Om säkerhetsinnehållet i iOS 9.1

Det här dokumentet beskriver säkerhetsinnehållet i iOS 9.1.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apples produktsäkerhet på webbplatsen Apple produktsäkerhet.

Mer information om Apples PGP-nyckel för produktsäkerhet finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Läs mer om andra säkerhetsuppdateringar i artikeln Säkerhetsuppdateringar från Apple.

iOS 9.1

  • Accelerate Framework

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till godtycklig kodkörning

    Beskrivning: Ett minnesfel förekom i Accelerate Framework i läget med flera trådar. Problemet åtgärdades genom förbättrad validering av accessorelement och förbättrad objektslåsning.

    CVE-ID

    CVE-2015-5940: Apple

  • Bom

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Uppackning av ett arkiv med skadligt innehåll kan ge upphov till godtycklig kodkörning

    Beskrivning: En filintrångssvaghet förekom i hanteringen av CPIO-arkiv. Problemet åtgärdades genom förbättrad validering av metadata.

    CVE-ID

    CVE-2015-7006: Mark Dowd på Azimuth Security

  • CFNetwork

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Besök på en webbplats med skadligt innehåll kan leda till att cookies skrivs över

    Beskrivning: Ett tolkningsproblem förekom vid hantering av cookies för bokstäver med olika skiftläge. Det här problemet åtgärdades genom förbättrad tolkning.

    CVE-ID

    CVE-2015-7023: Marvin Scholz och Michael Lutonsky; Xiaofeng Zheng och Jinjin Liang på Tsinghua University, Jian Jiang på University of California, Berkeley, Haixin Duan på Tsinghua University och International Computer Science Institute, Shuo Chen på Microsoft Research Redmond, Tao Wan på Huawei Canada, Nicholas Weaver på International Computer Science Institute and University of California, Berkeley, koordinerade via CERT/CC

  • configd

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan höja privilegier

    Beskrivning: Ett problem med ett heapbaserat buffertspill förekom i DNS-klientbibliotek. Ett skadligt program som kan förfalska svar från den lokala configd-tjänsten kan orsaka att godtycklig kod körs i DNS-klienter.

    CVE-ID

    CVE-2015-7015: PanguTeam

  • CoreGraphics

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till godtycklig kodkörning

    Beskrivning: Flera minnesfel förekom i CoreGraphics. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5925: Apple

    CVE-2015-5926: Apple

  • CoreText

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Bearbetning av en felaktigt utformad teckensnittsfil kan ge upphov till körning av godtycklig kod

    Beskrivning: Flera minnesfel förekom i hanteringen av teckensnittsfiler. Dessa problem åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-6975: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6992: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7017: John Villamil (@day6reak), Yahoo Pentest Team

  • Skivavbilder

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

    Beskrivning: Ett minnesfel förekom i tolkning av skivavbilder. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-6995: Ian Beer på Google Project Zero

  • FontParser

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Bearbetning av en felaktigt utformad teckensnittsfil kan ge upphov till körning av godtycklig kod

    Beskrivning: Flera minnesfel förekom i hanteringen av teckensnittsfiler. Dessa problem åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-5927: Apple

    CVE-2015-5942

    CVE-2015-6976: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6977: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6978: Jaanus Kp, Clarified Security, i samarbete med HPs Zero Day Initiative

    CVE-2015-6990: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6991: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6993: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7008: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7009: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7010: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7018: John Villamil (@day6reak), Yahoo Pentest Team

  • GasGauge

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med kärnprivilegier

    Beskrivning: Ett minnesfel förekom i kärnan. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-6979: PanguTeam

  • Grand Central Dispatch

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Bearbetning av ett felaktigt utformat paket kan ge upphov till körning av godtycklig kod

    Beskrivning: Ett minnesfel förekom i hanteringen av Dispatch-anrop. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-6989: Apple

  • Grafikdrivrutin

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Körning av ett skadligt program kan leda till exekvering av godtycklig kod i operativsystemkärnan

    Beskrivning: En typ av sammanblandningsproblem förekom i AppleVXD393. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-6986: Proteas på Qihoo 360 Nirvan Team

  • ImageIO

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Visning av en uppsåtligt utformad bildfil kan leda till körning av opålitlig kod

    Beskrivning: Flera minnesfel förekom i tolkningen av bildmetadata. Problemen hanterades genom förbättrad validering av metadata.

    CVE-ID

    CVE-2015-5935: Apple

    CVE-2015-5936: Apple

    CVE-2015-5937: Apple

    CVE-2015-5939: Apple

  • IOAcceleratorFamily

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

    Beskrivning: Ett minneskorruptionsfel förekom i IOAcceleratorFamily. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-6996: Ian Beer på Google Project Zero

  • IOHIDFamily

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med kärnprivilegier

    Beskrivning: Ett minnesfel förekom i kärnan. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-6974: Luca Todesco (@qwertyoruiop)

  • Kärna

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett lokalt program kan orsaka att tjänster nekas

    Beskrivning: Ett indatavalideringsproblem förekom i kärnan. Problemet åtgärdades genom förbättrad indatavalidering.

    CVE-ID

    CVE-2015-7004: Sergi Alvarez (pancake) på NowSecure Research Team

  • Kärna

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En angripare med en privilegierad nätverksposition kan orsaka exekvering av godtycklig kod

    Beskrivning: Ett oinitierat minnesproblem förekom i kärnan. Problemet åtgärdades genom förbättrad minnesinitiering.

    CVE-ID

    CVE-2015-6988: The Brainy Code Scanner (m00nbsd)

  • Kärna

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett lokalt program kan orsaka att tjänster nekas

    Beskrivning: Ett problem förekom vid återanvändning av virtuellt minne. Problemet har åtgärdats genom förbättrad validering.

    CVE-ID

    CVE-2015-6994: Mark Mentovai på Google Inc.

  • mDNSResponder

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En fjärrangripare kunde orsaka oväntade programavslut eller godtycklig kodkörning.

    Beskrivning: Flera minnesproblem förekom i tolkningen av DNS-data. Dessa problem åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-7987: Alexandre Helie

  • mDNSResponder

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett lokalt program kan orsaka att tjänster nekas

    Beskrivning: Ett problem med nollpekarreferens åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-7988: Alexandre Helie

  • Notiscenter

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Notiser från Telefon och Meddelanden kan visas på låsskärmen även om det är inaktiverat

    Beskrivning: När Visa vid låst skärm stängdes av för Telefon och Meddelanden tillämpades inställningsändringarna inte direkt. Problemet åtgärdades genom förbättrad tillståndshantering.

    CVE-ID

    CVE-2015-7000: William Redwood på Hampton School

  • OpenGL

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till godtycklig kodkörning

    Beskrivning: Ett minnesfel förekom i hanteringen av OpenGL. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5924: Apple

  • Säkerhet

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Bearbetning av ett uppsåtligt skapat certifikat kan ge upphov till körning av godtycklig kod

    Beskrivning: Flera minnesfel förekom i ASN.1-avkodaren. Dessa problem har åtgärdats genom förbättrad indatavalidering.

    CVE-ID

    CVE-2015-7059: David Keeler på Mozilla

    CVE-2015-7060: Tyson Smith på Mozilla

    CVE-2015-7061: Ryan Sleevi på Google

  • Säkerhet

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan skriva över filer oförutsägbart

    Beskrivning: Ett dubbelt fritt fel förekom i hanteringen av AtomicBufferedFile-identifierare. Problemet åtgärdades genom förbättrad validering av AtomicBufferedFile-identifierare.

    CVE-ID

    CVE-2015-6983: David Benjamin, Greg Kerr, Mark Mentovai och Sergey Ulanov från Chrome Team

  • Säkerhet

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En angripare kan göra så att ett återkallat certifikat kan accepteras som giltigt

    Beskrivning: Ett valideringsproblem förekom i OCSP-klienten. Problemet åtgärdades genom en sökning av OCSP-certifikatets giltighetstid.

    CVE-ID

    CVE-2015-6999: Apple

  • Säkerhet

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En tillförlitlighetsutvärdering konfigurerad att kräva återkallelsekontroll kunde lyckas även om återkallelsekontrollen misslyckades

    Beskrivning: Flaggan kSecRevocationRequirePositiveResponse angavs men implementerades inte. Problemet åtgärdades genom att flaggan implementerades.

    CVE-ID

    CVE-2015-6997: Apple

  • Telefoni

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan läcka känslig användarinformation

    Beskrivning: Ett problem förekom i autentiseringskontrollerna för förfrågningar om telefonsamtalsstatus. Problemet åtgärdades genom ytterligare förfrågningar om auktoriseringsstatus.

    CVE-ID

    CVE-2015-7022: Andreas Kurtz på NESO Security Labs

  • WebKit

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till godtycklig kodkörning

    Beskrivning: Flera minnesfel förekom i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5928: Apple

    CVE-2015-5929: Apple

    CVE-2015-5930: Apple

    CVE-2015-6981

    CVE-2015-6982

    CVE-2015-7002: Apple

    CVE-2015-7005: Apple

    CVE-2015-7012: Apple

    CVE-2015-7014

    CVE-2015-7104: Apple

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: