À propos des correctifs de sécurité d’iOS 10.2

Ce document décrit les correctifs de sécurité d’iOS 10.2.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Les mises à jour récentes sont répertoriées sur la page Mises à jour de sécurité Apple.

Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple. Vous pouvez chiffrer les communications avec Apple à l’aide de la Clé PGP du groupe de sécurité produit d’Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.

iOS 10.2

Publié le 12 décembre 2016

Accessibilité

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : un utilisateur à proximité peut entendre un mot de passe vocal prononcé.

Description : un problème de divulgation existait au sein de la gestion des mots de passe. Ce problème a été résolu par la désactivation des mots de passe vocaux.

CVE-2016-7634 : Davut Hari, Biren V. Soni, Cameron Lee

Entrée mise à jour le 10 janvier 2017

Accessibilité

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : une personne profitant d’un accès physique à un appareil iOS peut être en mesure d’accéder aux photos et aux contacts via l’écran de verrouillage.

Description : un problème lié à l’écran de verrouillage permettait d’accéder aux photos et aux contacts se trouvant sur un appareil verrouillé. Il a été résolu par la limitation des options proposées sur un appareil verrouillé.

CVE-2016-7664 : Miguel Alvarado de iDeviceHelp

Comptes

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : un problème empêchait la réinitialisation des réglages d’autorisation lors de la désinstallation d’une app.

Description : ce problème a été résolu par un meilleur nettoyage.

CVE-2016-7651 : Ju Zhu et Lilang Wu de Trend Micro

Audio

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : le traitement d’un fichier malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.

CVE-2016-7658 : Haohao Kong du Keen Lab (@keen_lab) de Tencent

CVE-2016-7659 : Haohao Kong du Keen Lab (@keen_lab) de Tencent

Entrée ajoutée le 13 décembre 2016

Presse-papiers

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : un attaquant local peut être en mesure d’accéder au contenu du presse-papiers. 

Description : le contenu du presse-papiers était accessible avant le déverrouillage de l’appareil. Ce problème a été résolu par une meilleure gestion des états. 

CVE-2016-7765 : CongRong (@Tr3jer)

Entrée mise à jour le 17 janvier 2017

CoreFoundation

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : le traitement de chaînes malveillantes peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire existait au niveau du traitement de chaînes. Ce problème a été résolu par une meilleure vérification des limites.

CVE-2016-7663 : un chercheur anonyme

Entrée ajoutée le 13 décembre 2016

CoreGraphics

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : le traitement d’un fichier de polices malveillant peut entraîner la fermeture inopinée d’une application.

Description : un déréférencement de pointeurs null a été résolu par une meilleure validation des entrées.

CVE-2016-7627 : TRAPMINE Inc. et Meysam Firouzi @R00tkitSMM

Entrée ajoutée le 13 décembre 2016

Écrans externes CoreMedia

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : une application locale peut exécuter un code arbitraire dans le contexte du démon mediaserver.

Description : un problème de confusion liée aux types a été résolu par une meilleure gestion de la mémoire.

CVE-2016-7655 : Keen Lab en collaboration avec le programme Zero Day Initiative de Trend Micro

Entrée ajoutée le 13 décembre 2016

CoreMedia Playback

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : le traitement d’un fichier .mp4 malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de celle-ci.

CVE-2016-7588 : dragonltx de Huawei 2012 Laboratories

Entrée ajoutée le 13 décembre 2016

CoreText

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : le traitement d’un fichier de polices malveillant peut entraîner l’exécution arbitraire de code.

Description : plusieurs problèmes de corruption de la mémoire existaient au niveau du traitement des fichiers de polices. Ces problèmes ont été résolus par une meilleure vérification des limites.

CVE-2016-7595 : riusksk(泉哥) de Tencent Security Platform Department

Entrée ajoutée le 13 décembre 2016

CoreText

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : le traitement d’une chaîne malveillante peut conduire à un déni de service.

Description : un problème lors du rendu de plages superposées a été résolu par une meilleure validation.

CVE-2016-7667 : Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) de Digital Unit (dgunit.com)

Entrée ajoutée le 15 décembre 2016

Images disque

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : une application peut exécuter un code arbitraire avec des privilèges liés au noyau.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.

CVE-2016-7616 : daybreaker@Minionz en collaboration avec le programme Zero Day Initiative de Trend Micro

Entrée ajoutée le 13 décembre 2016

Localiser mon iPhone

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : un attaquant disposant d’un appareil déverrouillé peut être en mesure de désactiver Localiser mon iPhone.

Description : un problème de gestion des états existait au niveau de la gestion des informations d’authentification.  Ce problème a été résolu par un meilleur stockage des informations de compte.

CVE-2016-7638 : un chercheur anonyme, Sezer Sakiner

FontParser

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : le traitement d’un fichier de polices malveillant peut entraîner l’exécution arbitraire de code.

Description : plusieurs problèmes de corruption de la mémoire existaient au niveau du traitement des fichiers de polices. Ces problèmes ont été résolus par une meilleure vérification des limites.

CVE-2016-4691 : riusksk(泉哥) de Tencent Security Platform Department

Entrée ajoutée le 13 décembre 2016

Gestionnaire de graphique

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner un déni de service.

Description : un problème de déni de service existait au niveau de la gestion de la vidéo. Ce problème a été résolu par une meilleure validation des entrées.

CVE-2016-7665 : Moataz El Gaml de Schlumberger, Daniel Schurter de watson.ch et Marc Ruef de scip AG

Entrée mise à jour le 15 décembre 2016

ICU

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : le traitement d’un contenu Web malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de celle-ci.

CVE-2016-7594 : André Bargull

Entrée ajoutée le 13 décembre 2016

Transfert d’images ;

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : un périphérique HID malveillant peut provoquer l’exécution arbitraire de code.

Description : un problème de validation existait au niveau de la gestion de dispositifs d’image USB. Ce problème a été résolu par une meilleure validation des entrées.

CVE-2016-4690 : Andy Davis de NCC Group

ImageIO

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : un attaquant distant peut divulguer le contenu de la mémoire.

Description : un problème de lecture hors limites a été résolu par une meilleure vérification des limites.

CVE-2016-7643 : Yangkang (@dnpushme) de la Qihoo360 Qex Team

Entrée ajoutée le 13 décembre 2016

IOHIDFamily

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : une application locale avec des privilèges système peut exécuter un code arbitraire avec des privilèges liés au noyau.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2016-7591 : daybreaker de Minionz

Entrée ajoutée le 13 décembre 2016

IOKit

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : une application peut être en mesure de lire la mémoire du noyau.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.

CVE-2016-7657 : Keen Lab en collaboration avec le programme Zero Day Initiative de Trend Micro

Entrée ajoutée le 13 décembre 2016

IOKit

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : un utilisateur local peut être en mesure de déterminer la structure de la mémoire du noyau.

Description : un problème de mémoire partagée a été résolu par une meilleure gestion de celle-ci.

CVE-2016-7714 : Qidan He (@flanker_hqd) du KeenLab en collaboration avec le programme Zero Day Initiative de Trend Micro

Entrée ajoutée le 25 janvier 2017

JavaScriptCore

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : un script s’exécutant dans une sandbox Javascript peut être en mesure d’accéder aux états en dehors de cette sandbox.

Description : le traitement de JavaScript présentait un problème de validation. Ce dernier a été résolu par une meilleure validation.

CVE-2016-4695 : Mark S. Miller de Google

Entrée ajoutée le 16 août 2017

Noyau

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : une application peut exécuter un code arbitraire avec des privilèges liés au noyau. 

Description : plusieurs problèmes de corruption de la mémoire ont été résolus par une meilleure validation des entrées.

CVE-2016-7606 : @cocoahuke, Chen Qin de la Topsec Alpha Team (topsec.com)

CVE-2016-7612 : Ian Beer de Google Project Zero

Entrée ajoutée le 13 décembre 2016

Noyau

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : une application peut être en mesure de lire la mémoire du noyau.

Description : un problème d’initialisation insuffisante a été résolu par une initialisation correcte de la mémoire renvoyée dans l’espace utilisateur.

CVE-2016-7607 : Brandon Azad

Entrée ajoutée le 13 décembre 2016

Noyau

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : un utilisateur local peut être à l’origine d’un déni de service du système.

Description : il existait un problème de déni de service, résolu par une meilleure gestion de la mémoire.

CVE-2016-7615 : centre national de cybersécurité du Royaume-Uni (NCSC)

Entrée ajoutée le 13 décembre 2016

Noyau

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : un utilisateur local peut être en mesure d’entraîner l’arrêt inopiné du système ou une exécution arbitraire de code au niveau du noyau.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2016-7621 : Ian Beer de Google Project Zero

Entrée ajoutée le 13 décembre 2016

Noyau

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : un utilisateur local peut bénéficier de privilèges racine.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.

CVE-2016-7637 : Ian Beer de Google Project Zero

Entrée ajoutée le 13 décembre 2016

Noyau

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : une application locale avec des privilèges système peut exécuter un code arbitraire avec des privilèges liés au noyau.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2016-7644 : Ian Beer de Google Project Zero

Entrée ajoutée le 13 décembre 2016

Noyau

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : une application peut être à l’origine d’un déni de service.

Description : il existait un problème de déni de service, résolu par une meilleure gestion de la mémoire.

CVE-2016-7647 : Lufeng Li de la Qihoo 360 Vulcan Team

Entrée ajoutée le 17 mai 2017

Noyau

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : une application malveillante peut être en mesure d’accéder à l’adresse MAC d’un appareil.

Description : un problème d’accès a été résolu au moyen de restrictions sandbox supplémentaires sur les applications tierces.

CVE-2016-7766 : Jun Yang(杨君) du groupe WeiXin de Tencent

Entrée ajoutée le 31 mai 2017

libarchive

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : un attaquant local peut être en mesure d’effacer des fichiers existants.

Description : le traitement des liens symboliques présentait un problème de validation. Ce problème a été résolu par une meilleure validation des liens symboliques.

CVE-2016-7619 : un chercheur anonyme

Entrée ajoutée le 13 décembre 2016

Authentification locale

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : l’appareil peut ne pas verrouiller l’écran après le délai d’inactivité.

Description : un problème de logique existait dans la gestion du minuteur de verrouillage lors de l’affichage de l’invite Touch ID. Ce problème a été résolu par une meilleure gestion du minuteur de verrouillage.

CVE-2016-7601 : un chercheur anonyme

Mail

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : un e-mail signé avec un certificat révoqué peut paraître valide.

Description : la politique S/MIME ne pouvait pas vérifier la validité d’un certificat.  Ce problème a été résolu par une notification à l’utilisateur si un e-mail a été signé avec un certificat révoqué.

CVE-2016-4689 : un chercheur anonyme

Lecteur multimédia

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : un utilisateur peut être en mesure d’afficher des photos et contacts à partir de l’écran verrouillé.

Description : la gestion de la sélection des médias présentait un problème de validation. Il a été résolu par une meilleure validation.

CVE-2016-7653

Gestion de l’alimentation

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : un utilisateur local peut bénéficier de privilèges racine.

Description : un problème de références de nom de port de machine a été résolu par une meilleure validation.

CVE-2016-7661 : Ian Beer de Google Project Zero

Entrée ajoutée le 13 décembre 2016

Profils

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : l’ouverture d’un certificat malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire existait au niveau de la gestion des profils de certificat. Ce problème a été résolu par une meilleure validation des entrées.

CVE-2016-7626 : Maksymilian Arciemowicz (cxsecurity.com)

Lecteur Safari

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : l’activation de la fonctionnalité Lecteur Safari sur une page Web malveillante peut provoquer un scriptage intersite universel.

Description : plusieurs problèmes de validation ont été résolus par un meilleur nettoyage des entrées.

CVE-2016-7650 : Erling Ellingsen

Entrée ajoutée le 13 décembre 2016

Sécurité

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : un attaquant peut exploiter les faiblesses de l’algorithme de chiffrement 3DES.

Description : 3DES a été supprimé des algorithmes de chiffrement par défaut.

CVE-2016-4693 : Gaëtan Leurent et Karthikeyan Bhargavan du centre INRIA de Paris

Entrée ajoutée le 13 décembre 2016

Sécurité

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut être à l’origine d’un déni de service.

Description : un problème de validation existait au niveau de la gestion des URL de répondeur OCSP. Ce problème a été résolu par la vérification du statut de révocation OCSP après validation de l’autorité de certification et par la limitation du nombre de requêtes OCSP par certificat.

CVE-2016-7636 : Maksymilian Arciemowicz (cxsecurity.com)

Entrée ajoutée le 13 décembre 2016

Sécurité

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : des certificats peuvent être évalués comme fiables de manière inattendue.

Description : un problème d’évaluation survenait lors de la validation des certificats. Il a été résolu par une validation supplémentaire des certificats.

CVE-2016-7662 : Apple

Entrée ajoutée le 13 décembre 2016

SpringBoard

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : une personne disposant d’un accès physique à un appareil iOS peut être en mesure de déverrouiller l’appareil.

Description : dans certains cas, cette possibilité résultait de la gestion des tentatives de saisie du code d’accès lors de sa réinitialisation. Ce problème a été résolu par une meilleure gestion des états.

CVE-2016-4781 : un chercheur anonyme

SpringBoard

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : une personne disposant d’un accès physique à un appareil iOS peut être en mesure de maintenir l’appareil déverrouillé.

Description : un problème de nettoyage existait au niveau de la gestion de Handoff avec Siri.  Ce problème a été résolu par une meilleure gestion des états.

CVE-2016-7597 : un chercheur anonyme

syslog

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : un utilisateur local peut bénéficier de privilèges racine.

Description : un problème de références de nom de port de machine a été résolu par une meilleure validation.

CVE-2016-7660 : Ian Beer de Google Project Zero

Entrée ajoutée le 13 décembre 2016

WebKit

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : le traitement d’un contenu Web malveillant peut entraîner l’exécution arbitraire de code.

Description : plusieurs problèmes de corruption de la mémoire ont été résolus par une meilleure gestion de celle-ci.

CVE-2016-4692 : Apple

CVE-2016-7635 : Apple

CVE-2016-7652 : Apple

Entrée ajoutée le 13 décembre 2016

WebKit

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : le traitement d’un contenu Web malveillant peut entraîner la divulgation du contenu de la mémoire de traitement.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.

CVE-2016-4743 : Alan Cutter

Entrée ajoutée le 13 décembre 2016

WebKit

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : le traitement d’un contenu Web malveillant peut entraîner la divulgation des informations utilisateur.

Description : un problème de validation a été résolu par une meilleure gestion des états.

CVE-2016-7586 : Boris Zbarsky

Entrée ajoutée le 13 décembre 2016

WebKit

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : le traitement d’un contenu Web malveillant peut entraîner l’exécution arbitraire de code.

Description : plusieurs problèmes de corruption de la mémoire ont été résolus par une meilleure gestion des états.

CVE-2016-7587 : Adam Klein

CVE-2016-7610 : Zheng Huang du Baidu Security Lab en collaboration avec le programme Zero Day Initiative de Trend Micro

CVE-2016-7611 : un chercheur anonyme en collaboration avec le programme Zero Day Initiative de Trend Micro

CVE-2016-7639 : Tongbo Luo de Palo Alto Networks

CVE-2016-7640 : Kai Kang du Xuanwu Lab de Tencent (tencent.com)

CVE-2016-7641 : Kai Kang du Xuanwu Lab de Tencent (tencent.com)

CVE-2016-7642 : Tongbo Luo de Palo Alto Networks

CVE-2016-7645 : Kai Kang du Xuanwu Lab de Tencent (tencent.com)

CVE-2016-7646 : Kai Kang du Xuanwu Lab de Tencent (tencent.com)

CVE-2016-7648 : Kai Kang du Xuanwu Lab de Tencent (tencent.com)

CVE-2016-7649 : Kai Kang du Xuanwu Lab de Tencent (tencent.com)

CVE-2016-7654 : Keen Lab en collaboration avec le programme Zero Day Initiative de Trend Micro

Entrée ajoutée le 13 décembre 2016

WebKit

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : le traitement d’un contenu Web malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.

CVE-2016-7589 : Apple

CVE-2016-7656 : Keen Lab en collaboration avec le programme Zero Day Initiative de Trend Micro

Entrée ajoutée le 13 décembre 2016

WebKit

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : le traitement d’un contenu Web malveillant peut compromettre les informations utilisateur.

Description : un problème existait au niveau de la gestion des invites JavaScript. Ce problème a été résolu par une meilleure gestion des états.

CVE-2016-7592 : xisigr du Xuanwu Lab de Tencent (tencent.com)

Entrée ajoutée le 13 décembre 2016

WebKit

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : le traitement d’un contenu Web malveillant peut entraîner la divulgation du contenu de la mémoire de traitement.

Description : un problème d’accès à la mémoire non initialisée a été résolu par une meilleure initialisation de la mémoire.

CVE-2016-7598 : Samuel Groß

Entrée ajoutée le 13 décembre 2016

WebKit

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : le traitement d’un contenu Web malveillant peut entraîner la divulgation des informations utilisateur.

Description : un problème existait au niveau de la gestion des redirections HTTP. Ce problème a été résolu par une meilleure validation des origines multiples.

CVE-2016-7599 : Muneaki Nishimura (nishimunea) de Recruit Technologies Co., Ltd.

Entrée ajoutée le 13 décembre 2016

WebKit

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : la consultation d’un site Web malveillant peut compromettre des informations utilisateur.

Description : la gestion des URL BLOB présentait un problème.  Ce problème a été résolu par une meilleure gestion des URL.

CVE-2016-7623 : xisigr du Xuanwu Lab de Tencent (www.tencent.com)

Entrée ajoutée le 13 décembre 2016

WebKit

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : la consultation d’une page Web malveillante peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.

CVE-2016-7632 : Jeonghoon Shin

Entrée ajoutée le 13 décembre 2016

WebKit

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : le traitement d’un contenu Web malveillant peut provoquer un scriptage intersite.

Description : un problème existait au niveau de l’affichage des documents dans Safari. Ce problème a été résolu par une meilleure validation des entrées.

CVE-2016-7762 : YongShao (Zhiyong Feng de JDSEC 1aq.com‍)

Entrée ajoutée le 24 janvier 2017

WebSheet

Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.

Conséquence : un processus sandboxé peut contourner les restrictions sandbox.

Description : un problème de contournement de la sandbox a été résolu par la mise en place de restrictions supplémentaires.

CVE-2016-7630 : Marco Grassi (@marcograss) du KeenLab (@keen_lab) Tencent en collaboration avec le programme Zero Day Initiative de Trend Micro

Entrée ajoutée le 25 janvier 2017

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu pour responsable de tout problème lié à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web, ou l’exactitude des informations que ce dernier propose. L’utilisation d’Internet induit en effet des risques. Contactez le fournisseur pour obtenir des informations supplémentaires. Les autres noms de société et de produit peuvent constituer des marques déposées de leurs détenteurs respectifs.

Date de publication: