Informacije o sigurnosnom sadržaju sustava iOS 10.3.3
U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 10.3.3.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
iOS 10.3.3
Kontakti
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: udaljeni napadač može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s prekoračenjem međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7062: Shashank (@cyberboyIndia)
CoreAudio
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjerne filmske datoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom granica.
CVE-2017-7008: Yangkang (@dnpushme) (Qihoo 360 Qex Team)
EventKitUI
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: udaljeni napadač može uzrokovati neočekivano zatvaranje aplikacije
Opis: problem iscrpljivanja resursa riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-7007: José Antonio Esteban (@Erratum_) (Sapsi Consultores)
IOUSBFamily
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7009: shrek_wzw (Qihoo 360 Nirvan Team)
Kernel
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7022: anonimni istraživač
CVE-2017-7024: anonimni istraživač
CVE-2017-7026: anonimni istraživač
Kernel
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7023: anonimni istraživač
CVE-2017-7025: anonimni istraživač
CVE-2017-7027: anonimni istraživač
CVE-2017-7069: Proteas (Qihoo 360 Nirvan Team)
Kernel
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2017-7028: anonimni istraživač
CVE-2017-7029: anonimni istraživač
libarchive
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: raspakiravanjem zlonamjerne arhive moglo je doći do izvršavanja proizvoljnog koda
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2017-7068: otkrio OSS-Fuzz
libxml2
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: raščlanjivanje zlonamjernog XML dokumenta moglo je dovesti do otkrivanja korisničkih podataka
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2017-7010: Apple
CVE-2017-7013: otkrio OSS-Fuzz
libxpc
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7047: Ian Beer (Google Project Zero)
Poruke
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: udaljeni napadač može uzrokovati neočekivano zatvaranje aplikacije
Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7063: Shashank (@cyberboyIndia)
Obavijesti
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obavijesti su se mogle prikazivati na zaključanom zaslonu i kad su onemogućene
Opis: problem sa zaključanim zaslonom riješen je poboljšanim upravljanjem stanjem.
CVE-2017-7058: Beyza Sevinç (Sveučilište Sulejmana Demirela)
Safari
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2017-2517: xisigr (Tencentov odjel Xuanwu Lab (tencent.com))
Ispis iz preglednika Safari
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obrada zlonamjernog web-sadržaja mogla je uzrokovati otvaranje beskonačnog broja dijaloških okvira za ispis
Opis: otkriven je problem zbog kojeg su zlonamjerna ili hakirana web-mjesta mogla prikazivati neograničen broj dijaloških okvira za ispis i navesti korisnika na zaključak da je preglednik zaključan. Problem je riješen ograničenjem dijaloških okvira za ispis.
CVE-2017-7060: Travis Kelley (Mishawaka, Indiana)
Telefonija
Dostupno za: iPhone 5 i novije verzije te modele iPad uređaja četvrte generacije i novije sa značajkom Wi-Fi + Cellular
Učinak: napadač s mrežnim ovlastima može izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-8248
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore podataka
Opis: obradom zlonamjernog web-sadržaja mogli su se isključiti filtri podataka iz različitih izvora putem SVG filtara i tako provesti tempiran napad iz sporednog kanala. Problem je riješen tako što se međuspremnik za različite izvore više ne unosi u okvir koji se filtrira.
CVE-2017-7006: anonimni istraživač, David Kohlbrenner (UC San Diego)
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake
Opis: problem s upravljanjem stanjem riješen je poboljšanom obradom okvira.
CVE-2017-7011: xisigr (Tencentov odjel Xuanwu Lab (tencent.com))
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2017-7018: lokihardt (Google Project Zero)
CVE-2017-7020: likemeng (Baidu Security Lab)
CVE-2017-7030: chenqin (Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室))
CVE-2017-7034: chenqin (Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室))
CVE-2017-7037: lokihardt (Google Project Zero)
CVE-2017-7039: Ivan Fratrić (Google Project Zero)
CVE-2017-7040: Ivan Fratrić (Google Project Zero)
CVE-2017-7041: Ivan Fratrić (Google Project Zero)
CVE-2017-7042: Ivan Fratrić (Google Project Zero)
CVE-2017-7043: Ivan Fratrić (Google Project Zero)
CVE-2017-7046: Ivan Fratrić (Google Project Zero)
CVE-2017-7048: Ivan Fratrić (Google Project Zero)
CVE-2017-7052: cc i inicijativa Zero Day (Trend Micro)
CVE-2017-7055: National Cyber Security Centre (NCSC) iz Velike Britanije
CVE-2017-7056: lokihardt (Google Project Zero)
CVE-2017-7061: lokihardt (Google Project Zero)
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja s parserom DOMParser moglo je doći do unakrsnog skriptiranja na više web-mjesta
Opis: u rukovanju parsera DOMParser pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2017-7038: Egor Karbutov (@ShikariSenpai) (Digital Security) i Egor Saltykov (@ansjdnakjdnajkd) (Digital Security), Neil Jenkins (FastMail Pty Ltd)
CVE-2017-7059: Masato Kinugawa i Mario Heiderich (Cure53)
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2017-7049: Ivan Fratrić (Google Project Zero)
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7064: lokihardt (Google Project Zero)
Učitavanje stranice WebKita
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2017-7019: Zhiyang Zeng (Tencentov odjel za sigurnosne platforme)
Web-inspektor za WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2017-7012: Apple
Wi-Fi
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: napadači u dometu mogli su na čipu za Wi-Fi pokrenuti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7065: Gal Beniamini (Google Project Zero)
Wi-Fi
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: napadači u dometu Wi-Fi veze mogli su na čipu za Wi-Fi prouzročiti odbijanje pružanja usluge
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2017-7066: Gal Beniamini (Google Project Zero)
Wi-Fi
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: napadači u dometu mogli su na čipu za Wi-Fi pokrenuti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-9417: Nitay Artenstein (Exodus Intelligence)
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.