Apple verhelpt kwetsbaarheden in iOS

Apple verhelpt meerdere kwetsbaarheden in iOS.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.01 #############################

Titel           : Apple verhelpt kwetsbaarheden in iOS
Advisory ID     : NCSC-2016-0816
Versie          : 1.01
Kans            : medium
CVE ID          : CVE-2016-4611, CVE-2016-4618, CVE-2016-4620,
                  CVE-2016-4658, CVE-2016-4698, CVE-2016-4702,
                  CVE-2016-4707, CVE-2016-4708, CVE-2016-4711,
                  CVE-2016-4712, CVE-2016-4718, CVE-2016-4719,
                  CVE-2016-4722, CVE-2016-4724, CVE-2016-4725,
                  CVE-2016-4726, CVE-2016-4728, CVE-2016-4729,
                  CVE-2016-4730, CVE-2016-4731, CVE-2016-4733,
                  CVE-2016-4734, CVE-2016-4735, CVE-2016-4737,
                  CVE-2016-4738, CVE-2016-4740, CVE-2016-4741,
                  CVE-2016-4746, CVE-2016-4747, CVE-2016-4749,
                  CVE-2016-4750, CVE-2016-4753, CVE-2016-4758,
                  CVE-2016-4759, CVE-2016-4760, CVE-2016-4762,
                  CVE-2016-4763, CVE-2016-4765, CVE-2016-4766,
                  CVE-2016-4767, CVE-2016-4768, CVE-2016-4771,
                  CVE-2016-4772, CVE-2016-4773, CVE-2016-4774,
                  CVE-2016-4776, CVE-2016-4777, CVE-2016-4778,
                  CVE-2016-5131
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Cross-Site Scripting (XSS)
                  Denial-of-Service (DoS)
                  Omzeilen van beveiligingsmaatregel
                  Spoofing
                  Toegang tot gevoelige gegevens
                  Toegang tot systeemgegevens
Uitgiftedatum   : 20160921
Toepassing      : Apple iPad
                  Apple iPhone
                  Apple iPod Touch
Versie(s)       : 
Platform(s)     : Apple iOS < 10.0.1

Update
   Apple heeft met de update voor iOS 10 meer kwetsbaarheden verholpen
   dan initieel bekend is gemaakt.

Samenvatting
   Apple verhelpt meerdere kwetsbaarheden in iOS.

Gevolgen
   Een kwaadwillende kan de kwetsbaarheden mogelijk misbruiken voor
   - het veroorzaken van een Denial-of-Service;
   - het verkrijgen van toegang tot gevoelige gegevens of
   systeeminformatie;
   - het uitvoeren van willekeurige code;
   - cross-site-scripting.

Beschrijving
   - CVE-2016-5131, CVE-2016-4658
   Een kwetsbaarheid in libxml12 stelt een kwaadwillende mogelijk in
   staat om een Denial-of-Service van de applicatie te veroorzaken of
   willekeurige code uit te voeren.
   
   - CVE-2016-4778
   Een kwetsbaarheid stelt een kwaadwillende mogelijk in staat om
   willekeurige code uit te voeren onder de rechten van de kernel.
   
   - CVE-2016-4777
   Een kwetsbaarheid stelt een kwaadwillende mogelijk in staat om
   willekeurige code uit te voeren onder de rechten van de kernel.
   
   - CVE-2016-4776
   Meerdere out-of-bounds-read-kwetsbaarheden stellen een kwaadwillende
   mogelijk in staat om het kernel-geheugen uit te lezen. 
   
   - CVE-2016-4774
   Meerdere out-of-bounds-read-kwetsbaarheden stellen een kwaadwillende
   mogelijk in staat om het kernel-geheugen uit te lezen. 
   
   - CVE-2016-4773
   Meerdere out-of-bounds-read-kwetsbaarheden stellen een kwaadwillende
   mogelijk in staat om het kernel-geheugen uit te lezen. 
   
   - CVE-2016-4772
   Een kwetsbaarheid stelt een kwaadwillende mogelijk in staat om een
   Denial-of-Service te veroorzaken.
   
   - CVE-2016-4771
   Door een parseerfout in het afhandelen van paden is het voor een
   kwaadwillende applicatie mogelijk om toegang te verkrijgen tot
   bestanden waar de applicatie geen rechten toe heeft.
   
   - CVE-2016-4768, CVE-2016-4767, CVE-2016-4766, CVE-2016-4765
   CVE-2016-4762, CVE-2016-4759, CVE-2016-4737, CVE-2016-4735,
   CVE-2016-4734, CVE-2016-4733, CVE-2016-4731, CVE-2016-4730,
   CVE-2016-4729, CVE-2016-4611
   Het verwerken van een malafide web-content kan ertoe leiden dat er
   willekeurige code wordt uitgevoerd.
   
   - CVE-2016-4760
   Door Safari's ondersteuning van HTTP/0.9 kan een malafide webpagina
   mogelijk toegang verkrijgen tot niet-HTTP services. 
   
   - CVE-2016-4758
   Het bezoeken van een malafide website kan mogelijk leiden tot het
   lekken van gevoelige informatie. 
   
   - CVE-2016-4753
   Een kwetsbaarheid in het valideren van ondertekende disk-images
   stelt een malafide applicatie mogelijk in staat om willekeurige code
   uit te voeren met systeemrechten.
   
   - CVE-2016-4750
   Een memory-corruption-kwetsbaarheid stelt een malafide applicatie
   mogelijk in staat om willekeurige code uit te voeren met de rechten
   van de kernel. 
   
   - CVE-2016-4749
   Bij gebruik van AirPrint preview kan een document onversleuteld
   worden opgeslagen in een tijdelijk bestand.
   
   - CVE-2016-4747
   Onjuiste afhandeling van niet-vertrouwde certificaten kan een
   kwaadwillende op het lokale netwerk in staat stellen om
   gebruikers-credentials te verkrijgen.
   
   - CVE-2016-4746
   Autocorrectsuggesties van Keyboard kunnen gevoelige informatie
   tonen.
   
   - CVE-2016-4741
   Een kwetsbaarheid in Assets kan een kwaadwillende op het lokale
   netwerk in staat stellen om softwareupdates te blokkeren op het
   apparaat.
   
   - CVE-2016-4740
   Een kwetsbaarheid in Handoff voor Messages kan een kwaadwillende in
   staat stellen om berichten te lezen terwijl de gebruiker niet in
   Messages is ingelogd.
   
   - CVE-2016-4738
   Door een memory-corruption-kwetsbaarheid leidt het verwerken van
   malafide web-content mogelijk tot het uitvoeren van willekeurige
   code. 
   
   - CVE-2016-4728
   Door een parseerfout in het afhandelen van error prototypes leidt
   het verwerken van malafide web-content mogelijk tot het uitvoeren
   van willekeurige code.
   
   - CVE-2016-4726
   Door een memory-corruption-kwetsbaarheid kan een malafide applicatie
   mogelijk willekeurige code uitvoeren met de rechten van de kernel.
   
   - CVE-2016-4725
   Door een memory-corruption-kwetsbaarheid leidt het verwerken van
   malafide web-content mogelijk tot het lekken van informatie uit het
   procesgeheugen.
   
   - CVE-2016-4724
   Een null-pointer-deference-kwetsbaarheid stelt een malafide
   applicatie mogelijk in staat om willekeurige code uit te voeren met
   de rechten van de kernel.
   
   - CVE-2016-4722
   Een kwaadwillende met rechten binnen het netwerk kan mogelijk een
   Denial-of-Service veroorzaken.
   
   - CVE-2016-4719
   Onjuiste permissies in PlaceData van GeoServices kunnen een
   kwaadwillende in staat stellen om gevoelige locatieinformatie te
   verkrijgen.
   
   - CVE-2016-4718
   Een buffer-overflow-kwetsbaarheid in het verwerken van lettertypes
   kan mogelijk leiden tot het lekken van informatie uit het
   procesgeheugen.
   
   - CVE-2016-4712
   Een out-of-bounds-write-kwetsbaarheid stelt een malafide applicatie
   mogelijk in staat om willekeurige code uit te voeren.
   
   - CVE-2016-4708
   Door een kwetsbaarheid in het parseren van set-cookie headers is het
   mogelijk dat het verwerken van malafide web-content leidt tot het
   lekken van gebruikersinformatie.
   
   - CVE-2016-4707
   Een kwetsbaarheid stelt een lokale kwaadwillende mogelijk in staat
   om te ontdekken welke websites zijn bezocht door een gebruiker. 
   
   - CVE-2016-4702
   Een memory-corruption-kwetsbaarheid stelt een kwaadwillende op
   afstand mogelijk in staat om willekeurige code uit te voeren.
   
   - CVE-2016-4698
   Een validatie-kwetsbaarheid stelt een malafide applicatie mogelijk
   in staat om willekeurige code uit te voeren met systeemrechten.
   
   - CVE-2016-4620
   Een kwetsbaarheid in Sandbox Profiles kan een kwaadwillende in staat
   stellen om met een malafide applicatie informatie te verkrijgen over
   met wie een gebruiker aan het SMS'en is.
   
   - CVE-2016-4618
   Het activeren van de Safari Reader op een malafide website kan
   mogelijk leiden tot universele cross-site-scripting.

Mogelijke oplossingen
   -= Apple =-
   Apple heeft IOS 10.0.1 beschikbaar gesteld om de kwetsbaarheden te
   verhelpen. Deze update bevat ook alle patches voor de kwetsbaarheden
   die in IOS 10 zijn opgelost. Voor meer informatie zie:
   https://support.apple.com/en-us/HT207145
   
   Voor meer informatie over de kwetsbaarheden die in IOS 10 zijn
   opgelost zie: https://support.apple.com/en-us/HT207143

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8
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=7sVS
-----END PGP SIGNATURE-----

Wat is het NCSC?

CSBN 2018

Nederland digitaal veilig