Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 10.3

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 10.3.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κλειδί PGP της Ασφάλειας προϊόντων Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

iOS 10.3

Κυκλοφόρησε στις 27 Μαρτίου 2017

Λογαριασμοί

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Ένας χρήστης ενδέχεται να μπορεί να προβάλει ένα Apple ID από την οθόνη κλειδώματος

Περιγραφή: Ένα πρόβλημα διαχείρισης προτροπών αντιμετωπίστηκε καταργώντας τις προτροπές ελέγχου ταυτότητας στο iCloud από την οθόνη κλειδώματος.

CVE-2017-2397: Suprovici Vadim της ομάδας UniApps, ένας ανώνυμος ερευνητής

Ήχος

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.

CVE-2017-2430: Ένας ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2017-2462: Ένας ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Carbon

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου .dfont μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχε υπερχείλιση buffer στον χειρισμό αρχείων γραμματοσειρών. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

CVE-2017-2379: John Villamil, Doyensec, riusksk (泉哥) του Tencent Security Platform Department

CoreGraphics

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Μια ατέρμονη αναδρομή αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2017-2417: riusksk (泉哥) του Tencent Security Platform Department

CoreGraphics

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένης επικύρωσης εισόδου.

CVE-2017-2444: Mei Wang του 360 GearTeam

CoreText

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης γραμματοσειράς μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Μια ανάγνωση εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης εισαγωγής.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου μηνύματος κειμένου μπορεί να προκαλέσει άρνηση υπηρεσίας εφαρμογής

Περιγραφή: Ένα πρόβλημα εξάντλησης πόρων αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης εισαγωγής.

CVE-2017-2461: Isaac Archambault του IDAoADI, ένας ανώνυμος ερευνητής

DataAccess

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η διαμόρφωση ενός λογαριασμού Exchange με μια διεύθυνση email που περιέχει ορθογραφικά λάθη μπορεί να προκαλέσει μη αναμενόμενο σφάλμα διακομιστή

Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης δεδομένων εισόδου στον χειρισμό των διευθύνσεων email Exchange. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.

CVE-2017-2414: Ilya Nesterov και Maxim Goncharov

FontParser

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένης επικύρωσης εισόδου.

CVE-2017-2487: riusksk (泉哥) του Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) του Tencent Security Platform Department

FontParser

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η ανάλυση ενός κακόβουλου αρχείου γραμματοσειράς ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένης επικύρωσης εισόδου.

CVE-2017-2407: riusksk (泉哥) του Tencent Security Platform Department

FontParser

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης γραμματοσειράς μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Μια ανάγνωση εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης εισαγωγής.

CVE-2017-2439: John Villamil, Doyensec

HomeKit

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Το Home Control ενδέχεται να εμφανιστεί απρόσμενα στο Κέντρο ελέγχου

Περιγραφή: Υπήρχε ένα πρόβλημα κατάστασης στον χειρισμό του Home Control. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση.

CVE-2017-2434: Suyash Narain, Ινδία

HTTPProtocol

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Ένας κακόβουλος διακομιστής HTTP/2 ενδέχεται να προκαλέσει ακαθόριστη συμπεριφορά

Περιγραφή: Υπήρχαν πολλά προβλήματα στο nghttp2 πριν την έκδοση 1.17.0. Αυτά αντιμετωπίστηκαν με την ενημέρωση του nghttp2 στην έκδοση 1.17.0.

CVE-2017-2428

Η καταχώριση ενημερώθηκε στις 28 Μαρτίου 2017

ImageIO

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) του KeenLab, Tencent

ImageIO

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου JPEG μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.

CVE-2017-2432: ένας ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

ImageIO

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.

CVE-2017-2467

ImageIO

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής

Περιγραφή: Υπήρχε μια ανάγνωση εκτός ορίων στις εκδόσεις του LibTIFF πριν από την έκδοση 4.0.7. Αυτό αντιμετωπίστηκε με την ενημέρωση του LibTIFF στο ImageIO στην έκδοση 4.0.7.

CVE-2016-3619

iTunes Store

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου ενδέχεται να μπορεί να επηρεάσει τη δικτυακή κίνηση του iTunes

Περιγραφή: Τα αιτήματα στις υπηρεσίες sandbox ιστού του iTunes αποστέλλονταν σε cleartext. Αυτό αντιμετωπίστηκε ενεργοποιώντας το HTTPS.

CVE-2017-2412: Richard Shupak (linkedin.com/in/rshupak)

JavaScriptCore

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου "use after free" αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.

CVE-2017-2491: Apple

Η καταχώριση προστέθηκε στις 2 Μαΐου 2017

JavaScriptCore

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλης ιστοσελίδας μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Ένα πρόβλημα πρωτοτύπου αντιμετωπίστηκε μέσω βελτιωμένης λογικής.

CVE-2017-2492: lokihardt του Google Project Zero

Η καταχώριση ενημερώθηκε στις 24 Απριλίου 2017

Πυρήνας

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.

CVE-2017-2398: Lufeng Li της ομάδας Qihoo 360 Vulcan Team

CVE-2017-2401: Lufeng Li της ομάδας Qihoo 360 Vulcan Team

Πυρήνας

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης εισαγωγής.

CVE-2017-2440: ένας ανώνυμος ερευνητής

Πυρήνας

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια ρίζας

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-2456: lokihardt του Google Project Zero

Πυρήνας

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου "use after free" αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.

CVE-2017-2472: Ian Beer του Google Project Zero

Πυρήνας

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.

CVE-2017-2473: Ian Beer του Google Project Zero

Πυρήνας

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα απόκλισης κατά ενός αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

CVE-2017-2474: Ian Beer του Google Project Zero

Πυρήνας

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2017-2478: Ian Beer του Google Project Zero

Πυρήνας

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-2482: Ian Beer του Google Project Zero

CVE-2017-2483: Ian Beer του Google Project Zero

Πυρήνας

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με αυξημένα προνόμια

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-2490: Ian Beer του Google Project Zero, Το National Cyber Security Centre (NCSC) του Ηνωμένου Βασιλείου

Η καταχώριση προστέθηκε στις 31 Μαρτίου 2017

Πληκτρολόγια

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή μπορεί να αποκτήσει δυνατότητα εκτέλεσης αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

CVE-2017-2458: Shashank (@cyberboyIndia)

Κλειδοθήκη

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Ένας εισβολέας που μπορεί να διακόψει τις συνδέσεις TLS ενδεχομένως να μπορεί να διαβάσει μυστικά που προστατεύονται από την Κλειδοθήκη iCloud.

Περιγραφή: Υπό συγκεκριμένες συνθήκες, η Κλειδοθήκη iCloud δεν μπορούσε να επικυρώσει την αυθεντικότητα των πακέτων OTR. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση.

CVE-2017-2448: Alex Radocea της Longterm Security, Inc.

Η καταχώριση ενημερώθηκε στις 30 Μαρτίου 2017

libarchive

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να αλλάξει τα δικαιώματα συστήματος αρχείων σε αυθαίρετους καταλόγους

Περιγραφή: Υπήρχε πρόβλημα επικύρωσης στον χειρισμό symlinks. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης των symlinks.

CVE-2017-2390: Omer Medan της enSilo Ltd

libc++abi

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η μετατροπή μιας κακόβουλης εφαρμογής C++ ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου "use after free" αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.

CVE-2017-2441

libxslt

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Πολλές ευπάθειες στο libxslt

Περιγραφή: Πολλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-5029: Holger Fuhrmannek

Η καταχώριση προστέθηκε στις 28 Μαρτίου 2017

Pasteboard

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Ένα άτομο με φυσική πρόσβαση σε μια συσκευή iOS μπορεί να διαβάσει το pasteboard

Περιγραφή: Το pasteboard κρυπτογραφήθηκε με ένα κλειδί το οποίο προστατεύεται μόνο από το UID υλικού. Αυτό το πρόβλημα αντιμετωπίστηκε με κρυπτογράφηση του pasteboard χρησιμοποιώντας ένα κλειδί που προστατεύεται από το UID υλικού και από το συνθηματικό του χρήστη.

CVE-2017-2399

Τηλέφωνο

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή τρίτου κατασκευαστή μπορεί να πραγματοποιήσει μια τηλεφωνική κλήση χωρίς αλληλεπίδραση με τον χρήστη

Περιγραφή: Υπήρχε ένα πρόβλημα στο iOS που επέτρεπε τις κλήσεις χωρίς προτροπή.  Αυτό το πρόβλημα αντιμετωπίστηκε με προτροπή του χρήστη για επιβεβαίωση πραγματοποίησης κλήσης.

CVE-2017-2484

Προφίλ

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να εκμεταλλευτεί αδυναμίες του κρυπτογραφικού αλγόριθμου DES

Περιγραφή: Προστέθηκε υποστήριξη για τον αλγόριθμο κρυπτογράφησης 3DES στο πρόγραμμα-πελάτη SCEP και το DES καταργήθηκε.

CVE-2017-2380: ένας ανώνυμος ερευνητής

Άμεση προβολή

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Το πάτημα μιας σύνδεσης τηλεφώνου σε ένα έγγραφο PDF μπορούσε να έχει ως αποτέλεσμα την πραγματοποίηση μιας κλήσης χωρίς προτροπή του χρήστη

Περιγραφή: Υπήρχε ένα πρόβλημα κατά τον έλεγχο του URL τηλεφώνου πριν την πραγματοποίηση κλήσεων. Αυτό το πρόβλημα αντιμετωπίστηκε με την προσθήκη ενός ερωτήματος επιβεβαίωσης.

CVE-2017-2404: Tuan Anh Ngo (Μελβούρνη, Αυστραλία), Christoph Nehring

Safari

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση της γραμμής διευθύνσεων

Περιγραφή: Αντιμετωπίστηκε ένα πρόβλημα διαχείρισης κατάστασης με την απενεργοποίηση της εισόδου κειμένου μέχρι να ολοκληρωθεί η φόρτωση της σελίδας προορισμού.

CVE-2017-2376: ένας ανώνυμος ερευνητής, Michal Zalewski της Google Inc, Muneaki Nishimura (nishimunea) της Recruit Technologies Co., Ltd., Chris Hlady της Google Inc, ένας ανώνυμος ερευνητής, Yuyang Zhou του Tencent Security Platform Department (security.tencent.com)

Safari

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να είναι σε θέση να ανακαλύψει ιστότοπους που έχει επισκεφτεί ένας χρήστης σε λειτουργία Ιδιωτικής περιήγησης

Περιγραφή: Υπήρχε ένα πρόβλημα με τη διαγραφή SQLite. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη εκκαθάριση SQLite.

CVE-2017-2384

Safari

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να παρουσιάσει φύλλα ελέγχου ταυτότητας επάνω σε αυθαίρετους ιστότοπους

Περιγραφή: Υπήρχε ένα πρόβλημα πλαστογράφησης και άρνησης υπηρεσίας στον χειρισμό του ελέγχου ταυτότητας HTTP. Αυτό το πρόβλημα αντιμετωπίστηκε με τη μετατροπή των φύλλων ελέγχου ταυτότητας HTTP σε "non-modal".

CVE-2017-2389: ShenYeYinJiu του Tencent Security Response Center, TSRC

Safari

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο πατώντας έναν σύνδεσμο μπορεί να οδηγήσει σε πλαστογράφηση του περιβάλλοντος χρήστη

Περιγραφή: Υπήρχε ένα πρόβλημα πλαστογράφησης στον χειρισμό των προτροπών FaceTime. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.

CVE-2017-2453: xisigr του Tencent Xuanwu Lab (tencent.com)

Safari Reader

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η ενεργοποίηση της λειτουργίας Safari Reader σε κακόβουλα δομημένη ιστοσελίδα μπορεί να επιτρέπει καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Πολλά προβλήματα επικύρωσης αντιμετωπίστηκαν με τη βελτίωση της εξυγίανσης εισόδου.

CVE-2017-2393: Erling Ellingsen

SafariViewController

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η κατάσταση του cache δεν διατηρείται σωστά συγχρονισμένη μεταξύ του Safari και του SafariViewController όταν ένας χρήστης κάνει εκκαθάριση του cache στο Safari

Περιγραφή: Υπήρχε ένα πρόβλημα με την εκκαθάριση των πληροφοριών cache του Safari από το SafariViewController.  Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτίωση του χειρισμού κατάστασης cache.

CVE-2017-2400: Abhinav Bansal της Zscaler, Inc.

Προφίλ sandbox

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να αποκτήσει πρόσβαση στην εγγραφή ενός χρήστη που είχε συνδεθεί στο iCloud

Περιγραφή: Αντιμετωπίστηκε ένα πρόβλημα πρόσβασης μέσω πρόσθετων περιορισμών sandbox σε εφαρμογές τρίτων.

CVE-2017-6976: George Dan (@theninjaprawn)

Η καταχώριση προστέθηκε την 1η Αυγούστου 2017

Ασφάλεια

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επικύρωση κενών υπογραφών με το SecKeyRawVerify() ενδέχεται να επιτύχει απρόσμενα

Περιγραφή: Υπήρχε ένα θέμα επικύρωσης με τις κρυπτογραφικές κλήσεις API. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω της βελτιωμένης επικύρωσης παραμέτρων.

CVE-2017-2423: ένας ανώνυμος ερευνητής

Ασφάλεια

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια ρίζας

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

CVE-2017-2451: Alex Radocea της Longterm Security, Inc.

Ασφάλεια

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου πιστοποιητικού x509 μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχε ένα πρόβλημα αλλοίωσης μνήμης στην ανάλυση πιστοποιητικών. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.

CVE-2017-2485: Aleksandar Nikolic του Cisco Talos

Siri

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Το Siri ενδέχεται να αποκαλύψει περιεχόμενο μηνυμάτων κειμένου όταν η συσκευή είναι κλειδωμένη

Περιγραφή: Ένα πρόβλημα ανεπαρκούς κλειδώματος αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2017-2452: Hunter Byrnes

WebKit

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η μεταφορά και απόθεση μιας κακόβουλης σύνδεσης ενδέχεται να έχει ως αποτέλεσμα την πλαστογράφηση σελιδοδεικτών ή την εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης κατά τη δημιουργία σελιδοδεικτών. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.

CVE-2017-2378: xisigr του Tencent Xuanwu Lab (tencent.com)

WebKit

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση της γραμμής διευθύνσεων

Περιγραφή: Ένα μη συνεπές πρόβλημα περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2017-2486: redrain του light4freedom

WebKit

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού ενδέχεται να αποσπάσει δεδομένα μεταξύ προελεύσεων

Περιγραφή: Ένα πρόβλημα πρόσβασης σε πρωτότυπο αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού εξαιρέσεων.

CVE-2017-2386: André Bargull

WebKit

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένης επικύρωσης εισόδου.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Πολλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric του Google Project Zero, Zheng Huang του Baidu Security Lab σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2017-2455: Ivan Fratric του Google Project Zero

CVE-2017-2457: lokihardt του Google Project Zero

CVE-2017-2459: Ivan Fratric του Google Project Zero

CVE-2017-2460: Ivan Fratric του Google Project Zero

CVE-2017-2464: Jeonghoon Shin, Natalie Silvanovich του Google Project Zero

CVE-2017-2465: Zheng Huang και Wei Yuan του Baidu Security Lab

CVE-2017-2466: Ivan Fratric του Google Project Zero

CVE-2017-2468: lokihardt του Google Project Zero

CVE-2017-2469: lokihardt του Google Project Zero

CVE-2017-2470: lokihardt του Google Project Zero

CVE-2017-2476: Ivan Fratric του Google Project Zero

CVE-2017-2481: 0011 σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση ενημερώθηκε στις 20 Ιουνίου 2017

WebKit

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-2415: Kai Kang του Tencent Xuanwu Lab (tentcent.com)

WebKit

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού ενδέχεται να έχει ως αποτέλεσμα την απρόσμενη μη επιβολή της Πολιτικής ασφάλειας περιεχομένου

Περιγραφή: Υπήρχε ένα πρόβλημα πρόσβασης στην Πολιτική ασφάλειας περιεχομένου.  Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους περιορισμούς πρόσβασης.

CVE-2017-2419: Nicolai Grødum της Cisco Systems

WebKit

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να έχει ως αποτέλεσμα την υψηλή κατανάλωση μνήμης

Περιγραφή: Ένα μη ελεγχόμενο πρόβλημα κατανάλωσης πόρων αντιμετωπίστηκε μέσω βελτιωμένης επεξεργασίας regex.

CVE-2016-9643: Gustavo Grieco

WebKit

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλα δομημένου περιεχομένου ιστού ενδεχομένως να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Υπήρχε ένα πρόβλημα αποκάλυψης πληροφοριών στην επεξεργασία των shader OpenGL. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.

CVE-2017-2424: Paul Thomson (χρησιμοποιώντας το εργαλείο GLFuzz) της ομάδας Multicore Programming Group, Imperial College London

WebKit

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.

CVE-2017-2433: Apple

WebKit

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού ενδέχεται να αποσπάσει δεδομένα μεταξύ προελεύσεων

Περιγραφή: Υπήρχαν πολλά προβλήματα επικύρωσης κατά τον χειρισμό της φόρτωσης σελίδων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη λογική.

CVE-2017-2364: lokihardt του Google Project Zero

WebKit

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να αποσπάσει δεδομένα μεταξύ προελεύσεων

Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης στον χειρισμό της φόρτωσης σελίδων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη λογική.

CVE-2017-2367: lokihardt του Google Project Zero

WebKit

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Υπήρχε ένα σφάλμα λογικής στον χειρισμό των αντικειμένων πλαισίων. Αυτό το θέμα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2017-2445: lokihardt του Google Project Zero

WebKit

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχε ένα σφάλμα λογικής στον χειρισμό των συναρτήσεων αυστηρής λειτουργίας. Αυτό το θέμα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2017-2446: Natalie Silvanovich του Google Project Zero

WebKit

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να παραβιάσει τις πληροφορίες χρήστη

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-2447: Natalie Silvanovich του Google Project Zero

WebKit

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Πολλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-2463: Kai Kang (4B5F5F4B) του Tencent Xuanwu Lab (tencent.com) σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 28 Μαρτίου 2017

WebKit

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου "use after free" αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.

CVE-2017-2471: Ivan Fratric του Google Project Zero

WebKit

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Υπήρχε ένα σφάλμα λογικής στον χειρισμό πλαισίων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2017-2475: lokihardt του Google Project Zero

WebKit

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού ενδέχεται να αποσπάσει δεδομένα μεταξύ προελεύσεων

Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης στον χειρισμό στοιχείων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση.

CVE-2017-2479: lokihardt του Google Project Zero

Η καταχώριση προστέθηκε στις 28 Μαρτίου 2017

WebKit

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού ενδέχεται να αποσπάσει δεδομένα μεταξύ προελεύσεων

Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης στον χειρισμό στοιχείων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση.

CVE-2017-2480: lokihardt του Google Project Zero

CVE-2017-2493: lokihardt του Google Project Zero

Η καταχώριση ενημερώθηκε στις 24 Απριλίου 2017

Συνδέσεις JavaScript WebKit

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού ενδέχεται να αποσπάσει δεδομένα μεταξύ προελεύσεων

Περιγραφή: Υπήρχαν πολλά προβλήματα επικύρωσης κατά τον χειρισμό της φόρτωσης σελίδων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη λογική.

CVE-2017-2442: lokihardt του Google Project Zero

WebKit Web Inspector

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Το κλείσιμο ενός παραθύρου που έχει τεθεί σε παύση στο πρόγραμμα εντοπισμού σφαλμάτων ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.

CVE-2017-2377: Vicki Pfau

WebKit Web Inspector

Διατίθεται για: iPhone 5 και νεότερα μοντέλα, iPad 4ης γενιάς και νεότερα μοντέλα και iPod touch 6ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.

CVE-2017-2405: Apple

Επιπλέον αναγνώριση

XNU

Θα θέλαμε να αναγνωρίσουμε τη βοήθεια που μας παρείχε ο Lufeng Li της ομάδας Qihoo 360 Vulcan για τη βοήθειά του.

WebKit

Θα θέλαμε να ευχαριστήσουμε τον Yosuke HASEGAWA της Secure Sky Technology Inc για τη βοήθειά του.

Safari

Θα θέλαμε να ευχαριστήσουμε την Flyin9 (ZhenHui Lee) για τη βοήθειά της.

Ρυθμίσεις

Θα θέλαμε να ευχαριστήσουμε τους Adi Sharabani και Yair Amit της Skycure για τη βοήθεά τους.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Υπάρχουν κίνδυνοι στη χρήση του Διαδικτύου. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες. Οι επωνυμίες άλλων εταιρειών και προϊόντων ενδέχεται να είναι εμπορικά σήματα των αντίστοιχων κατόχων τους.

Ημερομηνία δημοσίευσης: