Om säkerhetsinnehållet i iOS 9
Det här dokumentet beskriver säkerhetsinnehållet i iOS 9.
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apples produktsäkerhet på webbplatsen Apple produktsäkerhet.
Mer information om PGP-nyckeln från Apple Product Security finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Läs mer om andra säkerhetsuppdateringar i artikeln Säkerhetsuppdateringar från Apple.
iOS 9
Apple Pay
Tillgängligt för: iPhone 6 och iPhone 6 Plus
Effekt: Vissa kort kan tillåta att en terminal hämtar begränsad information om de senaste transaktionerna när kunden gör en betalning
Beskrivning: Transaktionsloggsfunktionen aktiverades i vissa konfigurationer. Problemet åtgärdades genom att ta bort funktionen för att logga transaktioner. Problemet påverkade inte iPad-enheter.
CVE-ID
CVE-2015-5916
AppleKeyStore
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En lokal angripare kan nollställa misslyckade lösenkodsförsök med en iOS-säkerhetskopia
Beskrivning: Det förekom ett problem med nollställning av misslyckade lösenkodsförsök med en säkerhetskopia av iOS-enheten. Det hanterades genom förbättrad logik för misslyckade lösenkoder.
CVE-ID
CVE-2015-5850: en anonym person
Application Store
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Om du klickar på en skadlig ITMS-länk kan det leda till ett dos-angrepp med ett företagssignerat program
Beskrivning: Det förekom ett problem med att installera med ITMS-länkar. Det hanterades genom ytterligare installationsverifiering.
CVE-ID
CVE-2015-5856: Zhaofeng Chen, Hui Xue och Tao (Lenx) Wei på FireEye, Inc.
Ljud
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Uppspelning av en skadlig ljudfil kan leda till en oväntad programavslutning
Beskrivning: Ett minnesfel förekom i hantering av ljudfiler. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5862: YoungJin Yoon på Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei University, Seoul, Sydkorea
Certifierad förtroendepolicy
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Uppdatering av den certifierade förtroendepolicyn
Beskrivning: Den certifierade förtroendepolicyn uppdaterades. Du kan läsa den fullständiga listan över certifikat på http://support.apple.com/sv-se/HT204132.
CFNetwork
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En skadlig webbadress kan kringgå HTTP Strict Transport Security (HSTS) och läcka känsliga data
Beskrivning: Det förekom sårbarhet vid webbadresstolkning i HSTS-hantering. Problemet åtgärdades genom förbättrad URL-tolkning.
CVE-ID
CVE-2015-5858: Xiaofeng Zheng på Blue Lotus Team, Tsinghua University
CFNetwork
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En skadlig webbplats kan spåra användare som använder privat surfning i Safari
Beskrivning: Det förekom ett fel i hanteringen av HSTS-tillstånd med privat surfning i Safari. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-ID
CVE-2015-5860: Sam Greenhalgh på RadicalResearch Ltd
CFNetwork
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En person med fysisk tillgång till iOS-enheter kan läsa cachedata från Apple-appar
Beskrivning: Cachedata krypterades med en nyckel som enbart skyddas av maskinvaru-UID. Problemet åtgärdades genom att kryptera cachedata med en nyckel som skyddas av både maskinvaru-UID och användarens lösenkod.
CVE-ID
CVE-2015-5898: Andreas Kurtz på NESO Security Labs
CFNetwork-cookies
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En angripare i en privilegierad nätverksposition kan spåra en användares aktivitet
Beskrivning: Ett problem med cookies över flera domäner förekom i hanteringen av domäner på toppnivå. Problemet hanterades genom förbättrade begräsningar för att skapa cookies.
CVE-ID
CVE-2015-5885: Xiaofeng Zheng på Blue Lotus Team, Tsinghua University
CFNetwork-cookies
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En angripare kan skapa andra cookies än de avsedda för en webbplats
Beskrivning: WebKit godkände att flera cookies ställdes in i document.cookie-API:n. Det här problemet åtgärdades genom förbättrad tolkning.
CVE-ID
CVE-2015-3801: Erling Ellingsen på Facebook
CFNetwork FTPProtocol
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Skadliga FTP-servrar kan leda till att klienten kan spionera på andra värdar
Beskrivning: Det förekom ett problem med hanteringen av FTP-paket när PASV-kommandot användes. Problemet löstes genom förbättrad validering.
CVE-ID
CVE-2015-5912: Amit Klein
CFNetwork HTTPProtocol
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En angripare med en privilegierad nätverksposition kan påverka nätverkstrafik
Beskrivning: Ett problem förekom i hanteringen av förhämtade HSTS-listposter i Safaris privata surfningsläge. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-ID
CVE-2015-5859: Rosario Giustolisi på University of Luxembourg
CFNetwork Proxies
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Vid anslutning till en skadlig webbproxy kan skadliga cookies för en webbplats ställas in
Beskrivning: Det förekom ett problem med hanteringen av svar på proxyanslutningar. Problemet hanterades genom att ta bort rubriken för inställning av cookies vid tolkning av anslutningssvaret.
CVE-ID
CVE-2015-5841: Xiaofeng Zheng på Blue Lotus Team, Tsinghua University
CFNetwork SSL
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En angripare med en privilegierad nätverksposition kan påverka SSL-/TLS-anslutningar
Beskrivning: Det förekom ett problem med certifikatvalidering i NSURL när ett certifikat ändrades. Problemet åtgärdades genom förbättrad certifikatvalidering.
CVE-ID
CVE-2015-5824: Timothy J. Wood på The Omni Group
CFNetwork SSL
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Problem: En angripare kan avkryptera data som skyddas av SSL
Beskrivning: Det finns kända attacker på konfidentialiteten för RC4. En angripare kunde tvinga fram användning av RC4, även om servern föredrog bättre chiffer, genom att blockera TLS 1.0 och högre anslutningar tills CFNetwork provade SSL 3.0, som endast tillåter RC4. Problemet åtgärdades genom att användning av SSL 3.0 som reserv uteslöts.
CoreAnimation
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan läcka känslig användarinformation
Beskrivning: Program kunde komma åt skärmens framebuffer när de låg i bakgrunden. Problemet åtgärdades genom förbättrad åtkomstkontroll på IOSurfaces.
CVE-ID
CVE-2015-5880: Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li från School of Information Systems Singapore Management University, Feng Bao och Jianying Zhou på Cryptography and Security Department Institute for Infocomm Research
CoreCrypto
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En angripare kan bestämma en privat nyckel
Beskrivning: Genom att observera flera signerings- och avkrypteringsförsök kan en angripare avgöra den privata RSA-nyckel. Problemet hanterades genom förbättrade krypteringsalgoritmer.
CoreText
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod
Beskrivning: Ett minnesfel förekom i bearbetningen av teckensnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-ID
CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team
Data Detectors Engine
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Bearbetning av en skadlig textfil kan leda till opålitlig kodkörning
Beskrivning: Det förekom minnesfel i bearbetningen av textfiler. Dessa problem åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2015-5829: M1x7e1 på Safeye Team (www.safeye.org)
Dev Tools
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel förekom i hanteringen av dyld. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5876: beist på grayhash
Skivavbilder
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systembehörigheter
Beskrivning: Ett minnesfel förekom i DiskImages. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5847: Filippo Bigarella, Luca Todesco
dyld
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett program kan kringgå kodsignering
Beskrivning: Ett problem förekom med validering av kodsignaturen för körbara filer. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team
Game Center
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt Game Center-program kan komma åt en spelares e-postadress
Beskrivning: Det förekom ett problem i Game Centers hantering av en spelares e-post. Problemet åtgärdades genom förbättrad åtkomstbegränsning.
CVE-ID
CVE-2015-5855: Nasser Alnasser
ICU
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Flera sårbarheter i ICU
Beskrivning: Flera sårbarheter fanns i ICU-versioner äldre än 53.1.0. De hanterades genom att uppdatera ICU till version 55.1.
CVE-ID
CVE-2014-8146: Marc Deslauriers
CVE-2014-8147: Marc Deslauriers
CVE-2015-5922: Mark Brand på Google Project Zero
IOAcceleratorFamily
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet
Beskrivning: Ett fel förekom som ledde till att kärnminnesinnehåll avslöjades. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2015-5834: Cererdlong på Alibaba Mobile Security Team
IOAcceleratorFamily
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systembehörigheter
Beskrivning: Ett minneskorruptionsfel förekom i IOAcceleratorFamily. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5848: Filippo Bigarella
IOHIDFamily
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel förekom i IOHIDFamily. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5867: moony li på Trend Micro
IOKit
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel förekom i kernel. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5844: Filippo Bigarella
CVE-2015-5845: Filippo Bigarella
CVE-2015-5846: Filippo Bigarella
IOMobileFrameBuffer
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systembehörigheter
Beskrivning: Ett minnesfel förekom i IOMobileFrameBuffer. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5843: Filippo Bigarella
IOStorageFamily
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En lokal angripare kan läsa kärnminne
Beskrivning: Ett fel med minnesinitialisering förekom i en kernel. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5863: Ilja van Sprundel på IOActive
iTunes Store
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Inloggningsinformation för Apple-ID kan finnas kvar i nyckelringen efter utloggning
Beskrivning: Det förekom ett problem med nyckelringsradering. Problemet åtgärdades genom förbättrad kontorensning.
CVE-ID
CVE-2015-5832: Kasif Dekel på Check Point Software Technologies
JavaScriptCore
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: Minnesfel förekom i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5791: Apple
CVE-2015-5793: Apple
CVE-2015-5814: Apple
CVE-2015-5816: Apple
CVE-2015-5822: Mark S. Miller på Google
CVE-2015-5823: Apple
Kernel
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med kernelprivilegier
Beskrivning: Ett minnesfel förekom i kernel. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5868: Cererdlong på Alibaba Mobile Security Team
CVE-2015-5896: Maxime Villard på m00nbsd
CVE-2015-5903: CESG
Informationen uppdaterades 21 december 2016
Kernel
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En lokal angripare kan styra värdet för cookies i stacken
Beskrivning: Det förekom flera svagheter när cookies i stacken för användarutrymmet skulle genereras. Det hanterades genom förbättrad generering av cookies i stacken.
CVE-ID
CVE-2013-3951: Stefan Esser
Kernel
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En lokal process kan ändra andra processer utan behörighetskontroller
Beskrivning: Det förekom ett problem där rotprocesser som använder processor_set_tasks API tilläts hämta task port för andra processer. Problemet har åtgärdats genom tillagda autentiseringskontroller.
CVE-ID
CVE-2015-5882: Pedro Vilaça, med hjälp av ursprunglig forskning av Ming-chieh Pan och Sung-ting Tsai; Jonathan Levin
Kernel
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En angripare kan starta denial of service-attacker med TCP-anslutningar som mål utan att känna till korrekt sekvensnummer
Beskrivning: Det förekom ett problem med xnu:s validering av TCP-paketrubriker. Problemet hanterades genom förbättrad validering av TCP-paketrubriker.
CVE-ID
CVE-2015-5879: Jonathan Looney
Kernel
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En angripare i ett lokalt LAN-segment kan störa IPv6-routning
Beskrivning: Det förekom ett problem med otillräcklig validering i hanteringen av IPv6-routermeddelanden som gjorde att en angripare kunde ange gränsen för antal hopp till ett godtyckligt värde. Problemet hanterades genom att införa en gräns för minsta antal hopp.
CVE-ID
CVE-2015-5869: Dennis Spindel Ljungmark
Kernel
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En lokal användare kan ta reda på schemat för kernelminnet
Beskrivning: Ett fel förekom i XNU som ledde till att kärnminne avslöjades. Det hanterades genom förbättrad initiering av kärnminnesstrukturer.
CVE-ID
CVE-2015-5842: beist of grayhash
Kernel
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En lokal användare kan orsaka att tjänster nekas i systemet
Beskrivning: Det förekom ett fel med montering av HFS-enheter. Det åtgärdades genom ytterligare valideringskontroller.
CVE-ID
CVE-2015-5748: Maxime Villard på m00nbsd
libc
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En angripare kan orsaka körning av opålitlig kod
Beskrivning: Ett minnesfel förekom i funktionen fflush. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2014-8611: Adrian Chadd och Alfred Perlstein på Norse Corporation
libpthread
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med kernelprivilegier
Beskrivning: Ett minnesfel förekom i kernel. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5899: Lufeng Li på Qihoo 360 Vulcan Team
Mail
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En angripare kan skicka ett e-postmeddelande som verkar komma från en kontakt i mottagarens adressbok
Beskrivning: Det förekom ett fel i hanteringen av avsändarens adress. Problemet har åtgärdats genom förbättrad validering.
CVE-ID
CVE-2015-5857: Emre Saglam på salesforce.com
Multipeer Connectivity
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En lokal angripare kan observera oskyddade multipeer-data
Beskrivning: Det förekom ett problem med hanteringen av bekvämlighetsinitieraren som ledde till att krypteringen aktivt kunde nedgraderas till en icke-krypterad session. Problemet hanterades genom att ändra bekvämlighetsinitieraren till att kräva kryptering.
CVE-ID
CVE-2015-5851: Alban Diquet (@nabla_c0d3) på Data Theorem
NetworkExtension
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet
Beskrivning: Ett oinitierat minnesproblem i en kernel ledde till att kärnminnesinnehållet avslöjades. Problemet åtgärdades genom minnesinitiering.
CVE-ID
CVE-2015-5831: Maxime Villard på m00nbsd
OpenSSL
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Flera sårbarheter i OpenSSL
Beskrivning: Det fanns flera sårbarheter i OpenSSL-versioner äldre än 0.9.8zg. Dessa problem åtgärdades genom att OpenSSL uppgraderades till 0.9.8zg.
CVE-ID
CVE-2015-0286
CVE-2015-0287
PluginKit
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt företagsprogram kan installera tillägg innan programmet är betrott
Beskrivning: Det förekom ett problem med validering av tillägg under installationen. Det hanterades genom förbättrad programverifiering.
CVE-ID
CVE-2015-5837: Zhaofeng Chen, Hui Xue och Tao (Lenx) Wei på FireEye, Inc.
removefile
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Behandling av skadliga data kan leda till oväntat programavslut
Beskrivning: Det förekom ett spillfel i rutinerna för checkint division. Problemet hanterades genom förbättrade rutiner för divisioner.
CVE-ID
CVE-2015-5840: en anonym person
Safari
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En lokal användare kan läsa Safari-bokmärken på en låst iOS-enhet utan en lösenkod
Beskrivning: Safari-bokmärkesdata krypterades med en nyckel som enbart skyddas av maskinvaru-UID. Problemet åtgärdades genom att kryptera Safari-bokmärkesdata med en nyckel som skyddas av både maskinvaru-UID och användarens lösenkod.
CVE-ID
CVE-2015-7118: Jonathan Zdziarski
Informationen uppdaterades 21 december 2016
Safari
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en skadlig webbplats kan leda till att användargränssnittet förfalskas
Beskrivning: Det förekom ett fel som tillät en webbplats att visa innehåll med en webbadress från en annan webbplats. Problemet åtgärdades genom förbättrad webbadresshantering.
CVE-ID
CVE-2015-5904: Erling Ellingsen på Facebook, Łukasz Pilorz
Safari
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en skadlig webbplats kan leda till att användargränssnittet förfalskas
Beskrivning: Navigering till en skadlig webbplats med en felformaterad fönsteröppnare kunde leda till att godtyckliga webbadresser visades. Problemet åtgärdades genom förbättrad hantering av fönsteröppnare.
CVE-ID
CVE-2015-5905: Keita Haga på keitahaga.com
Safari
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En användare kan spåras av uppsåtligt skapade webbplatser med hjälp av klientcertifikat
Beskrivning: Ett problem förekom med Safaris klientcertifikatsmatchning för SSL-autentisering. Problemet åtgärdades genom förbättrad matchning av giltiga klientcertifikat.
CVE-ID
CVE-2015-1129: Stefan Kraus på fluid Operations AG, Sylvain Munaut på Whatever s.a.
Safari
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en skadlig webbplats kan leda till att användargränssnittet förfalskas
Beskrivning: Flera inkonsekvenser i gränssnittet kunde leda till att en skadlig webbplats visade en godtycklig webbadress. Problemen hanterades genom förbättrad visningslogik för webbadresser.
CVE-ID
CVE-2015-5764: Antonio Sanso (@asanso) på Adobe
CVE-2015-5765: Ron Masas
CVE-2015-5767: Krystian Kloskowski via Secunia, Masato Kinugawa
Säker surfning i Safari
iPhone 4s eller senare, iPod touch (5:e generationen) eller senare, iPad 2 eller senare
Effekt: Navigering till IP-adressen för en känd skadlig webbplats utlöser kanske inte en säkerhetsvarning
Beskrivning: Safaris funktion för säker surfning varnade inte användare vid besök på kända skadliga webbplatser baserat på deras IP-adresser. Problemet åtgärdades genom förbättrad registrering av skadliga webbplatser.
Rahul M på TagsDock
Säkerhet
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan avbryta kommunikation mellan program
Beskrivning: Det förekom ett problem som ledde till att ett skadligt program kunde påverka URL-schemakommunikation mellan program. Det avhjälptes genom att visa en dialogruta när ett URL-schema används för första gången.
CVE-ID
CVE-2015-5835: Teun van Run på FiftyTwoDegreesNorth B.V.; XiaoFeng Wang på Indiana University, Luyi Xing på Indiana University, Tongxin Li på Peking University, Tongxin Li på Peking University, Xiaolong Bai på Tsinghua University
Siri
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En person med fysisk tillgång till en iOS-enhet kan använda Siri till att läsa notiser om innehåll som är inställt att inte visas på låsskärmen
Beskrivning: När en begäran gjordes till Siri kontrollerades inte begränsningar på klientsidan av servern. Problemet åtgärdades genom förbättrad begränsningskontroll.
CVE-ID
CVE-2015-5892: Robert S Mozayeni, Joshua Donvito
SpringBoard
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En person med fysisk tillgång till en iOS-enhet kan svara på ett ljudmeddelande från låsskärmen när förhandsvisningar av meddelanden från låsskärmen är inaktiverade
Beskrivning: Ett problem med låsskärmen tillät användare att svara på ljudmeddelanden när förhandsvisningar av meddelanden var inaktiverat. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-ID
CVE-2015-5861: Daniel Miedema på Meridian Apps
SpringBoard
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan imitera ett annat programs dialogfönster
Beskrivning: Det förekom ett åtkomstproblem med privilegierade API-samtal. Problemet åtgärdades med ytterligare begränsningar.
CVE-ID
CVE-2015-5838: Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei, John C.S. Lui
SQLite
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Flera sårbarheter i SQLite 3.8.5
Beskrivning: Det förekom flera sårbarheter i SQLite 3.8.5. De åtgärdades genom att uppdatera SQLite till 3.8.10.2.
CVE-ID
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
tidy
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: Ett minnesfel förekom i Tidy. Problemen åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5522: Fernando Muñoz på NULLGroup.com
CVE-2015-5523: Fernando Muñoz på NULLGroup.com
WebKit
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Objektreferenser kan läckas mellan isolerade ursprung för anpassade händelser, meddelandehändelser och pop-tillståndshändelser
Beskrivning: Ett fel med objektläckor bröt isoleringsgränsen mellan olika ursprung. Problemet åtgärdades genom förbättrad isolering mellan ursprung.
CVE-ID
CVE-2015-5827: Gildas
WebKit
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: Minnesfel förekom i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5789: Apple
CVE-2015-5790: Apple
CVE-2015-5792: Apple
CVE-2015-5794: Apple
CVE-2015-5795: Apple
CVE-2015-5796: Apple
CVE-2015-5797: Apple
CVE-2015-5799: Apple
CVE-2015-5800: Apple
CVE-2015-5801: Apple
CVE-2015-5802: Apple
CVE-2015-5803: Apple
CVE-2015-5804: Apple
CVE-2015-5805
CVE-2015-5806: Apple
CVE-2015-5807: Apple
CVE-2015-5809: Apple
CVE-2015-5810: Apple
CVE-2015-5811: Apple
CVE-2015-5812: Apple
CVE-2015-5813: Apple
CVE-2015-5817: Apple
CVE-2015-5818: Apple
CVE-2015-5819: Apple
CVE-2015-5821: Apple
WebKit
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en webbplats med skadligt innehåll kan leda till oavsedd uppringning
Beskrivning: Det förekom ett fel i hanteringen av webbadresserna tel://, facetime:// och facetime-audio://. Problemet åtgärdades genom förbättrad webbadresshantering.
CVE-ID
CVE-2015-5820: Andrei Neculaesei, Guillaume Ross
WebKit
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: QuickType kan få veta det sista tecknet i ett lösenord i ett ifyllt webbformulär
Beskrivning: Det förekom ett fel med WebKits hantering av inmatningskontexten till lösenord. Problemet åtgärdades genom förbättrad hantering av inmatningskontext.
CVE-ID
CVE-2015-5906: Louis Romero på Google Inc.
WebKit
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En angripare med privilegierad nätverksposition kan dirigera om till en skadlig domän
Beskrivning: Det förekom ett problem med hanteringen av resurscacher på webbplatser med ogiltiga certifikat. Problemet åtgärdades genom att avvisa programcacher för domäner med ogiltiga certifikat.
CVE-ID
CVE-2015-5907: Yaoqi Jia på National University of Singapore (NUS)
WebKit
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En webbplats med skadligt innehåll kan komma åt data från flera källor
Beskrivning: Safari tillät att stilmallar med olika källor laddades med icke-CSS MIME-typer vilket kunde användas för dataåtkomst från flera källor. Problemet hanterades genom att begränsa MIME-typer för stilmallar med olika källor.
CVE-ID
CVE-2015-5826: filedescriptor, Chris Evans
WebKit
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Prestanda-API kan tillåta en skadlig webbplats att läcka surfhistorik, nätverksaktivitet och musrörelser
Beskrivning: WebKits prestanda-API kan ha tillåtit att en skadlig webbplats läckte surfhistorik, nätverksaktivitet och musrörelser genom att mäta tid. Problemet åtgärdades genom att begränsa tidsupplösningen.
CVE-ID
CVE-2015-5825: Yossi Oren et al. på Columbia Universitys Network Security Lab
WebKit
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En angripare med privilegierad nätverksposition kan läcka känslig användarinformation
Beskrivning: Det förekom ett problem med rubriker för innehållsdisposition med typbilagor. Problemet åtgärdades genom att inte tillåta vissa funktioner för sidor med typbilagor.
CVE-ID
CVE-2015-5921: Mickey Shkatov från Intel(r) Advanced Threat Research Team, Daoyuan Wu på Singapore Management University, Rocky K. C. Chang på Hong Kong Polytechnic University, Łukasz Pilorz, superhei på www.knownsec.com
WebKit Canvas
Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en skadlig webbplats kan avslöja bilddata från en annan webbplats
Beskrivning: Det förekom ett problem med flera källor med kanvaselementbilder i WebKit. Problemet åtgärdades genom förbättrad spårning av säkerhetskällor.
CVE-ID
CVE-2015-5788: Apple
WebKits laddning av sidor
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: WebSocket kan undvika efterlevnad av policyn för blandat innehåll
Beskrivning: Ett problem med otillräcklig policyefterlevnad tillät WebSocket att ladda blandat innehåll. Problemet åtgärdades genom utökad efterlevnad av policyn för blandat innehåll till WebSockets.
Kevin G. Jones på Higher Logic
FaceTime är inte tillgängligt i alla länder och regioner.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.