Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 10.2

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 10.2.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κλειδί PGP της Ασφάλειας προϊόντων Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

iOS 10.2

Κυκλοφόρησε στις 12 Δεκεμβρίου 2016

Προσβασιμότητα

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Ένας χρήστης που βρίσκεται κοντά μπορεί να ακούσει άθελά του προφορικά συνθηματικά

Περιγραφή: Υπήρχε πρόβλημα αποκάλυψης στο χειρισμό των συνθηματικών. Αυτό το πρόβλημα αντιμετωπίστηκε απενεργοποιώντας την εκφώνηση των συνθηματικών.

CVE-2016-7634: Davut Hari, Biren V. Soni, Cameron Lee

Η καταχώριση ενημερώθηκε στις 10 Ιανουαρίου 2017

Προσβασιμότητα

Αποτέλεσμα: Ένας χρήστης με φυσική πρόσβαση σε μια συσκευή iOS ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε φωτογραφίες και επαφές από την οθόνη κλειδώματος

Περιγραφή: Ένα πρόβλημα σχετικό με την οθόνη κλειδώματος επέτρεπε την πρόσβαση σε φωτογραφίες και επαφές σε μια κλειδωμένη συσκευή. Αυτό το πρόβλημα αντιμετωπίστηκε με τον περιορισμό των επιλογών που διατίθενται σε κλειδωμένη συσκευή.

CVE-2016-7664: Miguel Alvarado της iDeviceHelp

Λογαριασμοί

Αποτέλεσμα: Υπήρχε ένα πρόβλημα κατά το οποίο δεν γινόταν επαναφορά των ρυθμίσεων εξουσιοδότησης κατά την απεγκατάσταση των εφαρμογών

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης.

CVE-2016-7651: Ju Zhu και Lilang Wu της Trend Micro

Ήχος

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.

CVE-2016-7658: Haohao Kong του Keen Lab (@keen_lab) της Tencent

CVE-2016-7659: Haohao Kong του Keen Lab (@keen_lab) της Tencent

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

Πρόχειρο

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να αποκτήσει πρόσβαση στα περιεχόμενα του πρόχειρου

Περιγραφή: Τα περιεχόμενα του πρόχειρου ήταν προσβάσιμα πριν από το ξεκλείδωμα της συσκευής. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2016-7765: CongRong (@Tr3jer)

Η καταχώριση ενημερώθηκε στις 17 Ιανουαρίου 2017

CoreFoundation

Αποτέλεσμα: Η επεξεργασία κακόβουλων συμβολοσειρών ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχε ένα πρόβλημα αλλοίωσης μνήμης στην επεξεργασία των συμβολοσειρών. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

CVE-2016-7663: ένας ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

CoreGraphics

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής

Περιγραφή: Ένα πρόβλημα διακοπής αναφοράς δείκτη null αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης εισαγωγής.

CVE-2016-7627: TRAPMINE Inc. και Meysam Firouzi @R00tkitSMM

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

Εξωτερικές οθόνες CoreMedia

Αποτέλεσμα: Μια τοπική εφαρμογή ενδέχεται να μπορεί να εκτελεί αυθαίρετο κώδικα στο πλαίσιο του daemon διακομιστή μέσων

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-7655: Keen Lab σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

Αναπαραγωγή CoreMedia

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου .mp4 ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-7588: dragonltx των Huawei 2012 Laboratories

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

CoreText

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχαν πολλά προβλήματα αλλοίωσης μνήμης στο χειρισμό αρχείων γραμματοσειρών. Αυτά τα προβλήματα αντιμετωπίστηκαν μέσω βελτιωμένου ελέγχου ορίων.

CVE-2016-7595: riusksk(泉哥) του Tencent Security Platform Department

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

CoreText

Αποτέλεσμα: Η επεξεργασία μιας συμβολοσειράς με κακόβουλη δομή μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Αντιμετωπίστηκε ένα πρόβλημα απόδοσης επικαλυπτόμενων εμβελειών μέσω βελτιωμένης επικύρωσης.

CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) του Digital Unit (dgunit.com)

Η καταχώριση προστέθηκε στις 15 Δεκεμβρίου 2016

Είδωλα δίσκων

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.

CVE-2016-7616: daybreaker@Minionz σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

Εύρεση iPhone

Αποτέλεσμα: Ένας εισβολέας με ξεκλείδωτη συσκευή ενδέχεται να μπορεί να απενεργοποιήσει την Εύρεση iPhone

Περιγραφή: Υπήρχε ένα πρόβλημα διαχείρισης κατάστασης στο χειρισμό των πληροφοριών ελέγχου ταυτότητας. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω της βελτιωμένης αποθήκευσης των πληροφοριών λογαριασμού.

CVE-2016-7638: ένας ανώνυμος ερευνητής, Sezer Sakiner

FontParser

CVE-2016-4691: riusksk(泉哥) του Tencent Security Platform Department

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

Πρόγραμμα οδήγησης γραφικών

Αποτέλεσμα: Η παρακολούθηση ενός κακόβουλου βίντεο ενδέχεται να οδηγήσει σε άρνηση υπηρεσίας

Περιγραφή: Υπήρχε ένα πρόβλημα άρνησης υπηρεσίας στο χειρισμό βίντεο. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.

CVE-2016-7665: Moataz El Gaml της Schlumberger, Daniel Schurter του watson.ch και Marc Ruef της scip AG

Η καταχώριση ενημερώθηκε στις 15 Δεκεμβρίου 2016

ICU

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-7594: André Bargull

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

Καταγραφή εικόνων

Αποτέλεσμα: Μια κακόβουλη συσκευή HID μπορεί να έχει τη δυνατότητα να προκαλέσει εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης στο χειρισμό συσκευών εικόνας USB. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.

CVE-2016-4690: Andy Davis του NCC Group

ImageIO

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να διαρρεύσει μνήμη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

CVE-2016-7643: Yangkang (@dnpushme) της Qihoo360 Qex Team

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

IOHIDFamily

Αποτέλεσμα: Μια τοπική εφαρμογή με προνόμια συστήματος ενδέχεται να μπορεί να εκτελεί αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου "use after free" αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.

CVE-2016-7591: daybreaker από Minionz

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

IOKit

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.

CVE-2016-7657: Keen Lab σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

IOKit

Αποτέλεσμα: Ένας τοπικός χρήστης ενδεχομένως να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα κοινόχρηστης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-7714: Qidan He (@flanker_hqd) από την KeenLab σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 25 Ιανουαρίου 2017

JavaScriptCore

Αποτέλεσμα: Μια δέσμη ενεργειών που εκτελείται σε ένα sandbox JavaScript ενδέχεται να αποκτήσει πρόσβαση σε κατάσταση εκτός αυτού του sandbox

Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης στην επεξεργασία JavaScript. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση.

CVE-2016-4695: Mark S. Miller της Google

Η καταχώριση προστέθηκε στις 16 Αυγούστου 2017

Πυρήνας

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένης επικύρωσης εισόδου.

CVE-2016-7606: @cocoahuke, Chen Qin της Topsec Alpha Team (topsec.com)

CVE-2016-7612: Ian Beer του Google Project Zero

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

Πυρήνας

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα ανεπαρκούς αρχικοποίησης αντιμετωπίστηκε με τη σωστή αρχικοποίηση της μνήμης που επιστρέφεται στο χώρο χρηστών.

CVE-2016-7607: Brandon Azad

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

Πυρήνας

Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας συστήματος

Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-7615: Το National Cyber Security Centre (NCSC) του Ηνωμένου Βασιλείου

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

Πυρήνας

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να έχει τη δυνατότητα να προκαλέσει μη αναμενόμενο τερματισμό του συστήματος ή εκτέλεση αυθαίρετου κώδικα στον πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου "use after free" αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.

CVE-2016-7621: Ian Beer του Google Project Zero

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

Πυρήνας

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να αποκτήσει προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.

CVE-2016-7637: Ian Beer του Google Project Zero

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

Πυρήνας

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου "use after free" αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.

CVE-2016-7644: Ian Beer του Google Project Zero

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

Πυρήνας

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-7647: Lufeng Li από την ομάδα Qihoo 360 Vulcan

Η καταχώριση προστέθηκε στις 17 Μαΐου 2017

Πυρήνας

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να αποκτήσει πρόσβαση στη διεύθυνση MAC της συσκευής

Περιγραφή: Αντιμετωπίστηκε ένα πρόβλημα πρόσβασης μέσω πρόσθετων περιορισμών sandbox σε εφαρμογές τρίτων.

CVE-2016-7766: Jun Yang(杨君) από την WeiXin Group της Tencent

Η καταχώριση προστέθηκε στις 31 Μαΐου 2017

libarchive

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να αντικαταστήσει υπάρχοντα αρχεία

Περιγραφή: Υπήρχε πρόβλημα επικύρωσης στον χειρισμό symlinks. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης των symlinks.

CVE-2016-7619: ένας ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

Τοπικός έλεγχος ταυτότητας

Αποτέλεσμα: Η συσκευή ενδέχεται να μην κλειδώσει την οθόνη μετά τη λήξη της προθεσμίας αδράνειας

Περιγραφή: Υπήρχε ένα πρόβλημα λογικής στο χειρισμό του χρονοδιακόπτη αδράνειας όταν εμφανίζεται η προτροπή του Touch ID. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού του χρονοδιακόπτη αδράνειας.

CVE-2016-7601: ένας ανώνυμος ερευνητής

Mail

Αποτέλεσμα: Ένα email που έχει υπογραφεί με ένα πιστοποιητικό το οποίο έχει ανακληθεί ενδέχεται να εμφανίζεται ως έγκυρο

Περιγραφή: Η πολιτική S/MIME απέτυχε κατά τον έλεγχο εάν ένα πιστοποιητικό ήταν έγκυρο. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω της ειδοποίησης του χρήστη εάν ένα email είχε υπογραφεί με ένα πιστοποιητικό που έχει ανακληθεί.

CVE-2016-4689: ένας ανώνυμος ερευνητής

Αναπαραγωγή πολυμέσων

Αποτέλεσμα: Ένας χρήστης ενδέχεται να μπορεί να προβάλει φωτογραφίες και επαφές από την οθόνη κλειδώματος

Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης στο χειρισμό της επιλογής πολυμέσων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση.

CVE-2016-7653

Διαχείριση ενέργειας

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να αποκτήσει προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα στις αναφορές ονομάτων θυρών mach αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης.

CVE-2016-7661: Ian Beer του Google Project Zero

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

Προφίλ

Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου πιστοποιητικού ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης της μνήμης στο χειρισμό προφίλ πιστοποιητικών. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.

CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)

Safari Reader

Αποτέλεσμα: Η ενεργοποίηση της λειτουργίας Safari Reader σε κακόβουλα δομημένη ιστοσελίδα μπορεί να επιτρέπει καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Πολλά προβλήματα επικύρωσης αντιμετωπίστηκαν με τη βελτίωση της εξυγίανσης εισόδου.

CVE-2016-7650: Erling Ellingsen

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

Ασφάλεια

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να εκμεταλλευτεί αδυναμίες του κρυπτογραφικού αλγόριθμου 3DES

Περιγραφή: Ο αλγόριθμος 3DES καταργήθηκε ως προεπιλεγμένη κρυπτογράφηση.

CVE-2016-4693: Gaëtan Leurent και Karthikeyan Bhargavan από την INRIA Paris

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

Ασφάλεια

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης στο χειρισμό των διευθύνσεων URL του αποκριτή OCSP. Αυτό το πρόβλημα αντιμετωπίστηκε με την επαλήθευση της κατάστασης ανάκλησης OCSP μετά την επικύρωση CA και τον περιορισμό του αριθμού των αιτημάτων OCSP ανά πιστοποιητικό.

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

Ασφάλεια

Αποτέλεσμα: Ενδέχεται να αξιολογηθούν απρόσμενα κάποια πιστοποιητικά ως αξιόπιστα

Περιγραφή: Υπήρχε ένα πρόβλημα αξιολόγησης πιστοποιητικών στην επικύρωση των πιστοποιητικών. Αυτό το πρόβλημα αντιμετωπίστηκε με επιπλέον διαδικασίες επικύρωσης πιστοποιητικών.

CVE-2016-7662: Apple

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

Αφετηρία

Αποτέλεσμα: Ένας χρήστης με φυσική πρόσβαση σε μια συσκευή iOS ενδέχεται να μπορεί να ξεκλειδώσει τη συσκευή

Περιγραφή: Σε ορισμένες περιπτώσεις, υπήρχε ένα πρόβλημα μετρητή στο χειρισμό των προσπαθειών καταχώρισης συνθηματικού κατά την επαναφορά του συνθηματικού. Το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2016-4781: ένας ανώνυμος ερευνητής

Αφετηρία

Αποτέλεσμα: Ένας χρήστης με φυσική πρόσβαση σε μια συσκευή iOS ενδέχεται να μπορεί να διατηρήσει τη συσκευή ξεκλείδωτη

Περιγραφή: Υπήρχε ένα πρόβλημα εκκαθάρισης στο χειρισμό του Handoff με το Siri. Το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2016-7597: ένας ανώνυμος ερευνητής

syslog

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να αποκτήσει προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα στις αναφορές ονομάτων θυρών mach αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης.

CVE-2016-7660: Ian Beer του Google Project Zero

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Πολλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-4692: Apple

CVE-2016-7635: Apple

CVE-2016-7652: Apple

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλα δομημένου περιεχομένου ιστού ενδεχομένως να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.

CVE-2016-4743: Alan Cutter

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού ενδέχεται να οδηγήσει στην αποκάλυψη πληροφοριών χρήστη

Περιγραφή: Ένα πρόβλημα επικύρωσης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2016-7586: Boris Zbarsky

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Πολλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένης διαχείρισης κατάστασης λειτουργίας.

CVE-2016-7587: Adam Klein

CVE-2016-7610: Zheng Huang του Baidu Security Lab σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2016-7611: ένας ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2016-7639: Tongbo Luo της Palo Alto Networks

CVE-2016-7640: Kai Kang του Xuanwu Lab της Tencent (tencent.com)

CVE-2016-7641: Kai Kang του Xuanwu Lab της Tencent (tencent.com)

CVE-2016-7642: Tongbo Luo της Palo Alto Networks

CVE-2016-7645: Kai Kang του Xuanwu Lab της Tencent (tencent.com)

CVE-2016-7646: Kai Kang του Xuanwu Lab της Tencent (tencent.com)

CVE-2016-7648: Kai Kang του Xuanwu Lab της Tencent (tencent.com)

CVE-2016-7649: Kai Kang του Xuanwu Lab της Tencent (tencent.com)

CVE-2016-7654: Keen Lab σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης της μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2016-7589: Apple

CVE-2016-7656: Keen Lab σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλα δομημένου περιεχομένου ιστού μπορεί να αποκαλύψει στοιχεία του χρήστη

Περιγραφή: Υπήρχε ένα πρόβλημα στο χειρισμό των προτροπών JavaScript. Το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2016-7592: xisigr του Xuanwu Lab της Tencent (tencent.com)

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

WebKit

Περιγραφή: Ένα πρόβλημα πρόσβασης σε μη αρχικοποιημένη μνήμη αντιμετωπίστηκε μέσω βελτιωμένης αρχικοποίησης της μνήμης.

CVE-2016-7598: Samuel Groß

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

WebKit

Περιγραφή: Υπήρχε ένα πρόβλημα στο χειρισμό ανακατευθύνσεων HTTP. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης μεταξύ προελεύσεων.

CVE-2016-7599: Muneaki Nishimura (nishimunea) της Recruit Technologies Co., Ltd.

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

WebKit

Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να παραβιάσει τις πληροφορίες χρήστη

Περιγραφή: Υπήρχε ένα πρόβλημα στο χειρισμό των διευθύνσεων URL blob. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού διευθύνσεων URL.

CVE-2016-7623: xisigr του Xuanwu Lab της Tencent (tencent.com)

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

WebKit

Αποτέλεσμα: Η επίσκεψη σε μια κακόβουλη ιστοσελίδα μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης της μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2016-7632: Jeonghoon Shin

Η καταχώριση προστέθηκε στις 13 Δεκεμβρίου 2016

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλα δομημένου περιεχομένου ιστού μπορεί να επιτρέψει τη διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Υπήρχε ένα πρόβλημα με την προβολή εγγράφων στο Safari. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.

CVE-2016-7762: YongShao (Zhiyong Feng από JDSEC 1aq.com‍)

Η καταχώριση προστέθηκε στις 24 Ιανουαρίου 2017

WebSheet

Αποτέλεσμα: Μια διεργασία sandbox μπορεί να αποκτήσει τη δυνατότητα να παρακάμψει τους περιορισμούς του sandbox

Περιγραφή: Ένα πρόβλημα διαφυγής sandbox αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2016-7630: Marco Grassi (@marcograss) του KeenLab (@keen_lab) Tencent σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 25 Ιανουαρίου 2017

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: Νοεμβρίου 03, 2023