Informationen zum Sicherheitsinhalt von iOS 10.2.1
In diesem Dokument wird der Sicherheitsinhalt von iOS 10.2.1 beschrieben.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.
Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit. Deine Kommunikation mit Apple kannst du mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
iOS 10.2.1
APNS-Server
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Ein Angreifer mit höheren Netzwerkrechten kann die Aktivitäten eines Benutzers nachverfolgen
Beschreibung: Ein Client-Zertifikat wurde in Klartext gesendet. Dieses Problem wurde durch eine verbesserte Zertifikatverarbeitung behoben.
CVE-2017-2383: Matthias Wachs und Quirin Scheitle von der Technischen Universität München (TUM)
Anrufverlauf
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Updates für den CallKit-Anrufverlauf werden an iCloud gesendet
Beschreibung: Es bestand ein Problem, welches verhinderte, dass der CallKit-Anrufverlauf in iCloud hochgeladen wird. Dieses Problem wurde durch eine verbesserte Logik behoben.
CVE-2017-2375: Elcomsoft
Kontakte
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Kontaktkarte kann zu einem unerwarteten Programmabbruch führen
Beschreibung: Bei der Analyse von Kontaktkarten trat ein Problem mit der Eingabeüberprüfung auf. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-2368: Vincent Desmurs (vincedes3)
Kernel
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2370: Ian Beer vom Google Project Zero
Kernel
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2360: Ian Beer vom Google Project Zero
libarchive
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Das Entpacken eines in böser Absicht erstellten Archivs kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2016-8687: Agostino Sarubbo von Gentoo
Mit iPhone entsperren
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Die Apple Watch kann entsperrt werden, wenn sie sich nicht am Handgelenk des Nutzers befindet
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2017-2352: Ashley Fernandez von raptAware Pty Ltd
WebKit
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden
Beschreibung: Ein Zugriffsproblem bei Prototypen wurde durch eine verbesserte Verarbeitung von Ausnahmen behoben.
CVE-2017-2350: Gareth Heyes von Portswigger Web Security
WebKit
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2354: Neymar vom Xuanwu Lab von Tencent (tencent.com) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-2362: Ivan Fratric von Google Project Zero
CVE-2017-2373: Ivan Fratric von Google Project Zero
WebKit
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2355: Team Pangu und lokihardt beim PwnFest 2016
WebKit
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-2356: Team Pangu und lokihardt beim PwnFest 2016
CVE-2017-2369: Ivan Fratric von Google Project Zero
CVE-2017-2366: Kai Kang vom Xuanwu Lab von Tencent (tencent.com)
WebKit
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden
Beschreibung: Bei der Verarbeitung von Seiten, die geladen werden, trat ein Überprüfungsproblem auf. Dieses Problem wurde durch eine verbesserte Logik behoben.
CVE-2017-2363: lokihardt von Google Project Zero
CVE-2017-2364: lokihardt von Google Project Zero
WebKit
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Eine in böser Absicht erstellte Website kann Pop-ups öffnen
Beschreibung: Bei der Verarbeitung von Pop-ups, die geblockt werden sollen, trat ein Problem auf. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-2371: lokihardt von Google Project Zero
WebKit
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden
Beschreibung: Bei der Verarbeitung von Variablen trat ein Überprüfungsproblem auf. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.
CVE-2017-2365: lokihardt von Google Project Zero
WLAN
Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer
Auswirkung: Ein Gerät mit aktivierter Aktivierungssperre kann so manipuliert werden, dass es für einen kurzen Moment den Home-Bildschirm anzeigt
Beschreibung: Bei der Verarbeitung von Benutzereingaben trat ein Problem auf, wodurch ein Gerät trotz aktivierter Aktivierungssperre den Home-Bildschirm anzeigt. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-2351: Hemanth Joseph, Sriram (@Sri_Hxor) von Primefort Pvt. Ltd., Mohamd Imran
Zusätzliche Danksagung
WebKit-Härtung
Wir danken Ben Gras, Kaveh Razavi, Erik Bosman, Herbert Bos und Cristiano Giuffrida von der vusec-Gruppe an der Freien Universität Amsterdam für ihre Unterstützung.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.