Tietoja iOS 10.3:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 10.3:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

iOS 10.3

Julkaistu 27.3.2017

Tilit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Käyttäjä saattoi nähdä Apple ID:n lukitulla näytöllä.

Kuvaus: Kehotehallinnan ongelma ratkaistiin poistamalla iCloud-todennuksen kehotteet lukitulta näytöltä.

CVE-2017-2397: Suprovici Vadim (UniApps team), nimetön tutkija

Ääni

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2430: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön tutkija

CVE-2017-2462: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön tutkija

Carbon

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen .dfont-tiedoston käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Fonttitiedostojen käsittelyssä oli puskurin ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

CVE-2017-2379: John Villamil, Doyensec, riusksk (泉哥) (Tencent Security Platform Department)

CoreGraphics

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen kuvan käsittely saattoi johtaa palvelunestoon.

Kuvaus: Loputon rekursio ratkaistiin parantamalla tilanhallintaa.

CVE-2017-2417: riusksk(泉哥) (Tencent Security Platform Department)

CoreGraphics

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2017-2444: Mei Wang (360 GearTeam)

CoreText

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen tekstiviestin käsittely saattoi johtaa ohjelman palvelunestoon.

Kuvaus: Resurssien loppumisongelma korjattiin parantamalla annettujen tietojen tarkistusta.

CVE-2017-2461: Isaac Archambault (IDAoADI), nimetön tutkija

DataAccess

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Exchange-tilin määrittäminen väärin kirjoitetulla sähköpostiosoitteella saattoi johtaa odottamattomaan palvelinvirheeseen.

Kuvaus: Exchange-sähköpostiosoitteiden käsittelyssä oli annettujen tietojen validointivirhe. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2017-2414: Ilya Nesterov ja Maxim Goncharov

FontParser

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2017-2487: riusksk(泉哥) (Tencent Security Platform Department)

CVE-2017-2406: riusksk(泉哥) (Tencent Security Platform Department)

FontParser

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen fonttitiedoston jäsentäminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2017-2407: riusksk(泉哥) (Tencent Security Platform Department)

FontParser

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2439: John Villamil, Doyensec

HomeKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Kodin ohjaus saattoi näkyä odottamattomasti Ohjauskeskuksessa.

Kuvaus: Kodin ohjauksen käsittelyssä oli tilaan liittyvä ongelma. Ongelma on ratkaistu parantamalla validointia.

CVE-2017-2434: Suyash Narain (Intia)

HTTPProtocol

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallinen HTTP/2-palvelin saattoi aiheuttaa määrittämätöntä toimintaa.

Kuvaus: nghttp2:ssa oli useita ongelmia ennen versiota 1.17.0. Ne on ratkaistu päivittämällä nghttp2 versioon 1.17.0.

CVE-2017-2428

Kohta päivitetty 28.3.2017

ImageIO

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) (KeenLab, Tencent)

ImageIO

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen JPEG-tiedoston katsominen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2432: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön tutkija

ImageIO

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2467

ImageIO

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen kuvan käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen.

Kuvaus: Versiota 4.0.7 aiemmissa LibTIFF-versioissa oli rajojen ulkopuolinen lukuongelma. Tämä ratkaistiin päivittämällä ImageIO:n LibTIFF versioon 4.0.7.

CVE-2016-3619

iTunes Store

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä muokkaamaan iTunesin verkkoliikennettä.

Kuvaus: Pyynnöt iTunes-eristyksen verkkopalveluihin lähetettiin salaamattomassa muodossa. Tämä ratkaistiin ottamalla HTTPS käyttöön.

CVE-2017-2412: Richard Shupak (linkedin.com/in/rshupak)

JavaScriptCore

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2017-2491: Apple

Kohta lisätty 2.5.2017

JavaScriptCore

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosivuston käsitteleminen saattoi johtaa yleiseen sivustojen väliseen komentosarjahyökkäykseen.

Kuvaus: Prototyyppiin liittyvä ongelma on korjattu parantamalla logiikkaa.

CVE-2017-2492: lokihardt (Google Project Zero)

Kohta päivitetty 24.4.2017

Kernel

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2398: Lufeng Li (Qihoo 360 Vulcan Team)

CVE-2017-2401: Lufeng Li (Qihoo 360 Vulcan Team)

Kernel

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2440: nimetön tutkija

Kernel

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia pääkäyttöoikeuksilla.

Kuvaus: Kilpailutilanne ratkaistiin parantamalla muistin käsittelyä.

CVE-2017-2456: lokihardt (Google Project Zero)

Kernel

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2017-2472: Ian Beer (Google Project Zero)

Kernel

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2473: Ian Beer (Google Project Zero)

Kernel

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Off-by-one-ongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2017-2474: Ian Beer (Google Project Zero)

Kernel

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Kilpailutilanne on ratkaistu parantamalla lukitusta.

CVE-2017-2478: Ian Beer (Google Project Zero)

Kernel

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-2482: Ian Beer (Google Project Zero)

CVE-2017-2483: Ian Beer (Google Project Zero)

Kernel

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia laajennetuilla käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-2490: Ian Beer (Google Project Zero), Ison-Britannian National Cyber Security Centre (NCSC)

Kohta lisätty 31.3.2017

Näppäimistöt

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia.

Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.

CVE-2017-2458: Shashank (@cyberboyIndia)

Avainnippu

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: TLS-yhteydet kaappaamaan onnistunut hyökkääjä saattoi pystyä lukemaan iCloud-avainnipulla salattua tietoa.

Kuvaus: iCloud-avainnippu ei tietyissä olosuhteissa onnistunut vahvistamaan OTR-pakettien aitoutta. Ongelma on ratkaistu parantamalla validointia.

CVE-2017-2448: Alex Radocea (Longterm Security, Inc.)

Kohta päivitetty 30.3.2017

libarchive

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Paikallinen hyökkääjä saattoi pystyä vaihtamaan tiedostojärjestelmän käyttöoikeuksia mielivaltaisissa hakemistoissa.

Kuvaus: Symbolisten linkkien käsittelyssä oli tarkistamisongelma. Ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2017-2390: Omer Medan (enSilo Ltd)

libc++abi

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen C++-ohjelman takaisinsovitus saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2017-2441

libxslt

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: libxslt:ssä oli useita haavoittuvuuksia.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-5029: Holger Fuhrmannek

Kohta lisätty 28.3.2017

Leikepöytä

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, saattoi pystyä lukemaan leikepöytää.

Kuvaus: Leikepöytä oli salattu avaimella, joka oli suojattu vain laitteiston UID-tunnuksella. Ongelma on ratkaistu salaamalla leikepöytä avaimella, joka on suojattu laitteiston UID-tunnuksella ja käyttäjän pääsykoodilla.

CVE-2017-2399

Puhelin

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Muun valmistajan ohjelma saattoi aloittaa puhelun ilman käyttäjän toimenpiteitä.

Kuvaus: iOS:ssä oli ongelma, joka salli puhelut ilman kehotetta.  Ongelma ratkaistiin kehottamalla käyttäjää vahvistamaan puhelun aloitus.

CVE-2017-2484

Profiilit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Hyökkääjä saattoi pystyä hyödyntämään DES-salausalgoritmin heikkouksia.

Kuvaus: 3DES-salausalgoritmin tuki lisättiin SCEP-asiakkaaseen ja DES poistettiin.

CVE-2017-2380: nimetön tutkija

Pikakatselu

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Puhelulinkin napauttaminen PDF-dokumentissa saattoi aloittaa puhelun ilman käyttäjän vahvistusta.

Kuvaus: Puhelulinkin URL-osoitteen tarkistamisessa ennen puheluiden aloittamista oli ongelma. Ongelma on ratkaistu lisäämällä vahvistuskehote.

CVE-2017-2404: Tuan Anh Ngo (Melbourne, Australia), Christoph Nehring

Safari

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.

Kuvaus: Tilanhallinnan ongelma ratkaistiin poistamalla tekstinsyöttö käytöstä, kunnes kohdesivu on latautunut.

CVE-2017-2376: nimetön tutkija, Michal Zalewski (Google Inc), Muneaki Nishimura (nishimunea) (Recruit Technologies Co., Ltd.), Chris Hlady (Google Inc), nimetön tutkija, Yuyang Zhou (Tencent Security Platform Department) (security.tencent.com)

Safari

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Paikallinen käyttäjä saattoi nähdä, mitä verkkosivustoja käyttäjä oli käyttänyt Yksityinen selaus -tilassa.

Kuvaus: SQLiten poistamisessa oli ongelma. Ongelma on ratkaistu parantamalla SQLiten puhdistusta.

CVE-2017-2384

Safari

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsittely saattoi esittää todennusarkkeja mielivaltaisille verkkosivustoille.

Kuvaus: HTTP-todennuksen käsittelyssä oli väärentämiseen ja palvelunestoon liittyvä ongelma. Ongelma ratkaistiin tekemällä HTTP-todennusarkeista ei-modaalisia.

CVE-2017-2389: ShenYeYinJiu (Tencent Security Response Center, TSRC)

Safari

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Siirtyminen haitalliselle verkkosivustolle klikkaamalla linkkiä saattoi johtaa käyttöliittymän väärentämiseen.

Kuvaus: FaceTime-kehotteiden käsittelyssä oli väärennysongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2017-2453: xisigr (Tencentin Xuanwu Lab) (tencent.com)

Safari-lukija

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Safari-lukijan käyttöönotto haitallisella verkkosivulla saattoi johtaa yleiseen sivustojenväliseen komentosarjahyökkäykseen.

Kuvaus: Useita validointiongelmia korjattiin parantamalla annettujen tietojen puhdistamista.

CVE-2017-2393: Erling Ellingsen

SafariViewController

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Välimuistin tila ei pysynyt asianmukaisesti synkronoituna Safarin ja SafariViewControllerin välillä, kun käyttäjä tyhjensi Safarin välimuistin.

Kuvaus: Safarin välimuistin tietojen tyhjentämisessä SafariViewControllerista oli ongelma.  Ongelma on ratkaistu parantamalla välimuistin tilan käsittelyä.

CVE-2017-2400: Abhinav Bansal (Zscaler Inc.)

Eristysprofiilit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi).

Vaikutus: Haittaohjelma saattoi päästä kirjautuneen käyttäjän iCloud-käyttäjätietoihin.

Kuvaus: Käyttöoikeusongelma korjattiin lisäämällä eristämisrajoituksia muiden valmistajien ohjelmille.

CVE-2017-6976: George Dan (@theninjaprawn)

Kohta lisätty 1.8.2017

Suojaus

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Tyhjien allekirjoitusten validointi SecKeyRawVerify():lla saattoi odottamatta onnistua.

Kuvaus: Salatuissa API-kutsuissa oli validointiongelma. Ongelma on ratkaistu parantamalla parametrien vahvistamista.

CVE-2017-2423: nimetön tutkija

Suojaus

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia pääkäyttöoikeuksilla.

Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.

CVE-2017-2451: Alex Radocea (Longterm Security, Inc.)

Suojaus

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen x509-varmenteen käsittely saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Varmenteiden jäsentämisessä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2017-2485: Aleksandar Nikolic (Cisco Talos)

Siri

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Siri saattoi paljastaa tekstiviestien sisältöä, kun laite oli lukittuna.

Kuvaus: Riittämättömän lukituksen ongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2017-2452: Hunter Byrnes

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen linkin vetäminen ja pudottaminen saattoi johtaa kirjanmerkin väärentämiseen tai mielivaltaisen koodin suorittamiseen.

Kuvaus: Kirjanmerkin luomisessa oli validointiongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2017-2378: xisigr (Tencentin Xuanwu Lab) (tencent.com)

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.

Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.

CVE-2017-2486: redrain (light4freedom)

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi vuotaa tietoja eri alkuperien kesken.

Kuvaus: Prototyypin käyttöoikeusongelma on ratkaistu parantamalla poikkeusten käsittelyä.

CVE-2017-2386: André Bargull

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric (Google Project Zero), Zheng Huang (Baidu Security Lab) yhteistyössä Trend Micron Zero Day Initiativen kanssa

CVE-2017-2455: Ivan Fratric (Google Project Zero)

CVE-2017-2457: lokihardt (Google Project Zero)

CVE-2017-2459: Ivan Fratric (Google Project Zero)

CVE-2017-2460: Ivan Fratric (Google Project Zero)

CVE-2017-2464: Jeonghoon Shin, Natalie Silvanovich (Google Project Zero)

CVE-2017-2465: Zheng Huang ja Wei Yuan (Baidu Security Lab)

CVE-2017-2466: Ivan Fratric (Google Project Zero)

CVE-2017-2468: lokihardt (Google Project Zero)

CVE-2017-2469: lokihardt (Google Project Zero)

CVE-2017-2470: lokihardt (Google Project Zero)

CVE-2017-2476: Ivan Fratric (Google Project Zero)

CVE-2017-2481: Trend Micron Zero Day Initiativen parissa työskentelevä 0011

Kohta päivitetty 20.6.2017

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-2415: Kai Kang (Tencentin Xuanwu Lab) (tencent.com)

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa sisältöturvallisuuskäytännön odottamattomaan käytöstä poistamiseen.

Kuvaus: Sisältöturvallisuuskäytännössä oli käyttöongelma.  Ongelma on ratkaistu parantamalla käyttörajoituksia.

CVE-2017-2419: Nicolai Grødum (Cisco Systems)

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin suureen käyttöön.

Kuvaus: Resurssien hallitsemattoman kulutuksen ongelma ratkaistiin parantamalla säännöllisten lausekkeiden käsittelyä.

CVE-2016-9643: Gustavo Grieco

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa prosessimuistin paljastumiseen.

Kuvaus: OpenGL-varjostinten käsittelyssä oli tietojen paljastumiseen liittyvä ongelma. Ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2017-2424: Paul Thomson (GLFuzz-työkalun avulla) (Multicore Programming Group, Imperial College London)

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2433: Apple

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi vuotaa tietoja eri alkuperien kesken.

Kuvaus: Sivun lataamisen käsittelyssä esiintyi useita validointiongelmia. Ongelma on ratkaistu parantamalla logiikkaa.

CVE-2017-2364: lokihardt (Google Project Zero)

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallinen verkkosivusto saattoi vuotaa tietoja eri alkuperien kesken.

Kuvaus: Sivujen lataamisen käsittelyssä oli vahvistusongelma. Ongelma on ratkaistu parantamalla logiikkaa.

CVE-2017-2367: lokihardt (Google Project Zero)

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen.

Kuvaus: Kehysobjektien käsittelyssä oli logiikkaongelma. Ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2017-2445: lokihardt (Google Project Zero)

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Strict mode -toimintojen käsittelyssä oli logiikkaongelma. Ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2017-2446: Natalie Silvanovich (Google Project Zero)

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisella verkkosivustolla käyminen saattoi vaarantaa käyttäjätiedot.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-2447: Natalie Silvanovich (Google Project Zero)

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-2463: Trend Micron Zero Day Initiativen parissa työskentelevä Kai Kang (4B5F5F4B) (Tencentin Xuanwu Lab, tencent.com)

Kohta lisätty 28.3.2017

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2017-2471: Ivan Fratric (Google Project Zero)

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen.

Kuvaus: Kehysten käsittelyssä oli logiikkaongelma. Ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2017-2475: lokihardt (Google Project Zero)

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi vuotaa tietoja eri alkuperien kesken.

Kuvaus: Elementtien käsittelyssä esiintyi validointiongelma. Ongelma on ratkaistu parantamalla validointia.

CVE-2017-2479: lokihardt (Google Project Zero)

Kohta lisätty 28.3.2017

WebKit

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi vuotaa tietoja eri alkuperien kesken.

Kuvaus: Elementtien käsittelyssä esiintyi validointiongelma. Ongelma on ratkaistu parantamalla validointia.

CVE-2017-2480: lokihardt (Google Project Zero)

CVE-2017-2493: lokihardt (Google Project Zero)

Kohta päivitetty 24.4.2017

WebKitin JavaScript-sidonnat

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi vuotaa tietoja eri alkuperien kesken.

Kuvaus: Sivun lataamisen käsittelyssä esiintyi useita validointiongelmia. Ongelma on ratkaistu parantamalla logiikkaa.

CVE-2017-2442: lokihardt (Google Project Zero)

WebKit-verkkoinspektori

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Ikkunan sulkeminen virheenkorjauksen ollessa keskeytettynä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2377: Vicki Pfau

WebKit-verkkoinspektori

Saatavuus: iPhone 5 ja uudemmat, iPad (4. sukupolvi ja uudemmat) ja iPod touch (6. sukupolvi ja uudemmat).

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2405: Apple

Kiitokset

XNU

Haluamme kiittää Lufeng Litä (Qihoo 360 Vulcan Team) hänen avustaan.

WebKit

Haluamme kiittää Yosuke HASEGAWAa (Secure Sky Technology Inc.) hänen avustaan.

Safari

Haluamme kiittää Flyin9:ää (ZhenHui Lee) hänen avustaan.

Asetukset

Haluamme kiittää Adi Sharabania ja Yair Amitia (Skycure) heidän avustaan.

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: