Om säkerhetsinnehållet i iOS 10.1

Det här dokumentet beskriver säkerhetsinnehållet i iOS 10.1.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga buggfixar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

iOS 10.1

Släpptes 24 oktober 2016

AppleMobileFileIntegrity

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: En signerad körbar fil kan ersätta kod med samma team-ID

Beskrivning: Ett valideringsproblem förekom i hanteringen av kodsignaturer. Problemet har åtgärdats genom ytterligare validering.

CVE-2016-7584: Mark Mentovai och Boris Vidolov på Google Inc.

Lades till 6 december 2016

CFNetwork Proxies

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: En angripare med privilegierad nätverksposition kan läcka känslig användarinformation

Beskrivning: Ett problem med nätfiske förekom i hanteringen av inloggningsuppgifter till proxyn. Problemet åtgärdades genom att ta bort oönskade uppmaningar om att autentisera lösenord för proxyservern.

CVE-2016-7579: Jerry Decime

Kontakter

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: Ett program kan få åtkomst till Adressboken efter att åtkomsten nekats i Inställningar

Beskrivning: Ett problem med åtkomstkontroll i Adressboken åtgärdades genom förbättrad validering av fillänken.

CVE-2016-4686: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

CoreGraphics

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: Visning av en skadlig JPEG-fil kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2016-4673: Marco Grassi (@marcograss) på KeenLab (@keen_lab), Tencent

FaceTime

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: En angripare med en privilegierad nätverksposition kan göra så att ett överfört samtal fortsätter att skicka ljud men visas som att samtalet är avslutat

Beskrivning: Inkonsekvenser i gränssnittet förekom i hanteringen av överförda samtal. Problemen åtgärdades genom förbättrad logik för protokollet.

CVE-2016-7577: Martin Vigo (@martin_vigo) på salesforce.com

Information lades till 27 oktober 2016

FontParser

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: Tolkning av ett skadligt typsnitt kan avslöja känslig användarinformation

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad kontroll av gränserna.

CVE-2016-4660: Ke Liu på Tencents Xuanwu Lab

FontParser

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: Bearbetning av en skadlig teckensnittsfil kan leda till körning av opålitlig kod 

Beskrivning: Ett buffertspill förekom i hanteringen av typsnittsfiler. Problemet åtgärdades genom förbättrad gränskontroll.

CVE-2016-4688: Simon Huang på företaget Alipay, thelongestusernameofall@gmail.com

Information lades till 27 november 2016

IDS – Anslutningar

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: En angripare i en privilegierad nätverksposition kan lura en användare i ett flerpartssamtal att de talar med en annan part

Beskrivning: Ett problem med imitation förekom i hanteringen av samtalsväxling. Problemet åtgärdades genom förbättrad hantering av ”switch caller”-meddelanden.

CVE-2016-4721: Martin Vigo (@martin_vigo) på salesforce.com

Information lades till 27 oktober 2016

iTunes-säkerhetskopiering

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: En angripare med tillgång till en krypterad iTunes-säkerhetskopia kan komma fram till vad som är lösenordet till säkerhetskopian

Beskrivning: Det förekom en svaghet med lösenordshashning i hanteringen av krypterade iTunes-säkerhetskopior. Problemet åtgärdades genom att den svaga hashningen togs bort.

CVE-2016-4685: Elcomsoft

Lades till 14 november 2016

Kärna

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: En lokal användare kan orsaka oväntad systemavslutning eller körning av opålitlig kod i kärnan

Beskrivning: Flera problem med indatavalidering förekom i MIG-genererad kod. Dessa problem åtgärdades genom förbättrad validering.

CVE-2016-4669: Ian Beer på Google Project Zero

Informationen uppdaterades 2 november 2016

Kärna

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: Ett program kan avslöja kärnminnet

Beskrivning: Ett valideringsproblem hanterades genom förbättrad inmatningssanering.

CVE-2016-4680: Max Bazaliy på Lookout och in7egral

Kärna

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: Ett lokalt program kan köra opålitlig kod med rotbehörigheter

Beskrivning: Flera problem med objektens livslängd förekom vid skapande av nya processer. Dessa åtgärdades genom förbättrad validering.

CVE-2016-7613: Ian Beer på Google Project Zero

Information lades till 1 november 2016

libarchive

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: Ett skadligt arkiv kan skriva över opålitliga filer

Beskrivning: Det förekom ett problem med logiken för validering av sökvägar för symlänkar. Problemet åtgärdades genom förbättrad sökvägssanering.

CVE-2016-4679: Omer Medan på enSilo Ltd

libxpc

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: Ett program kan köra opålitlig kod med rotbehörigheter

Beskrivning: Ett logiskt problem åtgärdades genom ytterligare begränsningar.

CVE-2016-4675: Ian Beer på Google Project Zero

Safari

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: En skadlig webbplats kan leda till att tjänsten nekas

Beskrivning: Ett problem med tjänster som nekades åtgärdades genom förbättrad URL-hantering.

CVE-2016-7581: Sabri Haddouche (@pwnsdx)

Informationen uppdaterades 1 december 2016

Sandlådeprofiler

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: Ett program kan hämta metadata för bildkataloger

Beskrivning: Ett åtkomstproblem åtgärdades med ytterligare sandlådebegränsningar för program från tredje part.

CVE-2016-4664: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Sandlådeprofiler

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: Ett program kan hämta metadata för ljudinspelningskataloger

Beskrivning: Ett åtkomstproblem åtgärdades med ytterligare sandlådebegränsningar för program från tredje part.

CVE-2016-4665: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Säkerhet

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: En lokal angripare kan observera längden på ett inloggningslösenord när en användare loggar in

Beskrivning: Ett loggningsproblem förekom i hanteringen av lösenord. Problemet åtgärdades genom att loggningen av lösenordslängd togs bort.

CVE-2016-4670: Daniel Jalkut på Red Sweater Software

WebKit

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2016-4666: Apple

CVE-2016-4677: En anonym forskare i samarbete med Trend Micros Zero Day Initiative

WebKit

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2016-7578: Apple

Information lades till 27 oktober 2016

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: