Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 10.3.3
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 10.3.3.
Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
iOS 10.3.3
Επαφές
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2017-7062: Shashank (@cyberboyIndia)
CoreAudio
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ταινίας μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2017-7008: Yangkang (@dnpushme) από την ομάδα του Qihoo 360 Qex
EventKitUI
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να προκαλέσει έναν απρόσμενο τερματισμό εφαρμογής
Περιγραφή: Ένα πρόβλημα εξάντλησης πόρων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.
CVE-2017-7007: José Antonio Esteban (@Erratum_) από Sapsi Consultores
IOUSBFamily
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-7009: shrek_wzw από την ομάδα Qihoo 360 Nirvan
Πυρήνας
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-7022: ένας ανώνυμος ερευνητής
CVE-2017-7024: ένας ανώνυμος ερευνητής
CVE-2017-7026: ένας ανώνυμος ερευνητής
Πυρήνας
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-7023: ένας ανώνυμος ερευνητής
CVE-2017-7025: ένας ανώνυμος ερευνητής
CVE-2017-7027: ένας ανώνυμος ερευνητής
CVE-2017-7069: Proteas από την ομάδα Nirvan της Qihoo 360
Πυρήνας
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2017-7028: ένας ανώνυμος ερευνητής
CVE-2017-7029: ένας ανώνυμος ερευνητής
libarchive
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η αποσυμπίεση μιας κακόβουλης αρχειοθήκης μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.
CVE-2017-7068: εντοπίστηκε από OSS-Fuzz
libxml2
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η ανάλυση ενός κακόβουλου εγγράφου XML ενδέχεται να οδηγήσει σε αποκάλυψη των πληροφοριών του χρήστη
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.
CVE-2017-7010: Apple
CVE-2017-7013: εντοπίστηκε από OSS-Fuzz
libxpc
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-7047: Ian Beer του Google Project Zero
Μηνύματα
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να προκαλέσει έναν απρόσμενο τερματισμό εφαρμογής
Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2017-7063: Shashank (@cyberboyIndia)
Γνωστοποιήσεις
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Οι γνωστοποιήσεις ενδέχεται να εμφανίζονται στην οθόνη κλειδώματος όταν είναι απενεργοποιημένες
Περιγραφή: Ένα πρόβλημα σχετικό με την οθόνη κλειδώματος αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2017-7058: Beyza Sevinç του Süleyman Demirel Üniversitesi
Safari
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση της γραμμής διευθύνσεων
Περιγραφή: Ένα πρόβλημα μη συνεπούς περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2017-2517: xisigr από το Xuanwu Lab της Tencent (tencent.com)
Εκτύπωση Safari
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε απεριόριστο αριθμό παραθύρων διαλόγου εκτύπωσης
Περιγραφή: Υπήρχε ένα πρόβλημα όπου ένας κακόβουλος ιστότοπος ή ένας ιστότοπος που είχε παραβιαστεί μπορούσε να εμφανίζει απεριόριστα παράθυρα διαλόγου εκτύπωσης, με αποτέλεσμα οι χρήστες να πιστεύουν ότι το πρόγραμμα περιήγησής τους έχει κλειδωθεί. Το πρόβλημα αντιμετωπίστηκε μέσω περιορισμού των παραθύρων διαλόγου εκτύπωσης.
CVE-2017-7060: Travis Kelley από τη Μισαουάκα, Ιντιάνα
Τηλεφωνία
Διατίθεται για: iPhone 5 και νεότερα μοντέλα και για τα μοντέλα Wi-Fi + Cellular του iPad 4ης γενιάς και νεότερων μοντέλων
Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-8248
WebKit
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να αποσπάσει δεδομένα μεταξύ προελεύσεων
Περιγραφή: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την εξαγωγή δεδομένων μεταξύ προελεύσεων χρησιμοποιώντας φίλτρα SVG για τη διενέργεια επίθεσης καναλιού χρονισμού. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω μη σχεδίασης του buffer μεταξύ προελεύσεων στο πλαίσιο που φιλτράρεται.
CVE-2017-7006: ένας ανώνυμος ερευνητής, David Kohlbrenner του UC San Diego
WebKit
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση της γραμμής διευθύνσεων
Περιγραφή: Ένα πρόβλημα διαχείρισης κατάστασης αντιμετωπίστηκε με βελτιωμένο χειρισμό πλαισίων.
CVE-2017-7011: xisigr από το Xuanwu Lab της Tencent (tencent.com)
WebKit
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.
CVE-2017-7018: lokihardt του Google Project Zero
CVE-2017-7020: likemeng του Baidu Security Lab
CVE-2017-7030: chenqin του Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)
CVE-2017-7034: chenqin του Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)
CVE-2017-7037: lokihardt του Google Project Zero
CVE-2017-7039: Ivan Fratric του Google Project Zero
CVE-2017-7040: Ivan Fratric του Google Project Zero
CVE-2017-7041: Ivan Fratric του Google Project Zero
CVE-2017-7042: Ivan Fratric του Google Project Zero
CVE-2017-7043: Ivan Fratric του Google Project Zero
CVE-2017-7046: Ivan Fratric του Google Project Zero
CVE-2017-7048: Ivan Fratric του Google Project Zero
CVE-2017-7052: cc σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2017-7055: Το National Cyber Security Centre (NCSC) του Ηνωμένου Βασιλείου
CVE-2017-7056: lokihardt του Google Project Zero
CVE-2017-7061: lokihardt του Google Project Zero
WebKit
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού με DOMParser μπορεί να επιτρέψει τη διατοποθεσιακή εκτέλεση σεναρίων
Περιγραφή: Υπήρχε ένα σφάλμα λογικής στον χειρισμό του DOMParser. Αυτό το θέμα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2017-7038: Egor Karbutov (@ShikariSenpai) του Digital Security και Egor Saltykov (@ansjdnakjdnajkd) του Digital Security, Neil Jenkins του FastMail Pty Ltd
CVE-2017-7059: Masato Kinugawa και Mario Heiderich από Cure53
WebKit
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Πολλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2017-7049: Ivan Fratric του Google Project Zero
WebKit
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2017-7064: lokihardt του Google Project Zero
Φόρτωση σελίδων WebKit
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.
CVE-2017-7019: Zhiyang Zeng του Tencent Security Platform Department
WebKit Web Inspector
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.
CVE-2017-7012: Apple
Wi-Fi
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Ένας εισβολέας εντός εμβέλειας ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα στο chip του Wi-Fi
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-7065: Gal Beniamini του Google Project Zero
Wi-Fi
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Ένας εισβολέας εντός της εμβέλειας του δικτύου Wi-Fi ενδεχομένως να μπορεί να προκαλέσει άρνηση υπηρεσίας στο chip του Wi-Fi
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2017-7066: Gal Beniamini του Google Project Zero
Wi-Fi
Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Ένας εισβολέας εντός εμβέλειας ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα στο chip του Wi-Fi
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-9417: Nitay Artenstein του Exodus Intelligence
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.