אודות תוכן האבטחה של iOS 10.3.3

מסמך זה מתאר את תוכן האבטחה של iOS 10.3.3.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.

למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple. ניתן להצפין תקשורת עם Apple באמצעות 'מפתח PGP לאבטחת מוצר' של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

iOS 10.3.3

הופץ ב-19 ביולי 2017

אנשי קשר

זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי

השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי

תיאור: בעיית גלישת חוצץ נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2017-7062:‏ Shashank‏ (‎@cyberboyIndia)

CoreAudio

זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי

השפעה: עיבוד קובץ סרט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות בדיקת טווח משופרת.

CVE-2017-7008:‏ Yangkang‏ (‎@dnpushme) מ-Qihoo 360 Qex Team

EventKitUI

זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי 

השפעה: תוקף מרוחק עלול לגרום לסיום בלתי צפוי של אפליקציה

תיאור: בעיה של מיצוי משאבים טופלה באמצעות אימות קלט משופר.

CVE-2017-7007: חוזה אנטוניו אסטבן (‎@Erratum_‎) מ-Sapsi Consultores

IOUSBFamily

זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2017-7009:‏ shrek_wzw מ-Qihoo 360 Nirvan Team

ליבה

זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי 

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2017-7022: חוקר אנונימי

CVE-2017-7024: חוקר אנונימי

CVE-2017-7026: חוקר אנונימי

ליבה

זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי 

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2017-7023: חוקר אנונימי

CVE-2017-7025: חוקר אנונימי

CVE-2017-7027: חוקר אנונימי

CVE-2017-7069: ‏Proteas מ-Qihoo 360 Nirvan Team

ליבה

זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי

השפעה: אפליקציה עלולה להצליח לקרוא זיכרון מוגבל

תיאור: בעיית אימות טופלה באמצעות סניטציה משופרת של קלט.

CVE-2017-7028: חוקר אנונימי

CVE-2017-7029: חוקר אנונימי

libarchive

זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי

השפעה: פירוק ארכיון בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: גלישת חוצץ טופלה באמצעות בדיקת טווח משופרת.

CVE-2017-7068: התגלה על-ידי OSS-Fuzz

libxml2

זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי 

השפעה: ניתוח מסמך XML בעל מבנה זדוני עלול להוביל לחשיפת פרטי משתמש

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2017-7010:‏ Apple

CVE-2017-7013: התגלה על-ידי OSS-Fuzz

libxpc

זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2017-7047:‏ איאן ביר מ-Google Project Zero

הודעות

זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי 

השפעה: תוקף מרוחק עלול לגרום לסיום בלתי צפוי של אפליקציה

תיאור: בעיית צריכת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2017-7063:‏ Shashank‏ (‎@cyberboyIndia)

עדכונים

זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי

השפעה: עדכונים עשויים להופיע במסך הנעילה כשהוא מושבת

תיאור: בעיה במסך הנעילה טופלה באמצעות ניהול מצבים משופר.

CVE-2017-7058: בייזה סבינץ' מ-Süleyman Demirel Üniversitesi

הרשומה עודכנה ב-28 ביולי 2017

Safari

זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי

השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות

תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצב משופר.

CVE-2017-2517: ‏xisigr מ-Xuanwu Lab של Tencent ‏(tencent.com)

הדפסה מ-Safari

זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי 

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל למספר אינסופי של תיבות דו-שיח של הדפסה

תיאור: הייתה בעיה שבה אתר אינטרנט זדוני או אתר שנחשף לסכנה היו יכולים להראות מספר אינסופי של תיבות דו-שיח של הדפסה ולגרום למשתמשים להאמין שהדפדפן שלהם ננעל. הבעיה טופלה באמצעות ויסות תיבות דו-שיח של הדפסה.

CVE-2017-7060: טראוויס קלי ממישוואקה, אינדיאנה

טלפוניה

זמין עבור: iPhone 5 ואילך ועבור דגמי Wi-Fi + Cellular של iPad דור רביעי ואילך

השפעה: תוקף במיקום מורשה ברשת עלול להצליח להפעיל קוד שרירותי

תיאור: בעיית השחתת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2017-8248

WebKit

זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי

השפעה: אתר אינטרנט זדוני עלול לחלץ מקורות מרובים של נתונים

תיאור: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול לאפשר חילוץ נתונים ממוקרות מרובים באמצעות מסנני SVG, על מנת לנהל התקפת ערוץ צדדי של תזמון. בעיה זו טופלה על ידי אי-צביעה של מאגר המקורות המרובים למסגרת שעוברת סינון.

CVE-2017-7006: חוקר אנונימי, דייוויד קולברנר מאוניברסיטת קליפורניה בסן דייגו

WebKit

זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי

השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות

תיאור: בעיית ניהול מצבים נפתרה באמצעות טיפול משופר במסגרות.

CVE-2017-7011: ‏xisigr מ-Xuanwu Lab של Tencent ‏(tencent.com)

WebKit

זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי 

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.

CVE-2017-7018:‏ lokihardt מ-Google Project Zero

CVE-2017-7020:‏ likemeng מ-Baidu Security Lab

CVE-2017-7030:‏ chenqin מ-Ant-financial Light-Year Security Lab‏ (蚂蚁金服巴斯光年安全实验室)

CVE-2017-7034:‏ chenqin מ-Ant-financial Light-Year Security Lab‏ (蚂蚁金服巴斯光年安全实验室)

CVE-2017-7037:‏ lokihardt מ-Google Project Zero

CVE-2017-7039:‏ איוון פרטריק מ-Google Project Zero

CVE-2017-7040:‏ איוון פרטריק מ-Google Project Zero

CVE-2017-7041:‏ איוון פרטריק מ-Google Project Zero

CVE-2017-7042:‏ איוון פרטריק מ-Google Project Zero

CVE-2017-7043:‏ איוון פרטריק מ-Google Project Zero

CVE-2017-7046:‏ איוון פרטריק מ-Google Project Zero

CVE-2017-7048:‏ איוון פרטריק מ-Google Project Zero

CVE-2017-7052:‏ cc בעבודה עם Zero Day Initiative של Trend Micro

CVE-2017-7055: ‏National Cyber Security Centre ‏(NCSC) של בריטניה

CVE-2017-7056:‏ lokihardt מ-Google Project Zero

CVE-2017-7061:‏ lokihardt מ-Google Project Zero

WebKit

זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עם DOMParser עלול להוביל ל-Scripting בין אתרים

תיאור: בטיפול ב-DOMParser הייתה בעיה לוגית. בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2017-7038: אגור קרבוטוב (‎@ShikariSenpai) מ-Digital Security ואגור סלטיקוב (‎@ansjdnakjdnajkd) מ-Digital Security, ניל ג'נקינס מ-FastMail Pty Ltd

CVE-2017-7059: מסאטו קינוגאווה ומריו היידריך מ-Cure53

הרשומה עודכנה ב-28 ביולי 2017

WebKit

זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי 

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: מספר בעיות של השחתת זיכרון נפתרו באמצעות טיפול משופר בזיכרון.

CVE-2017-7049:‏ איוון פרטריק מ-Google Project Zero

WebKit

זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי

השפעה: אפליקציה עלולה להצליח לקרוא זיכרון מוגבל

תיאור: בעיית אתחול זיכרון נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2017-7064:‏ lokihardt מ-Google Project Zero

טעינת עמוד WebKit

זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי 

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.

CVE-2017-7019: ז'יאנג זנג מ-Tencent Security Platform Department

WebKit Web Inspector

זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי 

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.

CVE-2017-7012:‏ Apple

Wi-Fi

זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי

השפעה: תוקף שנמצא בטווח עלול להצליח להפעיל קוד שרירותי בשבב של ה-Wi-Fi

תיאור: בעיית השחתת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2017-7065: גל בנימיני מ-Google Project Zero

הרשומה נוספה ב-25 בספטמבר 2017

Wi-Fi

זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי

השפעה: תוקף בטווח של ה-Wi-Fi עלול להצליח לגרום למניעת שירות בשבב של ה-Wi-Fi

תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.

CVE-2017-7066: גל בנימיני מ-Google Project Zero

הרשומה נוספה ב-26 בספטמבר 2017

Wi-Fi

זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי

השפעה: תוקף שנמצא בטווח עלול להצליח להפעיל קוד שרירותי בשבב של ה-Wi-Fi

תיאור: בעיית השחתת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2017-9417: ניתאי ארטנשטיין מ-Exodus Intelligence

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

תאריך פרסום: