Informationen zum Sicherheitsinhalt von iOS 11

In diesem Dokument wird der Sicherheitsinhalt von iOS 11 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit. Deine Kommunikation mit Apple kannst du mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

iOS 11

802.1X

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer kann Schwachstellen in TLS 1.0 ausnutzen

Beschreibung: Ein Problem mit der Protokollsicherheit wurde durch Aktivieren von TLS 1.1 und TLS 1.2 behoben.

CVE-2017-13832: Doug Wussler von der Florida State University

APNs

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann die Aktivitäten eines Benutzers nachverfolgen.

Beschreibung: Bei der Verwendung von Client-Zertifikaten bestand ein Problem mit dem Datenschutz. Dieses Problem wurde durch ein überarbeitetes Protokoll behoben.

CVE-2017-13863: FURIOUSMAC Team von der United States Naval Academy

Bluetooth

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Anwendung kann möglicherweise auf zugriffsbeschränkte Dateien zugreifen

Beschreibung: Bei der Verarbeitung von Kontaktkarten bestand ein Datenschutzproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-7131: Dominik Conrads vom Bundesamt für Sicherheit in der Informationstechnik, ein anonymer Forscher, Anand Kathapurkar aus Indien, Elvis (@elvisimprsntr)

CFNetwork

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13829: Niklas Baumstark und Samuel Groß in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-13833: Niklas Baumstark und Samuel Groß in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CFNetwork-Proxys

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer an einer privilegierten Netzwerkposition kann einen Denial-of-Service verursachen

Beschreibung: Mehrere Denial-of-Service-Probleme wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7083: Abhinav Bansal von Zscaler Inc.

CFString

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate

CoreAudio

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen

Beschreibung: Ein Lesevorgang außerhalb der Speicherbegrenzungen wurde durch Aktualisieren auf die Opus-Version 1.1.4 behoben.

CVE-2017-0381: V.E.O (@VYSEa) vom Mobile Threat Research Team, Trend Micro

CoreText

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate

Exchange ActiveSync

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann ein Gerät während der Einrichtung eines Exchange-Accounts löschen

Beschreibung: In AutoDiscover V1 bestand ein Überprüfungsproblem. Dieses Problem wurde behoben, indem TLS nun für AutoDiscover V1 vorausgesetzt wird. AutoDiscover V2 wird nun unterstützt.

CVE-2017-7088: Ilya Nesterov, Maxim Goncharov

file

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Mehrere Probleme in file

Beschreibung: Mehrere Probleme wurden durch ein Update auf Version 5.31 behoben.

CVE-2017-13815: Gefunden von OSS-Fuzz

Fonts

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Das Rendern von nicht vertrauenswürdigem Text kann zu Spoofing führen

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-13828: Leonard Grey und Robert Sesek von Google Chrome

Heimdal

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer an einer privilegierten Netzwerkposition kann die Identität eines Diensts annehmen

Beschreibung: Bei der Verarbeitung des KDC-REP-Dienstnamens bestand ein Validierungsproblem. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni und Nico Williams

HFS

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13830: Sergej Schumilo von der Ruhr-Universität Bochum

iBooks

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Analyse einer in böser Absicht erstellten iBooks-Datei kann zu einem dauerhaften Denial-of-Service führen

Beschreibung: Mehrere Denial-of-Service-Probleme wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7072: Jędrzej Krysztofiak

ImageIO

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate

ImageIO

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zu einem Denial-of-Service führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-13831: Glen Carmichael

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7114: Alex Plaskett von MWR InfoSecurity

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein lokaler Benutzer kann den Kernel-Speicher auslesen

Beschreibung: Es bestand ein Problem, das den Zugriff auf Speicher außerhalb des zugewiesenen Bereichs ermöglichte. Dies führte dazu, dass Inhalte des Kernelspeichers offengelegt wurden. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-13817: Maxime Villard (m00nbsd)

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-13818: Britisches National Cyber Security Centre (NCSC)

CVE-2017-13836: Vlad Tsyrklevich

CVE-2017-13841: Vlad Tsyrklevich

CVE-2017-13840: Vlad Tsyrklevich

CVE-2017-13842: Vlad Tsyrklevich

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13843: Ein anonymer Forscher, ein anonymer Forscher

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13854: shrek_wzw vom Qihoo 360 Nirvan Team

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung einer fehlerhaft erstellten Mach-Binärdatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-13834: Maxime Villard (m00nbsd)

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Schadprogramm kann Informationen zur Installation und Ausführung von anderen Programmen auf dem Gerät auslesen.

Beschreibung: Ein Programm hatte unbeschränkten Zugriff auf Informationen zur Netzwerkaktivität des Betriebssystems. Das Problem wurde behoben, indem der Zugang zu Informationen für Drittanbieterprogramme eingeschränkt wurde.

CVE-2017-13873: Xiaokuan Zhang und Yinqian Zhang von der Ohio State University, Xueqiang Wang und Xiaofeng Wang von der Indiana University Bloomington und Xiaolong Bai von der Tsinghua University

Tastaturvorschläge

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Autokorrekturvorschläge der Tastatur können ggf. vertrauliche Daten offenlegen

Beschreibung: Die iOS-Tastatur speicherte versehentlich vertrauliche Daten im Cachespeicher. Dieses Problem wurde durch verbesserte Heuristik behoben.

CVE-2017-7140: Agim Allkanjari von Stream in Motion Inc.

libarchive

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Das Entpacken eines in böser Absicht erstellten Archivs kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13813: Gefunden von OSS-Fuzz

CVE-2017-13816: Gefunden von OSS-Fuzz

libarchive

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Das Entpacken eines in böser Absicht erstellten Archivs kann zur Ausführung willkürlichen Codes führen

Beschreibung: In libarchive kam es zu mehreren Speicherfehlern. Diese Probleme wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-13812: Gefunden von OSS-Fuzz

libc

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein entfernter Angreifer kann einen Denial-of-Service verursachen

Beschreibung: Es wurde ein Problem mit der Ressourcenausschöpfung in glob() durch einen verbesserten Algorithmus behoben.

CVE-2017-7086: Russ Cox von Google

libc

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann einen Denial-of-Service verursachen

Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-1000373

libexpat

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Mehrere Probleme in expat

Beschreibung: Mehrere Probleme wurden durch das Update auf Version 2.2.1 behoben.

CVE-2016-9063

CVE-2017-9233

libxml2

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten XML-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7376: Ein anonymer Forscher

CVE-2017-5130: Ein anonymer Forscher

libxml2

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten XML-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-9050: Mateusz Jurczyk (j00ru) von Google Project Zero

libxml2

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten XML-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-9049: Wei Lei und Liu Yang - Nanyang Technological University in Singapur

libxml2

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten XML-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Problem mit einem Rückverweis auf einen Nullzeiger wurde durch eine verbesserte Überprüfung behoben.

CVE-2018-4302: Gustavo Grieco

Location Framework

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Anwendung kann ggf. vertrauliche Standortdaten lesen

Beschreibung: Bei der Verarbeitung der Location-Variable bestand ein Problem mit Berechtigungen. Dieses Problem wurde durch zusätzliche Eigentümerschaftsüberprüfungen behoben.

CVE-2017-7148: Igor Makarov von Moovit, Will McGinty und Shawnna Rodriguez von Bottle Rocket Studios

E-Mail-Entwürfe

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer mit privilegierter Netzwerkposition kann ggf. E-Mail-Inhalte abfangen

Beschreibung: Bei der Verarbeitung von E-Mail-Entwürfen bestand ein Verschlüsselungsproblem. Dieses Problem wurde durch eine verbesserte Verarbeitung von E-Mail-Anhängen behoben, die verschlüsselt werden sollten.

CVE-2017-7078: Petter Flink, Pierre ALBARÈDE aus Marseille (Frankreich), ein anonymer Forscher

Mail MessageUI

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zu einem Denial-of-Service führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-7097: Xinshu Dong und Jun Hao Tan von Anquan Capital

Nachrichten

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zu einem Denial-of-Service führen

Beschreibung: Das Denial-of-Service-Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-7118: Kiki Jiang und Jason Tokoph

MobileBackup

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Durch "Backup" wird ein unverschlüsseltes Backup erstellt, obwohl es eine Voraussetzung gibt, nur verschlüsselte Backups zu erstellen

Beschreibung: Es bestand ein Problem mit Berechtigungen. Dieses Problem wurde durch eine verbesserte Berechtigungsüberprüfung behoben.

CVE-2017-7133: Don Sparks von HackediOS.com

Hinweise

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein lokaler Nutzer kann vertrauliche Benutzerdaten preisgeben

Beschreibung: Die Inhalte gesperrter Notizen erschienen manchmal in den Suchergebnissen. Dieses Problem wurde durch eine verbesserte Datenbereinigung behoben.

CVE-2017-7075: Richard Will von der Marathon Oil Company

Telefon

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Beim Sperren von iOS-Geräten wird möglicherweise ein Bildschirmfoto von sicheren Inhalten aufgenommen

Beschreibung: Beim Sperrvorgang trat ein Problem mit dem Zeitverhalten auf. Dieses Problem wurde behoben, indem die Bildschirmfoto-Funktion beim Sperren deaktiviert wurde.

CVE-2017-7139: Ein anonymer Forscher

Profile

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Datensätze zur Gerätekopplung konnten unbeabsichtigt auf einem Gerät installiert werden, wenn ein Profil installiert wurde, das eine Kopplung unterbindet.

Beschreibung: Kopplungen wurden nicht entfernt, wenn ein Profil installiert wurde, das eine Kopplung unterbindet. Dieses Problem wurde durch Entfernen von Kopplungen, die in Konflikt mit dem Konfigurationsprofil stehen, behoben.

CVE-2017-13806: Rorie Hood von MWR InfoSecurity

Übersicht

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate

Übersicht

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Analyse eines in böser Absicht erstellten Office-Dokuments kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate

Safari

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu URL-Spoofing führen

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-7085: xisigr vom Xuanwu Lab von Tencent (www.tencent.com)

Sandbox-Profile

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Schadprogramm kann Informationen zur Installation von anderen Programmen auf dem Gerät auslesen.

Beschreibung: Ein Programm konnte ermitteln, ob Dateien außerhalb seiner Sandbox existieren. Dieses Problem wurde durch zusätzliche Sandbox-Überprüfungen behoben.

CVE-2017-13877: Xiaokuan Zhang und Yinqian Zhang von der Ohio State University, Xueqiang Wang und Xiaofeng Wang von der Indiana University Bloomington und Xiaolong Bai von der Tsinghua University

Sicherheit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Einem widerrufenen Zertifikat wird möglicherweise vertraut

Beschreibung: Bei der Verarbeitung von Widerrufsdaten bestand ein Problem bei der Überprüfung von Zertifikaten. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-7080: Ein anonymer Forscher, ein anonymer Forscher, Sven Driemecker von adesso mobile solutions GmbH, Rune Darrud (@theflyingcorpse) aus der Kommune Bærum

Sicherheit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine schadhafte App kann Benutzer zwischen Installationen nachverfolgen

Beschreibung: Beim Überprüfen der Berechtigungen in den Schlüsselbunddaten einer App trat ein Fehler auf. Dieses Problem wurde durch eine verbesserte Berechtigungsüberprüfung behoben.

CVE-2017-7146: Ein anonymer Forscher

SQLite

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Mehrere Probleme in SQLite

Beschreibung: Mehrere Probleme wurden durch ein Update auf Version 3.19.3 behoben.

CVE-2017-10989: Gefunden von OSS-Fuzz

CVE-2017-7128: Gefunden von OSS-Fuzz

CVE-2017-7129: Gefunden von OSS-Fuzz

CVE-2017-7130: Gefunden von OSS-Fuzz

SQLite

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7127: Ein anonymer Forscher

Telefonie

Verfügbar für: iPhone 5s und neuer sowie Wi-Fi + Cellular-Modelle der iPad Air-Generation und neuer

Auswirkung: Ein Angreifer, der sich in Reichweite befindet, kann willkürlichen Code ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-6211: Matthew Spisak von ENDGAME (endgame.com)

Time

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Beim Einstellen der Zeitzone wird möglicherweise fälschlicherweise angezeigt, dass Ortungsdienste verwendet werden

Beschreibung: Beim Prozess, der für die Zeitzonen-Informationen verantwortlich ist, trat ein Problem mit den Berechtigungen auf. Das Problem wurde durch das Ändern der Berechtigungen behoben.

CVE-2017-7145: Chris Lawrence

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-7081: Apple

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan vom Baidu Security Lab in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-7092: Samuel Gro und Niklas Baumstark in Zusammenarbeit mit der Zero Day Initiative von Trend Micro, Qixun Zhao (@S0rryMybad) vom Qihoo 360 Vulcan Team

CVE-2017-7093: Samuel Groß und Niklas Baumstark in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-7094: Tim Michaud (@TimGMichaud) von der Leviathan Security Group

CVE-2017-7095: Wang Junjie, Wei Lei und Liu Yang von der Nanyang Technological University in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-7096: Wei Yuan vom Baidu Security Lab

CVE-2017-7098: Felipe Freitas vom Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa und Mario Heiderich von Cure53

CVE-2017-7102: Wang Junjie, Wei Lei und Liu Yang von der Nanyang Technological University

CVE-2017-7104: likemeng vom Baidu Secutity Lab

CVE-2017-7107: Wang Junjie, Wei Lei und Liu Yang von der Nanyang Technological University

CVE-2017-7111: likemeng vom Baidu Security Lab (xlab.baidu.com) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-7117: lokihardt von Google Project Zero

CVE-2017-7120: chenqin (陈钦) vom Ant-financial Light-Year Security Lab

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen

Beschreibung: Bei der Verarbeitung des übergeordneten Tabs trat ein Logikproblem auf. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-7089: Anton Lopanitsyn von ONSEC, Frans Rosén von Detectify

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Cookies von einer Quelle können an eine andere Quelle gesendet werden

Beschreibung: Bei der Verarbeitung von Cookies im Webbrowser trat ein Problem mit den Berechtigungen auf. Dieses Problem wurde behoben, indem keine Cookies für benutzerdefinierte URL-Schemata mehr zurückgegeben werden.

CVE-2017-7090: Apple

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu URL-Spoofing führen

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-7106: Oliver Paukstadt von Thinking Objects GmbH (to.com)

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem Cross-Site-Scripting-Angriff führen

Beschreibung: Die Anwendungscache-Richtlinie wird möglicherweise unerwartet angewendet.

CVE-2017-7109: avlidienbrunn

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine schadhafte Website kann Benutzer in Safari nachverfolgen, wenn der Modus "Privates Surfen" aktiviert ist

Beschreibung: Bei der Verarbeitung von Cookies im Webbrowser trat ein Problem mit den Berechtigungen auf. Dieses Problem wurde durch verbesserte Beschränkungen behoben.

CVE-2017-7144: Mohammad Ghasemisharif vom UIC-BITS-Lab

WebKit-Speicher

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Websitedaten können nach einer privaten Safari-Sitzung vorhanden bleiben.

Beschreibung: Ein Problem mit der Preisgabe von Informationen trat bei der Verarbeitung von Websitedaten in privaten Safari-Fenstern auf. Dieses Problem wurde durch eine verbesserte Datenverarbeitung behoben.

CVE-2017-7142: Rich Shawn O'Connell, ein anonymer Forscher, ein anonymer Forscher

WLAN

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer, der sich in Reichweite befindet, kann willkürlichen Code auf dem WLAN-Chip ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-11120: Gal Beniamini von Google Project Zero

CVE-2017-11121: Gal Beniamini von Google Project Zero

WLAN

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Böswilliger Code, der auf dem WLAN-Chip ausgeführt wird, kann zur Ausführung willkürlichen Codes mit Kernel-Berechtigungen auf dem Anwendungsprozessor führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7103: Gal Beniamini von Google Project Zero

CVE-2017-7105: Gal Beniamini von Google Project Zero

CVE-2017-7108: Gal Beniamini von Google Project Zero

CVE-2017-7110: Gal Beniamini von Google Project Zero

CVE-2017-7112: Gal Beniamini von Google Project Zero

WLAN

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Böswilliger Code, der auf dem WLAN-Chip ausgeführt wird, kann zur Ausführung willkürlichen Codes mit Kernel-Berechtigungen auf dem Anwendungsprozessor führen

Beschreibung: Mehrere Race-Bedingungen wurden durch eine verbesserte Überprüfung behoben.

CVE-2017-7115: Gal Beniamini von Google Project Zero

WLAN

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Böswilliger Code, der auf dem WLAN-Chip ausgeführt wird, kann beschränkten Kernel-Speicher auslesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-7116: Gal Beniamini von Google Project Zero

WLAN

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer, der sich in Reichweite befindet, kann möglicherweise beschränkten Speicher des WLAN-Chips lesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-11122: Gal Beniamini von Google Project Zero

zlib

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Mehrere Probleme in zlib

Beschreibung: Mehrere Probleme wurden durch ein Update auf Version 1.2.11 behoben.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Zusätzliche Danksagung

LaunchServices

Wir danken Mark Zimmermann von der EnBW Energie Baden-Württemberg AG für seine Unterstützung.

Sicherheit

Wir danken Abhinav Bansal von Zscaler, Inc. für die Unterstützung.

WebKit

Wir möchten uns bei xisigr vom Xuanwu Lab von Tencent (tencent.com) für die Unterstützung bedanken.

WebKit

Wir danken Rayyan Bijoora (@Bijoora) von The City School, PAF Chapter für die Unterstützung.

WebKit Web Inspector

Wir danken Ioan Bizău von Bloggify für seine Unterstützung.