Om säkerhetsinnehållet i iOS 10

Det här dokumentet beskriver säkerhetsinnehållet i iOS 10.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

iOS 10

Släpptes 13 september 2016

AppleMobileFileIntegrity

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett lokalt program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett valideringsproblem förekom i arvspolicyn för uppdragsportar. Det här problemet åtgärdades genom förbättrad validering av processbehörighet och team-ID.

CVE-2016-4698: Pedro Vilaça

Posten lades till 20 september 2016

Resurser

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: En angripare med en privilegierad nätverksposition kan hindra en enhet från att ta emot programvaruuppdateringar

Beskrivning: Det fanns ett problem i iOS-uppdateringarna som gjorde att användarnas kommunikation inte var säker. Problemet åtgärdades genom att använda HTTPS för programvaruuppdateringar.

CVE-2016-4741: Raul Siles på DinoSec

Ljud

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: En fjärrangripare kan köra opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park och Taekyoung Kwon på Information Security Lab, Yonsei University

Posten lades till 20 september 2016

Certifierad förtroendepolicy

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Uppdatering av den certifierade förtroendepolicyn

Beskrivning: Den certifierade förtroendepolicyn uppdaterades. Du kan läsa den fullständiga listan över certifikat på http://support.apple.com/sv-se/HT204132.

Posten lades till 20 september 2016

CFNetwork

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Det kan hända att en lokal användare kan se vilka webbplatser som en användare har besökt

Beskrivning: Det förekom ett problem med radering av lokal lagring. Problemet åtgärdades genom förbättrad rensning av lokal lagring.

CVE-2016-4707: en anonym forskare

Posten lades till 20 september 2016

CFNetwork

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att användarinformation hamnar i orätta händer

Beskrivning: Ett indatavalideringsfel förekom i tolkningen av rubriken ”Ange cookie”. Problemet åtgärdades genom förbättrad valideringskontroll.

CVE-2016-4708: Dawid Czagan på Silesia Security Lab

Posten lades till 20 september 2016

CommonCrypto

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett program som använder CCrypt kan avslöja känslig plaintext om utgångs- och ingångsbufferten är densamma

Beskrivning: Ett indatavalideringsproblem förekom i corecrypto. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2016-4711: Max Lohrmann

Posten lades till 20 september 2016

CoreCrypto

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett program kan köra opålitlig kod

Beskrivning: Ett fel med skrivning utanför gränserna åtgärdades genom borttagning av den sårbara koden.

CVE-2016-4712: Gergo Koteles

Posten lades till 20 september 2016

FontParser

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av ett typsnitt med skadligt innehåll kan leda till att processminnet avslöjas

Beskrivning: Ett buffertspill förekom i hanteringen av typsnittsfiler.

Problemet åtgärdades med förbättrad kontroll av gränserna.

CVE-2016-4718: Apple

Posten lades till 20 september 2016

GeoServices

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett program kan läsa känslig platsinformation

Beskrivning: Det fanns ett behörighetsproblem i PlaceData. Problemet har åtgärdats genom förbättrad behörighetsvalidering.

CVE-2016-4719: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

IDS – Anslutningar

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: En angripare i en privilegierad nätverksposition kan orsaka ett dos-angrepp

Beskrivning: Ett problem med omstyrning förekom i hanteringen av samtalsreläet. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2016-4722: Martin Vigo (@martin_vigo) på salesforce.com

Posten lades till 20 september 2016

IOAcceleratorFamily

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: En nullpekarreferens åtgärdades genom förbättrad indatavalidering.

CVE-2016-4724: Cererdlong, Eakerqiu på Team OverSky

Posten lades till 20 september 2016

IOAcceleratorFamily

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att processminnet visas

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2016-4725: Rodger Combs från Plex, Inc.

Posten lades till 20 september 2016

IOAcceleratorFamily

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2016-4726: en anonym forskare

Posten lades till 20 september 2016

Kernel

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett lokalt program kan få tillgång till begränsade filer

Beskrivning: Ett tolkningsfel i hanteringen av katalogsökvägar åtgärdades genom förbättrad sökvägsvalidering.

CVE-2016-4771: Balazs Bucsay, Research Director på MRG Effitas

Posten lades till 20 september 2016

Kernel

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: Ett låshanteringsfel åtgärdades genom förbättrad låshantering.

CVE-2016-4772: Marc Heuse på mh-sec

Posten lades till 20 september 2016

Kernel

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett program kan ta reda på layouten för kärnminnet

Beskrivning: Det förekom ett flertal problem med läsning utanför gränserna som ledde till att kärnminne avslöjades. Problemen har åtgärdats genom förbättrad indatavalidering.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Posten lades till 20 september 2016

Kernel

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: En obetrodd pekarreferens åtgärdades genom borttagning av den berörda koden.

CVE-2016-4777: Lufeng Li på Qihoo 360 Vulcan Team

Posten lades till 20 september 2016

Kernel

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2016-4778: CESG

Posten lades till 20 september 2016

Tangentbord

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Förslag från tangentbordets autokorrigering kan avslöja känslig information

Beskrivning: iOS-tangentbordet cachade oavsiktligen känslig information. Problemet åtgärdades genom förbättrad heuristik.

CVE-2016-4746: Antoine M på France

libxml2

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Flera problem förekom i libxml2. Det allvarligaste av dessa kunde leda till oväntad programavslutning eller körning av opålitlig kod.

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

Posten lades till 20 september 2016

libxslt

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2016-4738: Nick Wellnhofer

Posten lades till 20 september 2016

Mail

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: En angripare med en privilegierad nätverksposition kan påverka inloggningsuppgifter

Beskrivning: Det fanns ett problem i hanteringen av obetrodda certifikat. Problemet åtgärdades genom att avsluta obetrodda anslutningar.

CVE-2016-4747: Dave Aitel

Meddelanden

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Meddelanden kan visas på en enhet som inte loggats in i Meddelanden

Beskrivning: Det fanns ett problem med Handoff för Meddelanden. Problemet åtgärdades genom bättre statushantering.

CVE-2016-4740: Step Wallace

UIKit för utskrift

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Icke krypterade dokument kan skrivas till en tillfällig fil vid förhandsvisning med AirPrint

Beskrivning: Det fanns ett problem med AirPrint-förhandsvisningen. Problemet åtgärdades genom förbättrad sanering av miljön.

CVE-2016-4749: Scott Alexander (@gooshy)

Posten uppdaterades 12 september 2018

S2-kamera

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2016-4750: Jack Tang (@jacktang310) och Moony Li på Trend Micro i samarbete med Trend Micros Zero Day Initiative

Posten lades till 20 september 2016

Safari-läsaren

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Aktivering av funktionen Safari-läsaren på en webbsida med skadligt innehåll kan leda till en universell skriptkörning mellan flera sajter

Beskrivning: Flera valideringsproblem åtgärdades genom förbättrad indatasanering.

CVE-2016-4618: Erling Ellingsen

Lades till 20 september 2016 och uppdaterades 23 september 2016.

Sandlådeprofiler

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett skadligt program kan användas för att avgöra vem en användare skickar sms till

Beskrivning: Det fanns ett problem med åtkomstkontrollen i utkastkatalogerna för sms. Problemet åtgärdades genom att hindra appar från att påverka de berörda katalogerna.

CVE-2016-4620: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Säkerhet

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett valideringsproblem förekom i signerade skivavbilder. Problemet åtgärdades genom förbättrad storleksvalidering.

CVE-2016-4753: Mark Mentovai på Google Inc.

Posten lades till 20 september 2016

Hemskärm

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Känsliga data kunde exponeras i programögonblicksbilder som visades i programväxlaren

Beskrivning: Ett problem förekom i Springboard, som inte dolde cachade ögonblicksbilder innehållande känsliga data i programväxlaren. Problemet åtgärdades genom att visa uppdaterade ögonblicksbilder.

CVE-2016-7759: Fatma Yılmaz på Ptt Genel Müdürlüğü från Ankara

Lades till 17 januari 2017

WebKit

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett tolkningsproblem förekom i hanteringen av problemprototyper. Problemet åtgärdades genom förbättrad validering.

CVE-2016-4728: Daniel Divricean

Posten lades till 20 september 2016

WebKit

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Besök på en webbplats med skadligt innehåll kan läcka känsliga data

Beskrivning: Ett behörighetsproblem förekom i hanteringen av platsvariabeln. Det åtgärdades genom ytterligare ägarskapskontroller.

CVE-2016-4758: Masato Kinugawa från Cure53

Posten lades till 20 september 2016

WebKit

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2016-4611: Apple

CVE-2016-4729: Apple

CVE-2016-4730: Apple

CVE-2016-4731: Apple

CVE-2016-4734: Natalie Silvanovich på Google Project Zero

CVE-2016-4735: André Bargull

CVE-2016-4737: Apple

CVE-2016-4759: Tongbo Luo på Palo Alto Networks

CVE-2016-4762: Zheng Huang från Baidu Security Lab

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: En anonym person i samarbete med Trend Micros Zero Day Initiative

Posten lades till 20 september 2016

WebKit

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: En webbplats med skadligt innehåll kan få åtkomst till icke-HTTP-tjänster

Beskrivning: Safaris stöd för HTTP/0.9 tillät exploatering av icke-HTTP-tjänster med DNS-ombindning genom protokoll över flera platser. Det här problemet åtgärdades genom att begränsa HTTP/0.9-svar på standardportar och blockera inläsning av resurser om dokumentet lästes in med en annan HTTP-protokollversion.

CVE-2016-4760: Jordan Milne

Posten lades till 20 september 2016

WebKit

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2016-4733: Natalie Silvanovich på Google Project Zero

CVE-2016-4765: Apple

Posten lades till 20 september 2016

WebKit

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: En angripare med en privilegierad nätverksposition kan påverka nätverkstrafik för program som använder WKWebView med HTTPS

Beskrivning: Det fanns ett valideringsproblem vid hanteringen av WKWebView. Problemet har åtgärdats genom förbättrad validering.

CVE-2016-4763: En anonym forskare

Posten lades till 20 september 2016

WebKit

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen eller senare, iPod touch 6:e generationen eller senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2016-4764: Apple

Posten lades till 3 november 2016

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: