Despre conținutul de securitate din iOS 11
Acest document descrie conținutul de securitate din iOS 11.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple. Poți să criptezi mesajele prin care comunici cu Apple folosind cheia PGP pentru securitatea produselor Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
iOS 11
802.1X
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: un atacator ar putea exploata vulnerabilități din TLS 1.0
Descrierea: s-a rezolvat o problemă legată de securitatea protocoalelor prin activarea TLS 1.1 și TLS 1.2.
CVE-2017-13832: Doug Wussler (Florida State University)
APN-uri
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: un atacator dintr-o poziție privilegiată în rețea ar putea urmări un utilizator
Descriere: exista o problemă legată de confidențialitate la utilizarea certificatelor de client. Această problemă a fost rezolvată printr-un protocol revizuit.
CVE-2017-13863: echipa FURIOUSMAC (United States Naval Academy)
Bluetooth
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: o aplicație poate accesa fișiere restricționate
Descriere: a existat o problemă de confidențialitate la tratarea cărților de vizită ale contactelor. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2017-7131: Dominik Conrads (Federal Office for Information Security), un cercetător anonim, Anand Kathapurkar din India, Elvis (@elvisimprsntr)
CFNetwork
Disponibilitate pentru: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-13829: Niklas Baumstark și Samuel Gro în colaborare cu Zero Day Initiative (Trend Micro)
CVE-2017-13833: Niklas Baumstark și Samuel Gro în colaborare cu Zero Day Initiative (Trend Micro)
Servere proxy CFNetwork
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: un atacator dintr-o poziție privilegiată în rețea poate cauza o refuzare a serviciului
Descriere: au fost rezolvate mai multe probleme de refuzare a serviciilor (DoS) prin îmbunătățirea tratării memoriei.
CVE-2017-7083: Abhinav Bansal (Zscaler Inc.)
CFString
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.
CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate
CoreAudio
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin actualizarea la Opus versiunea 1.1.4.
CVE-2017-0381: V.E.O (@VYSEa) (Mobile Threat Research Team, Trend Micro)
CoreText
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de consumare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate
Exchange ActiveSync
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: un atacator dintr-o rețea privilegiată ar putea șterge un dispozitiv în timpul configurării contului Exchange
Descriere: a existat o problemă de validare în AutoDiscover V1. Problema a fost rezolvată prin solicitarea TLS pentru AutoDiscover V1. AutoDiscover V2 este acceptat acum.
CVE-2017-7088: Ilya Nesterov, Maxim Goncharov
fișier
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: probleme multiple în fișier
Descriere: mai multe probleme au fost rezolvate prin actualizarea la versiunea 5.31.
CVE-2017-13815: găsit de OSS-Fuzz
Fonturi
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: redarea unui text care nu prezintă încredere ar putea duce la compromiterea adresei IP
Descriere: a fost rezolvată o problemă legată de inconstanța interfeței cu utilizatorul prin gestionarea îmbunătățită a stării.
CVE-2017-13828: Leonard Grey și Robert Sesek (Google Chrome)
Heimdal
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: un atacator cu poziție privilegiată în rețea poate simula identitatea unui serviciu
Descriere: a existat o problemă de validare la tratarea numelui serviciului KDC-REP. Această problemă a fost rezolvată prin îmbunătățirea validării.
CVE-2017-11103: Jeffrey Altman, Viktor Duchovni și Nico Williams
HFS
Disponibilitate pentru: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-13830: Sergej Schumilo, Ruhr-University Bochum
iBooks
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: analizarea unui fișier iBooks creat cu rea intenție poate cauza o eroare persistentă de refuzare a serviciului
Descriere: au fost rezolvate mai multe probleme de refuzare a serviciilor (DoS) prin îmbunătățirea tratării memoriei.
CVE-2017-7072: Jędrzej Krysztofiak
ImageIO
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate
ImageIO
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: procesarea unei imagini create cu rea intenție poate cauza o refuzare a serviciului (DoS)
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2017-13831: Glen Carmichael
Kernel
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-7114: Alex Plaskett (MWR InfoSecurity)
Kernel
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: un utilizator local poate citi memoria kernel
Descriere: a existat o problemă de citire în afara limitelor care conducea la divulgarea conținutului memoriei nucleului. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2017-13817: Maxime Villard (m00nbsd)
Kernel
Disponibilitate pentru: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.
CVE-2017-13818: National Cyber Security Centre (NCSC) (Regatul Unit)
CVE-2017-13836: Vlad Tsyrklevich
CVE-2017-13841: Vlad Tsyrklevich
CVE-2017-13840: Vlad Tsyrklevich
CVE-2017-13842: Vlad Tsyrklevich
Kernel
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-13843: un cercetător anonim, un cercetător anonim
Kernel
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-13854: shrek_wzw (Qihoo 360 Nirvan Team)
Kernel
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: procesarea unui fișier binar mach malformat poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de alterare a memoriei prin îmbunătățirea validării.
CVE-2017-13834: Maxime Villard (m00nbsd)
Kernel
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: o aplicație rău intenționată poate afla informații despre prezența și funcționarea altor aplicații pe dispozitiv.
Descriere: o aplicație putea accesa informații despre activitatea în rețea menținute nerestricționate de către sistemul de operare. Această problemă a fost rezolvată prin reducerea informațiilor disponibile pentru aplicații de la terțe părți.
CVE-2017-13873: Xiaokuan Zhang și Yinqian Zhang (Ohio State University), Xueqiang Wang și XiaoFeng Wang (Indiana University Bloomington) și Xiaolong Bai (Tsinghua University)
Sugestii de la tastatură
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: sugestiile de corecție automată de la tastatură pot dezvălui informații sensibile
Descriere: tastatura iOS introducea accidental în memoria cache informații sensibile. Această problemă a fost rezolvată prin îmbunătățirea euristicii.
CVE-2017-7140: Agim Allkanjari (Stream in Motion Inc.)
libarchive
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: despachetarea unei arhive create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de depășire a zonei-tampon prin îmbunătățirea tratării memoriei.
CVE-2017-13813: problemă găsită de OSS-Fuzz
CVE-2017-13816: problemă găsită de OSS-Fuzz
libarchive
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: despachetarea unei arhive create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: în libarchive erau mai multe probleme de corupere a memoriei. Aceste probleme au fost rezolvate printr-o validare îmbunătățită a intrărilor.
CVE-2017-13812: problemă găsită de OSS-Fuzz
libc
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: un atacator aflat la distanță poate cauza o refuzare a serviciilor (DoS)
Descriere: a fost rezolvată o problemă de epuizare a resurselor în glob() printr-un algoritm îmbunătățit.
CVE-2017-7086: Russ Cox (Google)
libc
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: o aplicație poate provoca o refuzare a serviciului
Descriere: a fost rezolvată o problemă de consum a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-1000373
libexpat
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: probleme multiple în expat
Descriere: au fost rezolvate mai multe probleme prin actualizare la versiunea 2.2.1.
CVE-2016-9063
CVE-2017-9233
libxml2
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: procesarea unor coduri XML create cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.
CVE-2017-7376: un cercetător anonim
CVE-2017-5130: un cercetător anonim
libxml2
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: procesarea unor coduri XML create cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2017-9050: Mateusz Jurczyk (j00ru) de la Google Project Zero
libxml2
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: procesarea unor coduri XML create cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2017-9049: Wei Lei și Liu Yang - Nanyang Technological University din Singapore
libxml2
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: procesarea unor coduri XML create cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de anulare a referinței pentru indicatorul nul prin îmbunătățirea validării.
CVE-2018-4302: Gustavo Grieco
Location Framework
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: a existat o problemă de permisiune la tratarea variabilei de localizare. Această problemă a fost rezolvată cu verificări suplimentare ale dreptului de proprietate.
CVE-2017-7148: Igor Makarov (Moovit), Will McGinty și Shawnna Rodriguez (Bottle Rocket Studios)
Ciorne de e-mailuri
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: un atacator cu poziție privilegiată în rețea poate intercepta conținutul e-mailurilor
Descriere: a existat o problemă de criptare la tratarea ciornelor de e-mailuri. Această problemă a fost rezolvată prin îmbunătățirea tratării ciornelor de e-mailuri menite să fie trimise criptate.
CVE-2017-7078: Petter Flink, Pierre ALBARÈDE din Marsilia (Franța), un cercetător anonim
Mail MessageUI
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: procesarea unei imagini create cu rea intenție poate cauza o refuzare a serviciului (DoS)
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.
CVE-2017-7097: Xinshu Dong și Jun Hao Tan (Anquan Capital)
Mesaje
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: procesarea unei imagini create cu rea intenție poate cauza o refuzare a serviciului (DoS)
Descriere: a fost rezolvată o problemă de refuzare a serviciului printr-o validare îmbunătățită.
CVE-2017-7118: Kiki Jiang și Jason Tokoph
MobileBackup
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: funcția Backup ar putea efectua un backup necriptat în ciuda cerinței de a efectua doar backupuri criptate
Descriere: a existat o problemă de permisiune. Această problemă a fost rezolvată prin îmbunătățirea validării permisiunilor.
CVE-2017-7133: Don Sparks (HackediOS.com)
Note
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: un utilizator local poate cauza scurgeri de informații sensibile ale utilizatorilor
Descriere: conținutul notelor blocate apărea uneori în rezultatele căutării. Această problemă a fost rezolvată prin îmbunătățirea curățării datelor.
CVE-2017-7075: Richard Will (Marathon Oil Company)
Telefon
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: se poate face o captură de ecran a unui conținut securizat la blocarea unui dispozitiv iOS
Descriere: a existat o problemă de temporizare la tratarea blocării. Această problemă a fost rezolvată prin dezactivarea capturilor de ecran la blocare.
CVE-2017-7139: un cercetător anonim
Profiluri
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: se puteau instala accidental pe un dispozitiv înregistrări de asocieri de dispozitive atunci când era instalat un profil care nu permite asocierea
Descriere: asocierile nu erau eliminate atunci când era instalat un profil care nu permite asocierea. Această problemă a fost rezolvată prin eliminarea asocierilor care erau în conflict cu profilul de configurare.
CVE-2017-13806: Rorie Hood (MWR InfoSecurity)
Quick Look
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.
CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate
Quick Look
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: analizarea unui document Office creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de consum a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate
Safari
Disponibilitate pentru: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: accesarea unui site web rău intenționat poate cauza falsificarea barei de adrese
Descriere: a fost rezolvată o problemă legată de inconstanța interfeței cu utilizatorul prin gestionarea îmbunătățită a stării.
CVE-2017-7085: xisigr (Xuanwu Lab, Tencent) (tencent.com)
Profiluri de sandbox
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: o aplicație rău intenționată poate afla informații despre prezența altor aplicații pe dispozitiv.
Descriere: o aplicație putea determina existența unor fișiere din afara propriului său sandbox. Această problemă a fost rezolvată prin verificări suplimentare ale sandboxului.
CVE-2017-13877: Xiaokuan Zhang și Yinqian Zhang (Ohio State University), Xueqiang Wang și XiaoFeng Wang (Indiana University Bloomington) și Xiaolong Bai (Tsinghua University)
Securitate
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: un certificat revocat poate fi considerat ca fiind de încredere
Descriere: a existat o problemă de validare la tratarea datelor de revocare. Această problemă a fost rezolvată prin îmbunătățirea validării.
CVE-2017-7080: un cercetător anonim, un cercetător anonim, Sven Driemecker (adesso mobile solutions gmbh), Rune Darrud (@theflyingcorpse) (Bærum kommune)
Securitate
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: o aplicație rău intenționată poate urmări utilizatori între instalări
Descriere: a existat o problemă de verificare a permisiunilor în tratarea datelor Portchei ale unei aplicații. Această problemă a fost rezolvată prin îmbunătățirea verificării permisiunilor.
CVE-2017-7146: un cercetător anonim
SQLite
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: probleme multiple în SQLite
Descriere: au fost rezolvate mai multe probleme prin actualizare la versiunea 3.19.3.
CVE-2017-10989: problemă găsită de OSS-Fuzz
CVE-2017-7128: problemă găsită de OSS-Fuzz
CVE-2017-7129: problemă găsită de OSS-Fuzz
CVE-2017-7130: problemă găsită de OSS-Fuzz
SQLite
Disponibilitate pentru: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-7127: un cercetător anonim
Telefonie
Disponibilitate: iPhone 5s și modele ulterioare și modelele Wi-Fi + Cellular ale generației iPad Air și cele ulterioare
Impact: un atacator aflat în raza de acțiune ar putea executa cod arbitrar
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-6211: Matthew Spisak de la ENDGAME (endgame.com)
Oră
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: „Configurare fus orar” poate indica incorect că utilizează locația
Descriere: a existat o problemă legată de permisiuni în procesul care tratează informațiile de fus orar. Problema a fost rezolvată prin modificarea permisiunilor.
CVE-2017-7145: Chris Lawrence
WebKit
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-2017-7081: Apple
WebKit
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-7087: Apple
CVE-2017-7091: Wei Yuan (Baidu Security Lab) în colaborare cu Zero Day Initiative (Trend Micro)
CVE-2017-7092: Samuel Gro și Niklas Baumstark în colaborare cu Zero Day Initiative (Trend Micro), Qixun Zhao (@S0rryMybad) (Qihoo 360 Vulcan Team)
CVE-2017-7093: Samuel Gro și Niklas Baumstark în colaborare cu Zero Day Initiative (Trend Micro)
CVE-2017-7094: Tim Michaud (@TimGMichaud) (Leviathan Security Group)
CVE-2017-7095: Wang Junjie, Wei Lei și Liu Yang (Nanyang Technological University) în colaborare cu Zero Day Initiative (Trend Micro)
CVE-2017-7096: Wei Yuan (Baidu Security Lab)
CVE-2017-7098: Felipe Freitas (Instituto Tecnológico de Aeronáutica)
CVE-2017-7099: Apple
CVE-2017-7100: Masato Kinugawa și Mario Heiderich (Cure53)
CVE-2017-7102: Wang Junjie, Wei Lei și Liu Yang (Nanyang Technological University)
CVE-2017-7104: likemeng (Baidu Security Lab)
CVE-2017-7107: Wang Junjie, Wei Lei și Liu Yang (Nanyang Technological University)
CVE-2017-7111: likemeng (Baidu Security Lab) (xlab.baidu.com) în colaborare cu Zero Day Initiative (Trend Micro)
CVE-2017-7117: lokihardt (Google Project Zero)
CVE-2017-7120: chenqin (陈钦) (Ant-financial Light-Year Security Lab)
WebKit
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: procesarea unui conținut web creat cu rea intenție poate cauza crearea de scripturi universale între site-uri
Descriere: a existat o problemă de logică în jurnal în tratarea filei părinte. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2017-7089: Anton Lopanitsyn (ONSEC), Frans Rosén (Detectify)
WebKit
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: modulele cookie care aparțineau unei origini pot fi trimise la o altă origine
Descriere: a existat o problemă de permisiune la tratarea cookie-urilor browserului web. Această problemă a fost rezolvată prin nereturnarea cookie-urilor pentru scheme URL particularizate.
CVE-2017-7090: Apple
WebKit
Disponibilitate pentru: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: accesarea unui site web rău intenționat poate cauza falsificarea barei de adrese
Descriere: a fost rezolvată o problemă legată de inconstanța interfeței cu utilizatorul prin gestionarea îmbunătățită a stării.
CVE-2017-7106: Oliver Paukstadt (Thinking Objects GmbH (to.com))
WebKit
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: procesarea unui conținut web creat cu rea intenție poate cauza un atac cu scripting între site-uri
Descriere: este posibilă aplicarea neașteptată a politicii privind memoria cache a aplicației.
CVE-2017-7109: avlidienbrunn
WebKit
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: un site web rău intenționat poate urmări utilizatori în modul de navigare privată din Safari
Descriere: a existat o problemă de permisiune la tratarea cookie-urilor browserului web. Această problemă a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2017-7144: Mohammad Ghasemisharif (BITS Lab, UIC)
Stocare WebKit
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: datele site-urilor web pot persista după o sesiune de navigare cu Safari în modul Privat
Descriere: a existat o problemă de scurgere de informații la tratarea datelor site-urilor web în ferestre de Safari în modul Privat. Această problemă a fost rezolvată prin îmbunătățirea tratării datelor.
CVE-2017-7142: Rich Shawn O’Connell, un cercetător anonim, un cercetător anonim
Wi-Fi
Disponibilitate pentru: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: un atacator aflat în raza Wi-Fi ar putea executa cod arbitrar în cipul Wi-Fi
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-11120: Gal Beniamini (Google Project Zero)
CVE-2017-11121: Gal Beniamini (Google Project Zero)
Wi-Fi
Disponibilitate pentru: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: un cod rău intenționat executat pe chipul Wi-Fi ar putea executa cod arbitrar cu privilegii de kernel în procesorul aplicației
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-7103: Gal Beniamini (Google Project Zero)
CVE-2017-7105: Gal Beniamini (Google Project Zero)
CVE-2017-7108: Gal Beniamini (Google Project Zero)
CVE-2017-7110: Gal Beniamini (Google Project Zero)
CVE-2017-7112: Gal Beniamini (Google Project Zero)
Wi-Fi
Disponibilitate pentru: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: un cod rău intenționat executat pe chipul Wi-Fi ar putea executa cod arbitrar cu privilegii de kernel în procesorul aplicației
Descriere: au fost rezolvate mai multe probleme legate de condițiile de rulare prin îmbunătățirea validării.
CVE-2017-7115: Gal Beniamini (Google Project Zero)
Wi-Fi
Disponibilitate pentru: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: un cod rău intenționat executat pe chipul Wi-Fi ar putea citi memoria kernel restricționată
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.
CVE-2017-7116: Gal Beniamini (Google Project Zero)
Wi-Fi
Disponibilitate pentru: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: un atacator aflat în zona de acoperire a rețelei poate citi memorie restricționată din chipsetul Wi-Fi
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.
CVE-2017-11122: Gal Beniamini (Google Project Zero)
zlib
Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație
Impact: probleme multiple în zlib
Descriere: au fost rezolvate mai multe probleme prin actualizare la versiunea 1.2.11.
CVE-2016-9840
CVE-2016-9841
CVE-2016-9842
CVE-2016-9843
Alte mențiuni
LaunchServices
Dorim să-i mulțumim lui Mark Zimmermann de la EnBW Energie Baden-Württemberg AG pentru asistența oferită.
Securitate
Dorim să-i mulțumim lui Abhinav Bansal (Zscaler, Inc.) pentru asistența acordată.
Webkit
Dorim să-i mulțumim lui xisigr (Xuanwu Lab, Tencent) (tencent.com) pentru asistența acordată.
WebKit
Dorim să-i mulțumim lui Rayyan Bijoora (@Bijoora, The City School, PAF Chapter) pentru asistența acordată.
WebKit Web Inspector
Dorim să-i mulțumim lui Ioan Bizău (Bloggify) pentru asistența acordată.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.