为保护我们的客户,在未进行详尽调查并推出任何必要的修补程序或发行版本之前,Apple 不会公开、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息,请参阅“Apple 产品安全性”网站。
有关 Apple 产品安全性 PGP 密钥的信息,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。
如果可能,请使用 CVE ID 来查阅漏洞的详细信息。
要了解其他安全性更新,请参阅“Apple 安全性更新”。
iOS 9.2
AppleMobileFileIntegrity
适用于:iPhone 4s 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型
影响:恶意应用程序或许能够以系统权限执行任意代码
描述:访问控制问题已通过防止对访问控制结构进行修改得到解决。
CVE-ID
CVE-2015-7055:Apple
AppSandbox
适用于:iPhone 4s 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型
影响:撤销恶意应用程序对“通讯录”的访问后,恶意应用程序或许仍能对其进行访问
描述:沙盒在处理硬链接时存在问题。此问题已通过改进应用沙盒的强化得到解决。
CVE-ID
CVE-2015-7001:University POLITEHNICA of Bucharest 的 Razvan Deaconescu 和 Mihai Bucicoiu;North Carolina State University 的 Luke Deshotels 和 William Enck;TU Darmstadt 的 Lucas Vincenzo Davi 和 Ahmad-Reza Sadeghi
CFNetwork HTTPProtocol
适用于:iPhone 4s 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型
影响:拥有特权网络地位的攻击者也许能够绕开 HSTS
描述:URL 处理中存在输入验证问题。此问题已通过改进 URL 验证得到解决。
CVE-ID
CVE-2015-7094:Gehirn Inc. 的 Tsubasa Iinuma (@llamakko_cafe) 和 Muneaki Nishimura (nishimunea)
压缩
适用于:iPhone 4s 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型
影响:访问恶意制作的网站可能会导致任意代码执行
描述:zlib 中存在未初始化内存访问问题。此问题已通过改进内存初始化和对 zlib 流执行额外验证得到解决。
CVE-ID
CVE-2015-7054:j00ru
CoreGraphics
适用于:iPhone 4s 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型
影响:处理恶意制作的字体文件可能会导致任意代码执行
描述:处理字体文件时存在内存损坏问题。此问题已通过改进输入验证得到解决。
CVE-ID
CVE-2015-7105:John Villamil (@day6reak)、Yahoo Pentest Team
CoreMedia 播放
适用于:iPhone 4s 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型
影响:访问恶意制作的网站可能会导致任意代码执行
描述:处理格式错误的媒体文件时存在多个内存损坏问题。这些问题已通过改进内存处理得到解决。
CVE-ID
CVE-2015-7074:Apple
CVE-2015-7075
dyld
适用于:iPhone 4s 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型
影响:恶意应用程序或许能够以系统权限执行任意代码
描述:dyld 中存在多个段验证问题。这些问题已通过改进环境清理得到解决。
CVE-ID
CVE-2015-7072:Apple
CVE-2015-7079:PanguTeam
GPUTools 框架
适用于:iPhone 4s 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型
影响:恶意应用程序或许能够以系统权限执行任意代码
描述:Mobile Replayer 中存在多个路径验证问题。这些问题已通过改进环境清理得到解决。
CVE-ID
CVE-2015-7069:Luca Todesco (@qwertyoruiop)
CVE-2015-7070:Luca Todesco (@qwertyoruiop)
iBooks
适用于:iPhone 4s 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型
影响:解析恶意制作的 iBooks 文件可能会导致用户信息泄露
描述:iBooks 解析中存在 XML 外部实体引用问题。此问题已通过改进解析得到解决。
CVE-ID
CVE-2015-7081:Behrouz Sadeghipour (@Nahamsec) 和 Patrik Fehrenbach (@ITSecurityguard)
ImageIO
适用于:iPhone 4s 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型
影响:处理恶意制作的图像可能会导致任意代码执行
描述:ImageIO 中存在内存损坏问题。此问题已通过改进内存处理得到解决。
CVE-ID
CVE-2015-7053:Apple
IOHIDFamily
适用于:iPhone 4s 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型
影响:恶意应用程序或许能够以系统权限执行任意代码
描述:IOHIDFamily API 中存在多个内存损坏问题。这些问题已通过改进内存处理得到解决。
CVE-ID
CVE-2015-7111:BoB 的 beist 和 ABH
CVE-2015-7112:Google Project Zero 的 Ian Beer
IOKit SCSI
适用于:iPhone 4s 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型
影响:恶意应用程序或许能够以内核权限执行任意代码
描述:处理某个用户客户端类型时存在空指针取消引用。此问题已通过改进验证得到解决。
CVE-ID
CVE-2015-7068:Google Project Zero 的 Ian Beer
内核
适用于:iPhone 4s 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型
影响:本地应用程序或许能够导致服务遭拒
描述:多个服务遭拒问题已通过改进内存处理得到解决。
CVE-ID
CVE-2015-7040:奇虎 360 Vulcan Team 的 Lufeng Li
CVE-2015-7041:奇虎 360 Vulcan Team 的 Lufeng Li
CVE-2015-7042:奇虎 360 Vulcan Team 的 Lufeng Li
CVE-2015-7043:Tarjei Mandt (@kernelpool)
内核
适用于:iPhone 4s 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型
影响:本地用户或许能够以内核权限执行任意代码
描述:内核中存在多个内存损坏问题。这些问题已通过改进内存处理得到解决。
CVE-ID
CVE-2015-7083:Google Project Zero 的 Ian Beer
CVE-2015-7084:Google Project Zero 的 Ian Beer
内核
适用于:iPhone 4s 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型
影响:本地用户或许能够以内核权限执行任意代码
描述:解析 Mach 信息时存在问题。此问题已通过改进对 Mach 信息的验证得到解决。
CVE-ID
CVE-2015-7047:Google Project Zero 的 Ian Beer
LaunchServices
适用于:iPhone 4s 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型
影响:恶意应用程序或许能够以系统权限执行任意代码
描述:处理格式错误的 plist 时存在内存损坏问题。此问题已通过改进内存处理得到解决。
CVE-ID
CVE-2015-7113:Free Tools Association 的 Olivier Goguel
libarchive
适用于:iPhone 4s 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型
影响:访问恶意制作的网站可能会导致任意代码执行
描述:处理存档时存在内存损坏问题。此问题已通过改进内存处理得到解决。
CVE-ID
CVE-2011-2895:@practicalswift
libc
适用于:iPhone 4s 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型
影响:处理恶意制作的程序包可能会导致任意代码执行
描述:C 标准资源库中存在多个缓冲区溢出。这些问题已通过改进边界检查得到解决。
CVE-ID
CVE-2015-7038:E. W. Scripps 的 Brian D. Wells,Symantec Corporation/Veritas LLC 的 Narayan Subramanian
CVE-2015-7039:Maksymilian Arciemowicz (CXSECURITY.COM)
这个条目更新于 2017 年 3 月 3 日
libxml2
适用于:iPhone 4s 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型
影响:解析恶意制作的 XML 文稿可能会导致用户信息泄露
描述:解析 XML 文件时存在内存损坏问题。此问题已通过改进内存处理得到解决。
CVE-ID
CVE 2015 7115:南洋理工大学的 Wei Lei 和 Liu Yang
CVE 2015 7116:南洋理工大学的 Wei Lei 和 Liu Yang
MobileStorageMounter
适用于:iPhone 4s 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型
影响:恶意应用程序或许能够以系统权限执行任意代码
描述:载入信任缓存时存在定时问题。此问题已通过在载入信任缓存之前验证系统环境得到解决。
CVE-ID
CVE-2015-7051:PanguTeam
OpenGL
适用于:iPhone 4s 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型
影响:访问恶意制作的网站可能会导致任意代码执行
描述:OpenGL 中存在多个内存损坏问题。这些问题已通过改进内存处理得到解决。
CVE-ID
CVE-2015-7064:Apple
CVE-2015-7065:Apple
CVE-2015-7066:Palo Alto Networks 的 Tongbo Luo 和 Bo Qu
照片
适用于:iPhone 4s 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型
影响:攻击者或许能够使用备份系统来访问文件系统的限制区域
描述:移动备份中存在路径验证问题。此问题已通过改进环境清理得到解决。
CVE-ID
CVE-2015-7037:PanguTeam
QuickLook
适用于:iPhone 4s 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型
影响:打开恶意制作的 iWork 文件可能会导致任意代码执行
描述:处理 iWork 文件时存在内存损坏问题。此问题已通过改进内存处理得到解决。
CVE-ID
CVE-2015-7107
Safari
适用于:iPhone 4s 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型
影响:访问恶意网站可能会导致用户界面欺诈问题
描述:问题可能允许网站显示带有其他网站的 URL 的内容。此问题已通过改进 URL 处理得到解决。
CVE-ID
CVE-2015-7093:腾讯玄武实验室 (www.tencent.com) 的 xisigr
沙盒
适用于:iPhone 4s 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型
影响:具有 root 权限的恶意应用程序或许能够绕过内核地址空间布局随机化
描述:xnu 中存在权限隔离不足问题。此问题已通过改进授权检查得到解决。
CVE-ID
CVE-2015-7046:Apple
安全性
适用于:iPhone 4s 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型
影响:远程攻击者可能会导致应用程序意外终止或任意代码执行
描述:处理 SSL 握手时存在内存损坏问题。此问题已通过改进内存处理得到解决。
CVE-ID
CVE-2015-7073:ZeroC, Inc. 的 Benoit Foucher
安全性
适用于:iPhone 4s 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型
影响:恶意应用程序也许能够获得对用户钥匙串项目的访问权限
描述:钥匙串项目的访问权限控制列表验证存在问题。此问题已通过改进访问控制列表检查得到解决。
CVE-ID
CVE-2015-7058
Siri
适用于:iPhone 4s 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型
影响:具有 iOS 设备物理访问权限的人或许能够使用 Siri 阅读被设为不显示在锁定屏幕上的内容的通知
描述:向 Siri 提出请求时,服务器未检查客户端限制。此问题已通过改进限制检查得到解决。
CVE-ID
CVE-2015-7080:Or Safran (www.linkedin.com/profile/view?id=33912591)
WebKit
适用于:iPhone 4s 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型
影响:访问恶意制作的网站可能会导致任意代码执行
描述:WebKit 中存在多个内存损坏问题。这些问题已通过改进内存处理得到解决。
CVE-ID
CVE-2015-7048:Apple
CVE-2015-7095:Apple
CVE-2015-7096:Apple
CVE-2015-7097:Apple
CVE-2015-7098:Apple
CVE-2015-7099:Apple
CVE-2015-7100:Apple
CVE-2015-7101:Apple
CVE-2015-7102:Apple
CVE-2015-7103:Apple
WebKit
适用于:iPhone 4s 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型
影响:访问恶意制作的网站可能会泄露用户的浏览历史记录
描述:内容拦截中存在输入验证不足的问题。此问题已通过改进内容扩展解析得到解决。
CVE-ID
CVE-2015-7050:Luke Li 和 Jonathan Metzman