Om sikkerhedsindholdet i iOS 10.2.1
Dette dokument beskriver sikkerhedsindholdet i iOS 10.2.1.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
iOS 10.2.1
Server til APNs
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: En hacker med en privilegeret netværksposition kan spore en brugers aktivitet
Beskrivelse: Et klientcertifikat blev sendt i simpel tekst. Problemet er løst ved forbedret håndtering af certifikater.
CVE-2017-2383: Matthias Wachs og Quirin Scheitle fra Technical University Munich (TUM)
Opkaldshistorik
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Opdateringer for CallKit-opkaldshistorikken bliver sendt til iCloud
Beskrivelse: Der opstod et problem i forbindelse med overførslen af opkaldshistorikken fra CallKit til iCloud. Problemet er løst ved forbedret logik.
CVE-2017-2375: Elcomsoft
Kontakter
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af et skadeligt kontaktkort kan medføre uventet programlukning
Beskrivelse: Der var et problem med godkendelse af input ved analyse af kontaktkort. Problemet er løst ved forbedret godkendelse af input.
CVE-2017-2368: Vincent Desmurs (vincedes3)
Kernel
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et problem med bufferoverløb, som er løst ved forbedret hukommelsesbehandling.
CVE-2017-2370: Ian Beer fra Google Project Zero
Kernel
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.
CVE-2017-2360: Ian Beer fra Google Project Zero
libarchive
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Udpakning af et skadeligt arkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et problem med bufferoverløb, som er løst ved forbedret hukommelsesbehandling.
CVE-2016-8687: Agostino Sarubbo fra Gentoo
Lås op med iPhone
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Apple Watch kan låse op, når det er taget af brugerens håndled
Beskrivelse: Et logikproblem er løst via forbedret statusadministration.
CVE-2017-2352: Ashley Fernandez fra raptAware Pty Ltd
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af webindhold med skadelig kode kan føre til cross-origin-eksfiltration af data
Beskrivelse: Der var et problem med prototypeadgang, som er løst ved forbedret håndtering af undtagelser.
CVE-2017-2350: Gareth Heyes fra Portswigger Web Security
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-2354: Neymar fra Tencents Xuanwu Lab (tencent.com), der arbejder med Trend Micros Zero Day Initiative
CVE-2017-2362: Ivan Fratric fra Google Project Zero
CVE-2017-2373: Ivan Fratric fra Google Project Zero
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Der var et problem med hukommelsesinitialisering, som er løst ved forbedret hukommelseshåndtering.
CVE-2017-2355: Team Pangu og lokihardt fra PwnFest 2016
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Flere problemer med korruption af hukommelsen er løst via forbedret godkendelse af input.
CVE-2017-2356: Team Pangu og lokihardt fra PwnFest 2016
CVE-2017-2369: Ivan Fratric fra Google Project Zero
CVE-2017-2366: Kai Kang fra Tencents Xuanwu Lab (tencent.com)
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af webindhold med skadelig kode kan føre til cross-origin-eksfiltration af data
Beskrivelse: Der var et godkendelsesproblem ved behandling af sideindlæsning. Problemet er løst ved forbedret logik.
CVE-2017-2363: lokihardt fra Google Project Zero
CVE-2017-2364: lokihardt fra Google Project Zero
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Et skadeligt websted kan åbne pop op-vinduer
Beskrivelse: Der opstod et problem ved håndteringen af blokering af pop op-vinduer. Dette blev rettet gennem forbedret inputvalidering.
CVE-2017-2371: lokihardt fra Google Project Zero
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: Behandling af webindhold med skadelig kode kan føre til cross-origin-eksfiltration af data
Beskrivelse: Der var et godkendelsesproblem ved behandling af variabler. Problemet er løst ved forbedret godkendelse.
CVE-2017-2365: lokihardt fra Google Project Zero
Wi-Fi
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version
Effekt: En aktiveringslåst enhed kan manipuleres til kortvarigt at vise hjemmeskærmen
Beskrivelse: Der var et problem med håndtering af brugerinput, som medførte visning af hjemmeskærmen på en enhed, selv om den var aktiveringslåst. Dette blev rettet gennem forbedret inputvalidering.
CVE-2017-2351: Hemanth Joseph, Sriram (@Sri_Hxor) fra Primefort Pvt. Ltd., Mohamd Imran
Yderligere anerkendelser
Forbedring af WebKit-sikkerhed
Tak for hjælpen til Ben Gras, Kaveh Razavi, Erik Bosman, Herbert Bos og Cristiano Giuffrida fra vusec-gruppen ved Vrije Universiteit Amsterdam.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.