Om sikkerhedsindholdet i iOS 10.3.3

Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i iOS 10.3.3.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

iOS 10.3.3

Kontakter

Fås til: iPhone 5 eller nyere, iPad 4. generation eller nyere og iPod touch 6. generation

Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller vilkårlig kørsel af kode

Beskrivelse: Der var et problem med bufferoverløb, som er løst ved forbedret hukommelsesbehandling.

CVE-2017-7062: Shashank (@cyberboyIndia)

CoreAudio

Fås til: iPhone 5 eller nyere, iPad 4. generation eller nyere og iPod touch 6. generation

Effekt: Behandling af et skadeligt filmarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse blev løst via forbedret kontrol af grænser.

CVE-2017-7008: Yangkang (@dnpushme) fra Qihoo 360 Qex Team

EventKitUI

Fås til: iPhone 5 eller nyere, iPad 4. generation eller nyere og iPod touch 6. generation

Effekt: En ekstern hacker kan muligvis forårsage uventet afslutning af programmet

Beskrivelse: Et problem med opbrugte ressourcer blev rettet gennem forbedret inputvalidering.

CVE-2017-7007: José Antonio Esteban (@Erratum_) fra Sapsi Consultores

IOUSBFamily

Fås til: iPhone 5 eller nyere, iPad 4. generation eller nyere og iPod touch 6. generation

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-7009: shrek_wzw fra Qihoo 360 Nirvan Team

Kernel

Fås til: iPhone 5 eller nyere, iPad 4. generation eller nyere og iPod touch 6. generation

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-7022: En anonym programmør

CVE-2017-7024: En anonym programmør

CVE-2017-7026: En anonym programmør

Kernel

Fås til: iPhone 5 eller nyere, iPad 4. generation eller nyere og iPod touch 6. generation

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-7023: En anonym programmør

CVE-2017-7025: En anonym programmør

CVE-2017-7027: En anonym programmør

CVE-2017-7069: Proteas fra Qihoo 360 Nirvan Team

Kernel

Fås til: iPhone 5 eller nyere, iPad 4. generation eller nyere og iPod touch 6. generation

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2017-7028: En anonym programmør

CVE-2017-7029: En anonym programmør

libarchive

Fås til: iPhone 5 eller nyere, iPad 4. generation eller nyere og iPod touch 6. generation

Effekt: Udpakning af et skadeligt arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et problem med bufferoverløb, som blev løst ved forbedret kontrol af grænser.

CVE-2017-7068: Fundet af OSS-Fuzz

libxml2

Fås til: iPhone 5 eller nyere, iPad 4. generation eller nyere og iPod touch 6. generation

Effekt: Parsing af et skadeligt XML-arkiv kan medføre afsløring af brugeroplysninger

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2017-7010: Apple

CVE-2017-7013: Fundet af OSS-Fuzz

libxpc

Fås til: iPhone 5 eller nyere, iPad 4. generation eller nyere og iPod touch 6. generation

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-7047: Ian Beer fra Google Project Zero

Beskeder

Fås til: iPhone 5 eller nyere, iPad 4. generation eller nyere og iPod touch 6. generation

Effekt: En ekstern hacker kan muligvis forårsage uventet afslutning af programmet

Beskrivelse: Der var et problem med hukommelsesforbrug, som er løst ved forbedret hukommelseshåndtering.

CVE-2017-7063: Shashank (@cyberboyIndia)

Meddelelser

Fås til: iPhone 5 eller nyere, iPad 4. generation eller nyere og iPod touch 6. generation

Effekt: Meddelelser vises på låseskærmen, selvom de er deaktiverede

Beskrivelse: Et problem med låseskærmen blev løst ved forbedret statusadministration.

CVE-2017-7058: Beyza Sevinç fra Süleyman Demirel Üniversitesi

Safari

Fås til: iPhone 5 eller nyere, iPad 4. generation eller nyere og iPod touch 6. generation

Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen

Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.

CVE-2017-2517: xisigr fra Tencents Xuanwu Lab (tencent.com)

Udskrift fra Safari

Fås til: iPhone 5 eller nyere, iPad 4. generation eller nyere og iPod touch 6. generation

Effekt: Behandling af webindhold med skadelig kode kan føre til et uendeligt antal udskrivningsdialogbokse

Beskrivelse: Der var et problem med, at et skadeligt eller kompromitteret websted kan vise et uendeligt antal udskrivningsdialogbokse, som får brugeren til at tro, at browseren er låst. Problemet er løst ved forbedret regulering af udskrivningsdialogbokse.

CVE-2017-7060: Travis Kelley fra City of Mishawaka, Indiana

Telefoni

Fås til: iPhone 5 og nyere og modeller med Wi-Fi + Cellular af iPad 4. generation og nyere

Effekt: En hacker med en privilegeret netværksposition kan muligvis forårsage kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-8248

WebKit

Fås til: iPhone 5 eller nyere, iPad 4. generation eller nyere og iPod touch 6. generation

Effekt: Et skadeligt websted kan eksfiltrere data på tværs af oprindelsessteder

Beskrivelse: Behandling af webindhold med skadelig kode kan tillade, at data på tværs af oprindelsessteder eksfiltreres via SVG-filtre, så der udføres et timingangreb på sidekanalen. Problemet blev løst ved ikke at tegne bufferen på tværs af oprindelsessteder i den ramme, der filtreres.

CVE-2017-7006: En anonym programmør, David Kohlbrenner fra UC San Diego

WebKit

Fås til: iPhone 5 eller nyere, iPad 4. generation eller nyere og iPod touch 6. generation

Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen

Beskrivelse: Der var et problem med tilstandsadministrering, som er løst ved forbedret rammehåndtering.

CVE-2017-7011: xisigr fra Tencents Xuanwu Lab (tencent.com)

WebKit

Fås til: iPhone 5 eller nyere, iPad 4. generation eller nyere og iPod touch 6. generation

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-7018: lokihardt fra Google Project Zero

CVE-2017-7020: likemeng fra Baidu Security Lab

CVE-2017-7030: chenqin fra Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)

CVE-2017-7034: chenqin fra Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)

CVE-2017-7037: lokihardt fra Google Project Zero

CVE-2017-7039: Ivan Fratric fra Google Project Zero

CVE-2017-7040: Ivan Fratric fra Google Project Zero

CVE-2017-7041: Ivan Fratric fra Google Project Zero

CVE-2017-7042: Ivan Fratric fra Google Project Zero

CVE-2017-7043: Ivan Fratric fra Google Project Zero

CVE-2017-7046: Ivan Fratric fra Google Project Zero

CVE-2017-7048: Ivan Fratric fra Google Project Zero

CVE-2017-7052: cc, der arbejder med Trend Micros Zero Day Initiative

CVE-2017-7055: National Cyber Security Centre (NCSC) i Storbritannien

CVE-2017-7056: lokihardt fra Google Project Zero

CVE-2017-7061: lokihardt fra Google Project Zero

WebKit

Fås til: iPhone 5 eller nyere, iPad 4. generation eller nyere og iPod touch 6. generation

Effekt: Behandling af webindhold med skadelig kode i DOMParser kan føre til scripting på tværs af websteder

Beskrivelse: Der var et logikproblem i håndteringen af DOMParser. Problemet er løst ved hjælp af forbedret statusadministration.

CVE-2017-7038: Egor Karbutov (@ShikariSenpai) fra Digital Security og Egor Saltykov (@ansjdnakjdnajkd) fra Digital Security, Neil Jenkins fra FastMail Pty Ltd

CVE-2017-7059: Masato Kinugawa og Mario Heiderich fra Cure53

WebKit

Fås til: iPhone 5 eller nyere, iPad 4. generation eller nyere og iPod touch 6. generation

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-7049: Ivan Fratric fra Google Project Zero

WebKit

Fås til: iPhone 5 eller nyere, iPad 4. generation eller nyere og iPod touch 6. generation

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Der var et problem med hukommelsesinitialisering, som er løst ved forbedret hukommelseshåndtering.

CVE-2017-7064: lokihardt fra Google Project Zero

WebKit-sideindlæsning

Fås til: iPhone 5 eller nyere, iPad 4. generation eller nyere og iPod touch 6. generation

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-7019: Zhiyang Zeng fra Tencent Security Platform Department

WebKit Web Inspector

Fås til: iPhone 5 eller nyere, iPad 4. generation eller nyere og iPod touch 6. generation

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-7012: Apple

Wi-Fi

Fås til: iPhone 5 eller nyere, iPad 4. generation eller nyere og iPod touch 6. generation

Effekt: En hacker inden for rækkevidde kan muligvis køre vilkårlig kode på Wi-Fi-chippen

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-7065: Gal Beniamini fra Google Project Zero

Wi-Fi

Fås til: iPhone 5 eller nyere, iPad 4. generation eller nyere og iPod touch 6. generation

Effekt: En hacker inden for Wi-Fi-rækkevidde kan muligvis fremkalde denial of service på Wi-Fi-chippen

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2017-7066: Gal Beniamini fra Google Project Zero

Wi-Fi

Fås til: iPhone 5 eller nyere, iPad 4. generation eller nyere og iPod touch 6. generation

Effekt: En hacker inden for rækkevidde kan muligvis køre vilkårlig kode på Wi-Fi-chippen

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-9417: Nitay Artenstein fra Exodus Intelligence