Om säkerhetsinnehållet i iOS 9.3

Det här dokumentet beskriver säkerhetsinnehållet i iOS 9.3.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apples produktsäkerhet på webbplatsen Apple produktsäkerhet.

Mer information om Apples PGP-nyckel för produktsäkerhet finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Läs mer om andra säkerhetsuppdateringar i artikeln Säkerhetsuppdateringar från Apple.

iOS 9.3

  • AppleUSBNetworking

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En USB-enhet kan orsaka att tjänster nekas

    Beskrivning: Det förekom ett problem med felhantering i paketvalidering. Problemet har åtgärdats genom förbättrad felhantering.

    CVE-ID

    CVE-2016-1734: Andrea Barisani och Andrej Rosano på Inverse Path

  • FontParser

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Öppning av en skadlig PDF-fil kan leda till att program avslutas oväntat eller till godtycklig kodkörning

    Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2016-1740: HappilyCoded (ant4g0nist och r3dsm0k3) i samarbete med Trend Micros Zero Day Initiative (ZDI)

  • HTTPProtocol

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En angripare kan lyckas köra godtycklig kod

    Beskrivning: Flera sårbarheter förekom i nghttp2-versioner innan 1.6.0, av vilka den allvarligaste kan leda till fjärrkörning av kod. Dessa åtgärdades genom att nghttp2 uppdaterades till 1.6.0.

    CVE-ID

    CVE-2015-8659

  • IOHIDFamily

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett program kan ta reda på layouten för kärnminnet

    Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2016-1748: Brandon Azad

  • Kärna

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett program kan orsaka att tjänster nekas

    Beskrivning: Ett problem med tjänster som nekades åtgärdades genom förbättrad validering.

    CVE-ID

    CVE-2016-1752: CESG

  • Kärna

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett program kan köra godtycklig kod med kärnprivilegier

    Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2016-1750: CESG

  • Kärna

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett program kan köra godtycklig kod med kärnprivilegier

    Beskrivning: Flera heltalsspill åtgärdades genom förbättrad indatavalidering.

    CVE-ID

    CVE-2016-1753: Juwei Lin, Trend Micro, i samarbete med Trend Micros Zero Day Initiative (ZDI)

  • Kärna

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett program kan kringgå kodsignering

    Beskrivning: Det förekom ett behörighetsproblem som ledde till att körningsbehörighet felaktigt beviljades. Problemet har åtgärdats genom förbättrad behörighetsvalidering.

    CVE-ID

    CVE-2016-1751: Eric Monti på Square Mobile Security

  • Kärna

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett program kan köra godtycklig kod med kärnprivilegier

    Beskrivning: Ett konkurrenstillstånd förekom när nya processer skapades. Detta åtgärdades genom förbättrad lägeshantering.

    CVE-ID

    CVE-2016-1757: Ian Beer på Google Project Zero och Pedro Vilaça

  • Kärna

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett program kan köra godtycklig kod med kärnprivilegier

    Beskrivning: En nollpekarreferens åtgärdades genom förbättrad indatavalidering.

    CVE-ID

    CVE-2016-1756: Lufeng Li på Qihoo 360 Vulcan Team

  • Kärna

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett program kan köra godtycklig kod med kärnprivilegier

    Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2016-1754: Lufeng Li på Qihoo 360 Vulcan Team

    CVE-2016-1755: Ian Beer på Google Project Zero

  • Kärna

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett program kan ta reda på layouten för kärnminnet

    Beskrivning: Det förekom ett problem med läsning utanför gränserna som ledde till att kärnminne avslöjades. Detta har åtgärdats genom förbättrad indatavalidering.

    CVE-ID

    CVE-2016-1758: Brandon Azad

  • LaunchServices

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett program kan modifiera händelser från andra program

    Beskrivning: Det förekom ett problem med validering av händelsehanterare i programmeringsgränssnittet för XPC Services. Problemet har åtgärdats genom förbättrad meddelandevalidering.

    CVE-ID

    CVE-2016-1760: Proteas på Qihoo 360 Nirvan Team

  • libxml2

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Bearbetning av uppsåtligt skapad XML kan leda till oväntad programavslutning eller godtycklig kodkörning

    Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-1819

    CVE-2015-5312: David Drysdale på Google

    CVE-2015-7499

    CVE-2015-7500: Kostya Serebryany på Google

    CVE-2015-7942: Kostya Serebryany på Google

    CVE-2015-8035: gustavo.grieco

    CVE-2015-8242: Hugh Davenport

    CVE-2016-1761: wol0xff i samarbete med Trend Micros Zero Day Initiative (ZDI)

    CVE-2016-1762

  • Meddelanden

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Besök på en webbplats med skadligt innehåll kan leda till automatisk ifyllnad av text i andra meddelandetrådar

    Beskrivning: Ett problem förekom i tolkningen av URL-adresser för SMS. Problemet har åtgärdats genom förbättrad URL-validering.

    CVE-ID

    CVE-2016-1763: CityTog

  • Meddelanden

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En angripare som klarar av att gå förbi Apples certifikatpinning, fånga upp TLS-anslutningar, mata in meddelanden och registrera krypterade meddelanden av bilagetyp kan ha förmåga att läsa bilagor

    Beskrivning: Ett kryptografiskt problem åtgärdades genom att dubblerade meddelanden nekas på klienten.

    CVE-ID

    CVE-2016-1788: Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers, och Michael Rushanan på Johns Hopkins University

  • Profiler

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En otillförlitlig MDM-profil kan felaktigt visas som verifierad

    Beskrivning: Ett problem med godkännande av certifikat förekom i MDM-profiler. Det har åtgärdats genom ytterligare kontroller.

    CVE-ID

    CVE-2016-1766: Taylor Boyko i samarbete med Trend Micros Zero Day Initiative (ZDI)

  • Säkerhet

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Bearbetning av ett felaktigt utformat certifikat kan ge upphov till godtycklig kodkörning

    Beskrivning: Ett minnesfel förekom i ASN.1-avkodaren. Problemet har åtgärdats genom förbättrad indatavalidering.

    CVE-ID

    CVE-2016-1950: Francis Gabriel på Quarkslab

  • TrueTypeScaler

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Bearbetning av en felaktigt utformad teckensnittsfil kan ge upphov till godtycklig kodkörning

    Beskrivning: Ett minnesfel förekom i bearbetningen av typsnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.

    CVE-ID

    CVE-2016-1775: 0x1byte i samarbete med Trend Micros Zero Day Initiative (ZDI)

  • WebKit

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Att öppna skadligt webbinnehåll kan leda till godtycklig kodkörning

    Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2016-1778: 0x1byte i samarbete med Trend Micros Zero Day Initiative (ZDI) och Yang Zhao på CM Security

    CVE-2016-1783: Mihai Parparita på Google

  • WebKit

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En webbplats kan spåra känslig användarinformation

    Beskrivning: Ett problem förekom i hanteringen av URL-adresser för bilagor. Problemet har åtgärdats genom förbättrad URL-hantering.

    CVE-ID

    CVE-2016-1781: Devdatta Akhawe på Dropbox, Inc.

  • WebKit

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En webbplats kan spåra känslig användarinformation

    Beskrivning: En dold webbsida kan få åtkomst till enhetsorienterings- och enhetsrörelsedata. Problemet har åtgärdats genom att dessa data tillfälligt görs otillgängliga när webbvyn är dold.

    CVE-ID

    CVE-2016-1780: Maryam Mehrnezhad, Ehsan Toreini, Siamak F. Shahandashti och Feng Hao på School of Computing Science, Newcastle University, Storbritannien

  • WebKit

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Besök på en webbplats med skadligt innehåll kan leda till avslöjande av användarens nuvarande plats

    Beskrivning: Ett problem förekom i tolkningen av platsbestämningsförfrågningar. Detta åtgärdades genom förbättrad validering av säkerhetskällan för platsbestämningsförfrågningar.

    CVE-ID

    CVE-2016-1779: xisigr på Tencents Xuanwu Lab (http://www.tencent.com)

  • WebKit

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En webbplats med skadligt innehåll kan få åtkomst till skyddade portar på godtyckliga servrar

    Beskrivning: Ett problem med omdirigering av portar åtgärdades genom ytterligare portvalidering.

    CVE-ID

    CVE-2016-1782: Muneaki Nishimura (nishimunea) på Recruit Technologies Co.,Ltd.

  • WebKit

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Att öppna en uppsåtligt skapad URL kan leda till spridning av känslig användarinformation

    Beskrivning: Ett problem förekom vid URL-omdirigering när XSS Auditor användes i blockeringsläge. Problemet åtgärdades genom förbättrad URL-navigering.

    CVE-ID

    CVE-2016-1864: Takeshi Terada på Mitsui Bussan Secure Directions, Inc.

  • WebKit-historik

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Safari kraschar oväntat

    Beskrivning: Ett problem med resursbegränsning åtgärdades genom förbättrad indataverifiering.

    CVE-ID

    CVE-2016-1784: Moony Li och Jack Tang på TrendMicro och 李普君 på 无声信息技术PKAV Team (PKAV.net)

  • WebKits laddning av sidor

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Besök på en skadlig webbplats kan leda till att användargränssnittet förfalskas

    Beskrivning: Omdirigeringar kan ha gjort det möjligt för en webbplats med skadligt innehåll att visa en godtycklig URL-adress och läsa cachelagrat innehåll från destinationens ursprung. Problemet har åtgärdats genom förbättrad visningslogik för URL-adresser.

    CVE-ID

    CVE-2016-1786: ma.la på LINE Corporation

  • WebKits laddning av sidor

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En webbplats med skadligt innehåll kan komma åt data från flera källor

    Beskrivning: Ett cachelagringsproblem förekom vid teckenkodning. Det åtgärdades genom ytterligare kontroll av förfrågningar.

    CVE-ID

    CVE-2016-1785: En anonym forskare

  • Wi-Fi

    Tillgängligt för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En angripare med en privilegierad nätverksposition kan orsaka godtycklig kodkörning

    Beskrivning: Ett ramvaliderings- och minnesproblem förekom för en given ethertype. Problemet har åtgärdats genom ytterligare ethertype-validering och förbättrad minneshantering.

    CVE-ID

    CVE-2016-0801: En anonym forskare

    CVE-2016-0802: En anonym forskare

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: