Informationen zum Sicherheitsinhalt von iOS 10.2.1

In diesem Dokument wird der Sicherheitsinhalt von iOS 10.2.1 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit. Deine Kommunikation mit Apple kannst du mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

iOS 10.2.1

Veröffentlicht am 23. Januar 2017

APNS-Server

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein Angreifer mit höheren Netzwerkrechten kann die Aktivitäten eines Benutzers nachverfolgen

Beschreibung: Ein Client-Zertifikat wurde in Klartext gesendet. Dieses Problem wurde durch eine verbesserte Zertifikatverarbeitung behoben.

CVE-2017-2383: Matthias Wachs und Quirin Scheitle von der Technischen Universität München (TUM)

Eintrag am 28. März 2017 hinzugefügt

Anrufverlauf

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Updates für den CallKit-Anrufverlauf werden an iCloud gesendet

Beschreibung: Es bestand ein Problem, welches verhinderte, dass der CallKit-Anrufverlauf in iCloud hochgeladen wird. Dieses Problem wurde durch eine verbesserte Logik behoben.

CVE-2017-2375: Elcomsoft

Eintrag am 21. Februar 2017 hinzugefügt

Kontakte

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Kontaktkarte kann zu einem unerwarteten Programmabbruch führen

Beschreibung: Bei der Analyse von Kontaktkarten trat ein Problem mit der Eingabeüberprüfung auf. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2368: Vincent Desmurs (vincedes3)

Kernel

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2370: Ian Beer vom Google Project Zero

Kernel

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2360: Ian Beer vom Google Project Zero

libarchive

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Das Entpacken eines in böser Absicht erstellten Archivs kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2016-8687: Agostino Sarubbo von Gentoo

Mit iPhone entsperren

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Apple Watch kann entsperrt werden, wenn sie sich nicht am Handgelenk des Nutzers befindet

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-2352: Ashley Fernandez von raptAware Pty Ltd

Eintrag am 25. Januar 2017 aktualisiert

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden

Beschreibung: Ein Zugriffsproblem bei Prototypen wurde durch eine verbesserte Verarbeitung von Ausnahmen behoben.

CVE-2017-2350: Gareth Heyes von Portswigger Web Security

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2354: Neymar vom Xuanwu Lab von Tencent (tencent.com) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-2362: Ivan Fratric von Google Project Zero

CVE-2017-2373: Ivan Fratric von Google Project Zero

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2355: Team Pangu und lokihardt beim PwnFest 2016

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2356: Team Pangu und lokihardt beim PwnFest 2016

CVE-2017-2369: Ivan Fratric von Google Project Zero

CVE-2017-2366: Kai Kang vom Xuanwu Lab von Tencent (tencent.com)

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden

Beschreibung: Bei der Verarbeitung von Seiten, die geladen werden, trat ein Überprüfungsproblem auf. Dieses Problem wurde durch eine verbesserte Logik behoben.

CVE-2017-2363: lokihardt von Google Project Zero

CVE-2017-2364: lokihardt von Google Project Zero

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Eine in böser Absicht erstellte Website kann Pop-ups öffnen

Beschreibung: Bei der Verarbeitung von Pop-ups, die geblockt werden sollen, trat ein Problem auf. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2371: lokihardt von Google Project Zero

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden

Beschreibung: Bei der Verarbeitung von Variablen trat ein Überprüfungsproblem auf. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-2365: lokihardt von Google Project Zero

WLAN

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein Gerät mit aktivierter Aktivierungssperre kann so manipuliert werden, dass es für einen kurzen Moment den Home-Bildschirm anzeigt

Beschreibung: Bei der Verarbeitung von Benutzereingaben trat ein Problem auf, wodurch ein Gerät trotz aktivierter Aktivierungssperre den Home-Bildschirm anzeigt. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2351: Hemanth Joseph, Sriram (@Sri_Hxor) von Primefort Pvt. Ltd., Mohamd Imran

Eintrag am 21. Februar 2017 aktualisiert

Zusätzliche Danksagung

WebKit-Härtung

Wir danken Ben Gras, Kaveh Razavi, Erik Bosman, Herbert Bos und Cristiano Giuffrida von der vusec-Gruppe an der Freien Universität Amsterdam für ihre Unterstützung.

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: