Om sikkerhedsindholdet i iOS 10.3.2
Dette dokument beskriver sikkerhedsindholdet i iOS 10.3.2.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
iOS 10.3.2
AVEVideoEncoder
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation
Effekt: Et program kan muligvis få adgang til kernerettigheder
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-6989: Adam Donenfeld (@doadam) fra Zimperium zLabs Team
CVE-2017-6994: Adam Donenfeld (@doadam) fra Zimperium zLabs Team
CVE-2017-6995: Adam Donenfeld (@doadam) fra Zimperium zLabs Team
CVE-2017-6996: Adam Donenfeld (@doadam) fra Zimperium zLabs Team
CVE-2017-6997: Adam Donenfeld (@doadam) fra Zimperium zLabs Team
CVE-2017-6998: Adam Donenfeld (@doadam) fra Zimperium zLabs Team
CVE-2017-6999: Adam Donenfeld (@doadam) fra Zimperium zLabs Team
CoreAudio
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation
Effekt: Et program kan muligvis læse beskyttet hukommelse
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.
CVE-2017-2502: Yangkang (@dnpushme) fra Qihoo360 Qex Team
CoreFoundation
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation
Effekt: Parsing af skadelige data kan medføre kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-2522: Ian Beer fra Google Project Zero
CoreText
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation
Effekt: Behandling af et skadeligt arkiv kan medføre programlukning
Beskrivelse: Et DoS-problem (Denial of Service) blev rettet via forbedret validering.
CVE-2017-7003: Jake Davis fra SPYSCAPE (@DoubleJake), João Henrique Neves og Stephen Goldberg fra Salesforce
Foundation
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation
Effekt: Parsing af skadelige data kan medføre kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-2523: Ian Beer fra Google Project Zero
iBooks
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation
Effekt: En skadelig bog kan åbne vilkårlige websteder uden brugertilladelse
Beskrivelse: Et problem med behandling af URL-adresser er løst via forbedret statusadministration.
CVE-2017-2497: Jun Kokatsu (@shhnjk)
iBooks
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation
Effekt: Et program kan muligvis køre en vilkårlig kode med rodrettigheder
Beskrivelse: Der var et problem med stigodkendelseslogikken for symbolske links. Problemet blev løst via forbedret stirensning.
CVE-2017-6981: evi1m0 fra YSRC (sec.ly.com)
IOSurface
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation
Effekt: Et program kan muligvis få adgang til kernerettigheder
Beskrivelse: En race condition er løst ved forbedret låsning.
CVE-2017-6979: Adam Donenfeld (@doadam) fra Zimperium zLabs Team
JavaScriptCore
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation
Effekt: Behandlingen af skadeligt webindhold kan forårsage uventet programlukning eller kørsel af vilkårlig kode
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-7005: lokihardt fra Google Project Zero
Kernel
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: En race condition er løst ved forbedret låsning.
CVE-2017-2501: Ian Beer fra Google Project Zero
Kernel
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation
Effekt: Et program kan muligvis læse beskyttet hukommelse
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.
CVE-2017-2507: Ian Beer fra Google Project Zero
CVE-2017-6987: Patrick Wardle fra Synack
Meddelelser
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation
Effekt: Et program kan muligvis fremkalde denial of service
Beskrivelse: Et DoS-problem er løst ved forbedret hukommelsesbehandling.
CVE-2017-6982: Vincent Desmurs (vincedes3), Sem Voigtlander (OxFEEDFACE) og Joseph Shenton fra CoffeeBreakers
Safari
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation
Effekt: Besøg på en skadelig webside kan resultere i DoS
Beskrivelse: Et problem med historikmenuen i Safari er løst via forbedret hukommelsesbehandling.
CVE-2017-2495: Tubasa Iinuma (@llamakko_cafe) fra Gehirn Inc.
Sikkerhed
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation
Effekt: Opdatering af politikken for certifikatgodkendelse
Beskrivelse: Der var et problem med godkendelse af certifikater i håndteringen af usikre certifikater. Problemet er løst via forbedret brugerhåndtering af godkendelser.
CVE-2017-2498: Andrew Jerman
Sikkerhed
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation
Effekt: Et lokalt program kan muligvis sende privilegerede XPC-meddelelser uden rettigheder
Beskrivelse: En race condition er løst ved forbedret konsistenskontrol.
CVE-2017-7004: Ian Beer fra Google Project Zero
SQLite
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation
Effekt: En skadelig SQL-forespørgsel kan medføre kørsel af vilkårlig kode
Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.
CVE-2017-2513: Fundet af OSS-Fuzz
SQLite
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation
Effekt: En skadelig SQL-forespørgsel kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et problem med bufferoverløb, som er løst ved forbedret hukommelsesbehandling.
CVE-2017-2518: Fundet af OSS-Fuzz
CVE-2017-2520: Fundet af OSS-Fuzz
SQLite
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation
Effekt: En skadelig SQL-forespørgsel kan medføre kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-2519: Fundet af OSS-Fuzz
SQLite
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation
Effekt: Behandling af webindhold med skadelig kode kan føre til vilkårlig kørsel af kode
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2017-6983: Chaitin Security Research Lab (@ChaitinTech), der arbejder med Trend Micros Zero Day Initiative
CVE-2017-6991: Chaitin Security Research Lab (@ChaitinTech), der arbejder med Trend Micros Zero Day Initiative
CVE-2017-7000: Chaitin Security Research Lab (@ChaitinTech), der arbejder med Trend Micros Zero Day Initiative
CVE-2017-7001: Chaitin Security Research Lab (@ChaitinTech), der arbejder med Trend Micros Zero Day Initiative
CVE-2017-7002: Chaitin Security Research Lab (@ChaitinTech), der arbejder med Trend Micros Zero Day Initiative
TextInput
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation
Effekt: Parsing af skadelige data kan medføre kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-2524: Ian Beer fra Google Project Zero
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation
Effekt: Behandling af webindhold med skadelig kode kan føre til vilkårlig kørsel af kode
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-2496: Apple
CVE-2017-2505: lokihardt fra Google Project Zero
CVE-2017-2506: Zheng Huang fra Baidu Security Lab, der arbejder med Trend Micros Zero Day Initiative
CVE-2017-2514: lokihardt fra Google Project Zero
CVE-2017-2515: lokihardt fra Google Project Zero
CVE-2017-2521: lokihardt fra Google Project Zero
CVE-2017-2525: Kai Kang (4B5F5F4B) fra Tencents Xuanwu Lab (tencent.com), der arbejder med Trend Micros Zero Day Initiative
CVE-2017-2526: Kai Kang (4B5F5F4B) fra Tencents Xuanwu Lab (tencent.com), der arbejder med Trend Micros Zero Day Initiative
CVE-2017-2530: Wei Yuan fra Baidu Security Lab, Zheng Huang fra Baidu Security Lab, der arbejder med Trend Micros Zero Day Initiative
CVE-2017-2531: lokihardt fra Google Project Zero
CVE-2017-2538: Richard Zhu (fluorescence), der arbejder med Trend Micros Zero Day Initiative
CVE-2017-2539: Richard Zhu (fluorescence), der arbejder med Trend Micros Zero Day Initiative
CVE-2017-2544: 360 Security (@mj0011sec), der arbejder med Trend Micros Zero Day Initiative
CVE-2017-2547: lokihardt fra Google Project Zero og Team Sniper (Keen Lab og PC Mgr), der arbejder med Trend Micros Zero Day Initiative
CVE-2017-6980: lokihardt fra Google Project Zero
CVE-2017-6984: lokihardt fra Google Project Zero
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation
Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder
Beskrivelse: Der var et logikproblem i håndteringen af WebKit Editor-kommandoer. Problemet er løst ved hjælp af forbedret statusadministration.
CVE-2017-2504: lokihardt fra Google Project Zero
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation
Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder
Beskrivelse: Der var et logikproblem i håndteringen af WebKit beholdernoder. Problemet er løst ved hjælp af forbedret statusadministration.
CVE-2017-2508: lokihardt fra Google Project Zero
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation
Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder
Beskrivelse: Der var et logikproblem i håndteringen af pageshow-hændelser. Problemet er løst ved hjælp af forbedret statusadministration.
CVE-2017-2510: lokihardt fra Google Project Zero
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation
Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder
Beskrivelse: Der var et logikproblem i håndteringen af cachelagrede WebKit-frames. Problemet er løst ved hjælp af forbedret statusadministration.
CVE-2017-2528: lokihardt fra Google Project Zero
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation
Effekt: Behandling af webindhold med skadelig kode kan føre til vilkårlig kørsel af kode
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-2536: Samuel Groß og Niklas Baumstark, der arbejder med Trend Micros Zero Day Initiative
WebKit
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation
Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder
Beskrivelse: Der var et logikproblem i indlæsningen af frames. Problemet er løst ved hjælp af forbedret statusadministration.
CVE-2017-2549: lokihardt fra Google Project Zero
WebKit Web Inspector
Fås til: iPhone 5 eller en nyere version, iPad 4. generation eller en nyere version og iPod touch 6. generation
Effekt: Et program kan køre usigneret kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-2499: George Dan (@theninjaprawn)
Yderligere anerkendelser
Kernel
Vi vil gerne takke Orr A. fra Aleph Research, HCL Technologies for dennes assistance.
Safari
Vi vil gerne takke Flyin9_L (ZhenHui Lee) (@ACITSEC) for deres assistance.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.