Om sikkerhedsindholdet i iOS 10.3
Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i iOS 10.3.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
iOS 10.3
Konti
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: En bruger kan muligvis få vist et Apple-id på en låst skærm
Beskrivelse: Et problem med administration af meddelelser blev løst ved at fjerne meddelelser om iCloud-godkendelse fra den låste skærm.
CVE-2017-2397: Suprovici Vadim fra UniApps team, en anonym programmør
Lyd
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2017-2430: En anonym programmør, der arbejder for Trend Micros Zero Day Initiative
CVE-2017-2462: En anonym programmør, der arbejder for Trend Micros Zero Day Initiative
Carbon
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af et skadeligt .dfont-arkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et bufferoverløb ved behandlingen af skriftarkiver. Problemet er løst via forbedret kontrol af grænser.
CVE-2017-2379: John Villamil, Doyensec, riusksk (泉哥) fra Tencent Security Platform Department
CoreGraphics
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af et skadeligt billede kan medføre DoS (Denial of Service)
Beskrivelse: En uendelig rekursion blev løst via forbedret statusadministration.
CVE-2017-2417: riusksk (泉哥) fra Tencent Security Platform Department
CoreGraphics
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Flere problemer med korruption af hukommelsen er løst via forbedret godkendelse af input.
CVE-2017-2444: Mei Wang fra 360 GearTeam
CoreText
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2017-2435: John Villamil, Doyensec
CoreText
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2017-2450: John Villamil, Doyensec
CoreText
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af en skadelig sms kan medføre anvendelse af DoS (Denial of Service)
Beskrivelse: Et problem med opbrugte ressourcer blev rettet gennem forbedret inputvalidering.
CVE-2017-2461: Isaac Archambault fra IDAoADI, en anonym programmør
DataAccess
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Konfiguration af en Exchange-konto med en forkert skrevet e-mailadresse kan føre til en uventet server
Beskrivelse: Der var et problem med godkendelse af input ved håndtering af e-mailadresser til Exchange. Problemet er løst ved forbedret godkendelse af input.
CVE-2017-2414: Ilya Nesterov og Maxim Goncharov
FontParser
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Flere problemer med korruption af hukommelsen er løst via forbedret godkendelse af input.
CVE-2017-2487: riusksk (泉哥) fra Tencent Security Platform Department
CVE-2017-2406: riusksk (泉哥) fra Tencent Security Platform Department
FontParser
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Parsing af et skadeligt skriftarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Flere problemer med korruption af hukommelsen er løst via forbedret godkendelse af input.
CVE-2017-2407: riusksk (泉哥) fra Tencent Security Platform Department
FontParser
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2017-2439: John Villamil, Doyensec
HomeKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Hjemkontrol kan uventet dukke op i Kontrolcenter
Beskrivelse: Der var et statusproblem i håndteringen af Hjemkontrol. Problemet er løst ved forbedret godkendelse.
CVE-2017-2434: Suyash Narain fra Indien
HTTPProtocol
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: En skadelig HTTP/2-server kan være årsag til udefineret adfærd
Beskrivelse: Der var flere problemer i nghttp2-versioner før 1.17.0. Disse blev løst ved at opdatere nghttp2 til version 1.17.0.
CVE-2017-2428
ImageIO
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) fra KeenLab, Tencent
ImageIO
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Visning af et skadeligt JPEG-arkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2017-2432: En anonym programmør, der arbejder for Trend Micros Zero Day Initiative
ImageIO
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af et skadeligt arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2017-2467
ImageIO
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af et skadeligt billede kan medføre pludselig programlukning
Beskrivelse: Der var et out-of-bounds-læseproblem i LibTIFF-versioner før 4.0.7. Problemet er løst ved opdatering af LibTIFF i ImageIO til version 4.0.7.
CVE-2016-3619
iTunes Store
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: En hacker i en privilegeret netværksposition kan muligvis manipulere med netværkstrafik til iTunes
Beskrivelse: Anmodninger til webtjenester for iTunes-sandbox blev sendt i klar tekst. Problemet er løst ved at aktivere HTTPS.
CVE-2017-2412: Richard Shupak (linkedin.com/in/rshupak)
JavaScriptCore
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.
CVE-2017-2491: Apple
JavaScriptCore
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af en webside med skadelig kode kan føre til universel scripting på tværs af websteder
Beskrivelse: Et problem med prototype er løst ved forbedret logik.
CVE-2017-2492: lokihardt fra Google Project Zero
Kernel
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2017-2398: Lufeng Li fra Qihoo 360 Vulcan Team
CVE-2017-2401: Lufeng Li fra Qihoo 360 Vulcan Team
Kernel
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.
CVE-2017-2440: En anonym programmør
Kernel
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med rodrettigheder
Beskrivelse: En konkurrencetilstand er løst via forbedret hukommelseshåndtering.
CVE-2017-2456: lokihardt fra Google Project Zero
Kernel
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.
CVE-2017-2472: Ian Beer fra Google Project Zero
Kernel
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2017-2473: Ian Beer fra Google Project Zero
Kernel
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et off-by-one-problem er løst via forbedret kontrol af grænser.
CVE-2017-2474: Ian Beer fra Google Project Zero
Kernel
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet er løst ved forbedret låsning.
CVE-2017-2478: Ian Beer fra Google Project Zero
Kernel
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et problem med bufferoverløb, som er løst ved forbedret hukommelsesbehandling.
CVE-2017-2482: Ian Beer fra Google Project Zero
CVE-2017-2483: Ian Beer fra Google Project Zero
Kernel
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Et program kan muligvis køre vilkårlig kode med hævede rettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-2490: Ian Beer fra Google Project Zero, Englands National Cyber Security Centre (NCSC)
Tastaturer
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Et program kan køre vilkårlig kode
Beskrivelse: Der var et problem med bufferoverløb, som blev løst ved forbedret kontrol af grænser.
CVE-2017-2458: Shashank (@cyberboyIndia)
Nøglering
Fås til: iPhone 5, iPad 4. generation eller iPod touch 6. generation eller en nyere version af disse enheder
Effekt: En hacker, som er i stand til at opsnappe TLS-forbindelser, kan være i stand til hemmeligt at læse beskyttet iCloud-nøglering.
Beskrivelse: iCloud-nøglering kunne ikke godkende OTR-pakkers autenticitet under visse omstændigheder. Problemet er løst ved forbedret godkendelse.
CVE-2017-2448: Alex Radocea fra Longterm Security, Inc.
libarchive
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: En lokal hacker kan ændre arkivsystemtilladelser for vilkårlige biblioteker
Beskrivelse: Der var et godkendelsesproblem i håndteringen af symbolske links. Problemet er løst ved forbedret godkendelse af symbolske links.
CVE-2017-2390: Omer Medan fra enSilo Ltd
libc++abi
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Demangling af et skadeligt C++-program kan medføre kørsel af vilkårlig kode
Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.
CVE-2017-2441
libxslt
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Flere sikkerhedsrisici i libxslt
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-5029: Holger Fuhrmannek
Opslagstavle
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: En person med fysisk adgang til en iOS-enhed kan muligvis læse opslagstavlen
Beskrivelse: Opslagstavlen blev krypteret med en nøgle, der kun var beskyttet af hardware-UID'et. Problemet er løst ved at kryptere opslagstavlen med en nøgle, der er beskyttet af hardware-UID'et og brugerens adgangskode.
CVE-2017-2399
Telefon
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: En tredjepart kan starte et telefonopkald uden interaktion fra brugerens side
Beskrivelse: Der var et problem i iOS, der gjorde det muligt at foretage opkald uden at bede om bekræftelse. Problemet er løst ved at bede en bruger om at bekræfte start af opkald.
CVE-2017-2484
Profiler
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: En hacker kan udnytte svagheder i DES-kryptografialgoritmen
Beskrivelse: Understøttelse af den kryptografiske 3DES-algoritme blev føjet til SCEP-klienten, og DES blev udfaset.
CVE-2017-2380: En anonym programmør
Vis
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Tryk på et telefonlink i et PDF-dokument kan udløse et opkald, uden at brugeren bedes om bekræftelse
Beskrivelse: Der var et problem med kontrol af telefon-URL-adressen inden start af opkald. Problemet er løst ved at indsætte en bekræftelsesdialog.
CVE-2017-2404: Tuan Anh Ngo (Melbourne, Australien), Christoph Nehring
Safari
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen
Beskrivelse: Et problem med statusadministration blev løst ved at deaktivere input af tekst, indtil destinationssiden er indlæst.
CVE-2017-2376: En anonym programmør, Michal Zalewski fra Google Inc, Muneaki Nishimura (nishimunea) fra Recruit Technologies Co., Ltd., Chris Hlady fra Google Inc, en anonym programmør, Yuyang Zhou fra Tencent Security Platform Department (security.tencent.com)
Safari
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: En lokal bruger kan muligvis finde websteder, som en bruger har besøgt i Privat browser
Beskrivelse: Der var et problem med sletning i SQLite. Problemet er løst ved forbedret oprydning af SQLite.
CVE-2017-2384
Safari
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af webindhold med skadelig kode kan præsentere godkendelsesark over vilkårlige websteder
Beskrivelse: Der var et problem med efterligning og DoS (Denial of Service) i håndteringen af HTTP-godkendelse. Problemet er løst ved at gøre HTTP-godkendelsesark ikke-modale.
CVE-2017-2389: ShenYeYinJiu fra Tencent Security Response Center, TSRC
Safari
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Indlæsning af et skadeligt websted ved klik på et link kan medføre manipulation med brugergrænsefladen
Beskrivelse: Der var et problem med efterligning i håndteringen af pop op-beskeder fra FaceTime. Problemet er løst ved forbedret godkendelse af input.
CVE-2017-2453: xisigr fra Tencents Xuanwu Lab (tencent.com)
Læser i Safari
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Aktivering af funktionen Læser i Safari på en skadelig webside kan føre til universel scripting på tværs af websteder
Beskrivelse: Der var flere godkendelsesproblemer, som er løst via forbedret rensning af input.
CVE-2017-2393: Erling Ellingsen
SafariViewController
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Bufferstatus synkroniseres ikke korrekt mellem Safari og SafariViewController, når en bruger sletter bufferen i Safari
Beskrivelse: Der var et problem med at slette bufferoplysninger fra Safari i SafariViewController. Problemet er løst ved forbedret håndtering af bufferstatus.
CVE-2017-2400: Abhinav Bansal fra Zscaler, Inc.
Sandbox-profiler
Fås til: iPhone 5 eller nyere, iPad 4. generation eller nyere og iPod touch 6. generation
Effekt: Et skadeligt program kan muligvis få adgang til iCloud-brugerposten for en bruger, der er logget ind
Beskrivelse: Der var et adgangsproblem, som er løst via yderligere sandbox-begrænsninger på programmer fra tredjeparter.
CVE-2017-6976: George Dan (@theninjaprawn)
Sikkerhed
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Validering af tomme signaturer med SecKeyRawVerify() kan uventet gennemføres
Beskrivelse: Der var et valideringsproblem med kryptografiske API-kald. Problemet er løst ved forbedret godkendelse af parametre.
CVE-2017-2423: En anonym programmør
Sikkerhed
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Et program kan muligvis køre en vilkårlig kode med rodrettigheder
Beskrivelse: Der var et problem med bufferoverløb, som blev løst ved forbedret kontrol af grænser.
CVE-2017-2451: Alex Radocea fra Longterm Security, Inc.
Sikkerhed
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af et skadeligt x509-certifikatarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse ved parsing af certifikater. Problemet er løst ved forbedret godkendelse af input.
CVE-2017-2485: Aleksandar Nikolic fra Cisco Talos
Siri
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Siri kan afsløre indhold i sms'er, når enheden er låst
Beskrivelse: Et problem med utilstrækkelig låsning blev løst ved forbedret statusadministration.
CVE-2017-2452: Hunter Byrnes
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Træk og slip af et ondsindet link kan føre til falske bogmærker eller kørsel af vilkårlig kode
Beskrivelse: Der var et godkendelsesproblem i oprettelsen af bogmærker. Problemet er løst ved forbedret godkendelse af input.
CVE-2017-2378: xisigr fra Tencents Xuanwu Lab (tencent.com)
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen
Beskrivelse: Et problem med en inkonsekvent brugerflade blev løst ved forbedret statusadministration.
CVE-2017-2486: redrain fra light4freedom
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af webindhold med skadelig kode kan føre til cross-origin-eksfiltration af data
Beskrivelse: Der var et problem med prototypeadgang, som er løst ved forbedret håndtering af undtagelser.
CVE-2017-2386: André Bargull
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Flere problemer med korruption af hukommelsen er løst via forbedret godkendelse af input.
CVE-2017-2394: Apple
CVE-2017-2396: Apple
CVE-2016-9642: Gustavo Grieco
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-2395: Apple
CVE-2017-2454: Ivan Fratric fra Google Project Zero, Zheng Huang fra Baidu Security Lab, som arbejder med Trend Micros Zero Day Initiative
CVE-2017-2455: Ivan Fratric fra Google Project Zero
CVE-2017-2457: lokihardt fra Google Project Zero
CVE-2017-2459: Ivan Fratric fra Google Project Zero
CVE-2017-2460: Ivan Fratric fra Google Project Zero
CVE-2017-2464: Jeonghoon Shin, natashenka fra Google Project Zero
CVE-2017-2465: Zheng Huang og Wei Yuan fra Baidu Security Lab
CVE-2017-2466: Ivan Fratric fra Google Project Zero
CVE-2017-2468: lokihardt fra Google Project Zero
CVE-2017-2469: lokihardt fra Google Project Zero
CVE-2017-2470: lokihardt fra Google Project Zero
CVE-2017-2476: Ivan Fratric fra Google Project Zero
CVE-2017-2481: 0011, der arbejder med Trend Micros Zero Day Initiative
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Et problem med forveksling af typer er løst via forbedret hukommelseshåndtering.
CVE-2017-2415: Kai Kang fra Tencents Xuanwu Lab (tencent.com)
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af webindhold med skadelig kode kan føre til uventet overtrædelse af sikkerhedspolitikken for indhold
Beskrivelse: Der var et adgangsproblem i sikkerhedspolitikken for indhold. Problemet blev løst via forbedret adgangsbegrænsning.
CVE-2017-2419: Nicolai Grødum fra Cisco Systems
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af webindhold med skadelig kode kan føre til et højt forbrug af hukommelse
Beskrivelse: Der var et problem med ukontrolleret hukommelsesforbrug, som er løst ved forbedret behandling af regex.
CVE-2016-9643: Gustavo Grieco
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af skadeligt webindhold kan resultere i afsløring af proceshukommelse
Beskrivelse: Der opstod et problem med afsløring af oplysninger ved behandling af OpenGL-shadere. Problemet blev løst ved forbedret hukommelsesstyring.
CVE-2017-2424: Paul Thomson (med GLFuzz-værktøjet) fra Multicore Programming Group, Imperial College London
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2017-2433: Apple
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af webindhold med skadelig kode kan føre til cross-origin-eksfiltration af data
Beskrivelse: Der var flere godkendelsesproblemer i håndteringen af sideindlæsning. Problemet er løst ved forbedret logik.
CVE-2017-2364: lokihardt fra Google Project Zero
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Et skadeligt websted kan eksfiltrere data på tværs af oprindelsessteder
Beskrivelse: Der var et godkendelsesproblem ved behandling af sideindlæsning. Problemet er løst ved forbedret logik.
CVE-2017-2367: lokihardt fra Google Project Zero
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder
Beskrivelse: Der opstod et logisk problem i håndteringen af frame-objekter. Problemet er løst ved hjælp af forbedret statusadministration.
CVE-2017-2445: lokihardt fra Google Project Zero
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Der opstod et logisk problem i håndteringen af strict mode-funktioner. Problemet er løst ved hjælp af forbedret statusadministration.
CVE-2017-2446: natashenka fra Google Project Zero
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Indlæsning af et skadeligt websted kan udgøre en risiko for brugeroplysninger
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-2447: natashenka fra Google Project Zero
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-2463: Kai Kang (4B5F5F4B) fra Tencents Xuanwu Lab (tencent.com), der arbejder med Trend Micros Zero Day Initiative
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.
CVE-2017-2471: Ivan Fratric fra Google Project Zero
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder
Beskrivelse: Der opstod et logisk problem i håndteringen af frames. Problemet er løst ved forbedret statusadministration.
CVE-2017-2475: lokihardt fra Google Project Zero
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af webindhold med skadelig kode kan føre til cross-origin-eksfiltration af data
Beskrivelse: Der var et godkendelsesproblem i håndteringen af elementer. Problemet er løst ved forbedret godkendelse.
CVE-2017-2479: lokihardt fra Google Project Zero
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af webindhold med skadelig kode kan føre til cross-origin-eksfiltration af data
Beskrivelse: Der var et godkendelsesproblem i håndteringen af elementer. Problemet er løst ved forbedret godkendelse.
CVE-2017-2480: lokihardt fra Google Project Zero
CVE-2017-2493: lokihardt fra Google Project Zero
WebKit JavaScript-bindinger
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af webindhold med skadelig kode kan føre til cross-origin-eksfiltration af data
Beskrivelse: Der var flere godkendelsesproblemer i håndteringen af sideindlæsning. Problemet er løst ved forbedret logik.
CVE-2017-2442: lokihardt fra Google Project Zero
WebKit Web Inspector
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Lukning af et vindue under pause i fejlfindingen kan føre til uventet programlukning
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2017-2377: Vicki Pfau
WebKit Web Inspector
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2017-2405: Apple
Yderligere anerkendelser
XNU
Vi vil gerne takke Lufeng Li fra Qihoo 360 Vulcan Team for dennes assistance.
WebKit
Vi vil gerne takke Yosuke HASEGAWA fra Secure Sky Technology Inc. for dennes assistance.
Safari
Vi vil gerne takke Flyin9 (ZhenHui Lee) for deres assistance.
Indstillinger
Vi vil gerne takke Adi Sharabani og Yair Amit fra Skycure for deres assistance.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.