Informationen zum Sicherheitsinhalt von iOS 10.3

In diesem Dokument wird der Sicherheitsinhalt von iOS 10.3 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

iOS 10.3

Veröffentlicht am 27. März 2017

Accounts

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein Benutzer kann unter Umständen eine Apple-ID auf dem Sperrbildschirm sehen

Beschreibung: Dieses Problem mit der Verwaltung der Eingabeaufforderung wurde durch Entfernen der iCloud-Authentifizierungsaufforderungen aus dem Sperrbildschirm behoben.

CVE-2017-2397: Suprovici Vadim vom UniApps-Team, ein anonymer Forscher

Audio

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2430: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-2462: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Carbon

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten DFONT-Datei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Verarbeitung von Schriftdateien kam es zu einem Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2017-2379: John Villamil, Doyensec, riusksk (泉哥) vom Tencent Security Platform Department

CoreGraphics

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zu einem Denial-of-Service führen

Beschreibung: Die unendliche Rekursion wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-2417: riusksk (泉哥) vom Tencent Security Platform Department

CoreGraphics

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2444: Mei Wang vom 360 GearTeam

CoreText

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Preisgabe des Prozessspeichers führen

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Textnachricht kann zu einem Denial-of-Service des Programms führen

Beschreibung: Es wurde ein Problem mit der Ressourcenausschöpfung behoben, indem eine bessere Eingabeüberprüfung erfolgt.

CVE-2017-2461: Isaac Archambault von IDAoADI, ein anonymer Forscher

DataAccess

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Wird ein Exchange-Account mit einer falsch geschriebenen E-Mail-Adresse konfiguriert, kann die Auflösung zu einem unerwarteten Server erfolgen

Beschreibung: Beim Verarbeiten von Exchange-E-Mail-Adressen bestand ein Problem bei der Eingabeüberprüfung. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2414: Ilya Nesterov und Maxim Goncharov

FontParser

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2487: riusksk (泉哥) vom Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) vom Tencent Security Platform Department

FontParser

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2407: riusksk (泉哥) vom Tencent Security Platform Department

FontParser

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Preisgabe des Prozessspeichers führen

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2439: John Villamil, Doyensec

HomeKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Im Kontrollzentrum kann unerwartet die Home-Steuerung angezeigt werden

Beschreibung: Bei der Verarbeitung der Home-Steuerung lag ein Statusproblem vor. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-2434: Suyash Narain aus Indien

HTTPProtocol

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein manipulierter HTTP/2-Server kann undefiniertes Verhalten auslösen

Beschreibung: nghttp2 wies in den Versionen vor 1.17.0 mehrere Schwachstellen auf. Diese wurden durch Aktualisierung von nghttp2 auf Version 1.17.0 behoben.

CVE-2017-2428

Eintrag am 28. März 2017 aktualisiert

ImageIO

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) von KeenLab, Tencent

ImageIO

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Das Anzeigen einer in böser Absicht erstellten JPEG-Datei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2432: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

ImageIO

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2467

ImageIO

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zu einem unerwarteten Programmabbruch führen

Beschreibung: In den LibTIFF-Versionen vor Version 4.0.7 erfolgte ein Out-of-Bound-Lesevorgang. Dieses Problem wurde durch Aktualisieren von LibTIFF in ImageIO auf Version 4.0.7 behoben.

CVE-2016-3619

iTunes Store

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein Angreifer mit höheren Netzwerkrechten kann den iTunes-Netzwerkverkehr manipulieren

Beschreibung: Anforderungen an die iTunes-Sandbox-Webdienste wurden in Klartext gesendet. Als Gegenmaßnahme wurde HTTPS aktiviert.

CVE-2017-2412: Richard Shupak (linkedin.com/in/rshupak)

JavaScriptCore

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2491: Apple

Eintrag hinzugefügt am 2. Mai 2017

JavaScriptCore

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Webseite kann zu universellem Cross-Site-Scripting führen

Beschreibung: Ein Prototypenproblem wurde durch verbesserte Logik behoben.

CVE-2017-2492: lokihardt von Google Project Zero

Eintrag am 24. April 2017 aktualisiert

Kernel

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2398: Lufeng Li vom Qihoo 360 Vulcan Team

CVE-2017-2401: Lufeng Li vom Qihoo 360 Vulcan Team

Kernel

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Ganzzahl-Überlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2440: Ein anonymer Forscher

Kernel

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Root-Rechten ausführen

Beschreibung: Eine Race-Bedingung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2456: lokihardt von Google Project Zero

Kernel

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2472: Ian Beer von Google Project Zero

Kernel

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2473: Ian Beer von Google Project Zero

Kernel

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Problem vom Typ "off-by-one" wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2017-2474: Ian Beer von Google Project Zero

Kernel

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch verbesserten Sperrschutz behoben.

CVE-2017-2478: Ian Beer von Google Project Zero

Kernel

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2482: Ian Beer von Google Project Zero

CVE-2017-2483: Ian Beer von Google Project Zero

Kernel

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein Programm kann willkürlichen Code mit erhöhten Benutzerrechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2490: Ian Beer von Google Project Zero, Britisches National Cyber Security Centre (NCSC)

Eintrag am 31. März 2017 hinzugefügt

Tastaturen

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein Programm kann willkürlichen Code ausführen

Beschreibung: Ein Problem mit einem Stapelpufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2017-2458: Shashank (@cyberboyIndia)

Schlüsselbund

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch 6. Generation und neuer

Auswirkung: Ein Angreifer, der in der Lage ist, TLS-Verbindungen abzufangen, kann möglicherweise durch den iCloud-Schlüsselbund geschützte Informationen lesen.

Beschreibung: Unter bestimmten Umständen konnte der iCloud-Schlüsselbund die Echtheit von OTR-Paketen nicht überprüfen. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-2448: Alex Radocea von Longterm Security, Inc.

Eintrag am 30. März 2017 aktualisiert

libarchive

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein lokaler Angreifer kann die Dateisystemberechtigungen für willkürliche Verzeichnisse ändern

Beschreibung: Bei der Verarbeitung von Symlinks bestand ein Überprüfungsproblem. Dieses Problem wurde durch eine verbesserte Überprüfung von Symlinks behoben.

CVE-2017-2390: Omer Medan von enSilo Ltd

libc++abi

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Das Demangling eines schädlichen C++-Programms kann zur Ausführung willkürlichen Codes führen

Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2441

libxslt

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Mehrere Schwachstellen in libxslt

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-5029: Holger Fuhrmannek

Eintrag am 28. März 2017 hinzugefügt

Pasteboard

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Eine Person mit physischem Zugang zu einem iOS-Gerät könnte die Zwischenablage lesen

Beschreibung: Die Zwischenablage war mit einem Schlüssel kodiert, der nur durch die Hardware-UID geschützt war. Dieses Problem wurde behoben, indem die Zwischenablage mit einem Schlüssel kodiert wird, der über die Hardware-UID und den Code des Benutzers geschützt wird.

CVE-2017-2399

Telefon

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Eine Drittanbieter-App kann einen Telefonanruf ohne Bestätigung des Benutzers tätigen

Beschreibung: In iOS bestand ein Problem, bei dem Anrufe ohne Bestätigung getätigt wurden.  Dieses Problem wurde durch eine Aufforderung an den Benutzer, die Anrufauslösung zu bestätigen, behoben.

CVE-2017-2484

Profile

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein Angreifer kann eine Schwachstelle im DES-Kryptografie-Algorithmus ausnutzen

Beschreibung: Der SCEP-Client unterstützt mittlerweile den 3DES-Verschlüsselungsalgorithmus und DES wurde eingestellt.

CVE-2017-2380: Ein anonymer Forscher

Übersicht

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Durch Tippen auf einen Telefonlink im PDF-Dokument kann ohne weitere Bestätigung des Benutzers ein Anruf getätigt werden

Beschreibung: Beim Prüfen der Telefon-URL vor dem Auslösen von Anrufen bestand ein Problem. Dieses Problem wurde durch das Hinzufügen einer Bestätigungsaufforderung behoben.

CVE-2017-2404: Tuan Anh Ngo (Melbourne, Australien), Christoph Nehring

Safari

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu URL-Spoofing führen

Beschreibung: Ein Statusverwaltungsproblem wurde behoben, indem die Texteingabe so lange deaktiviert wird, bis die Zielseite geladen ist.

CVE-2017-2376: Ein anonymer Forscher, Michal Zalewski von Google Inc, Muneaki Nishimura (nishimunea) von Recruit Technologies Co., Ltd., Chris Hlady von Google Inc, ein anonymer Forscher, Yuyang Zhou von Tencent Security Platform Department (security.tencent.com)

Safari

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein lokaler Benutzer kann möglicherweise Websites sehen, die ein Benutzer im privaten Surfmodus besucht hat

Beschreibung: Beim Löschen von SQLite bestand ein Problem. Dieses Problem wurde durch eine verbesserte SQLite-Bereinigung behoben.

CVE-2017-2384

Safari

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Bei der Verarbeitung von in böser Absicht erstellten Webinhalten können Authentifizierungsseiten über willkürlichen Websites angezeigt werden

Beschreibung: Bei der HTTP-Authentifizierung bestand ein Spoofing- und Denial-of-Service-Problem. Dieses Problem wurde durch eine nichtmodale Gestaltung der HTTP-Authentifizierungsseiten behoben.

CVE-2017-2389: ShenYeYinJiu von Tencent Security Response Center, TSRC

Safari

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Der Besuch einer in böser Absicht erstellten Website durch Klicken auf einen Link kann zu UI-Spoofing führen

Beschreibung: Bei der Verarbeitung der FaceTime-Aufforderungen gab es eine Spoofing-Schwachstelle. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2453: xisigr vom Xuanwu Lab von Tencent (www.tencent.com)

Safari Reader

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Das Aktivieren der Funktion Safari Reader auf einer in böser Absicht erstellten Webseite kann zu universellem Cross-Site-Scripting führen

Beschreibung: Verschiedene Überprüfungsprobleme wurden durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-2393: Erling Ellingsen

SafariViewController

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Der Cache-Status von Safari und SafariViewController wird beim Löschen des Safari-Caches nicht mehr fehlerfrei synchron gehalten

Beschreibung: Beim Löschen der Safari-Cachedaten aus SafariViewController bestand ein Problem.  Dieses Problem wurde durch eine verbesserte Cache-Statusverarbeitung behoben.

CVE-2017-2400: Abhinav Bansal von Zscaler, Inc.

Sandbox-Profile

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer und iPod touch (6. Generation)

Auswirkung: Ein Schadprogramm könnte auf den iCloud-Benutzereintrag eines angemeldeten Benutzers zugreifen

Beschreibung: Ein Zugriffsproblem wurde durch zusätzliche Sandbox-Einschränkungen für Drittanbieteranwendungen behoben.

CVE-2017-6976: George Dan (@theninjaprawn)

Eintrag am 1. August 2017 hinzugefügt

Sicherheit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Validierung leerer Signaturen mit SecKeyRawVerify() kann unerwartet erfolgreich sein

Beschreibung: Es bestand ein Validierungsproblem mit verschlüsselten API-Aufrufen. Dieses Problem wurde durch eine verbesserte Parameterüberprüfung behoben.

CVE-2017-2423: Ein anonymer Forscher

Sicherheit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Ein Programm kann willkürlichen Code mit Root-Rechten ausführen

Beschreibung: Ein Problem mit einem Stapelpufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2017-2451: Alex Radocea von Longterm Security, Inc.

Sicherheit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten x509-Zertifikats kann zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Analyse von Zertifikaten kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2485: Aleksandar Nikolic von Cisco Talos

Siri

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Siri kann den Inhalt von Textnachrichten offenlegen, wenn das Gerät gesperrt ist

Beschreibung: Ein Problem mit einer unzureichenden Sperrung wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-2452: Hunter Byrnes

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Das Ablegen eines in böser Absicht erstellten Links per Drag & Drop kann Lesezeichen-Spoofing oder die Ausführung willkürlichen Codes bewirken

Beschreibung: Beim Erstellen von Lesezeichen bestand ein Validierungsproblem. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2378: xisigr vom Xuanwu Lab von Tencent (www.tencent.com)

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu URL-Spoofing führen

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-2486: redrain von light4freedom

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden

Beschreibung: Ein Zugriffsproblem bei Prototypen wurde durch eine verbesserte Verarbeitung von Ausnahmen behoben.

CVE-2017-2386: André Bargull

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric von Google Project Zero, Zheng Huang vom Baidu Security Lab in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-2455: Ivan Fratric von Google Project Zero

CVE-2017-2457: lokihardt von Google Project Zero

CVE-2017-2459: Ivan Fratric von Google Project Zero

CVE-2017-2460: Ivan Fratric von Google Project Zero

CVE-2017-2464: Jeonghoon Shin, Natalie Silvanovich von Google Project Zero

CVE-2017-2465: Zheng Huang und Wei Yuan von Baidu Security Lab

CVE-2017-2466: Ivan Fratric von Google Project Zero

CVE-2017-2468: lokihardt von Google Project Zero

CVE-2017-2469: lokihardt von Google Project Zero

CVE-2017-2470: lokihardt von Google Project Zero

CVE-2017-2476: Ivan Fratric von Google Project Zero

CVE-2017-2481: 0011 in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag aktualisiert am 20. Juni 2017

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2415: Kai Kang vom Xuanwu Lab von Tencent (tencent.com)

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur unerwarteten Aushebelung der Inhaltssicherheitsrichtlinie führen

Beschreibung: In der Inhaltssicherheitsrichtlinie bestand ein Zugriffsproblem.  Dieses Problem wurde durch verbesserte Zugriffsbeschränkungen behoben.

CVE-2017-2419: Nicolai Grødum von Cisco Systems

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu starker Speichernutzung führen

Beschreibung: Ein Problem mit unkontrollierter Ressourcennutzung wurde durch eine verbesserte regex-Verarbeitung behoben.

CVE-2016-9643: Gustavo Grieco

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten kann Prozessspeicher offengelegt werden

Beschreibung: Bei der Verarbeitung von OpenGL-Shadern kam es zur Offenlegung von Informationen. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2424: Paul Thomson (mit dem GLFuzz-Tool) aus der Multicore Programming Group, Imperial College London

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2433: Apple

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden

Beschreibung: Bei der Verarbeitung von Seiten, die geladen werden, traten mehrere Überprüfungsprobleme auf. Dieses Problem wurde durch eine verbesserte Logik behoben.

CVE-2017-2364: lokihardt von Google Project Zero

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Eine in böser Absicht erstellte Website kann Daten von verschiedenen Quellen exfiltrieren

Beschreibung: Bei der Verarbeitung von Seiten, die geladen werden, trat ein Überprüfungsproblem auf. Dieses Problem wurde durch eine verbesserte Logik behoben.

CVE-2017-2367: lokihardt von Google Project Zero

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen

Beschreibung: Bei der Verarbeitung von Frame-Objekten kam es zu einem Logikproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-2445: lokihardt von Google Project Zero

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Verarbeitung von Strict-Mode-Funktionen kam es zu einem Logikproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-2446: Natalie Silvanovich von Google Project Zero

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann Benutzerdaten kompromittieren

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2447: Natalie Silvanovich von Google Project Zero

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2463: Kai Kang (4B5F5F4B) von Tencents Xuanwu Lab (tencent.com) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 28. März 2017 hinzugefügt

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2471: Ivan Fratric von Google Project Zero

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen

Beschreibung: Bei der Frame-Verarbeitung bestand ein Logikproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-2475: lokihardt von Google Project Zero

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden

Beschreibung: Bei der Verarbeitung von Elementen trat ein Überprüfungsproblem auf. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-2479: lokihardt von Google Project Zero

Eintrag am 28. März 2017 hinzugefügt

WebKit

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden

Beschreibung: Bei der Verarbeitung von Elementen trat ein Überprüfungsproblem auf. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-2480: lokihardt von Google Project Zero

CVE-2017-2493: lokihardt von Google Project Zero

Eintrag am 24. April 2017 aktualisiert

WebKit JavaScript Bindings

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden

Beschreibung: Bei der Verarbeitung von Seiten, die geladen werden, traten mehrere Überprüfungsprobleme auf. Dieses Problem wurde durch eine verbesserte Logik behoben.

CVE-2017-2442: lokihardt von Google Project Zero

WebKit Web Inspector

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Das Schließen eines Fensters im angehaltenen Zustand im Debugger kann zu einem unerwarteten Programmabbruch führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2377: Vicki Pfau

WebKit Web Inspector

Verfügbar für: iPhone 5 und neuer, iPad (4. Generation) und neuer, iPod touch (6. Generation) und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2405: Apple

Zusätzliche Danksagung

XNU

Wir danken Lufeng Li vom Qihoo 360 Vulcan Team für die Unterstützung.

WebKit

Wir danken Yosuke HASEGAWA von Secure Sky Technology Inc. für die Unterstützung.

Safari

Wir möchten uns bei Flyin9 (ZhenHui Lee) für die Unterstützung bedanken.

Einstellungen

Wir danken Adi Sharabani und Yair Amit von Skycure für ihre Unterstützung.

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: