À propos des correctifs de sécurité d’iOS 10.2
Ce document décrit les correctifs de sécurité d’iOS 10.2.
À propos des mises à jour de sécurité Apple
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Les mises à jour récentes sont répertoriées sur la page Mises à jour de sécurité Apple.
Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple. Vous pouvez chiffrer les communications avec Apple à l’aide de la Clé PGP du groupe de sécurité produit d’Apple.
Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.
iOS 10.2
Accessibilité
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : un utilisateur à proximité peut entendre un mot de passe vocal prononcé.
Description : un problème de divulgation existait au sein de la gestion des mots de passe. Ce problème a été résolu par la désactivation des mots de passe vocaux.
CVE-2016-7634 : Davut Hari, Biren V. Soni, Cameron Lee
Accessibilité
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : une personne profitant d’un accès physique à un appareil iOS peut être en mesure d’accéder aux photos et aux contacts via l’écran de verrouillage.
Description : un problème lié à l’écran de verrouillage permettait d’accéder aux photos et aux contacts se trouvant sur un appareil verrouillé. Il a été résolu par la limitation des options proposées sur un appareil verrouillé.
CVE-2016-7664 : Miguel Alvarado de iDeviceHelp
Comptes
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : un problème empêchait la réinitialisation des réglages d’autorisation lors de la désinstallation d’une app.
Description : ce problème a été résolu par un meilleur nettoyage.
CVE-2016-7651 : Ju Zhu et Lilang Wu de Trend Micro
Audio
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : le traitement d’un fichier malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.
CVE-2016-7658 : Haohao Kong du Keen Lab (@keen_lab) de Tencent
CVE-2016-7659 : Haohao Kong du Keen Lab (@keen_lab) de Tencent
Presse-papiers
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : un attaquant local peut être en mesure d’accéder au contenu du presse-papiers.
Description : le contenu du presse-papiers était accessible avant le déverrouillage de l’appareil. Ce problème a été résolu par une meilleure gestion des états.
CVE-2016-7765 : CongRong (@Tr3jer)
CoreFoundation
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : le traitement de chaînes malveillantes peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.
Description : un problème de corruption de la mémoire existait au niveau du traitement de chaînes. Ce problème a été résolu par une meilleure vérification des limites.
CVE-2016-7663 : un chercheur anonyme
CoreGraphics
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : le traitement d’un fichier de polices malveillant peut entraîner la fermeture inopinée d’une application.
Description : un déréférencement de pointeurs null a été résolu par une meilleure validation des entrées.
CVE-2016-7627 : TRAPMINE Inc. et Meysam Firouzi @R00tkitSMM
Écrans externes CoreMedia
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : une application locale peut exécuter un code arbitraire dans le contexte du démon mediaserver.
Description : un problème de confusion liée aux types a été résolu par une meilleure gestion de la mémoire.
CVE-2016-7655 : Keen Lab en collaboration avec le programme Zero Day Initiative de Trend Micro
CoreMedia Playback
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : le traitement d’un fichier .mp4 malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de celle-ci.
CVE-2016-7588 : dragonltx de Huawei 2012 Laboratories
CoreText
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : le traitement d’un fichier de polices malveillant peut entraîner l’exécution arbitraire de code.
Description : plusieurs problèmes de corruption de la mémoire existaient au niveau du traitement des fichiers de polices. Ces problèmes ont été résolus par une meilleure vérification des limites.
CVE-2016-7595 : riusksk(泉哥) de Tencent Security Platform Department
CoreText
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : le traitement d’une chaîne malveillante peut conduire à un déni de service.
Description : un problème lors du rendu de plages superposées a été résolu par une meilleure validation.
CVE-2016-7667 : Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) de Digital Unit (dgunit.com)
Images disque
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : une application peut exécuter un code arbitraire avec des privilèges liés au noyau.
Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.
CVE-2016-7616 : daybreaker@Minionz en collaboration avec le programme Zero Day Initiative de Trend Micro
Localiser mon iPhone
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : un attaquant disposant d’un appareil déverrouillé peut être en mesure de désactiver Localiser mon iPhone.
Description : un problème de gestion des états existait au niveau de la gestion des informations d’authentification. Ce problème a été résolu par un meilleur stockage des informations de compte.
CVE-2016-7638 : un chercheur anonyme, Sezer Sakiner
FontParser
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : le traitement d’un fichier de polices malveillant peut entraîner l’exécution arbitraire de code.
Description : plusieurs problèmes de corruption de la mémoire existaient au niveau du traitement des fichiers de polices. Ces problèmes ont été résolus par une meilleure vérification des limites.
CVE-2016-4691 : riusksk(泉哥) de Tencent Security Platform Department
Gestionnaire de graphique
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner un déni de service.
Description : un problème de déni de service existait au niveau de la gestion de la vidéo. Ce problème a été résolu par une meilleure validation des entrées.
CVE-2016-7665 : Moataz El Gaml de Schlumberger, Daniel Schurter de watson.ch et Marc Ruef de scip AG
ICU
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : le traitement d’un contenu Web malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de celle-ci.
CVE-2016-7594 : André Bargull
Transfert d’images ;
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : un périphérique HID malveillant peut provoquer l’exécution arbitraire de code.
Description : un problème de validation existait au niveau de la gestion de dispositifs d’image USB. Ce problème a été résolu par une meilleure validation des entrées.
CVE-2016-4690 : Andy Davis de NCC Group
ImageIO
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : un attaquant distant peut divulguer le contenu de la mémoire.
Description : un problème de lecture hors limites a été résolu par une meilleure vérification des limites.
CVE-2016-7643 : Yangkang (@dnpushme) de la Qihoo360 Qex Team
IOHIDFamily
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : une application locale avec des privilèges système peut exécuter un code arbitraire avec des privilèges liés au noyau.
Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.
CVE-2016-7591 : daybreaker de Minionz
IOKit
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : une application peut être en mesure de lire la mémoire du noyau.
Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.
CVE-2016-7657 : Keen Lab en collaboration avec le programme Zero Day Initiative de Trend Micro
IOKit
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : un utilisateur local peut être en mesure de déterminer la structure de la mémoire du noyau.
Description : un problème de mémoire partagée a été résolu par une meilleure gestion de celle-ci.
CVE-2016-7714 : Qidan He (@flanker_hqd) du KeenLab en collaboration avec le programme Zero Day Initiative de Trend Micro
JavaScriptCore
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : un script s’exécutant dans une sandbox Javascript peut être en mesure d’accéder aux états en dehors de cette sandbox.
Description : le traitement de JavaScript présentait un problème de validation. Ce dernier a été résolu par une meilleure validation.
CVE-2016-4695 : Mark S. Miller de Google
Noyau
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : une application peut exécuter un code arbitraire avec des privilèges liés au noyau.
Description : plusieurs problèmes de corruption de la mémoire ont été résolus par une meilleure validation des entrées.
CVE-2016-7606 : @cocoahuke, Chen Qin de la Topsec Alpha Team (topsec.com)
CVE-2016-7612 : Ian Beer de Google Project Zero
Noyau
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : une application peut être en mesure de lire la mémoire du noyau.
Description : un problème d’initialisation insuffisante a été résolu par une initialisation correcte de la mémoire renvoyée dans l’espace utilisateur.
CVE-2016-7607 : Brandon Azad
Noyau
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : un utilisateur local peut être à l’origine d’un déni de service du système.
Description : il existait un problème de déni de service, résolu par une meilleure gestion de la mémoire.
CVE-2016-7615 : centre national de cybersécurité du Royaume-Uni (NCSC)
Noyau
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : un utilisateur local peut être en mesure d’entraîner l’arrêt inopiné du système ou une exécution arbitraire de code au niveau du noyau.
Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.
CVE-2016-7621 : Ian Beer de Google Project Zero
Noyau
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : un utilisateur local peut bénéficier de privilèges racine.
Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.
CVE-2016-7637 : Ian Beer de Google Project Zero
Noyau
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : une application locale avec des privilèges système peut exécuter un code arbitraire avec des privilèges liés au noyau.
Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.
CVE-2016-7644 : Ian Beer de Google Project Zero
Noyau
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : une application peut être à l’origine d’un déni de service.
Description : il existait un problème de déni de service, résolu par une meilleure gestion de la mémoire.
CVE-2016-7647 : Lufeng Li de la Qihoo 360 Vulcan Team
Noyau
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : une application malveillante peut être en mesure d’accéder à l’adresse MAC d’un appareil.
Description : un problème d’accès a été résolu au moyen de restrictions sandbox supplémentaires sur les applications tierces.
CVE-2016-7766 : Jun Yang(杨君) du groupe WeiXin de Tencent
libarchive
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : un attaquant local peut être en mesure d’effacer des fichiers existants.
Description : le traitement des liens symboliques présentait un problème de validation. Ce problème a été résolu par une meilleure validation des liens symboliques.
CVE-2016-7619 : un chercheur anonyme
Authentification locale
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : l’appareil peut ne pas verrouiller l’écran après le délai d’inactivité.
Description : un problème de logique existait dans la gestion du minuteur de verrouillage lors de l’affichage de l’invite Touch ID. Ce problème a été résolu par une meilleure gestion du minuteur de verrouillage.
CVE-2016-7601 : un chercheur anonyme
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : un e-mail signé avec un certificat révoqué peut paraître valide.
Description : la politique S/MIME ne pouvait pas vérifier la validité d’un certificat. Ce problème a été résolu par une notification à l’utilisateur si un e-mail a été signé avec un certificat révoqué.
CVE-2016-4689 : un chercheur anonyme
Lecteur multimédia
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : un utilisateur peut être en mesure d’afficher des photos et contacts à partir de l’écran verrouillé.
Description : la gestion de la sélection des médias présentait un problème de validation. Il a été résolu par une meilleure validation.
CVE-2016-7653
Gestion de l’alimentation
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : un utilisateur local peut bénéficier de privilèges racine.
Description : un problème de références de nom de port de machine a été résolu par une meilleure validation.
CVE-2016-7661 : Ian Beer de Google Project Zero
Profils
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : l’ouverture d’un certificat malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème de corruption de la mémoire existait au niveau de la gestion des profils de certificat. Ce problème a été résolu par une meilleure validation des entrées.
CVE-2016-7626 : Maksymilian Arciemowicz (cxsecurity.com)
Lecteur Safari
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : l’activation de la fonctionnalité Lecteur Safari sur une page Web malveillante peut provoquer un scriptage intersite universel.
Description : plusieurs problèmes de validation ont été résolus par un meilleur nettoyage des entrées.
CVE-2016-7650 : Erling Ellingsen
Sécurité
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : un attaquant peut exploiter les faiblesses de l’algorithme de chiffrement 3DES.
Description : 3DES a été supprimé des algorithmes de chiffrement par défaut.
CVE-2016-4693 : Gaëtan Leurent et Karthikeyan Bhargavan du centre INRIA de Paris
Sécurité
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut être à l’origine d’un déni de service.
Description : un problème de validation existait au niveau de la gestion des URL de répondeur OCSP. Ce problème a été résolu par la vérification du statut de révocation OCSP après validation de l’autorité de certification et par la limitation du nombre de requêtes OCSP par certificat.
CVE-2016-7636 : Maksymilian Arciemowicz (cxsecurity.com)
Sécurité
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : des certificats peuvent être évalués comme fiables de manière inattendue.
Description : un problème d’évaluation survenait lors de la validation des certificats. Il a été résolu par une validation supplémentaire des certificats.
CVE-2016-7662 : Apple
SpringBoard
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : une personne disposant d’un accès physique à un appareil iOS peut être en mesure de déverrouiller l’appareil.
Description : dans certains cas, cette possibilité résultait de la gestion des tentatives de saisie du code d’accès lors de sa réinitialisation. Ce problème a été résolu par une meilleure gestion des états.
CVE-2016-4781 : un chercheur anonyme
SpringBoard
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : une personne disposant d’un accès physique à un appareil iOS peut être en mesure de maintenir l’appareil déverrouillé.
Description : un problème de nettoyage existait au niveau de la gestion de Handoff avec Siri. Ce problème a été résolu par une meilleure gestion des états.
CVE-2016-7597 : un chercheur anonyme
syslog
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : un utilisateur local peut bénéficier de privilèges racine.
Description : un problème de références de nom de port de machine a été résolu par une meilleure validation.
CVE-2016-7660 : Ian Beer de Google Project Zero
WebKit
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : le traitement d’un contenu Web malveillant peut entraîner l’exécution arbitraire de code.
Description : plusieurs problèmes de corruption de la mémoire ont été résolus par une meilleure gestion de celle-ci.
CVE-2016-4692 : Apple
CVE-2016-7635 : Apple
CVE-2016-7652 : Apple
WebKit
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : le traitement d’un contenu Web malveillant peut entraîner la divulgation du contenu de la mémoire de traitement.
Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.
CVE-2016-4743 : Alan Cutter
WebKit
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : le traitement d’un contenu Web malveillant peut entraîner la divulgation des informations utilisateur.
Description : un problème de validation a été résolu par une meilleure gestion des états.
CVE-2016-7586 : Boris Zbarsky
WebKit
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : le traitement d’un contenu Web malveillant peut entraîner l’exécution arbitraire de code.
Description : plusieurs problèmes de corruption de la mémoire ont été résolus par une meilleure gestion des états.
CVE-2016-7587 : Adam Klein
CVE-2016-7610 : Zheng Huang du Baidu Security Lab en collaboration avec le programme Zero Day Initiative de Trend Micro
CVE-2016-7611 : un chercheur anonyme en collaboration avec le programme Zero Day Initiative de Trend Micro
CVE-2016-7639 : Tongbo Luo de Palo Alto Networks
CVE-2016-7640 : Kai Kang du Xuanwu Lab de Tencent (tencent.com)
CVE-2016-7641 : Kai Kang du Xuanwu Lab de Tencent (tencent.com)
CVE-2016-7642 : Tongbo Luo de Palo Alto Networks
CVE-2016-7645 : Kai Kang du Xuanwu Lab de Tencent (tencent.com)
CVE-2016-7646 : Kai Kang du Xuanwu Lab de Tencent (tencent.com)
CVE-2016-7648 : Kai Kang du Xuanwu Lab de Tencent (tencent.com)
CVE-2016-7649 : Kai Kang du Xuanwu Lab de Tencent (tencent.com)
CVE-2016-7654 : Keen Lab en collaboration avec le programme Zero Day Initiative de Trend Micro
WebKit
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : le traitement d’un contenu Web malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.
CVE-2016-7589 : Apple
CVE-2016-7656 : Keen Lab en collaboration avec le programme Zero Day Initiative de Trend Micro
WebKit
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : le traitement d’un contenu Web malveillant peut compromettre les informations utilisateur.
Description : un problème existait au niveau de la gestion des invites JavaScript. Ce problème a été résolu par une meilleure gestion des états.
CVE-2016-7592 : xisigr du Xuanwu Lab de Tencent (tencent.com)
WebKit
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : le traitement d’un contenu Web malveillant peut entraîner la divulgation du contenu de la mémoire de traitement.
Description : un problème d’accès à la mémoire non initialisée a été résolu par une meilleure initialisation de la mémoire.
CVE-2016-7598 : Samuel Groß
WebKit
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : le traitement d’un contenu Web malveillant peut entraîner la divulgation des informations utilisateur.
Description : un problème existait au niveau de la gestion des redirections HTTP. Ce problème a été résolu par une meilleure validation des origines multiples.
CVE-2016-7599 : Muneaki Nishimura (nishimunea) de Recruit Technologies Co., Ltd.
WebKit
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : la consultation d’un site Web malveillant peut compromettre des informations utilisateur.
Description : la gestion des URL BLOB présentait un problème. Ce problème a été résolu par une meilleure gestion des URL.
CVE-2016-7623 : xisigr du Xuanwu Lab de Tencent (www.tencent.com)
WebKit
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : la consultation d’une page Web malveillante peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.
Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.
CVE-2016-7632 : Jeonghoon Shin
WebKit
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : le traitement d’un contenu Web malveillant peut provoquer un scriptage intersite.
Description : un problème existait au niveau de l’affichage des documents dans Safari. Ce problème a été résolu par une meilleure validation des entrées.
CVE-2016-7762 : YongShao (Zhiyong Feng de JDSEC 1aq.com)
WebSheet
Disponible pour : iPhone 5 et modèles ultérieurs, iPad 4e génération et modèles ultérieurs, iPod touch 6e génération et modèles ultérieurs.
Conséquence : un processus sandboxé peut contourner les restrictions sandbox.
Description : un problème de contournement de la sandbox a été résolu par la mise en place de restrictions supplémentaires.
CVE-2016-7630 : Marco Grassi (@marcograss) du KeenLab (@keen_lab) Tencent en collaboration avec le programme Zero Day Initiative de Trend Micro
Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.