O sigurnosnom sadržaju sustava iOS 10.3

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 10.3.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

iOS 10.3

Objavljeno 27. ožujka 2017.

Računi

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: korisnik je mogao vidjeti Apple ID na zaključanom zaslonu

Opis: problem s upravljanjem upitima riješen je uklanjanjem upita za provjeru autentičnosti za iCloud sa zaključanog zaslona.

CVE-2017-2397: Suprovici Vadim (tim UniApps), anonimni istraživač

Zvuk

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjerne audiodatoteke moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2430: anonimni istraživač i inicijativa Zero Day (Trend Micro)

CVE-2017-2462: anonimni istraživač i inicijativa Zero Day (Trend Micro)

Carbon

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjerne datoteke oblika .dfont moglo je doći do izvršavanja proizvoljnog koda

Opis: u obradi datoteka fontova dolazilo je do prekoračenja međuspremnika. Problem je riješen poboljšanom provjerom ograničenja.

CVE-2017-2379: John Villamil, Doyensec, riusksk (泉哥) (Tencentov odjel za sigurnosne platforme)

Jezgrena grafika

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjerne slike moglo se izazvati odbijanje usluge

Opis: neprekidno ponavljanje riješeno je poboljšanim upravljanjem stanjem.

CVE-2017-2417: riusksk (泉哥) (Tencentov odjel za sigurnosne platforme)

Jezgrena grafika

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2444: Mei Wang (360 GearTeam)

Jezgreni tekst

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjerne datoteke fonta moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2435: John Villamil (Doyensec)

Jezgreni tekst

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog fonta mogla se otkriti procesna memorija

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2450: John Villamil (Doyensec)

Jezgreni tekst

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjerne tekstne poruke moglo se izazvati odbijanje usluge

Opis: problem iscrpljivanja resursa riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2461: Isaac Archambault (IDAoADI), anonimni istraživač

Pristup podacima

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: konfiguracija računa za Exchange s pogrešno napisanom e-mail adresom mogla je voditi na neočekivani poslužitelj

Opis: u rukovanju e-mail adresom za Exchange otkriven je problem s provjerom valjanosti ulaznih podataka. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2414: Ilya Nesterov i Maxim Goncharov

Parser za font

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjerne datoteke fonta moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2487: riusksk (泉哥) (Tencentov odjel za sigurnosne platforme)

CVE-2017-2406: riusksk (泉哥) (Tencentov odjel za sigurnosne platforme)

Parser za font

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: parsiranjem zlonamjerne datoteke s fontovima moglo se izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2407: riusksk (泉哥) (Tencentov odjel za sigurnosne platforme)

Parser za font

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog fonta mogla se otkriti procesna memorija

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2439: John Villamil (Doyensec)

HomeKit

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: značajka upravljanja domom mogla se neočekivano pojaviti u kontrolnom centru

Opis: u rukovanju značajkom upravljanja domom otkriven je problem s upravljanjem stanjem. Problem je riješen poboljšanom provjerom valjanosti.

CVE-2017-2434: Suyash Narain (India)

HTTP protokol

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: zlonamjerni HTTP/2 poslužitelj mogao je izazvati nedefinirano ponašanje

Opis: u protokolu nghttp2 starijem od verzije 1.17.0 otkriveno je nekoliko problema. Riješeni su ažuriranjem protokola nghttp2 na verziju 1.17.0.

CVE-2017-2428

Unos ažuriran 28. ožujka 2017.

Ulaz i izlaz slika

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) (KeenLab, Tencent)

Ulaz i izlaz slika

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: prikazom zlonamjerno stvorene JPEG datoteke moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2432: anonimni istraživač i inicijativa Zero Day (Trend Micro)

Ulaz i izlaz slika

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obrada zlonamjerne datoteke mogla je izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2467

Ulaz i izlaz slika

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obrada zlonamjerne slike mogla je izazvati neočekivano zatvaranje aplikacije

Opis: u verzijama programske biblioteke LibTIFF starijima od 4.0.7 otkriveno je čitanje izvan raspona. Taj je problem riješen ažuriranjem biblioteke LibTIFF za ulaz i izlaz slika na verziju 4.0.7.

CVE-2016-3619

iTunes Store

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: napadač s mrežnim ovlastima mogao se uključiti u mrežni promet na servisu iTunes

Opis: zahtjevi za web-servise u memoriji za testiranje servisa iTunes slali su se nešifrirano. Problem je riješen omogućivanjem HTTPS protokola.

CVE-2017-2412: Richard Shupak (linkedin.com/in/rshupak)

JavaScriptCore

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim upravljanjem memorijom.

CVE-2017-2491: Apple

Unos dodan 2. svibnja 2017.

JavaScriptCore

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjerne web-stranice moglo je doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: problem s prototipom riješen je poboljšanjem logike.

CVE-2017-2492: lokihardt (Google Project Zero)

Unos ažuriran 24. travnja 2017.

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2398: Lufeng Li (tim Vulcan, Qihoo 360)

CVE-2017-2401: Lufeng Li (tim Vulcan, Qihoo 360)

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2440: anonimni istraživač

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: uz korijenske ovlasti zlonamjerna aplikacija mogla je izvršiti proizvoljni kod

Opis: uvjet nadvladavanja riješen je poboljšanim rukovanjem memorijom.

CVE-2017-2456: lokihardt (Google Project Zero)

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem je riješen poboljšanim upravljanjem memorijom.

CVE-2017-2472: Ian Beer (Google Project Zero)

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: uz kernelske ovlasti zlonamjerna aplikacija mogla je izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2473: Ian Beer (Google Project Zero)

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s pojavljivanjem pogreške off-by-one riješen je poboljšanom provjerom ograničenja.

CVE-2017-2474: Ian Beer (Google Project Zero)

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: uvjet nadvladavanja riješen je poboljšanim zaključavanjem.

CVE-2017-2478: Ian Beer (Google Project Zero)

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s prekoračenjem međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2017-2482: Ian Beer (Google Project Zero)

CVE-2017-2483: Ian Beer (Google Project Zero)

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: uz dodatne ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-2490: Ian Beer (Google Project Zero), Britanski nacionalni centar za kibernetičku sigurnost (NCSC)

Unos dodan 31. ožujka 2017.

Tipkovnice

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: neke aplikacije mogle su izvršiti proizvoljni kod

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2017-2458: Shashank (@cyberboyIndia)

Privjesak za ključeve

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: napadači koji mogu presresti TLS veze mogli su pristupiti tajnim podacima zaštićenima značajkom iCloud privjesak za ključeve.

Opis: u određenim uvjetima značajka iCloud privjeska za ključeve nije uspijevala provjeriti autentičnost OTR paketa. Problem je riješen poboljšanom provjerom valjanosti.

CVE-2017-2448: Alex Radocea (Longterm Security, Inc.)

Unos ažuriran 30. ožujka 2017.

libarchive

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: lokalni napadač mogao je na proizvoljnim direktorijima promijeniti sistemske dozvole za datoteke

Opis: u rukovanju simboličkim vezama otkriven je problem s provjerom valjanosti. Taj je problem riješen poboljšanom provjerom simboličkih veza.

CVE-2017-2390: Omer Medan (enSilo Ltd)

libc++abi

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: dekodiranjem zlonamjerne C++ aplikacije mogao se izvršiti proizvoljni kod

Opis: problem je riješen poboljšanim upravljanjem memorijom.

CVE-2017-2441

libxslt

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: veći broj slabih točaka u biblioteci libxslt

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2017-5029: Holger Fuhrmannek

Unos dodan 28. ožujka 2017.

Memorijski pretinac

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: osobe s fizičkim pristupom iOS uređaju mogle su čitati memorijski pretinac

Opis: memorijski je pretinac bio šifriran ključem zaštićenim samo hardverskim UID-om. Problem je riješen šifriranjem memorijskog pretinca ključem koji je zaštićen hardverskim UID-om i korisničkom šifrom.

CVE-2017-2399

Telefon

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: aplikacije drugih proizvođača mogle su uspostaviti telefonski poziv bez korisnikove interakcije

Opis: u sustavu iOS otkriven je problem koji je omogućivao pozive bez upita.  Taj je problem riješen slanjem upita korisniku da potvrdi uspostavu poziva.

CVE-2017-2484

Profili

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: napadači su mogli iskoristiti slabe točke kritpografskog algoritma DES

Opis: u SCEP klijent dodana je podrška za 3DES kriptografski algoritam, a DES je odbačen kao zastarjeli.

CVE-2017-2380: anonimni istraživač

Brzi pregled

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: dodirom na poveznicu za telefonski poziv u PDF dokumentu mogao se uspostaviti poziv bez slanja upita korisniku

Opis: u provjeri URL-a za telefonski poziv prije same uspostave poziva otkriven je problem. Taj je problem riješen dodavanjem upita za potvrdu.

CVE-2017-2404: Tuan Anh Ngo (Melbourne, Australija), Christoph Nehring

Safari

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: posjetom zlonamjernom web-mjestu moglo se izazvati krivotvorenje adresne trake

Opis: problem s upravljanjem stanjem riješen je onemogućivanjem unosa teksta tijekom učitavanja odredišne stranice.

CVE-2017-2376: anonimni istraživač, Michal Zalewski (Google Inc), Muneaki Nishimura (nishimunea) (Recruit Technologies Co., Ltd.), Chris Hlady (Google Inc), anonimni istraživač, Yuyang Zhou (Tencentov odjel za sigurnosne platforme (security.tencent.com))

Safari

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: lokalni korisnik mogao je otkriti web-mjesta koja je neki korisnik posjetio tijekom privatnog pretraživanja

Opis: u brisanju biblioteke SQLite otkriven je problem. Problem je riješen poboljšanim čišćenjem biblioteke SQLite.

CVE-2017-2384

Safari

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja na proizvoljnim web-mjestima mogli su se pojaviti listovi za provjeru autentičnosti

Opis: u rukovanju provjerom autentičnosti za HTTP otkriven je problem s krivotvorenjem i odbijanjem usluge. Taj je problem riješen nemodalnim listovima za provjeru autentičnosti za HTTP.

CVE-2017-2389: ShenYeYinJiu (Tencentov pozivni centar za sigurnosna pitanja, TSRC)

Safari

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: na zlonamjernom web-mjestu klikom na vezu moglo se krivotvoriti sučelje

Opis: u rukovanju upitima za FaceTime otkriven je problem s krivotvorenjem. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2453: xisigr (Tencentov odjel Xuanwu Lab (tencent.com))

Čitač za Safari

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: omogućivanjem značajke čitača za Safari na zlonamjernoj web-stranici moglo se izazvati unakrsno skriptiranje

Opis: problemi s višestrukom provjerom riješeni su boljim čišćenjem unosa.

CVE-2017-2393: Erling Ellingsen

Kontroler za prikaz u Safariju

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: kada bi korisnik brisao predmemoriju u pregledniku Safari, stanje predmemorije nije se pravilno sinkroniziralo između Safarija i kontrolera za prikaz u Safariju

Opis: u brisanju podataka iz predmemorije preglednika Safari u kontroleru za prikaz u Safariju otkriven je problem.  Taj je problem riješen poboljšanim rukovanjem stanjem predmemorije.

CVE-2017-2400: Abhinav Bansal (Zscaler, Inc.)

Profili s memorijom za testiranje

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: zlonamjerna aplikacija mogla je pristupiti zapisu korisnika prijavljenog na servisu iCloud

Opis: problem s pristupom riješen je dodatnim ograničenjima memorije za testiranje za aplikacije drugih proizvođača.

CVE-2017-6976: George Dan (@theninjaprawn)

Unos dodan 1. kolovoza 2017.

Sigurnost

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: provjera valjanosti uz SecKeyRawVerify() mogla je neočekivano uspjeti

Opis: u kriptografskim API pozivima otkriven je problem s provjerom valjanosti. Problem je riješen poboljšanom provjerom parametara.

CVE-2017-2423: anonimni istraživač

Sigurnost

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: uz korijenske ovlasti aplikacija je mogla izvršiti proizvoljni kod

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2017-2451: Alex Radocea (Longterm Security, Inc.)

Sigurnost

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog certifikata x509 moglo je doći do pokretanja proizvoljnog koda

Opis: u parsiranju certifikata otkriven je problem s oštećenom memorijom. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2485: Aleksandar Nikolić (Cisco Talos)

Siri

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: Siri je mogla otkriti sadržaj tekstnih poruka na zaključanom uređaju

Opis: problem s nedovoljnim zaključavanjem riješen je poboljšanim upravljanjem stanjem.

CVE-2017-2452: Hunter Byrnes

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: povlačenjem i ispuštanjem zlonamjerne poveznice moglo je doći do krivotvorenja knjižne oznake ili izvršavanja proizvoljnog koda

Opis: u stvaranju knjižne oznake otkriven je problem s provjerom valjanosti. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2378: xisigr (Tencentov odjel Xuanwu Lab (tencent.com))

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: posjetom zlonamjernom web-mjestu moglo se izazvati krivotvorenje adresne trake

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2017-2486: redrain (light4freedom)

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka

Opis: problem s pristupom prototipu riješen je poboljšanim upravljanjem iznimkama.

CVE-2017-2386: André Bargull

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratrić (Google Project Zero), Zheng Huang (Baidu Security Lab) i inicijativa Zero Day (Trend Micro)

CVE-2017-2455: Ivan Fratrić (Google Project Zero)

CVE-2017-2457: lokihardt (Google Project Zero)

CVE-2017-2459: Ivan Fratrić (Google Project Zero)

CVE-2017-2460: Ivan Fratrić (Google Project Zero)

CVE-2017-2464: Jeonghoon Shin, Natalie Silvanovich (Google Project Zero)

CVE-2017-2465: Zheng Huang i Wei Yuan (Baidu Security Lab)

CVE-2017-2466: Ivan Fratrić (Google Project Zero)

CVE-2017-2468: lokihardt (Google Project Zero)

CVE-2017-2469: lokihardt (Google Project Zero)

CVE-2017-2470: lokihardt (Google Project Zero)

CVE-2017-2476: Ivan Fratrić (Google Project Zero)

CVE-2017-2481: 0011 i inicijativa Zero Day (Trend Micro)

Unos ažuriran 20. lipnja 2017.

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2017-2415: Kai Kang (Tencentov odjel Xuanwu Lab (tencent.com))

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja mogao se potaknuti nenametnuti pravilnik o sigurnosti sadržaja

Opis: u pravilniku o sigurnosti sadržaja otkriven je problem s pristupom.  Problem je riješen povećanjem ograničenja pristupa.

CVE-2017-2419: Nicolai Grødum (Cisco Systems)

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do velike potrošnje memorije

Opis: problem s nekontroliranom potrošnjom resursa riješen je poboljšanom obradom regularnih izraza.

CVE-2016-9643: Gustavo Grieco

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja mogla se otkriti procesna memorija

Opis: u obradi OpenGL shader programa otkriven je problem s otkrivanjem podataka. Taj je problem riješen poboljšanim upravljanjem memorijom.

CVE-2017-2424: Paul Thomson (pomoću GLFuzz alata) (Multicore Programming Group, Imperial College London)

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2433: Apple

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka

Opis: u rukovanju učitavanjem stranice otkriveno je više problema s provjerom valjanosti. Problem je riješen poboljšanom logikom.

CVE-2017-2364: lokihardt (Google Project Zero)

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore podataka

Opis: u rukovanju učitavanjem stranice otkriven je problem s provjerom valjanosti. Problem je riješen poboljšanom logikom.

CVE-2017-2367: lokihardt (Google Project Zero)

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: u rukovanju objektima okvira pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2017-2445: lokihardt (Google Project Zero)

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: u rukovanju funkcijama u strogom načinu pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2017-2446: Natalie Silvanovich (Google Project Zero)

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: posjetom zlonamjernom web-mjestu mogli su se ugroziti korisnički podaci

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-2447: Natalie Silvanovich (Google Project Zero)

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2017-2463: Kai Kang (4B5F5F4B) (Tencentov odjel Xuanwu Lab (tencent.com)) i inicijativa Zero Day (Trend Micro)

Unos dodan 28. ožujka 2017.

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim upravljanjem memorijom.

CVE-2017-2471: Ivan Fratrić (Google Project Zero)

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: u rukovanju okvirima pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2017-2475: lokihardt (Google Project Zero)

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka

Opis: u rukovanju elementima pojavio se problem s provjerom valjanosti. Problem je riješen poboljšanom provjerom valjanosti.

CVE-2017-2479: lokihardt (Google Project Zero)

Unos dodan 28. ožujka 2017.

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka

Opis: u rukovanju elementima pojavio se problem s provjerom valjanosti. Problem je riješen poboljšanom provjerom valjanosti.

CVE-2017-2480: lokihardt (Google Project Zero)

CVE-2017-2493: lokihardt (Google Project Zero)

Unos ažuriran 24. travnja 2017.

Veze za JavaScript u web-kompletu

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka

Opis: u rukovanju učitavanjem stranice otkriveno je više problema s provjerom valjanosti. Problem je riješen poboljšanom logikom.

CVE-2017-2442: lokihardt (Google Project Zero)

Web-inspektor za web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: zatvaranjem prozora tijekom pauziranja u alatu za uklanjanje pogrešaka moglo je doći do neočekivanog zatvaranja aplikacija

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2377: Vicki Pfau

Web-inspektor za web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2405: Apple

Dodatna zahvala

XNU

Na pomoći zahvaljujemo Lufengu Liju i njegovu timu Vulcan iz tvrtke Qihoo 360.

Web-komplet

Na pomoći zahvaljujemo Yosukeu HASEGAWI iz tvrtke Secure Sky Technology Inc.

Safari

Na pomoći zahvaljujemo grupi s foruma Flyin9 (ZhenHui Lee).

Postavke

Na pomoći zahvaljujemo Adiju Sharabaniju i Yairu Amitu iz tvrtke Skycure.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: