Informationen zum Sicherheitsinhalt von iOS 10.3.2
In diesem Dokument wird der Sicherheitsinhalt von iOS 10.3.2 beschrieben.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.
Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
iOS 10.3.2
AVEVideoEncoder
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer und iPod touch (6. Generation)
Auswirkung: Ein Programm kann Kernel-Rechte erlangen
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-6989: Adam Donenfeld (@doadam) vom Zimperium zLabs Team
CVE-2017-6994: Adam Donenfeld (@doadam) vom Zimperium zLabs Team
CVE-2017-6995: Adam Donenfeld (@doadam) vom Zimperium zLabs Team
CVE-2017-6996: Adam Donenfeld (@doadam) vom Zimperium zLabs Team
CVE-2017-6997: Adam Donenfeld (@doadam) vom Zimperium zLabs Team
CVE-2017-6998: Adam Donenfeld (@doadam) vom Zimperium zLabs Team
CVE-2017-6999: Adam Donenfeld (@doadam) vom Zimperium zLabs Team
CoreAudio
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer und iPod touch (6. Generation)
Auswirkung: Ein Programm kann beschränkten Speicher lesen
Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2017-2502: Yangkang (@dnpushme) vom Qihoo360 Qex Team
CoreFoundation
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer und iPod touch (6. Generation)
Auswirkung: Die Analyse in böser Absicht erstellter Daten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2522: Ian Beer von Google Project Zero
CoreText
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer und iPod touch (6. Generation)
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu einem Programmabbruch führen
Beschreibung: Das Denial-of-Service-Problem wurde durch eine verbesserte Prüfung behoben.
CVE-2017-7003: Jake Davis von SPYSCAPE (@DoubleJake), João Henrique Neves und Stephen Goldberg von Salesforce
Foundation
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer und iPod touch (6. Generation)
Auswirkung: Die Analyse in böser Absicht erstellter Daten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2523: Ian Beer von Google Project Zero
iBooks
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer und iPod touch (6. Generation)
Auswirkung: Ein in böser Absicht erstelltes Buch kann willkürliche Websites ohne Einwilligung des Nutzers aufrufen
Beschreibung: Ein URL-Verarbeitungsfehler wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2017-2497: Jun Kokatsu (@shhnjk)
iBooks
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer und iPod touch (6. Generation)
Auswirkung: Ein Programm kann willkürlichen Code mit Root-Rechten ausführen
Beschreibung: In der Pfadüberprüfungslogik für Symlinks bestand ein Problem. Dieses Problem wurde durch eine verbesserte Pfadbereinigung behoben.
CVE-2017-6981: evi1m0 von YSRC (sec.ly.com)
IOSurface
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer und iPod touch (6. Generation)
Auswirkung: Ein Programm kann Kernel-Rechte erlangen
Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch verbesserten Sperrschutz behoben.
CVE-2017-6979: Adam Donenfeld (@doadam) vom Zimperium zLabs Team
JavaScriptCore
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer und iPod touch (6. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Programmabbruch oder der Ausführung willkürlichen Codes führen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7005: lokihardt von Google Project Zero
Kernel
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer und iPod touch (6. Generation)
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch verbesserten Sperrschutz behoben.
CVE-2017-2501: Ian Beer von Google Project Zero
Kernel
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer und iPod touch (6. Generation)
Auswirkung: Ein Programm kann beschränkten Speicher lesen
Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2017-2507: Ian Beer von Google Project Zero
CVE-2017-6987: Patrick Wardle von Synack
Mitteilungen
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer und iPod touch (6. Generation)
Auswirkung: Ein Programm kann einen Denial-of-Service verursachen
Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Speicherverarbeitung behoben.
CVE-2017-6982: Vincent Desmurs (vincedes3), Sem Voigtlander (OxFEEDFACE) und Joseph Shenton von CoffeeBreakers
Safari
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer und iPod touch (6. Generation)
Auswirkung: Das Aufrufen einer in böser Absicht erstellten Website kann zu einem Denial-of-Service des Programms führen
Beschreibung: In Safari wurde ein Problem im Menü "Verlauf" durch eine verbesserte Speicherverarbeitung behoben.
CVE-2017-2495: Tubasa Iinuma (@llamakko_cafe) von Gehirn Inc.
Sicherheit
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer und iPod touch (6. Generation)
Auswirkung: Aktualisierung der Richtlinie für vertrauenswürdige Zertifikate
Beschreibung: Bei der Verarbeitung von nicht-vertrauenswürdigen Zertifikaten bestand ein Problem mit der Zertifikatsüberprüfung. Dieses Problem wurde durch eine verbesserte Verarbeitung durch den Nutzer bei der Bestätigung der Vertrauenswürdigkeit behoben.
CVE-2017-2498: Andrew Jerman
Sicherheit
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer und iPod touch (6. Generation)
Auswirkung: Ein lokales Programm kann möglicherweise privilegierte XPC-Nachrichten ohne Berechtigungen versenden
Beschreibung: Eine Race-Bedingung wurde durch verbesserte Konsistenzprüfung behoben.
CVE-2017-7004: Ian Beer von Google Project Zero
SQLite
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer und iPod touch (6. Generation)
Auswirkung: Eine in böser Absicht erstellte SQL-Anfrage kann zur Ausführung willkürlichen Codes führen
Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2513: gefunden von OSS-Fuzz
SQLite
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer und iPod touch (6. Generation)
Auswirkung: Eine in böser Absicht erstellte SQL-Anfrage kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2518: gefunden von OSS-Fuzz
CVE-2017-2520: gefunden von OSS-Fuzz
SQLite
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer und iPod touch (6. Generation)
Auswirkung: Eine in böser Absicht erstellte SQL-Anfrage kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2519: gefunden von OSS-Fuzz
SQLite
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer und iPod touch (6. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-6983: Chaitin Security Research Lab (@ChaitinTech) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-6991: Chaitin Security Research Lab (@ChaitinTech) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-7000: Chaitin Security Research Lab (@ChaitinTech) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-7001: Chaitin Security Research Lab (@ChaitinTech) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-7002: Chaitin Security Research Lab (@ChaitinTech) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
TextInput
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer und iPod touch (6. Generation)
Auswirkung: Die Analyse in böser Absicht erstellter Daten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2524: Ian Beer von Google Project Zero
WebKit
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer und iPod touch (6. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2496: Apple
CVE-2017-2505: lokihardt von Google Project Zero
CVE-2017-2506: Zheng Huang vom Baidu Security Lab in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-2514: lokihardt von Google Project Zero
CVE-2017-2515: lokihardt von Google Project Zero
CVE-2017-2521: lokihardt von Google Project Zero
CVE-2017-2525: Kai Kang (4B5F5F4B) von Tencents Xuanwu Lab (tencent.com) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-2526: Kai Kang (4B5F5F4B) von Tencents Xuanwu Lab (tencent.com) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-2530: Wei Yuan vom Baidu Security Lab, Zheng Huang vom Baidu Security Lab in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-2531: lokihardt von Google Project Zero
CVE-2017-2538: Richard Zhu (fluorescence) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-2539: Richard Zhu (fluorescence) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-2544: 360 Security (@mj0011sec) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-2547: lokihardt von Google Project Zero, Team Sniper (Keen Lab and PC Mgr) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-6980: lokihardt von Google Project Zero
CVE-2017-6984: lokihardt von Google Project Zero
WebKit
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer und iPod touch (6. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen
Beschreibung: Beim Aufrufen von WebKit Editor-Befehlen kam es zu einem Logikproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2017-2504: lokihardt von Google Project Zero
WebKit
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer und iPod touch (6. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen
Beschreibung: Bei der Verarbeitung von WebKit Container-Knoten kam es zu einem Logikproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2017-2508: lokihardt von Google Project Zero
WebKit
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer und iPod touch (6. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen
Beschreibung: Bei der Verarbeitung von Pageshow-Events kam es zu einem Logikproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2017-2510: lokihardt von Google Project Zero
WebKit
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer und iPod touch (6. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen
Beschreibung: Bei der Verarbeitung von WebKit Frames im Cache kam es zu einem Logikfehler. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2017-2528: lokihardt von Google Project Zero
WebKit
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer und iPod touch (6. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2536: Samuel Groß and Niklas Baumstark in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
WebKit
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer und iPod touch (6. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen
Beschreibung: Beim Laden des Frame bestand ein Logikproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2017-2549: lokihardt von Google Project Zero
WebKit Web Inspector
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer und iPod touch (6. Generation)
Auswirkung: Ein Programm kann unsignierten Code ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2499: George Dan (@theninjaprawn)
Zusätzliche Danksagung
Kernel
Wir möchten uns bei Orr A. von Aleph Research, HCL Technologies für die Unterstützung bedanken.
Safari
Wir möchten uns bei Flyin9_L (ZhenHui Lee) (@ACITSEC) für die Unterstützung bedanken.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.