Om sikkerhedsindholdet i iOS 10.3

Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i iOS 10.3.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

iOS 10.3

Konti

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: En bruger kan muligvis få vist et Apple-id på en låst skærm

Beskrivelse: Et problem med administration af meddelelser blev løst ved at fjerne meddelelser om iCloud-godkendelse fra den låste skærm.

CVE-2017-2397: Suprovici Vadim fra UniApps team, en anonym programmør

Lyd

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2430: En anonym programmør, der arbejder for Trend Micros Zero Day Initiative

CVE-2017-2462: En anonym programmør, der arbejder for Trend Micros Zero Day Initiative

Carbon

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af et skadeligt .dfont-arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et bufferoverløb ved behandlingen af skriftarkiver. Problemet er løst via forbedret kontrol af grænser.

CVE-2017-2379: John Villamil, Doyensec, riusksk (泉哥) fra Tencent Security Platform Department

CoreGraphics

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af et skadeligt billede kan medføre DoS (Denial of Service)

Beskrivelse: En uendelig rekursion blev løst via forbedret statusadministration.

CVE-2017-2417: riusksk (泉哥) fra Tencent Security Platform Department

CoreGraphics

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Flere problemer med korruption af hukommelsen er løst via forbedret godkendelse af input.

CVE-2017-2444: Mei Wang fra 360 GearTeam

CoreText

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af en skadelig sms kan medføre anvendelse af DoS (Denial of Service)

Beskrivelse: Et problem med opbrugte ressourcer blev rettet gennem forbedret inputvalidering.

CVE-2017-2461: Isaac Archambault fra IDAoADI, en anonym programmør

DataAccess

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Konfiguration af en Exchange-konto med en forkert skrevet e-mailadresse kan føre til en uventet server

Beskrivelse: Der var et problem med godkendelse af input ved håndtering af e-mailadresser til Exchange. Problemet er løst ved forbedret godkendelse af input.

CVE-2017-2414: Ilya Nesterov og Maxim Goncharov

FontParser

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Flere problemer med korruption af hukommelsen er løst via forbedret godkendelse af input.

CVE-2017-2487: riusksk (泉哥) fra Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) fra Tencent Security Platform Department

FontParser

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Parsing af et skadeligt skriftarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Flere problemer med korruption af hukommelsen er løst via forbedret godkendelse af input.

CVE-2017-2407: riusksk (泉哥) fra Tencent Security Platform Department

FontParser

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2017-2439: John Villamil, Doyensec

HomeKit

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Hjemkontrol kan uventet dukke op i Kontrolcenter

Beskrivelse: Der var et statusproblem i håndteringen af Hjemkontrol. Problemet er løst ved forbedret godkendelse.

CVE-2017-2434: Suyash Narain fra Indien

HTTPProtocol

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: En skadelig HTTP/2-server kan være årsag til udefineret adfærd

Beskrivelse: Der var flere problemer i nghttp2-versioner før 1.17.0. Disse blev løst ved at opdatere nghttp2 til version 1.17.0.

CVE-2017-2428

ImageIO

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) fra KeenLab, Tencent

ImageIO

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Visning af et skadeligt JPEG-arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2432: En anonym programmør, der arbejder for Trend Micros Zero Day Initiative

ImageIO

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af et skadeligt arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2467

ImageIO

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af et skadeligt billede kan medføre pludselig programlukning

Beskrivelse: Der var et out-of-bounds-læseproblem i LibTIFF-versioner før 4.0.7. Problemet er løst ved opdatering af LibTIFF i ImageIO til version 4.0.7.

CVE-2016-3619

iTunes Store

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: En hacker i en privilegeret netværksposition kan muligvis manipulere med netværkstrafik til iTunes

Beskrivelse: Anmodninger til webtjenester for iTunes-sandbox blev sendt i klar tekst. Problemet er løst ved at aktivere HTTPS.

CVE-2017-2412: Richard Shupak (linkedin.com/in/rshupak)

JavaScriptCore

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.

CVE-2017-2491: Apple

JavaScriptCore

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af en webside med skadelig kode kan føre til universel scripting på tværs af websteder

Beskrivelse: Et problem med prototype er løst ved forbedret logik.

CVE-2017-2492: lokihardt fra Google Project Zero

Kernel

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2398: Lufeng Li fra Qihoo 360 Vulcan Team

CVE-2017-2401: Lufeng Li fra Qihoo 360 Vulcan Team

Kernel

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2017-2440: En anonym programmør

Kernel

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med rodrettigheder

Beskrivelse: En konkurrencetilstand er løst via forbedret hukommelseshåndtering.

CVE-2017-2456: lokihardt fra Google Project Zero

Kernel

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.

CVE-2017-2472: Ian Beer fra Google Project Zero

Kernel

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2473: Ian Beer fra Google Project Zero

Kernel

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et off-by-one-problem er løst via forbedret kontrol af grænser.

CVE-2017-2474: Ian Beer fra Google Project Zero

Kernel

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret låsning.

CVE-2017-2478: Ian Beer fra Google Project Zero

Kernel

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et problem med bufferoverløb, som er løst ved forbedret hukommelsesbehandling.

CVE-2017-2482: Ian Beer fra Google Project Zero

CVE-2017-2483: Ian Beer fra Google Project Zero

Kernel

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Et program kan muligvis køre vilkårlig kode med hævede rettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-2490: Ian Beer fra Google Project Zero, Englands National Cyber Security Centre (NCSC)

Tastaturer

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Et program kan køre vilkårlig kode

Beskrivelse: Der var et problem med bufferoverløb, som blev løst ved forbedret kontrol af grænser.

CVE-2017-2458: Shashank (@cyberboyIndia)

Nøglering

Fås til: iPhone 5, iPad 4. generation eller iPod touch 6. generation eller en nyere version af disse enheder

Effekt: En hacker, som er i stand til at opsnappe TLS-forbindelser, kan være i stand til hemmeligt at læse beskyttet iCloud-nøglering.

Beskrivelse: iCloud-nøglering kunne ikke godkende OTR-pakkers autenticitet under visse omstændigheder. Problemet er løst ved forbedret godkendelse.

CVE-2017-2448: Alex Radocea fra Longterm Security, Inc.

libarchive

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: En lokal hacker kan ændre arkivsystemtilladelser for vilkårlige biblioteker

Beskrivelse: Der var et godkendelsesproblem i håndteringen af symbolske links. Problemet er løst ved forbedret godkendelse af symbolske links.

CVE-2017-2390: Omer Medan fra enSilo Ltd

libc++abi

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Demangling af et skadeligt C++-program kan medføre kørsel af vilkårlig kode

Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.

CVE-2017-2441

libxslt

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Flere sikkerhedsrisici i libxslt

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-5029: Holger Fuhrmannek

Opslagstavle

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: En person med fysisk adgang til en iOS-enhed kan muligvis læse opslagstavlen

Beskrivelse: Opslagstavlen blev krypteret med en nøgle, der kun var beskyttet af hardware-UID'et. Problemet er løst ved at kryptere opslagstavlen med en nøgle, der er beskyttet af hardware-UID'et og brugerens adgangskode.

CVE-2017-2399

Telefon

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: En tredjepart kan starte et telefonopkald uden interaktion fra brugerens side

Beskrivelse: Der var et problem i iOS, der gjorde det muligt at foretage opkald uden at bede om bekræftelse. Problemet er løst ved at bede en bruger om at bekræfte start af opkald.

CVE-2017-2484

Profiler

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: En hacker kan udnytte svagheder i DES-kryptografialgoritmen

Beskrivelse: Understøttelse af den kryptografiske 3DES-algoritme blev føjet til SCEP-klienten, og DES blev udfaset.

CVE-2017-2380: En anonym programmør

Vis

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Tryk på et telefonlink i et PDF-dokument kan udløse et opkald, uden at brugeren bedes om bekræftelse

Beskrivelse: Der var et problem med kontrol af telefon-URL-adressen inden start af opkald. Problemet er løst ved at indsætte en bekræftelsesdialog.

CVE-2017-2404: Tuan Anh Ngo (Melbourne, Australien), Christoph Nehring

Safari

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen

Beskrivelse: Et problem med statusadministration blev løst ved at deaktivere input af tekst, indtil destinationssiden er indlæst.

CVE-2017-2376: En anonym programmør, Michal Zalewski fra Google Inc, Muneaki Nishimura (nishimunea) fra Recruit Technologies Co., Ltd., Chris Hlady fra Google Inc, en anonym programmør, Yuyang Zhou fra Tencent Security Platform Department (security.tencent.com)

Safari

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: En lokal bruger kan muligvis finde websteder, som en bruger har besøgt i Privat browser

Beskrivelse: Der var et problem med sletning i SQLite. Problemet er løst ved forbedret oprydning af SQLite.

CVE-2017-2384

Safari

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af webindhold med skadelig kode kan præsentere godkendelsesark over vilkårlige websteder

Beskrivelse: Der var et problem med efterligning og DoS (Denial of Service) i håndteringen af HTTP-godkendelse. Problemet er løst ved at gøre HTTP-godkendelsesark ikke-modale.

CVE-2017-2389: ShenYeYinJiu fra Tencent Security Response Center, TSRC

Safari

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Indlæsning af et skadeligt websted ved klik på et link kan medføre manipulation med brugergrænsefladen

Beskrivelse: Der var et problem med efterligning i håndteringen af pop op-beskeder fra FaceTime. Problemet er løst ved forbedret godkendelse af input.

CVE-2017-2453: xisigr fra Tencents Xuanwu Lab (tencent.com)

Læser i Safari

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Aktivering af funktionen Læser i Safari på en skadelig webside kan føre til universel scripting på tværs af websteder

Beskrivelse: Der var flere godkendelsesproblemer, som er løst via forbedret rensning af input.

CVE-2017-2393: Erling Ellingsen

SafariViewController

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Bufferstatus synkroniseres ikke korrekt mellem Safari og SafariViewController, når en bruger sletter bufferen i Safari

Beskrivelse: Der var et problem med at slette bufferoplysninger fra Safari i SafariViewController. Problemet er løst ved forbedret håndtering af bufferstatus.

CVE-2017-2400: Abhinav Bansal fra Zscaler, Inc.

Sandbox-profiler

Fås til: iPhone 5 eller nyere, iPad 4. generation eller nyere og iPod touch 6. generation

Effekt: Et skadeligt program kan muligvis få adgang til iCloud-brugerposten for en bruger, der er logget ind

Beskrivelse: Der var et adgangsproblem, som er løst via yderligere sandbox-begrænsninger på programmer fra tredjeparter.

CVE-2017-6976: George Dan (@theninjaprawn)

Sikkerhed

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Validering af tomme signaturer med SecKeyRawVerify() kan uventet gennemføres

Beskrivelse: Der var et valideringsproblem med kryptografiske API-kald. Problemet er løst ved forbedret godkendelse af parametre.

CVE-2017-2423: En anonym programmør

Sikkerhed

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Et program kan muligvis køre en vilkårlig kode med rodrettigheder

Beskrivelse: Der var et problem med bufferoverløb, som blev løst ved forbedret kontrol af grænser.

CVE-2017-2451: Alex Radocea fra Longterm Security, Inc.

Sikkerhed

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af et skadeligt x509-certifikatarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse ved parsing af certifikater. Problemet er løst ved forbedret godkendelse af input.

CVE-2017-2485: Aleksandar Nikolic fra Cisco Talos

Siri

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Siri kan afsløre indhold i sms'er, når enheden er låst

Beskrivelse: Et problem med utilstrækkelig låsning blev løst ved forbedret statusadministration.

CVE-2017-2452: Hunter Byrnes

WebKit

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Træk og slip af et ondsindet link kan føre til falske bogmærker eller kørsel af vilkårlig kode

Beskrivelse: Der var et godkendelsesproblem i oprettelsen af bogmærker. Problemet er løst ved forbedret godkendelse af input.

CVE-2017-2378: xisigr fra Tencents Xuanwu Lab (tencent.com)

WebKit

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen

Beskrivelse: Et problem med en inkonsekvent brugerflade blev løst ved forbedret statusadministration.

CVE-2017-2486: redrain fra light4freedom

WebKit

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af webindhold med skadelig kode kan føre til cross-origin-eksfiltration af data

Beskrivelse: Der var et problem med prototypeadgang, som er løst ved forbedret håndtering af undtagelser.

CVE-2017-2386: André Bargull

WebKit

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Flere problemer med korruption af hukommelsen er løst via forbedret godkendelse af input.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric fra Google Project Zero, Zheng Huang fra Baidu Security Lab, som arbejder med Trend Micros Zero Day Initiative

CVE-2017-2455: Ivan Fratric fra Google Project Zero

CVE-2017-2457: lokihardt fra Google Project Zero

CVE-2017-2459: Ivan Fratric fra Google Project Zero

CVE-2017-2460: Ivan Fratric fra Google Project Zero

CVE-2017-2464: Jeonghoon Shin, natashenka fra Google Project Zero

CVE-2017-2465: Zheng Huang og Wei Yuan fra Baidu Security Lab

CVE-2017-2466: Ivan Fratric fra Google Project Zero

CVE-2017-2468: lokihardt fra Google Project Zero

CVE-2017-2469: lokihardt fra Google Project Zero

CVE-2017-2470: lokihardt fra Google Project Zero

CVE-2017-2476: Ivan Fratric fra Google Project Zero

CVE-2017-2481: 0011, der arbejder med Trend Micros Zero Day Initiative

WebKit

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et problem med forveksling af typer er løst via forbedret hukommelseshåndtering.

CVE-2017-2415: Kai Kang fra Tencents Xuanwu Lab (tencent.com)

WebKit

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af webindhold med skadelig kode kan føre til uventet overtrædelse af sikkerhedspolitikken for indhold

Beskrivelse: Der var et adgangsproblem i sikkerhedspolitikken for indhold. Problemet blev løst via forbedret adgangsbegrænsning.

CVE-2017-2419: Nicolai Grødum fra Cisco Systems

WebKit

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af webindhold med skadelig kode kan føre til et højt forbrug af hukommelse

Beskrivelse: Der var et problem med ukontrolleret hukommelsesforbrug, som er løst ved forbedret behandling af regex.

CVE-2016-9643: Gustavo Grieco

WebKit

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af skadeligt webindhold kan resultere i afsløring af proceshukommelse

Beskrivelse: Der opstod et problem med afsløring af oplysninger ved behandling af OpenGL-shadere. Problemet blev løst ved forbedret hukommelsesstyring.

CVE-2017-2424: Paul Thomson (med GLFuzz-værktøjet) fra Multicore Programming Group, Imperial College London

WebKit

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2433: Apple

WebKit

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af webindhold med skadelig kode kan føre til cross-origin-eksfiltration af data

Beskrivelse: Der var flere godkendelsesproblemer i håndteringen af sideindlæsning. Problemet er løst ved forbedret logik.

CVE-2017-2364: lokihardt fra Google Project Zero

WebKit

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Et skadeligt websted kan eksfiltrere data på tværs af oprindelsessteder

Beskrivelse: Der var et godkendelsesproblem ved behandling af sideindlæsning. Problemet er løst ved forbedret logik.

CVE-2017-2367: lokihardt fra Google Project Zero

WebKit

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder

Beskrivelse: Der opstod et logisk problem i håndteringen af frame-objekter. Problemet er løst ved hjælp af forbedret statusadministration.

CVE-2017-2445: lokihardt fra Google Project Zero

WebKit

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Der opstod et logisk problem i håndteringen af strict mode-funktioner. Problemet er løst ved hjælp af forbedret statusadministration.

CVE-2017-2446: natashenka fra Google Project Zero

WebKit

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Indlæsning af et skadeligt websted kan udgøre en risiko for brugeroplysninger

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-2447: natashenka fra Google Project Zero

WebKit

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-2463: Kai Kang (4B5F5F4B) fra Tencents Xuanwu Lab (tencent.com), der arbejder med Trend Micros Zero Day Initiative

WebKit

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.

CVE-2017-2471: Ivan Fratric fra Google Project Zero

WebKit

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder

Beskrivelse: Der opstod et logisk problem i håndteringen af frames. Problemet er løst ved forbedret statusadministration.

CVE-2017-2475: lokihardt fra Google Project Zero

WebKit

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af webindhold med skadelig kode kan føre til cross-origin-eksfiltration af data

Beskrivelse: Der var et godkendelsesproblem i håndteringen af elementer. Problemet er løst ved forbedret godkendelse.

CVE-2017-2479: lokihardt fra Google Project Zero

WebKit

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af webindhold med skadelig kode kan føre til cross-origin-eksfiltration af data

Beskrivelse: Der var et godkendelsesproblem i håndteringen af elementer. Problemet er løst ved forbedret godkendelse.

CVE-2017-2480: lokihardt fra Google Project Zero

CVE-2017-2493: lokihardt fra Google Project Zero

WebKit JavaScript-bindinger

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af webindhold med skadelig kode kan føre til cross-origin-eksfiltration af data

Beskrivelse: Der var flere godkendelsesproblemer i håndteringen af sideindlæsning. Problemet er løst ved forbedret logik.

CVE-2017-2442: lokihardt fra Google Project Zero

WebKit Web Inspector

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Lukning af et vindue under pause i fejlfindingen kan føre til uventet programlukning

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2377: Vicki Pfau

WebKit Web Inspector

Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation eller en nyere version

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2405: Apple

Yderligere anerkendelser

XNU

Vi vil gerne takke Lufeng Li fra Qihoo 360 Vulcan Team for dennes assistance.

WebKit

Vi vil gerne takke Yosuke HASEGAWA fra Secure Sky Technology Inc. for dennes assistance.

Safari

Vi vil gerne takke Flyin9 (ZhenHui Lee) for deres assistance.

Indstillinger

Vi vil gerne takke Adi Sharabani og Yair Amit fra Skycure for deres assistance.