task port för andra processer. Problemet har åtgärdats genom tillagda autentiseringskontroller.

    CVE-ID

    CVE-2015-5882: Pedro Vilaça, med hjälp av ursprunglig forskning av Ming-chieh Pan och Sung-ting Tsai; Jonathan Levin

  • Kernel

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En angripare kan starta denial of service-attacker med TCP-anslutningar som mål utan att känna till korrekt sekvensnummer

    Beskrivning: Det förekom ett problem med xnu:s validering av TCP-paketrubriker. Problemet hanterades genom förbättrad validering av TCP-paketrubriker.

    CVE-ID

    CVE-2015-5879: Jonathan Looney

  • Kernel

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En angripare i ett lokalt LAN-segment kan störa IPv6-routning

    Beskrivning: Det förekom ett problem med otillräcklig validering i hanteringen av IPv6-routermeddelanden som gjorde att en angripare kunde ange gränsen för antal hopp till ett godtyckligt värde. Problemet hanterades genom att införa en gräns för minsta antal hopp.

    CVE-ID

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En lokal användare kan ta reda på schemat för kernelminnet

    Beskrivning: Ett fel förekom i XNU som ledde till att kärnminne avslöjades. Det hanterades genom förbättrad initiering av kärnminnesstrukturer.

    CVE-ID

    CVE-2015-5842: beist of grayhash

  • Kernel

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En lokal användare kan orsaka att tjänster nekas i systemet

    Beskrivning: Det förekom ett fel med montering av HFS-enheter. Det åtgärdades genom ytterligare valideringskontroller.

    CVE-ID

    CVE-2015-5748: Maxime Villard på m00nbsd

  • libc

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En angripare kan orsaka körning av opålitlig kod

    Beskrivning: Ett minnesfel förekom i funktionen fflush. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2014-8611: Adrian Chadd och Alfred Perlstein på Norse Corporation

  • libpthread

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med kernelprivilegier

    Beskrivning: Ett minnesfel förekom i kernel. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5899: Lufeng Li på Qihoo 360 Vulcan Team

  • Mail

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En angripare kan skicka ett e-postmeddelande som verkar komma från en kontakt i mottagarens adressbok

    Beskrivning: Det förekom ett fel i hanteringen av avsändarens adress. Problemet har åtgärdats genom förbättrad validering.

    CVE-ID

    CVE-2015-5857: Emre Saglam på salesforce.com

  • Multipeer Connectivity

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En lokal angripare kan observera oskyddade multipeer-data

    Beskrivning: Det förekom ett problem med hanteringen av bekvämlighetsinitieraren som ledde till att krypteringen aktivt kunde nedgraderas till en icke-krypterad session. Problemet hanterades genom att ändra bekvämlighetsinitieraren till att kräva kryptering.

    CVE-ID

    CVE-2015-5851: Alban Diquet (@nabla_c0d3) på Data Theorem

  • NetworkExtension

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet

    Beskrivning: Ett oinitierat minnesproblem i en kernel ledde till att kärnminnesinnehållet avslöjades. Problemet åtgärdades genom minnesinitiering.

    CVE-ID

    CVE-2015-5831: Maxime Villard på m00nbsd

  • OpenSSL

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Flera sårbarheter i OpenSSL

    Beskrivning: Det fanns flera sårbarheter i OpenSSL-versioner äldre än 0.9.8zg. Dessa problem åtgärdades genom att OpenSSL uppgraderades till 0.9.8zg.

    CVE-ID

    CVE-2015-0286

    CVE-2015-0287

  • PluginKit

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt företagsprogram kan installera tillägg innan programmet är betrott

    Beskrivning: Det förekom ett problem med validering av tillägg under installationen. Det hanterades genom förbättrad programverifiering.

    CVE-ID

    CVE-2015-5837: Zhaofeng Chen, Hui Xue och Tao (Lenx) Wei på FireEye, Inc.

  • removefile

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Behandling av skadliga data kan leda till oväntat programavslut

    Beskrivning: Det förekom ett spillfel i rutinerna för checkint division. Problemet hanterades genom förbättrade rutiner för divisioner.

    CVE-ID

    CVE-2015-5840: en anonym person

  • Safari

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En lokal användare kan läsa Safari-bokmärken på en låst iOS-enhet utan en lösenkod

    Beskrivning: Safari-bokmärkesdata krypterades med en nyckel som enbart skyddas av maskinvaru-UID. Problemet åtgärdades genom att kryptera Safari-bokmärkesdata med en nyckel som skyddas av både maskinvaru-UID och användarens lösenkod.

    CVE-ID

    CVE-2015-7118: Jonathan Zdziarski

    Informationen uppdaterades 21 december 2016

  • Safari

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Besök på en skadlig webbplats kan leda till att användargränssnittet förfalskas

    Beskrivning: Det förekom ett fel som tillät en webbplats att visa innehåll med en webbadress från en annan webbplats. Problemet åtgärdades genom förbättrad webbadresshantering.

    CVE-ID

    CVE-2015-5904: Erling Ellingsen på Facebook, Łukasz Pilorz

  • Safari

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Besök på en skadlig webbplats kan leda till att användargränssnittet förfalskas

    Beskrivning: Navigering till en skadlig webbplats med en felformaterad fönsteröppnare kunde leda till att godtyckliga webbadresser visades. Problemet åtgärdades genom förbättrad hantering av fönsteröppnare.

    CVE-ID

    CVE-2015-5905: Keita Haga på keitahaga.com

  • Safari

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En användare kan spåras av uppsåtligt skapade webbplatser med hjälp av klientcertifikat

    Beskrivning: Ett problem förekom med Safaris klientcertifikatsmatchning för SSL-autentisering. Problemet åtgärdades genom förbättrad matchning av giltiga klientcertifikat.

    CVE-ID

    CVE-2015-1129: Stefan Kraus på fluid Operations AG, Sylvain Munaut på Whatever s.a.

  • Safari

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Besök på en skadlig webbplats kan leda till att användargränssnittet förfalskas

    Beskrivning: Flera inkonsekvenser i gränssnittet kunde leda till att en skadlig webbplats visade en godtycklig webbadress. Problemen hanterades genom förbättrad visningslogik för webbadresser.

    CVE-ID

    CVE-2015-5764: Antonio Sanso (@asanso) på Adobe

    CVE-2015-5765: Ron Masas

    CVE-2015-5767: Krystian Kloskowski via Secunia, Masato Kinugawa

  • Säker surfning i Safari

    iPhone 4s eller senare, iPod touch (5:e generationen) eller senare, iPad 2 eller senare

    Effekt: Navigering till IP-adressen för en känd skadlig webbplats utlöser kanske inte en säkerhetsvarning

    Beskrivning: Safaris funktion för säker surfning varnade inte användare vid besök på kända skadliga webbplatser baserat på deras IP-adresser. Problemet åtgärdades genom förbättrad registrering av skadliga webbplatser.

    Rahul M på TagsDock

  • Säkerhet

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan avbryta kommunikation mellan program

    Beskrivning: Det förekom ett problem som ledde till att ett skadligt program kunde påverka URL-schemakommunikation mellan program. Det avhjälptes genom att visa en dialogruta när ett URL-schema används för första gången.

    CVE-ID

    CVE-2015-5835: Teun van Run på FiftyTwoDegreesNorth B.V.; XiaoFeng Wang på Indiana University, Luyi Xing på Indiana University, Tongxin Li på Peking University, Tongxin Li på Peking University, Xiaolong Bai på Tsinghua University

  • Siri

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En person med fysisk tillgång till en iOS-enhet kan använda Siri till att läsa notiser om innehåll som är inställt att inte visas på låsskärmen

    Beskrivning: När en begäran gjordes till Siri kontrollerades inte begränsningar på klientsidan av servern. Problemet åtgärdades genom förbättrad begränsningskontroll.

    CVE-ID

    CVE-2015-5892: Robert S Mozayeni, Joshua Donvito

  • SpringBoard

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En person med fysisk tillgång till en iOS-enhet kan svara på ett ljudmeddelande från låsskärmen när förhandsvisningar av meddelanden från låsskärmen är inaktiverade

    Beskrivning: Ett problem med låsskärmen tillät användare att svara på ljudmeddelanden när förhandsvisningar av meddelanden var inaktiverat. Problemet åtgärdades genom förbättrad tillståndshantering.

    CVE-ID

    CVE-2015-5861: Daniel Miedema på Meridian Apps

  • SpringBoard

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan imitera ett annat programs dialogfönster

    Beskrivning: Det förekom ett åtkomstproblem med privilegierade API-samtal. Problemet åtgärdades med ytterligare begränsningar.

    CVE-ID

    CVE-2015-5838: Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei, John C.S. Lui

  • SQLite

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Flera sårbarheter i SQLite 3.8.5

    Beskrivning: Det förekom flera sårbarheter i SQLite 3.8.5. De åtgärdades genom att uppdatera SQLite till 3.8.10.2.

    CVE-ID

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • tidy

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till körning av opålitlig kod

    Beskrivning: Ett minnesfel förekom i Tidy. Problemen åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5522: Fernando Muñoz på NULLGroup.com

    CVE-2015-5523: Fernando Muñoz på NULLGroup.com

  • WebKit

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Objektreferenser kan läckas mellan isolerade ursprung för anpassade händelser, meddelandehändelser och pop-tillståndshändelser

    Beskrivning: Ett fel med objektläckor bröt isoleringsgränsen mellan olika ursprung. Problemet åtgärdades genom förbättrad isolering mellan ursprung.

    CVE-ID

    CVE-2015-5827: Gildas

  • WebKit

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till körning av opålitlig kod

    Beskrivning: Minnesfel förekom i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5789: Apple

    CVE-2015-5790: Apple

    CVE-2015-5792: Apple

    CVE-2015-5794: Apple

    CVE-2015-5795: Apple

    CVE-2015-5796: Apple

    CVE-2015-5797: Apple

    CVE-2015-5799: Apple

    CVE-2015-5800: Apple

    CVE-2015-5801: Apple

    CVE-2015-5802: Apple

    CVE-2015-5803: Apple

    CVE-2015-5804: Apple

    CVE-2015-5805

    CVE-2015-5806: Apple

    CVE-2015-5807: Apple

    CVE-2015-5809: Apple

    CVE-2015-5810: Apple

    CVE-2015-5811: Apple

    CVE-2015-5812: Apple

    CVE-2015-5813: Apple

    CVE-2015-5817: Apple

    CVE-2015-5818: Apple

    CVE-2015-5819: Apple

    CVE-2015-5821: Apple

  • WebKit

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Besök på en webbplats med skadligt innehåll kan leda till oavsedd uppringning

    Beskrivning: Det förekom ett fel i hanteringen av webbadresserna tel://, facetime:// och facetime-audio://. Problemet åtgärdades genom förbättrad webbadresshantering.

    CVE-ID

    CVE-2015-5820: Andrei Neculaesei, Guillaume Ross

  • WebKit

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: QuickType kan få veta det sista tecknet i ett lösenord i ett ifyllt webbformulär

    Beskrivning: Det förekom ett fel med WebKits hantering av inmatningskontexten till lösenord. Problemet åtgärdades genom förbättrad hantering av inmatningskontext.

    CVE-ID

    CVE-2015-5906: Louis Romero på Google Inc.

  • WebKit

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En angripare med privilegierad nätverksposition kan dirigera om till en skadlig domän

    Beskrivning: Det förekom ett problem med hanteringen av resurscacher på webbplatser med ogiltiga certifikat. Problemet åtgärdades genom att avvisa programcacher för domäner med ogiltiga certifikat.

    CVE-ID

    CVE-2015-5907: Yaoqi Jia på National University of Singapore (NUS)

  • WebKit

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En webbplats med skadligt innehåll kan komma åt data från flera källor

    Beskrivning: Safari tillät att stilmallar med olika källor laddades med icke-CSS MIME-typer vilket kunde användas för dataåtkomst från flera källor. Problemet hanterades genom att begränsa MIME-typer för stilmallar med olika källor.

    CVE-ID

    CVE-2015-5826: filedescriptor, Chris Evans

  • WebKit

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Prestanda-API kan tillåta en skadlig webbplats att läcka surfhistorik, nätverksaktivitet och musrörelser

    Beskrivning: WebKits prestanda-API kan ha tillåtit att en skadlig webbplats läckte surfhistorik, nätverksaktivitet och musrörelser genom att mäta tid. Problemet åtgärdades genom att begränsa tidsupplösningen.

    CVE-ID

    CVE-2015-5825: Yossi Oren et al. på Columbia Universitys Network Security Lab

  • WebKit

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En angripare med privilegierad nätverksposition kan läcka känslig användarinformation

    Beskrivning: Det förekom ett problem med rubriker för innehållsdisposition med typbilagor. Problemet åtgärdades genom att inte tillåta vissa funktioner för sidor med typbilagor.

    CVE-ID

    CVE-2015-5921: Mickey Shkatov från Intel(r) Advanced Threat Research Team, Daoyuan Wu på Singapore Management University, Rocky K. C. Chang på Hong Kong Polytechnic University, Łukasz Pilorz, superhei på www.knownsec.com

  • WebKit Canvas

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Besök på en skadlig webbplats kan avslöja bilddata från en annan webbplats

    Beskrivning: Det förekom ett problem med flera källor med kanvaselementbilder i WebKit. Problemet åtgärdades genom förbättrad spårning av säkerhetskällor.

    CVE-ID

    CVE-2015-5788: Apple

  • WebKits laddning av sidor

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: WebSocket kan undvika efterlevnad av policyn för blandat innehåll

    Beskrivning: Ett problem med otillräcklig policyefterlevnad tillät WebSocket att ladda blandat innehåll. Problemet åtgärdades genom utökad efterlevnad av policyn för blandat innehåll till WebSockets.

    Kevin G. Jones på Higher Logic

FaceTime är inte tillgängligt i alla länder och regioner.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: