אודות תוכן האבטחה של iOS 10.3.3
מסמך זה מתאר את תוכן האבטחה של iOS 10.3.3.
אודות עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.
למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple. ניתן להצפין תקשורת עם Apple באמצעות 'מפתח PGP לאבטחת מוצר' של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
iOS 10.3.3
אנשי קשר
זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי
השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי
תיאור: בעיית גלישת חוצץ נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2017-7062: Shashank (@cyberboyIndia)
CoreAudio
זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי
השפעה: עיבוד קובץ סרט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות בדיקת טווח משופרת.
CVE-2017-7008: Yangkang (@dnpushme) מ-Qihoo 360 Qex Team
EventKitUI
זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי
השפעה: תוקף מרוחק עלול לגרום לסיום בלתי צפוי של אפליקציה
תיאור: בעיה של מיצוי משאבים טופלה באמצעות אימות קלט משופר.
CVE-2017-7007: חוזה אנטוניו אסטבן (@Erratum_) מ-Sapsi Consultores
IOUSBFamily
זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2017-7009: shrek_wzw מ-Qihoo 360 Nirvan Team
ליבה
זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2017-7022: חוקר אנונימי
CVE-2017-7024: חוקר אנונימי
CVE-2017-7026: חוקר אנונימי
ליבה
זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2017-7023: חוקר אנונימי
CVE-2017-7025: חוקר אנונימי
CVE-2017-7027: חוקר אנונימי
CVE-2017-7069: Proteas מ-Qihoo 360 Nirvan Team
ליבה
זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי
השפעה: אפליקציה עלולה להצליח לקרוא זיכרון מוגבל
תיאור: בעיית אימות טופלה באמצעות סניטציה משופרת של קלט.
CVE-2017-7028: חוקר אנונימי
CVE-2017-7029: חוקר אנונימי
libarchive
זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי
השפעה: פירוק ארכיון בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: גלישת חוצץ טופלה באמצעות בדיקת טווח משופרת.
CVE-2017-7068: התגלה על-ידי OSS-Fuzz
libxml2
זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי
השפעה: ניתוח מסמך XML בעל מבנה זדוני עלול להוביל לחשיפת פרטי משתמש
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2017-7010: Apple
CVE-2017-7013: התגלה על-ידי OSS-Fuzz
libxpc
זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2017-7047: איאן ביר מ-Google Project Zero
הודעות
זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי
השפעה: תוקף מרוחק עלול לגרום לסיום בלתי צפוי של אפליקציה
תיאור: בעיית צריכת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2017-7063: Shashank (@cyberboyIndia)
עדכונים
זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי
השפעה: עדכונים עשויים להופיע במסך הנעילה כשהוא מושבת
תיאור: בעיה במסך הנעילה טופלה באמצעות ניהול מצבים משופר.
CVE-2017-7058: בייזה סבינץ' מ-Süleyman Demirel Üniversitesi
Safari
זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי
השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות
תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצב משופר.
CVE-2017-2517: xisigr מ-Xuanwu Lab של Tencent (tencent.com)
הדפסה מ-Safari
זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל למספר אינסופי של תיבות דו-שיח של הדפסה
תיאור: הייתה בעיה שבה אתר אינטרנט זדוני או אתר שנחשף לסכנה היו יכולים להראות מספר אינסופי של תיבות דו-שיח של הדפסה ולגרום למשתמשים להאמין שהדפדפן שלהם ננעל. הבעיה טופלה באמצעות ויסות תיבות דו-שיח של הדפסה.
CVE-2017-7060: טראוויס קלי ממישוואקה, אינדיאנה
טלפוניה
זמין עבור: iPhone 5 ואילך ועבור דגמי Wi-Fi + Cellular של iPad דור רביעי ואילך
השפעה: תוקף במיקום מורשה ברשת עלול להצליח להפעיל קוד שרירותי
תיאור: בעיית השחתת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2017-8248
WebKit
זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי
השפעה: אתר אינטרנט זדוני עלול לחלץ מקורות מרובים של נתונים
תיאור: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול לאפשר חילוץ נתונים ממוקרות מרובים באמצעות מסנני SVG, על מנת לנהל התקפת ערוץ צדדי של תזמון. בעיה זו טופלה על ידי אי-צביעה של מאגר המקורות המרובים למסגרת שעוברת סינון.
CVE-2017-7006: חוקר אנונימי, דייוויד קולברנר מאוניברסיטת קליפורניה בסן דייגו
WebKit
זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי
השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות
תיאור: בעיית ניהול מצבים נפתרה באמצעות טיפול משופר במסגרות.
CVE-2017-7011: xisigr מ-Xuanwu Lab של Tencent (tencent.com)
WebKit
זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.
CVE-2017-7018: lokihardt מ-Google Project Zero
CVE-2017-7020: likemeng מ-Baidu Security Lab
CVE-2017-7030: chenqin מ-Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)
CVE-2017-7034: chenqin מ-Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)
CVE-2017-7037: lokihardt מ-Google Project Zero
CVE-2017-7039: איוון פרטריק מ-Google Project Zero
CVE-2017-7040: איוון פרטריק מ-Google Project Zero
CVE-2017-7041: איוון פרטריק מ-Google Project Zero
CVE-2017-7042: איוון פרטריק מ-Google Project Zero
CVE-2017-7043: איוון פרטריק מ-Google Project Zero
CVE-2017-7046: איוון פרטריק מ-Google Project Zero
CVE-2017-7048: איוון פרטריק מ-Google Project Zero
CVE-2017-7052: cc בעבודה עם Zero Day Initiative של Trend Micro
CVE-2017-7055: National Cyber Security Centre (NCSC) של בריטניה
CVE-2017-7056: lokihardt מ-Google Project Zero
CVE-2017-7061: lokihardt מ-Google Project Zero
WebKit
זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עם DOMParser עלול להוביל ל-Scripting בין אתרים
תיאור: בטיפול ב-DOMParser הייתה בעיה לוגית. בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2017-7038: אגור קרבוטוב (@ShikariSenpai) מ-Digital Security ואגור סלטיקוב (@ansjdnakjdnajkd) מ-Digital Security, ניל ג'נקינס מ-FastMail Pty Ltd
CVE-2017-7059: מסאטו קינוגאווה ומריו היידריך מ-Cure53
WebKit
זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: מספר בעיות של השחתת זיכרון נפתרו באמצעות טיפול משופר בזיכרון.
CVE-2017-7049: איוון פרטריק מ-Google Project Zero
WebKit
זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי
השפעה: אפליקציה עלולה להצליח לקרוא זיכרון מוגבל
תיאור: בעיית אתחול זיכרון נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2017-7064: lokihardt מ-Google Project Zero
טעינת עמוד WebKit
זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.
CVE-2017-7019: ז'יאנג זנג מ-Tencent Security Platform Department
WebKit Web Inspector
זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.
CVE-2017-7012: Apple
Wi-Fi
זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי
השפעה: תוקף שנמצא בטווח עלול להצליח להפעיל קוד שרירותי בשבב של ה-Wi-Fi
תיאור: בעיית השחתת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2017-7065: גל בנימיני מ-Google Project Zero
Wi-Fi
זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי
השפעה: תוקף בטווח של ה-Wi-Fi עלול להצליח לגרום למניעת שירות בשבב של ה-Wi-Fi
תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.
CVE-2017-7066: גל בנימיני מ-Google Project Zero
Wi-Fi
זמין עבור: iPhone 5 ואילך, iPad דור רביעי ואילך ו-iPod touch דור שישי
השפעה: תוקף שנמצא בטווח עלול להצליח להפעיל קוד שרירותי בשבב של ה-Wi-Fi
תיאור: בעיית השחתת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2017-9417: ניתאי ארטנשטיין מ-Exodus Intelligence
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.