Om säkerhetsinnehållet i iOS 9.1
Det här dokumentet beskriver säkerhetsinnehållet i iOS 9.1.
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apples produktsäkerhet på webbplatsen Apple produktsäkerhet.
Mer information om Apples PGP-nyckel för produktsäkerhet finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Läs mer om andra säkerhetsuppdateringar i artikeln Säkerhetsuppdateringar från Apple.
iOS 9.1
Accelerate Framework
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till godtycklig kodkörning
Beskrivning: Ett minnesfel förekom i Accelerate Framework i läget med flera trådar. Problemet åtgärdades genom förbättrad validering av accessorelement och förbättrad objektslåsning.
CVE-ID
CVE-2015-5940: Apple
Bom
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Uppackning av ett arkiv med skadligt innehåll kan ge upphov till godtycklig kodkörning
Beskrivning: En filintrångssvaghet förekom i hanteringen av CPIO-arkiv. Problemet åtgärdades genom förbättrad validering av metadata.
CVE-ID
CVE-2015-7006: Mark Dowd på Azimuth Security
CFNetwork
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en webbplats med skadligt innehåll kan leda till att cookies skrivs över
Beskrivning: Ett tolkningsproblem förekom vid hantering av cookies för bokstäver med olika skiftläge. Det här problemet åtgärdades genom förbättrad tolkning.
CVE-ID
CVE-2015-7023: Marvin Scholz och Michael Lutonsky; Xiaofeng Zheng och Jinjin Liang på Tsinghua University, Jian Jiang på University of California, Berkeley, Haixin Duan på Tsinghua University och International Computer Science Institute, Shuo Chen på Microsoft Research Redmond, Tao Wan på Huawei Canada, Nicholas Weaver på International Computer Science Institute and University of California, Berkeley, koordinerade via CERT/CC
configd
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan höja privilegier
Beskrivning: Ett problem med ett heapbaserat buffertspill förekom i DNS-klientbibliotek. Ett skadligt program som kan förfalska svar från den lokala configd-tjänsten kan orsaka att godtycklig kod körs i DNS-klienter.
CVE-ID
CVE-2015-7015: PanguTeam
CoreGraphics
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till godtycklig kodkörning
Beskrivning: Flera minnesfel förekom i CoreGraphics. Dessa problem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5925: Apple
CVE-2015-5926: Apple
CoreText
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Bearbetning av en felaktigt utformad teckensnittsfil kan ge upphov till körning av godtycklig kod
Beskrivning: Flera minnesfel förekom i hanteringen av teckensnittsfiler. Dessa problem åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2015-6975: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6992: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7017: John Villamil (@day6reak), Yahoo Pentest Team
Skivavbilder
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet
Beskrivning: Ett minnesfel förekom i tolkning av skivavbilder. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-6995: Ian Beer på Google Project Zero
FontParser
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Bearbetning av en felaktigt utformad teckensnittsfil kan ge upphov till körning av godtycklig kod
Beskrivning: Flera minnesfel förekom i hanteringen av teckensnittsfiler. Dessa problem åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2015-5927: Apple
CVE-2015-5942
CVE-2015-6976: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6977: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6978: Jaanus Kp, Clarified Security, i samarbete med HPs Zero Day Initiative
CVE-2015-6990: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6991: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6993: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7008: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7009: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7010: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7018: John Villamil (@day6reak), Yahoo Pentest Team
GasGauge
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan köra opålitlig kod med kärnprivilegier
Beskrivning: Ett minnesfel förekom i kärnan. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-6979: PanguTeam
Grand Central Dispatch
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Bearbetning av ett felaktigt utformat paket kan ge upphov till körning av godtycklig kod
Beskrivning: Ett minnesfel förekom i hanteringen av Dispatch-anrop. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-6989: Apple
Grafikdrivrutin
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Körning av ett skadligt program kan leda till exekvering av godtycklig kod i operativsystemkärnan
Beskrivning: En typ av sammanblandningsproblem förekom i AppleVXD393. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-6986: Proteas på Qihoo 360 Nirvan Team
ImageIO
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Visning av en uppsåtligt utformad bildfil kan leda till körning av opålitlig kod
Beskrivning: Flera minnesfel förekom i tolkningen av bildmetadata. Problemen hanterades genom förbättrad validering av metadata.
CVE-ID
CVE-2015-5935: Apple
CVE-2015-5936: Apple
CVE-2015-5937: Apple
CVE-2015-5939: Apple
IOAcceleratorFamily
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet
Beskrivning: Ett minneskorruptionsfel förekom i IOAcceleratorFamily. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-6996: Ian Beer på Google Project Zero
IOHIDFamily
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan köra opålitlig kod med kärnprivilegier
Beskrivning: Ett minnesfel förekom i kärnan. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-6974: Luca Todesco (@qwertyoruiop)
Kärna
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett lokalt program kan orsaka att tjänster nekas
Beskrivning: Ett indatavalideringsproblem förekom i kärnan. Problemet åtgärdades genom förbättrad indatavalidering.
CVE-ID
CVE-2015-7004: Sergi Alvarez (pancake) på NowSecure Research Team
Kärna
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En angripare med en privilegierad nätverksposition kan orsaka exekvering av godtycklig kod
Beskrivning: Ett oinitierat minnesproblem förekom i kärnan. Problemet åtgärdades genom förbättrad minnesinitiering.
CVE-ID
CVE-2015-6988: The Brainy Code Scanner (m00nbsd)
Kärna
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett lokalt program kan orsaka att tjänster nekas
Beskrivning: Ett problem förekom vid återanvändning av virtuellt minne. Problemet har åtgärdats genom förbättrad validering.
CVE-ID
CVE-2015-6994: Mark Mentovai på Google Inc.
mDNSResponder
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En fjärrangripare kunde orsaka oväntade programavslut eller godtycklig kodkörning.
Beskrivning: Flera minnesproblem förekom i tolkningen av DNS-data. Dessa problem åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2015-7987: Alexandre Helie
mDNSResponder
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett lokalt program kan orsaka att tjänster nekas
Beskrivning: Ett problem med nollpekarreferens åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-7988: Alexandre Helie
Notiscenter
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Notiser från Telefon och Meddelanden kan visas på låsskärmen även om det är inaktiverat
Beskrivning: När Visa vid låst skärm stängdes av för Telefon och Meddelanden tillämpades inställningsändringarna inte direkt. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-ID
CVE-2015-7000: William Redwood på Hampton School
OpenGL
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till godtycklig kodkörning
Beskrivning: Ett minnesfel förekom i hanteringen av OpenGL. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5924: Apple
Säkerhet
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Bearbetning av ett uppsåtligt skapat certifikat kan ge upphov till körning av godtycklig kod
Beskrivning: Flera minnesfel förekom i ASN.1-avkodaren. Dessa problem har åtgärdats genom förbättrad indatavalidering.
CVE-ID
CVE-2015-7059: David Keeler på Mozilla
CVE-2015-7060: Tyson Smith på Mozilla
CVE-2015-7061: Ryan Sleevi på Google
Säkerhet
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan skriva över filer oförutsägbart
Beskrivning: Ett dubbelt fritt fel förekom i hanteringen av AtomicBufferedFile-identifierare. Problemet åtgärdades genom förbättrad validering av AtomicBufferedFile-identifierare.
CVE-ID
CVE-2015-6983: David Benjamin, Greg Kerr, Mark Mentovai och Sergey Ulanov från Chrome Team
Säkerhet
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En angripare kan göra så att ett återkallat certifikat kan accepteras som giltigt
Beskrivning: Ett valideringsproblem förekom i OCSP-klienten. Problemet åtgärdades genom en sökning av OCSP-certifikatets giltighetstid.
CVE-ID
CVE-2015-6999: Apple
Säkerhet
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En tillförlitlighetsutvärdering konfigurerad att kräva återkallelsekontroll kunde lyckas även om återkallelsekontrollen misslyckades
Beskrivning: Flaggan kSecRevocationRequirePositiveResponse angavs men implementerades inte. Problemet åtgärdades genom att flaggan implementerades.
CVE-ID
CVE-2015-6997: Apple
Telefoni
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan läcka känslig användarinformation
Beskrivning: Ett problem förekom i autentiseringskontrollerna för förfrågningar om telefonsamtalsstatus. Problemet åtgärdades genom ytterligare förfrågningar om auktoriseringsstatus.
CVE-ID
CVE-2015-7022: Andreas Kurtz på NESO Security Labs
WebKit
Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till godtycklig kodkörning
Beskrivning: Flera minnesfel förekom i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5928: Apple
CVE-2015-5929: Apple
CVE-2015-5930: Apple
CVE-2015-6981
CVE-2015-6982
CVE-2015-7002: Apple
CVE-2015-7005: Apple
CVE-2015-7012: Apple
CVE-2015-7014
CVE-2015-7104: Apple
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.