Informationen zum Sicherheitsinhalt von iOS 11

In diesem Dokument wird der Sicherheitsinhalt von iOS 11 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

iOS 11

Veröffentlicht am 19. September 2017

802.1X

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer kann Schwachstellen in TLS 1.0 ausnutzen

Beschreibung: Ein Problem mit der Protokollsicherheit wurde durch Aktivieren von TLS 1.1 und TLS 1.2 behoben.

CVE-2017-13832: Doug Wussler von der Florida State University

Eintrag am 31. Oktober 2017 hinzugefügt und am 10. November 2017 aktualisiert

Bluetooth

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Anwendung kann möglicherweise auf zugriffsbeschränkte Dateien zugreifen

Beschreibung: Bei der Verarbeitung von Kontaktkarten bestand ein Datenschutzproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-7131: Dominik Conrads vom Bundesamt für Sicherheit in der Informationstechnik, ein anonymer Forscher, Anand Kathapurkar aus Indien, Elvis (@elvisimprsntr)

Eintrag am 9. Oktober 2017 aktualisiert

CFNetwork

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13829: Niklas Baumstark und Samuel Groß in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-13833: Niklas Baumstark und Samuel Groß in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 10. November 2017 hinzugefügt

CFNetwork-Proxys

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer an einer privilegierten Netzwerkposition kann einen Denial-of-Service verursachen

Beschreibung: Mehrere Denial-of-Service-Probleme wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7083: Abhinav Bansal von Zscaler Inc.

Eintrag am 25. September 2017 hinzugefügt

CFString

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate

Eintrag am 31. Oktober 2017 hinzugefügt

CoreAudio

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen

Beschreibung: Ein Lesevorgang außerhalb der Speicherbegrenzungen wurde durch Aktualisieren auf die Opus-Version 1.1.4 behoben.

CVE-2017-0381: V.E.O (@VYSEa) vom Mobile Threat Research Team, Trend Micro

Eintrag am 25. September 2017 hinzugefügt

CoreText

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate

Eintrag am 31. Oktober 2017 hinzugefügt

Exchange ActiveSync

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann ein Gerät während der Einrichtung eines Exchange-Accounts löschen

Beschreibung: In AutoDiscover V1 bestand ein Überprüfungsproblem.  Dieses Problem wurde behoben, indem TLS nun für AutoDiscover V1 vorausgesetzt wird. AutoDiscover V2 wird nun unterstützt.

CVE-2017-7088: Ilya Nesterov, Maxim Goncharov

file

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Mehrere Probleme in file

Beschreibung: Mehrere Probleme wurden durch eine Aktualisierung auf Version 5.31 behoben.

CVE-2017-13815

Eintrag am 31. Oktober 2017 hinzugefügt

Fonts

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Das Rendern von nicht vertrauenswürdigem Text kann zu Spoofing führen

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-13828: Leonard Grey und Robert Sesek von Google Chrome

Eintrag am 31. Oktober 2017 hinzugefügt und am 10. November 2017 aktualisiert

Heimdal

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer an einer privilegierten Netzwerkposition kann die Identität eines Diensts annehmen

Beschreibung: Bei der Verarbeitung des KDC-REP-Dienstnamens bestand ein Validierungsproblem. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni und Nico Williams

Eintrag am 25. September 2017 hinzugefügt

HFS

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13830: Sergej Schumilo von der Ruhr-Universität Bochum

Eintrag am 31. Oktober 2017 hinzugefügt

iBooks

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Analyse einer in böser Absicht erstellten iBooks-Datei kann zu einem dauerhaften Denial-of-Service führen

Beschreibung: Mehrere Denial-of-Service-Probleme wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7072: Jędrzej Krysztofiak

ImageIO

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate

Eintrag am 31. Oktober 2017 hinzugefügt

ImageIO

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zu einem Denial-of-Service führen

Beschreibung: Bei der Verarbeitung von Festplatten-Images kam es zur Offenlegung von Informationen. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13831: Glen Carmichael

Eintrag am 31. Oktober 2017 hinzugefügt und am 10. November 2017 aktualisiert

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7114: Alex Plaskett von MWR InfoSecurity

Eintrag am 25. September 2017 hinzugefügt

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein lokaler Benutzer kann den Kernel-Speicher auslesen

Beschreibung: Es bestand ein Problem, das den Zugriff auf Speicher außerhalb des zugewiesenen Bereichs ermöglichte. Dies führte dazu, dass Inhalte des Kernelspeichers offengelegt wurden. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-13817: Maxime Villard (m00nbsd)

Eintrag am 31. Oktober 2017 hinzugefügt

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-13818: Britisches National Cyber Security Centre (NCSC)

CVE-2017-13836: Ein anonymer Forscher, ein anonymer Forscher

CVE-2017-13841: Ein anonymer Forscher

CVE-2017-13840: Ein anonymer Forscher

CVE-2017-13842: Ein anonymer Forscher

Eintrag am 31. Oktober 2017 hinzugefügt und am 14. November 2017 aktualisiert

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13843: Ein anonymer Forscher, ein anonymer Forscher

Eintrag am 31. Oktober 2017 hinzugefügt

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13854: shrek_wzw vom Qihoo 360 Nirvan Team

Eintrag am 2. November 2017 hinzugefügt

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung einer fehlerhaft erstellten Mach-Binärdatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-13834: Maxime Villard (m00nbsd)

Eintrag am 10. November 2017 hinzugefügt

Tastaturvorschläge

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Autokorrekturvorschläge der Tastatur können ggf. vertrauliche Daten offenlegen

Beschreibung: Die iOS-Tastatur speicherte versehentlich vertrauliche Daten im Cachespeicher. Dieses Problem wurde durch verbesserte Heuristik behoben.

CVE-2017-7140: Agim Allkanjari von Stream in Motion Inc.

Eintrag am 9. Oktober 2017 aktualisiert

libarchive

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Das Entpacken eines in böser Absicht erstellten Archivs kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13813: Gefunden von OSS-Fuzz

CVE-2017-13816: Gefunden von OSS-Fuzz

Eintrag am 31. Oktober 2017 hinzugefügt

libarchive

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Das Entpacken eines in böser Absicht erstellten Archivs kann zur Ausführung willkürlichen Codes führen

Beschreibung: In libarchive kam es zu mehreren Speicherfehlern. Diese Probleme wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-13812: Gefunden von OSS-Fuzz

Eintrag am 31. Oktober 2017 hinzugefügt

libc

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein entfernter Angreifer kann einen Denial-of-Service verursachen

Beschreibung: Es wurde ein Problem mit der Ressourcenausschöpfung in glob() durch einen verbesserten Algorithmus behoben.

CVE-2017-7086: Russ Cox von Google

Eintrag am 25. September 2017 hinzugefügt

libc

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann einen Denial-of-Service verursachen

Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-1000373

Eintrag am 25. September 2017 hinzugefügt

libexpat

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Mehrere Probleme in expat

Beschreibung: Mehrere Probleme wurden durch die Aktualisierung auf Version 2.2.1 behoben.

CVE-2016-9063

CVE-2017-9233

Eintrag am 25. September 2017 hinzugefügt

Location Framework

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Anwendung kann ggf. vertrauliche Standortdaten lesen

Beschreibung: Bei der Verarbeitung der Location-Variable bestand ein Problem mit Berechtigungen. Dieses Problem wurde durch zusätzliche Eigentümerschaftsüberprüfungen behoben.

CVE-2017-7148: Igor Makarov von Moovit, Will McGinty und Shawnna Rodriguez von Bottle Rocket Studios

Eintrag am 9. Oktober 2017 aktualisiert

E-Mail-Entwürfe

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer mit privilegierter Netzwerkposition kann ggf. E-Mail-Inhalte abfangen

Beschreibung: Bei der Verarbeitung von E-Mail-Entwürfen bestand ein Verschlüsselungsproblem. Dieses Problem wurde durch eine verbesserte Verarbeitung von E-Mail-Anhängen behoben, die verschlüsselt werden sollten.

CVE-2017-7078: Petter Flink, Pierre ALBARÈDE aus Marseille (Frankreich), ein anonymer Forscher

Eintrag am 9. Oktober 2017 aktualisiert

Mail MessageUI

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zu einem Denial-of-Service führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-7097: Xinshu Dong und Jun Hao Tan von Anquan Capital

Nachrichten

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zu einem Denial-of-Service führen

Beschreibung: Das Denial-of-Service-Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-7118: Kiki Jiang und Jason Tokoph

MobileBackup

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Durch "Backup" wird ein unverschlüsseltes Backup erstellt, obwohl es eine Voraussetzung gibt, nur verschlüsselte Backups zu erstellen

Beschreibung: Es bestand ein Problem mit Berechtigungen. Dieses Problem wurde durch eine verbesserte Berechtigungsüberprüfung behoben.

CVE-2017-7133: Don Sparks von HackediOS.com

Hinweise

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein lokaler Nutzer kann vertrauliche Benutzerdaten preisgeben

Beschreibung: Die Inhalte gesperrter Notizen erschienen manchmal in den Suchergebnissen. Dieses Problem wurde durch eine verbesserte Datenbereinigung behoben.

CVE-2017-7075: Richard Will von der Marathon Oil Company

Eintrag am 10. November 2017 hinzugefügt

Telefon

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Beim Sperren von iOS-Geräten wird möglicherweise ein Bildschirmfoto von sicheren Inhalten aufgenommen

Beschreibung: Beim Sperrvorgang trat ein Problem mit dem Zeitverhalten auf. Dieses Problem wurde behoben, indem die Bildschirmfoto-Funktion beim Sperren deaktiviert wurde.

CVE-2017-7139: Ein anonymer Forscher

Eintrag am 25. September 2017 hinzugefügt

Profile

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Datensätze zur Gerätekopplung konnten unbeabsichtigt auf einem Gerät installiert werden, wenn ein Profil installiert wurde, dass eine Kopplung unterbindet

Beschreibung: Kopplungen wurden nicht entfernt, wenn ein Profil installiert wurde, das eine Kopplung unterbindet. Dieses Problem wurde durch Entfernen von Kopplungen, die in Konflikt mit dem Konfigurationsprofil stehen, behoben.

CVE-2017-13806: Rorie Hood von MWR InfoSecurity

Eintrag am 2. November 2017 hinzugefügt

Übersicht

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate

Eintrag am 31. Oktober 2017 hinzugefügt

Übersicht

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Analyse eines in böser Absicht erstellten Office-Dokuments kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate

Eintrag am 31. Oktober 2017 hinzugefügt

Safari

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu URL-Spoofing führen

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-7085: xisigr vom Xuanwu Lab von Tencent (www.tencent.com)

Sicherheit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Einem widerrufenen Zertifikat wird möglicherweise vertraut

Beschreibung: Bei der Verarbeitung von Widerrufsdaten bestand ein Problem bei der Überprüfung von Zertifikaten. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-7080: Ein anonymer Forscher, ein anonymer Forscher, Sven Driemecker von adesso mobile solutions GmbH, Rune Darrud (@theflyingcorpse) aus der Kommune Bærum

Eintrag am 25. September 2017 hinzugefügt

Sicherheit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine schadhafte App kann Benutzer zwischen Installationen nachverfolgen

Beschreibung: Beim Überprüfen der Berechtigungen in den Schlüsselbunddaten einer App trat ein Fehler auf. Dieses Problem wurde durch eine verbesserte Berechtigungsüberprüfung behoben.

CVE-2017-7146: Ein anonymer Forscher

Eintrag am 25. September 2017 hinzugefügt

SQLite

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Mehrere Probleme in SQLite

Beschreibung: Mehrere Probleme wurden durch eine Aktualisierung auf Version 3.19.3 behoben.

CVE-2017-10989: Gefunden von OSS-Fuzz

CVE-2017-7128: Gefunden von OSS-Fuzz

CVE-2017-7129: Gefunden von OSS-Fuzz

CVE-2017-7130: Gefunden von OSS-Fuzz

Eintrag am 25. September 2017 hinzugefügt

SQLite

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7127: Ein anonymer Forscher

Eintrag am 25. September 2017 hinzugefügt

Time

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Beim Einstellen der Zeitzone wird möglicherweise fälschlicherweise angezeigt, dass Ortungsdienste verwendet werden

Beschreibung: Beim Prozess, der für die Zeitzonen-Informationen verantwortlich ist, trat ein Problem mit den Berechtigungen auf. Das Problem wurde durch das Ändern der Berechtigungen behoben.

CVE-2017-7145: Chris Lawrence

Eintrag am 9. Oktober 2017 aktualisiert

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-7081: Apple

Eintrag am 25. September 2017 hinzugefügt

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan vom Baidu Security Lab in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-7092: Samuel Gro und Niklas Baumstark in Zusammenarbeit mit der Zero Day Initiative von Trend Micro, Qixun Zhao (@S0rryMybad) vom Qihoo 360 Vulcan Team

CVE-2017-7093: Samuel Groß und Niklas Baumstark in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-7094: Tim Michaud (@TimGMichaud) von der Leviathan Security Group

CVE-2017-7095: Wang Junjie, Wei Lei und Liu Yang von der Nanyang Technological University in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-7096: Wei Yuan vom Baidu Security Lab

CVE-2017-7098: Felipe Freitas vom Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa und Mario Heiderich von Cure53

CVE-2017-7102: Wang Junjie, Wei Lei und Liu Yang von der Nanyang Technological University

CVE-2017-7104: likemeng vom Baidu Secutity Lab

CVE-2017-7107: Wang Junjie, Wei Lei und Liu Yang von der Nanyang Technological University

CVE-2017-7111: likemeng vom Baidu Security Lab (xlab.baidu.com) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-7117: lokihardt von Google Project Zero

CVE-2017-7120: chenqin (陈钦) vom Ant-financial Light-Year Security Lab

Eintrag am 25. September 2017 hinzugefügt

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen

Beschreibung: Bei der Verarbeitung des übergeordneten Tabs trat ein Logikproblem auf. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-7089: Anton Lopanitsyn von ONSEC, Frans Rosén von Detectify

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Cookies von einer Quelle können an eine andere Quelle gesendet werden

Beschreibung: Bei der Verarbeitung von Cookies im Webbrowser trat ein Problem mit den Berechtigungen auf. Dieses Problem wurde behoben, indem keine Cookies für benutzerdefinierte URL-Schemata mehr zurückgegeben werden.

CVE-2017-7090: Apple

Eintrag am 25. September 2017 hinzugefügt

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu URL-Spoofing führen

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-7106: Oliver Paukstadt von Thinking Objects GmbH (to.com)

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem Cross-Site-Scripting-Angriff führen

Beschreibung: Die Anwendungscache-Richtlinie wird möglicherweise unerwartet angewendet.

CVE-2017-7109: avlidienbrunn

Eintrag am 25. September 2017 hinzugefügt

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine schadhafte Website kann Benutzer in Safari nachverfolgen, wenn der Modus "Privates Surfen" aktiviert ist

Beschreibung: Bei der Verarbeitung von Cookies im Webbrowser trat ein Problem mit den Berechtigungen auf. Dieses Problem wurde durch verbesserte Beschränkungen behoben.

CVE-2017-7144: Mohammad Ghasemisharif vom UIC-BITS-Lab

Eintrag am 9. Oktober 2017 aktualisiert

WebKit-Speicher

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Websitedaten bleiben nach einer privaten Safari-Sitzung vorhanden

Beschreibung: Ein Problem mit der Preisgabe von Informationen trat bei der Verarbeitung von Websitedaten in privaten Safari-Fenstern auf. Dieses Problem wurde durch eine verbesserte Datenverarbeitung behoben.

CVE-2017-7142: Rich Shawn O'Connell, ein anonymer Forscher, ein anonymer Forscher

Eintrag am 10. November 2017 hinzugefügt

WLAN

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer, der sich in Reichweite befindet, kann willkürlichen Code auf dem WLAN-Chip ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-11120: Gal Beniamini von Google Project Zero

CVE-2017-11121: Gal Beniamini von Google Project Zero

Eintrag am 25. September 2017 hinzugefügt

WLAN

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Böswilliger Code, der auf dem WLAN-Chip ausgeführt wird, kann zur Ausführung willkürlichen Codes mit Kernel-Berechtigungen auf dem Anwendungsprozessor führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7103: Gal Beniamini von Google Project Zero

CVE-2017-7105: Gal Beniamini von Google Project Zero

CVE-2017-7108: Gal Beniamini von Google Project Zero

CVE-2017-7110: Gal Beniamini von Google Project Zero

CVE-2017-7112: Gal Beniamini von Google Project Zero

WLAN

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Böswilliger Code, der auf dem WLAN-Chip ausgeführt wird, kann zur Ausführung willkürlichen Codes mit Kernel-Berechtigungen auf dem Anwendungsprozessor führen

Beschreibung: Mehrere Race-Bedingungen wurden durch eine verbesserte Überprüfung behoben.

CVE-2017-7115: Gal Beniamini von Google Project Zero

WLAN

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Böswilliger Code, der auf dem WLAN-Chip ausgeführt wird, kann beschränkten Kernel-Speicher auslesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-7116: Gal Beniamini von Google Project Zero

WLAN

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer, der sich in Reichweite befindet, kann möglicherweise beschränkten Speicher des WLAN-Chips lesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-11122: Gal Beniamini von Google Project Zero

Eintrag am 2. Oktober 2017 hinzugefügt

zlib

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Mehrere Probleme in zlib

Beschreibung: Mehrere Probleme wurden durch eine Aktualisierung auf Version 1.2.11 behoben.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Eintrag am 25. September 2017 hinzugefügt

Zusätzliche Danksagung

LaunchServices

Wir danken Mark Zimmermann von der EnBW Energie Baden-Württemberg AG für seine Unterstützung.

Sicherheit

Wir danken Abhinav Bansal von Zscaler, Inc. für die Unterstützung.

WebKit

Wir möchten uns bei xisigr vom Xuanwu Lab von Tencent (tencent.com) für die Unterstützung bedanken.

WebKit

Wir danken Rayyan Bijoora (@Bijoora) von The City School, PAF Chapter für die Unterstützung.

WebKit Web Inspector

Wir danken Ioan Bizău von Bloggify für seine Unterstützung.

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: