Informationen zum Sicherheitsinhalt von iOS 11

In diesem Dokument wird der Sicherheitsinhalt von iOS 11 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

iOS 11

Veröffentlicht am 19. September 2017

Bluetooth

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Anwendung kann möglicherweise auf zugriffsbeschränkte Dateien zugreifen.

Beschreibung: Bei der Verarbeitung von Kontaktkarten bestand ein Datenschutzproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-7131: Dominik Conrads vom Bundesamt für Sicherheit in der Informationstechnik, ein anonymer Forscher, Anand Kathapurkar aus Indien, Elvis (@elvisimprsntr)

Eintrag am 9. Oktober 2017 aktualisiert

CFNetwork-Proxys

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann einen Denial-of-Service-Angriff verursachen.

Beschreibung: Mehrere Denial-of-Service-Probleme wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7083: Abhinav Bansal von Zscaler Inc.

Eintrag am 25. September 2017 hinzugefügt

CoreAudio

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann beschränkten Speicher lesen.

Beschreibung: Ein Lesevorgang außerhalb der Speicherbegrenzungen wurde durch Aktualisieren auf die Opus-Version 1.1.4 behoben.

CVE-2017-0381: V.E.O (@VYSEa) vom Mobile Threat Research Team, Trend Micro

Eintrag am 25. September 2017 hinzugefügt

Exchange ActiveSync

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann ein Gerät während der Einrichtung eines Exchange-Accounts löschen

Beschreibung: In AutoDiscover V1 bestand ein Überprüfungsproblem.  Dieses Problem wurde behoben, indem TLS nun für AutoDiscover V1 vorausgesetzt wird. AutoDiscover V2 wird nun unterstützt.

CVE-2017-7088: Ilya Nesterov, Maxim Goncharov

Heimdal

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann die Identität eines Diensts annehmen.

Beschreibung: Bei der Verarbeitung des KDC-REP-Dienstnamens bestand ein Validierungsproblem. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni und Nico Williams

Eintrag am 25. September 2017 hinzugefügt

iBooks

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Analyse einer in böser Absicht erstellten iBooks-Datei kann zu einem dauerhaften Denial-of-Service führen

Beschreibung: Mehrere Denial-of-Service-Probleme wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7072: Jędrzej Krysztofiak

Kernel

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7114: Alex Plaskett von MWR InfoSecurity

Eintrag am 25. September 2017 hinzugefügt

Tastaturvorschläge

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Autokorrekturvorschläge der Tastatur können ggf. vertrauliche Daten offenlegen.

Beschreibung: Die iOS-Tastatur speicherte versehentlich vertrauliche Daten im Cachespeicher. Dieses Problem wurde durch verbesserte Heuristik behoben.

CVE-2017-7140: Agim Allkanjari von Stream in Motion Inc.

Eintrag am 9. Oktober 2017 aktualisiert

libc

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein entfernter Angreifer kann einen Denial-of-Service-Angriff verursachen.

Beschreibung: Es wurde ein Problem mit der Ressourcenausschöpfung in glob() durch einen verbesserten Algorithmus behoben.

CVE-2017-7086: Russ Cox von Google

Eintrag am 25. September 2017 hinzugefügt

libc

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann einen Denial-of-Service verursachen.

Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-1000373

Eintrag am 25. September 2017 hinzugefügt

libexpat

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Mehrere Probleme in expat

Beschreibung: Mehrere Probleme wurden durch die Aktualisierung auf Version 2.2.1 behoben.

CVE-2016-9063

CVE-2017-9233

Eintrag am 25. September 2017 hinzugefügt

Location Framework

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine Anwendung kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Bei der Verarbeitung der Location-Variable bestand ein Problem mit Berechtigungen. Dieses Problem wurde durch zusätzliche Eigentümerschaftsüberprüfungen behoben.

CVE-2017-7148: Igor Makarov von Moovit, Will McGinty und Shawnna Rodriguez von Bottle Rocket Studios

Eintrag am 9. Oktober 2017 aktualisiert

E-Mail-Entwürfe

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer mit privilegierter Netzwerkposition kann ggf. E-Mail-Inhalte abfangen.

Beschreibung: Bei der Verarbeitung von E-Mail-Entwürfen bestand ein Verschlüsselungsproblem. Dieses Problem wurde durch eine verbesserte Verarbeitung von E-Mail-Anhängen behoben, die verschlüsselt werden sollten.

CVE-2017-7078: Petter Flink, Pierre ALBARÈDE aus Marseille (Frankreich), ein anonymer Forscher

Eintrag am 9. Oktober 2017 aktualisiert

Mail MessageUI

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zu einem Denial-of-Service führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-7097: Xinshu Dong und Jun Hao Tan von Anquan Capital

Nachrichten

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zu einem Denial-of-Service führen

Beschreibung: Das Denial-of-Service-Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-7118: Kiki Jiang und Jason Tokoph

MobileBackup

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Durch "Backup" wird ein unverschlüsseltes Backup erstellt, obwohl es eine Voraussetzung gibt, nur verschlüsselte Backups zu erstellen

Beschreibung: Es bestand ein Problem mit Berechtigungen. Dieses Problem wurde durch eine verbesserte Berechtigungsüberprüfung behoben.

CVE-2017-7133: Don Sparks von HackediOS.com

Telefon

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Beim Sperren von iOS-Geräten wird möglicherweise ein Bildschirmfoto von sicheren Inhalten aufgenommen.

Beschreibung: Beim Sperrvorgang trat ein Problem mit dem Zeitverhalten auf. Dieses Problem wurde behoben, indem die Bildschirmfoto-Funktion beim Sperren deaktiviert wurde.

CVE-2017-7139: ein anonymer Forscher

Eintrag am 25. September 2017 hinzugefügt

Safari

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu URL-Spoofing führen.

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-7085: xisigr vom Xuanwu Lab von Tencent (www.tencent.com)

Sicherheit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Einem zurückgezogenen Zertifikat wird möglicherweise vertraut.

Beschreibung: Bei der Verarbeitung von Widerrufsdaten bestand ein Problem bei der Überprüfung von Zertifikaten. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-7080: ein anonymer Forscher, ein anonymer Forscher, Sven Driemecker von adesso mobile solutions GmbH, Rune Darrud (@theflyingcorpse) aus der Kommune Bærum

Eintrag am 25. September 2017 hinzugefügt

Sicherheit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine schadhafte App kann kann Benutzer zwischen Installationen nachverfolgen.

Beschreibung: Beim Überprüfen der Berechtigungen in den Schlüsselbunddaten einer App trat ein Fehler auf. Dieses Problem wurde durch eine verbesserte Berechtigungsüberprüfung behoben.

CVE-2017-7146: ein anonymer Forscher

Eintrag am 25. September 2017 hinzugefügt

SQLite

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Mehrere Probleme in SQLite

Beschreibung: Mehrere Probleme wurden durch die Aktualisierung auf Version 3.19.3. behoben.

CVE-2017-10989: Gefunden von OSS-Fuzz

CVE-2017-7128: Gefunden von OSS-Fuzz

CVE-2017-7129: Gefunden von OSS-Fuzz

CVE-2017-7130: Gefunden von OSS-Fuzz

Eintrag am 25. September 2017 hinzugefügt

SQLite

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7127: Ein anonymer Forscher

Eintrag am 25. September 2017 hinzugefügt

Time

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Beim Einstellen der Zeitzone wird möglicherweise fälschlicherweise angezeigt, dass Ortungsdienste verwendet werden.

Beschreibung: Beim Prozess, der für die Zeitzonen-Informationen verantwortlich ist, trat ein Problem mit den Berechtigungen auf. Das Problem wurde durch das Ändern der Berechtigungen behoben.

CVE-2017-7145: Chris Lawrence

Eintrag am 9. Oktober 2017 aktualisiert

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-7081: Apple

Eintrag am 25. September 2017 hinzugefügt

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan vom Baidu Security Lab in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-7092: Samuel Gro und Niklas Baumstark in Zusammenarbeit mit der Zero Day Initiative von Trend Micro, Qixun Zhao (@S0rryMybad) vom Qihoo 360 Vulcan Team

CVE-2017-7093: Samuel Groß und Niklas Baumstark in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-7094: Tim Michaud (@TimGMichaud) von der Leviathan Security Group

CVE-2017-7095: Wang Junjie, Wei Lei und Liu Yang von der Nanyang Technological University in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-7096: Wei Yuan vom Baidu Security Lab

CVE-2017-7098: Felipe Freitas vom Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa und Mario Heiderich von Cure53

CVE-2017-7102: Wang Junjie, Wei Lei und Liu Yang von der Nanyang Technological University

CVE-2017-7104: likemeng vom Baidu Secutity Lab

CVE-2017-7107: Wang Junjie, Wei Lei und Liu Yang von der Nanyang Technological University

CVE-2017-7111: likemeng vom Baidu Security Lab (xlab.baidu.com) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-7117: lokihardt von Google Project Zero

CVE-2017-7120: chenqin (陈钦) vom Ant-financial Light-Year Security Lab

Eintrag am 25. September 2017 hinzugefügt

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen

Beschreibung: Bei der Verarbeitung des übergeordneten Tabs trat ein Logikproblem auf. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-7089: Anton Lopanitsyn von ONSEC, Frans Rosén von Detectify

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Cookies von einer Quelle können an eine andere Quelle gesendet werden.

Beschreibung: Bei der Verarbeitung von Cookies im Webbrowser trat ein Problem mit den Berechtigungen auf. Dieses Problem wurde behoben, indem keine Cookies für benutzerdefinierte URL-Schemata mehr zurückgegeben werden.

CVE-2017-7090: Apple

Eintrag am 25. September 2017 hinzugefügt

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu URL-Spoofing führen.

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-7106: Oliver Paukstadt von Thinking Objects GmbH (to.com)

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem Cross-Site-Scripting-Angriff führen.

Beschreibung: Die Anwendungscache-Richtlinie wird möglicherweise unerwartet angewendet.

CVE-2017-7109: avlidienbrunn

Eintrag am 25. September 2017 hinzugefügt

WebKit

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Eine schadhafte Website kann Benutzer in Safari nachverfolgen, wenn der Modus "Privates Surfen" aktiviert ist.

Beschreibung: Bei der Verarbeitung von Cookies im Webbrowser trat ein Problem mit den Berechtigungen auf. Dieses Problem wurde durch verbesserte Beschränkungen behoben.

CVE-2017-7144: Mohammad Ghasemisharif vom UIC-BITS-Lab

Eintrag am 9. Oktober 2017 aktualisiert

WLAN

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer, der sich in Reichweite befindet, kann willkürlichen Code auf dem WLAN-Chip ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-11120: Gal Beniamini von Google Project Zero

CVE-2017-11121: Gal Beniamini von Google Project Zero

Eintrag am 25. September 2017 hinzugefügt

WLAN

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Bösartiger Code, der auf dem WLAN-Chip ausgeführt wird, kann zur Ausführung willkürlichen Codes mit Kernel-Berechtigungen auf dem Anwendungsprozessor führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7103: Gal Beniamini von Google Project Zero

CVE-2017-7105: Gal Beniamini von Google Project Zero

CVE-2017-7108: Gal Beniamini von Google Project Zero

CVE-2017-7110: Gal Beniamini von Google Project Zero

CVE-2017-7112: Gal Beniamini von Google Project Zero

WLAN

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Bösartiger Code, der auf dem WLAN-Chip ausgeführt wird, kann zur Ausführung willkürlichen Codes mit Kernel-Berechtigungen auf dem Anwendungsprozessor führen

Beschreibung: Mehrere Race-Bedingungen wurden durch eine verbesserte Überprüfung behoben.

CVE-2017-7115: Gal Beniamini von Google Project Zero

WLAN

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Bösartiger Code, der auf dem WLAN-Chip ausgeführt wird, kann beschränkten Kernel-Speicher auslesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-7116: Gal Beniamini von Google Project Zero

WLAN

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Ein Angreifer, der sich in Reichweite befindet, kann möglicherweise beschränkten Speicher des WLAN-Chips lesen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-11122: Gal Beniamini von Google Project Zero

Eintrag am 2. Oktober 2017 hinzugefügt

zlib

Verfügbar für: iPhone 5s und neuer, iPad Air und neuer und iPod touch (6. Generation)

Auswirkung: Mehrere Probleme in zlib

Beschreibung: Mehrere Probleme wurden durch die Aktualisierung auf Version 1.2.11. behoben.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Eintrag am 25. September 2017 hinzugefügt

Zusätzliche Danksagung

Sicherheit

Wir möchten uns bei Abhinav Bansal von Zscaler, Inc. für die Unterstützung bedanken.

WebKit

Wir möchten uns bei xisigr vom Xuanwu Lab von Tencent (tencent.com) für die Unterstützung bedanken.

WebKit

Wir möchten uns bei Rayyan Bijoora von The City School, PAF Chapter, für die Unterstützung bedanken.

WebKit Web Inspector

Wir möchten uns bei Ioan Bizău von Bloggify für die Unterstützung bedanken.

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: