Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
iOS 11
Κυκλοφόρησε στις 19 Σεπτεμβρίου 2017
802.1X
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να εκμεταλλευτεί αδυναμίες του TLS 1.0
Περιγραφή: Ένα πρόβλημα ασφάλειας πρωτοκόλλου αντιμετωπίστηκε ενεργοποιώντας το TLS 1.1 και το TLS 1.2.
CVE-2017-13832: Doug Wussler του Florida State University
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 10 Νοεμβρίου 2017
APN
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Ένας εισβολέας που έχει αποκτήσει προνομιακή θέση στο δίκτυο μπορεί να παρακολουθήσει κάποιον χρήστη
Περιγραφή: Υπήρξε ένα πρόβλημα απορρήτου με τη χρήση των πιστοποιητικών προγράμματος-πελάτη. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω αναθεωρημένου πρωτόκολλου.
CVE-2017-13863: Ομάδα FURIOUSMAC από την United States Naval Academy
Η καταχώριση προστέθηκε στις 21 Δεκεμβρίου 2017
Bluetooth
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Μια εφαρμογή μπορεί να αποκτήσει πρόσβαση σε περιορισμένα αρχεία
Περιγραφή: Υπήρχε ένα πρόβλημα απορρήτου στον χειρισμό των καρτών επαφών. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2017-7131: Dominik Conrads του Federal Office for Information Security της Γερμανίας, ανώνυμος ερευνητής, Anand Kathapurkar από την Ινδία, Elvis (@elvisimprsntr)
Η καταχώριση ενημερώθηκε στις 9 Οκτωβρίου 2017
CFNetwork
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13829: Niklas Baumstark και Samuel Gro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2017-13833: Niklas Baumstark και Samuel Gro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
Η καταχώριση προστέθηκε στις 10 Νοεμβρίου 2017
Διακομιστές μεσολάβησης CFNetwork
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Πολλαπλά προβλήματα άρνησης υπηρεσίας αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2017-7083: Abhinav Bansal της Zscaler Inc.
Η καταχώριση προστέθηκε στις 25 Σεπτεμβρίου 2017
CFString
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα επικύρωσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2017-13821: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017
CoreAudio
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Μια ανάγνωση εκτός ορίων αντιμετωπίστηκε με ενημέρωση του Opus στην έκδοση 1.1.4.
CVE-2017-0381: V.E.O (@VYSEa) της ερευνητικής ομάδας Mobile Threat Research Team, Trend Micro
Η καταχώριση προστέθηκε στις 25 Σεπτεμβρίου 2017
CoreText
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2017-13825: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017
Exchange ActiveSync
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να διαγράψει μια συσκευή κατά τη διάρκεια διαμόρφωσης λογαριασμού Exchange
Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης στο AutoDiscover V1. Αυτό το πρόβλημα αντιμετωπίστηκε ζητώντας TLS για το AutoDiscover V1. Το AutoDiscover V2 πλέον υποστηρίζεται.
CVE-2017-7088: Ilya Nesterov, Maxim Goncharov
αρχείο
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Πολλαπλά προβλήματα στο αρχείο
Περιγραφή: Τα πολλαπλά προβλήματα επιλύθηκαν με την ενημέρωση στην έκδοση 5.31.
CVE-2017-13815
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017
Γραμματοσειρές
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η απόδοση μη αξιόπιστου κειμένου ενδέχεται να οδηγήσει σε πλαστογράφηση
Περιγραφή: Ένα πρόβλημα μη συνεπούς περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2017-13828: Leonard Grey και Robert Sesek της Google Chrome
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 10 Νοεμβρίου 2017
Heimdal
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να μιμείται μια υπηρεσία
Περιγραφή: Υπήρχε πρόβλημα επικύρωσης στον χειρισμό του ονόματος υπηρεσίας KDC-REP. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση.
CVE-2017-11103: Jeffrey Altman, Viktor Duchovni και Nico Williams
Η καταχώριση προστέθηκε στις 25 Σεπτεμβρίου 2017
HFS
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13830: Sergej Schumilo του πανεπιστημίου Ruhr-University Bochum
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017
iBooks
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η ανάλυση ενός κακόβουλου αρχείου iBooks ενδέχεται να οδηγήσει σε συνεχή άρνηση υπηρεσίας
Περιγραφή: Πολλαπλά προβλήματα άρνησης υπηρεσίας αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2017-7072: Jędrzej Krysztofiak
ImageIO
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.
CVE-2017-13814: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017
ImageIO
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Υπήρχε ένα πρόβλημα αποκάλυψης πληροφοριών στην επεξεργασία των ειδώλων δίσκου. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.
CVE-2017-13831: Glen Carmichael
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 10 Νοεμβρίου 2017
Πυρήνας
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-7114: Alex Plaskett της MWR InfoSecurity
Η καταχώριση προστέθηκε στις 25 Σεπτεμβρίου 2017
Πυρήνας
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορέσει να διαβάσει τα περιεχόμενα της μνήμης πυρήνα
Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων το οποίο οδήγησε στην αποκάλυψη περιεχομένου μνήμης πυρήνα. Αυτό αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης εισαγωγής.
CVE-2017-13817: Maxime Villard της (m00nbsd)
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017
Πυρήνας
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα επικύρωσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2017-13818: Το Εθνικό Κέντρο Ασφάλειας στον Κυβερνοχώρο του Ηνωμένου Βασιλείου (National Cyber Security Centre, NCSC)
CVE-2017-13836: Vlad Tsyrklevich
CVE-2017-13841: Vlad Tsyrklevich
CVE-2017-13840: Vlad Tsyrklevich
CVE-2017-13842: Vlad Tsyrklevich
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 18 Ιουνίου 2018
Πυρήνας
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13843: ανώνυμος ερευνητής, ανώνυμος ερευνητής
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017
Πυρήνας
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13854: shrek_wzw από την ομάδα Qihoo 360 Nirvan
Η καταχώριση προστέθηκε στις 2 Νοεμβρίου 2017
Πυρήνας
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η επεξεργασία ενός μη κατάλληλα διαμορφωμένου δυαδικού αρχείου mach μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης.
CVE-2017-13834: Maxime Villard (m00nbsd)
Η καταχώριση προστέθηκε στις 10 Νοεμβρίου 2017
Πυρήνας
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να μάθει πληροφορίες σχετικά με την παρουσία και τη λειτουργία άλλων εφαρμογών στη συσκευή.
Περιγραφή: Μια εφαρμογή μπόρεσε να αποκτήσει πρόσβαση σε πληροφορίες δραστηριότητας δικτύου που διατηρούνται από το λειτουργικό σύστημα χωρίς περιορισμό. Αυτό το πρόβλημα αντιμετωπίστηκε μειώνοντας τις πληροφορίες που διατίθενται σε εφαρμογές τρίτου μέρους.
CVE-2017-13873: Xiaokuan Zhang και Yinqian Zhang από το Ohio State University, Xueqiang Wang και XiaoFeng Wang από το Indiana University Bloomington και Xiaolong Bai από το Tsinghua University
Η καταχώριση προστέθηκε στις 30 Νοεμβρίου 2017
Προτάσεις πληκτρολογίου
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Οι προτάσεις αυτόματης διόρθωσης πληκτρολογίου μπορούν να αποκαλύψουν ευαίσθητα δεδομένα
Περιγραφή: Το πληκτρολόγιο iOS αποθήκευε προσωρινά ευαίσθητα δεδομένα λόγω σφάλματος. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη ευρετική αναζήτηση δεδομένων.
CVE-2017-7140: Agim Allkanjari της Stream in Motion Inc.
Η καταχώριση ενημερώθηκε στις 9 Οκτωβρίου 2017
libarchive
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η αποσυμπίεση μιας κακόβουλης αρχειοθήκης μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2017-13813: εντοπίστηκε από OSS-Fuzz
CVE-2017-13816: εντοπίστηκε από OSS-Fuzz
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017
libarchive
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η αποσυμπίεση μιας κακόβουλης αρχειοθήκης μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπήρχαν πολλά προβλήματα αλλοίωσης μνήμης στο libarchive. Αυτά τα προβλήματα αντιμετωπίστηκαν μέσω βελτιωμένης επικύρωσης εισόδου.
CVE-2017-13812: εντοπίστηκε από OSS-Fuzz
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017
libc
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα εξάντλησης πόρων στο glob() αντιμετωπίστηκε μέσω βελτιωμένου αλγορίθμου.
CVE-2017-7086: Russ Cox της Google
Η καταχώριση προστέθηκε στις 25 Σεπτεμβρίου 2017
libc
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2017-1000373
Η καταχώριση προστέθηκε στις 25 Σεπτεμβρίου 2017
libexpat
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Πολλά προβλήματα στο expat
Περιγραφή: Τα πολλά προβλήματα αντιμετωπίστηκαν με ενημέρωση στην έκδοση 2.2.1
CVE-2016-9063
CVE-2017-9233
Η καταχώριση προστέθηκε στις 25 Σεπτεμβρίου 2017
Πλαίσιο εργασίας τοποθεσίας
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Μια εφαρμογή μπορεί να αποκτήσει δυνατότητα πρόσβασης σε ευαίσθητα δεδομένα τοποθεσίας
Περιγραφή: Υπήρχε ένα πρόβλημα δικαιωμάτων στον χειρισμό της μεταβλητής τοποθεσίας. Αυτό το πρόβλημα αντιμετωπίστηκε με πρόσθετους ελέγχους ιδιοκτησίας.
CVE-2017-7148: Igor Makarov από τη Moovit, Will McGinty και Shawnna Rodriguez της Bottle Rocket Studios
Η καταχώριση ενημερώθηκε στις 9 Οκτωβρίου 2017
Πρόχειρα στο Mail
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου ενδέχεται να μπορεί να υποκλέψει περιεχόμενο ηλεκτρονικής αλληλογραφίας
Περιγραφή: Υπήρχε ένα πρόβλημα κρυπτογράφησης στον χειρισμό πρόχειρων μηνυμάτων ηλεκτρονικής αλληλογραφίας. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των πρόχειρων μηνυμάτων ηλεκτρονικής αλληλογραφίας ώστε να αποστέλλονται κρυπτογραφημένα.
CVE-2017-7078: Petter Flink, Pierre ALBARÈDE από τη Μασσαλία (Γαλλία), ανώνυμος ερευνητής
Η καταχώριση ενημερώθηκε στις 9 Οκτωβρίου 2017
Mail MessageUI
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επικύρωση.
CVE-2017-7097: Xinshu Dong και Jun Hao Tan της Anquan Capital
Μηνύματα
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης.
CVE-2017-7118: Kiki Jiang και Jason Tokoph
MobileBackup
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Το Backup μπορεί να δημιουργήσει ένα μη κρυπτογραφημένο εφεδρικό αντίγραφο παρά την απαίτηση να δημιουργούνται μόνο κρυπτογραφημένα εφεδρικά αντίγραφα
Περιγραφή: Υπήρχε ένα πρόβλημα με τα δικαιώματα. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση δικαιωμάτων.
CVE-2017-7133: Don Sparks του HackediOS.com
Σημειώσεις
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες χρήστη
Περιγραφή: Το περιεχόμενο των κλειδωμένων σημειώσεων ορισμένες φορές εμφανίζεται στα αποτελέσματα αναζήτησης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη εκκαθάριση δεδομένων.
CVE-2017-7075: Richard Will της Marathon Oil Company
Η καταχώριση προστέθηκε στις 10 Νοεμβρίου 2017
Τηλέφωνο
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Ενδεχομένως να πραγματοποιείται λήψη στιγμιότυπου οθόνης περιεχομένου ασφαλείας κατά το κλείδωμα μιας συσκευής iOS
Περιγραφή: Υπήρχε πρόβλημα χρονισμού στον χειρισμό του κλειδώματος. Αυτό το πρόβλημα αντιμετωπίστηκε με απενεργοποίηση της λήψης στιγμιότυπων κατά το κλείδωμα.
CVE-2017-7139: ανώνυμος ερευνητής
Η καταχώριση προστέθηκε στις 25 Σεπτεμβρίου 2017
Προφίλ
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Οι εγγραφές ζευγοποίησης της συσκευής μπορεί να εγκατασταθούν κατά λάθος σε μια συσκευή κατά την εγκατάσταση ενός προφίλ που δεν επιτρέπει τις ζευγοποιήσεις
Περιγραφή: Οι ζευγοποιήσεις δεν καταργούνται κατά την εγκατάσταση προφίλ που δεν επιτρέπει τις ζευγοποιήσεις. Αυτό το πρόβλημα αντιμετωπίστηκε με την κατάργηση των ζευγοποιήσεων που προκαλούν διενέξεις με το προφίλ διαμόρφωσης.
CVE-2017-13806: Rorie Hood της MWR InfoSecurity
Η καταχώριση προστέθηκε στις 2 Νοεμβρίου 2017
Άμεση προβολή
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα επικύρωσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2017-13822: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017
Άμεση προβολή
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η ανάλυση ενός κακόβουλου εγγράφου office ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2017-7132: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017
Safari
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση της γραμμής διευθύνσεων
Περιγραφή: Ένα πρόβλημα μη συνεπούς περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2017-7085: xisigr από το Xuanwu Lab της Tencent (tencent.com)
Προφίλ sandbox
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να μάθει πληροφορίες σχετικά με την παρουσία άλλων εφαρμογών στη συσκευή.
Περιγραφή: Μια εφαρμογή μπόρεσε να προσδιορίσει την ύπαρξη αρχείων έξω από το sandbox της. Αυτό το πρόβλημα αντιμετωπίστηκε με επιπλέον ελέγχους sandbox.
CVE-2017-13877: Xiaokuan Zhang και Yinqian Zhang από το Ohio State University, Xueqiang Wang και XiaoFeng Wang από το Indiana University Bloomington και Xiaolong Bai από το Tsinghua University
Η καταχώριση προστέθηκε στις 30 Νοεμβρίου 2017
Ασφάλεια
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Ένα πιστοποιητικό που έχει ανακληθεί ενδέχεται να εμφανίζεται ως αξιόπιστο
Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης πιστοποιητικών στον χειρισμό των δεδομένων ανάκλησης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση.
CVE-2017-7080: ανώνυμος ερευνητής, ανώνυμος ερευνητής, Sven Driemecker της adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) της Bærum kommune
Η καταχώριση προστέθηκε στις 25 Σεπτεμβρίου 2017
Ασφάλεια
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να παρακολουθεί τους χρήστες μεταξύ των εγκαταστάσεων
Περιγραφή: Υπήρχε ένα πρόβλημα ελέγχου δικαιωμάτων στον χειρισμό των δεδομένων κλειδοθήκης μιας εφαρμογής. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο έλεγχο των δικαιωμάτων.
CVE-2017-7146: ανώνυμος ερευνητής
Η καταχώριση προστέθηκε στις 25 Σεπτεμβρίου 2017
SQLite
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Πολλά προβλήματα στο SQLite
Περιγραφή: Τα πολλά προβλήματα αντιμετωπίστηκαν με ενημέρωση στην έκδοση 3.19.3.
CVE-2017-10989: εντοπίστηκε από OSS-Fuzz
CVE-2017-7128: εντοπίστηκε από OSS-Fuzz
CVE-2017-7129: εντοπίστηκε από OSS-Fuzz
CVE-2017-7130: εντοπίστηκε από OSS-Fuzz
Η καταχώριση προστέθηκε στις 25 Σεπτεμβρίου 2017
SQLite
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-7127: ανώνυμος ερευνητής
Η καταχώριση προστέθηκε στις 25 Σεπτεμβρίου 2017
Τηλεφωνία
Διατίθεται για: iPhone 5s και νεότερα μοντέλα και για τα μοντέλα WiFi + Cellular του iPad Air γενιάς και νεότερων μοντέλων
Αποτέλεσμα: Ένας εισβολέας εντός εμβέλειας ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-6211: Matthew Spisak της ENDGAME (endgame.com)
Η καταχώριση προστέθηκε στις 4 Δεκεμβρίου 2017
Ώρα
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η «Ρύθμιση ζώνης ώρας» μπορεί να δείχνει εσφαλμένα ότι χρησιμοποιεί την τοποθεσία
Περιγραφή: Υπήρχε ένα πρόβλημα με τα δικαιώματα στη διαδικασία που χειρίζεται τις πληροφορίες ζώνης ώρας. Το πρόβλημα λύθηκε με τροποποίηση των δικαιωμάτων.
CVE-2017-7145: Chris Lawrence
Η καταχώριση ενημερώθηκε στις 9 Οκτωβρίου 2017
WebKit
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.
CVE-2017-7081: Apple
Η καταχώριση προστέθηκε στις 25 Σεπτεμβρίου 2017
WebKit
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.
CVE-2017-7087: Apple
CVE-2017-7091: Wei Yuan του Baidu Security Lab σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2017-7092: Samuel Gro και Niklas Baumstark σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro, Qixun Zhao (@S0rryMybad) της ομάδας Qihoo 360 Vulcan Team
CVE-2017-7093: Samuel Gro και Niklas Baumstark σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2017-7094: Tim Michaud (@TimGMichaud) της Leviathan Security Group
CVE-2017-7095: Wang Junjie, Wei Lei και Liu Yang του Τεχνολογικού Πανεπιστημίου Nanyang σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2017-7096: Wei Yuan του Baidu Security Lab
CVE-2017-7098: Felipe Freitas του Instituto Tecnológico de Aeronáutica
CVE-2017-7099: Apple
CVE-2017-7100: Masato Kinugawa και Mario Heiderich από Cure53
CVE-2017-7102: Wang Junjie, Wei Lei και Liu Yang του Τεχνολογικού Πανεπιστημίου Nanyang
CVE-2017-7104: likemeng του Baidu Security Lab
CVE-2017-7107: Wang Junjie, Wei Lei και Liu Yang του Τεχνολογικού Πανεπιστημίου Nanyang
CVE-2017-7111: likemeng του Baidu Security Lab (xlab.baidu.com) σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2017-7117: lokihardt του Google Project Zero
CVE-2017-7120: chenqin (陈钦) του Ant-financial Light-Year Security Lab
Η καταχώριση προστέθηκε στις 25 Σεπτεμβρίου 2017
WebKit
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων
Περιγραφή: Υπήρχε ένα σφάλμα λογικής στον χειρισμό της γονικής καρτέλας. Αυτό το θέμα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2017-7089: Anton Lopanitsyn του ONSEC, Frans Rosén της Detectify
WebKit
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Cookie που ανήκουν σε μια προέλευση μπορεί να αποσταλούν σε άλλη προέλευση
Περιγραφή: Υπήρχε ένα πρόβλημα δικαιωμάτων στον χειρισμό των cookie του προγράμματος περιήγησης web. Το πρόβλημα αντιμετωπίστηκε με διακοπή της επιστροφής των cookie για προσαρμοσμένους συνδυασμούς URL.
CVE-2017-7090: Apple
Η καταχώριση προστέθηκε στις 25 Σεπτεμβρίου 2017
WebKit
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση της γραμμής διευθύνσεων
Περιγραφή: Ένα πρόβλημα μη συνεπούς περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2017-7106: Oliver Paukstadt της Thinking Objects GmbH (to.com)
WebKit
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την εισβολή με διατοποθεσιακή εκτέλεση σεναρίων
Περιγραφή: Μπορεί να εφαρμοστεί απρόσμενα πολιτική cache εφαρμογών.
CVE-2017-7109: avlidienbrunn
Η καταχώριση προστέθηκε στις 25 Σεπτεμβρίου 2017
WebKit
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να μπορεί να παρακολουθεί τους επισκέπτες όταν χρησιμοποιούν την ιδιωτική περιήγηση στο Safari
Περιγραφή: Υπήρχε ένα πρόβλημα δικαιωμάτων στον χειρισμό των cookie του προγράμματος περιήγησης web. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους περιορισμούς.
CVE-2017-7144: Mohammad Ghasemisharif του BITS Lab του UIC
Η καταχώριση ενημερώθηκε στις 9 Οκτωβρίου 2017
Χώρος αποθήκευσης WebKit
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Τα δεδομένα ιστοτόπου ενδεχομένως να παραμένουν μετά από μια ιδιωτική περίοδο λειτουργίας περιήγησης στο Safari
Περιγραφή: Υπήρξε ένα πρόβλημα διαρροής πληροφοριών κατά τον χειρισμό δεδομένων ιστοτόπου στα ιδιωτικά παράθυρα του Safari. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό δεδομένων.
CVE-2017-7142: Rich Shawn O’Connell, ανώνυμος ερευνητής, ανώνυμος ερευνητής
Η καταχώριση προστέθηκε στις 10 Νοεμβρίου 2017
Wi-Fi
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Ένας εισβολέας εντός εμβέλειας ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα στο chip του Wi-Fi
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-11120: Gal Beniamini του Google Project Zero
CVE-2017-11121: Gal Beniamini του Google Project Zero
Η καταχώριση προστέθηκε στις 25 Σεπτεμβρίου 2017
Wi-Fi
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Ένας κακόβουλος κώδικας που εκτελείται στο τσιπ του Wi-Fi ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα στον επεξεργαστή εφαρμογών
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-7103: Gal Beniamini του Google Project Zero
CVE-2017-7105: Gal Beniamini του Google Project Zero
CVE-2017-7108: Gal Beniamini του Google Project Zero
CVE-2017-7110: Gal Beniamini του Google Project Zero
CVE-2017-7112: Gal Beniamini του Google Project Zero
Wi-Fi
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Ένας κακόβουλος κώδικας που εκτελείται στο τσιπ του Wi-Fi ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα στον επεξεργαστή εφαρμογών
Περιγραφή: Πολλαπλές συνθήκες συγχρονισμού (race condition) αντιμετωπίστηκαν μέσω βελτιωμένης επικύρωσης.
CVE-2017-7115: Gal Beniamini του Google Project Zero
Wi-Fi
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Ένας κακόβουλος κώδικας που εκτελείται στο τσιπ του Wi-Fi ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα επικύρωσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2017-7116: Gal Beniamini του Google Project Zero
Wi-Fi
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Ένας εισβολέας εντός εμβέλειας μπορεί να είναι σε θέση να διαβάζει περιορισμένη μνήμη από Wi-Fi chipset
Περιγραφή: Ένα πρόβλημα επικύρωσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2017-11122: Gal Beniamini του Google Project Zero
Η καταχώριση προστέθηκε στις 2 Οκτωβρίου 2017
zlib
Διατίθεται για: iPhone 5s και νεότερα μοντέλα, iPad Air και νεότερα μοντέλα και iPod touch 6ης γενιάς
Αποτέλεσμα: Πολλά προβλήματα στο zlib
Περιγραφή: Τα πολλά προβλήματα αντιμετωπίστηκαν με ενημέρωση στην έκδοση 1.2.11.
CVE-2016-9840
CVE-2016-9841
CVE-2016-9842
CVE-2016-9843
Η καταχώριση προστέθηκε στις 25 Σεπτεμβρίου 2017
Επιπλέον αναγνώριση
LaunchServices
Θα θέλαμε να αναγνωρίσουμε τη βοήθεια που μας παρείχε ο Mark Zimmermann της EnBW Energie Baden-Württemberg AG.
Ασφάλεια
Θα θέλαμε να αναγνωρίσουμε τη βοήθεια που μας παρείχε ο Abhinav Bansal της Zscaler, Inc.
Webkit
Θα θέλαμε να αναγνωρίσουμε τη βοήθεια που μας παρείχε ο xisigr του εργαστηρίου Xuanwu Lab (tencent.com) της Tencent.
WebKit
Θα θέλαμε να αναγνωρίσουμε τη βοήθεια που μας παρείχε ο Rayyan Bijoora (@Bijoora) του The City School, PAF Chapter.
WebKit Web Inspector
Θα θέλαμε να αναγνωρίσουμε τη βοήθεια που μας παρείχε ο Ioan Bizău του Bloggify.