O sigurnosnom sadržaju sustava iOS 10.3
U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 10.3.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
iOS 10.3
Računi
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: korisnik je mogao vidjeti Apple ID na zaključanom zaslonu
Opis: problem s upravljanjem upitima riješen je uklanjanjem upita za provjeru autentičnosti za iCloud sa zaključanog zaslona.
CVE-2017-2397: Suprovici Vadim (tim UniApps), anonimni istraživač
Zvuk
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2430: anonimni istraživač i inicijativa Zero Day (Trend Micro)
CVE-2017-2462: anonimni istraživač i inicijativa Zero Day (Trend Micro)
Carbon
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjerne datoteke oblika .dfont moglo je doći do izvršavanja proizvoljnog koda
Opis: u obradi datoteka fontova dolazilo je do prekoračenja međuspremnika. Problem je riješen poboljšanom provjerom ograničenja.
CVE-2017-2379: John Villamil, Doyensec, riusksk (泉哥) (Tencentov odjel za sigurnosne platforme)
Jezgrena grafika
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obrada zlonamjerne slike može izazvati odbijanje usluge
Opis: neprekidno ponavljanje riješeno je poboljšanim upravljanjem stanjem.
CVE-2017-2417: riusksk (泉哥) (Tencentov odjel za sigurnosne platforme)
Jezgrena grafika
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2444: Mei Wang (360 GearTeam)
Jezgreni tekst
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjerne datoteke fonta moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2435: John Villamil (Doyensec)
Jezgreni tekst
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2450: John Villamil (Doyensec)
Jezgreni tekst
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjerne tekstne poruke može se izazvati odbijanje usluge aplikacije
Opis: problem iscrpljivanja resursa riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2461: Isaac Archambault (IDAoADI), anonimni istraživač
Pristup podacima
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: konfiguracija računa za Exchange s pogrešno napisanom e-mail adresom mogla je voditi na neočekivani poslužitelj
Opis: u rukovanju e-mail adresom za Exchange otkriven je problem s provjerom valjanosti ulaznih podataka. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2414: Ilya Nesterov i Maxim Goncharov
Parser za font
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjerne datoteke fonta moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2487: riusksk (泉哥) (Tencentov odjel za sigurnosne platforme)
CVE-2017-2406: riusksk (泉哥) (Tencentov odjel za sigurnosne platforme)
Parser za font
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: parsiranjem zlonamjerne datoteke s fontovima moglo se izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2407: riusksk (泉哥) (Tencentov odjel za sigurnosne platforme)
Parser za font
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2439: John Villamil (Doyensec)
HomeKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: značajka upravljanja domom mogla se neočekivano pojaviti u kontrolnom centru
Opis: u rukovanju značajkom upravljanja domom otkriven je problem s upravljanjem stanjem. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2017-2434: Suyash Narain (India)
HTTP protokol
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: zlonamjerni HTTP/2 poslužitelj mogao je izazvati nedefinirano ponašanje
Opis: u protokolu nghttp2 starijem od verzije 1.17.0 otkriveno je nekoliko problema. Riješeni su ažuriranjem protokola nghttp2 na verziju 1.17.0.
CVE-2017-2428
Ulaz i izlaz slika
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) (KeenLab, Tencent)
Ulaz i izlaz slika
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: prikazom zlonamjerno stvorene JPEG datoteke moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2432: anonimni istraživač i inicijativa Zero Day (Trend Micro)
Ulaz i izlaz slika
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obrada zlonamjerne datoteke mogla je izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2467
Ulaz i izlaz slika
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obrada zlonamjerne slike mogla je izazvati neočekivano zatvaranje aplikacije
Opis: u verzijama programske medijateke LibTIFF starijima od 4.0.7 otkriveno je čitanje izvan raspona. Taj je problem riješen ažuriranjem medijateke LibTIFF za ulaz i izlaz slika na verziju 4.0.7.
CVE-2016-3619
iTunes Store
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: napadač s mrežnim ovlastima mogao se uključiti u mrežni promet na servisu iTunes
Opis: zahtjevi za web-servise u memoriji za testiranje servisa iTunes slali su se nešifrirano. Problem je riješen omogućivanjem HTTPS protokola.
CVE-2017-2412: Richard Shupak (linkedin.com/in/rshupak)
JavaScriptCore
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim upravljanjem memorijom.
CVE-2017-2491: Apple
JavaScriptCore
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjerne web-stranice moglo je doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: problem s prototipom riješen je poboljšanjem logike.
CVE-2017-2492: lokihardt (Google Project Zero)
Kernel
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: uz kernelske ovlasti neka aplikacija mogla bi izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2398: Lufeng Li (tim Vulcan, Qihoo 360)
CVE-2017-2401: Lufeng Li (tim Vulcan, Qihoo 360)
Kernel
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: uz kernelske ovlasti neka aplikacija mogla bi izvršiti proizvoljni kod
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2440: anonimni istraživač
Kernel
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: uz korijenske ovlasti zlonamjerna aplikacija mogla je izvršiti proizvoljni kod
Opis: uvjet nadvladavanja riješen je poboljšanim rukovanjem memorijom.
CVE-2017-2456: lokihardt (Google Project Zero)
Kernel
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: uz kernelske ovlasti neka aplikacija mogla bi izvršiti proizvoljni kod
Opis: problem je riješen poboljšanim upravljanjem memorijom.
CVE-2017-2472: Ian Beer (Google Project Zero)
Kernel
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: uz kernelske ovlasti zlonamjerna aplikacija može izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2473: Ian Beer (Google Project Zero)
Kernel
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: uz kernelske ovlasti neka aplikacija mogla bi izvršiti proizvoljni kod
Opis: problem s pojavljivanjem pogreške off-by-one riješen je poboljšanom provjerom ograničenja.
CVE-2017-2474: Ian Beer (Google Project Zero)
Kernel
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: uz kernelske ovlasti neka aplikacija mogla bi izvršiti proizvoljni kod
Opis: uvjet nadvladavanja riješen je poboljšanim zaključavanjem.
CVE-2017-2478: Ian Beer (Google Project Zero)
Kernel
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: uz kernelske ovlasti neka aplikacija mogla bi izvršiti proizvoljni kod
Opis: problem s prekoračenjem međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2017-2482: Ian Beer (Google Project Zero)
CVE-2017-2483: Ian Beer (Google Project Zero)
Kernel
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: uz dodatne ovlasti aplikacija može izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-2490: Ian Beer (Google Project Zero), Britanski nacionalni centar za kibernetičku sigurnost (NCSC)
Tipkovnice
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: neke aplikacije mogle su izvršiti proizvoljni kod
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2017-2458: Shashank (@cyberboyIndia)
Privjesak za ključeve
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: napadači koji mogu presresti TLS veze mogli su pristupiti tajnim podacima zaštićenima značajkom iCloud privjesak ključeva.
Opis: u određenim uvjetima značajka iCloud privjeska ključeva nije uspijevala provjeriti autentičnost OTR paketa. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2017-2448: Alex Radocea (Longterm Security, Inc.)
libarchive
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: lokalni napadač mogao je na proizvoljnim direktorijima promijeniti sistemske dozvole za datoteke
Opis: postojao je problem s provjerom valjanosti prilikom rukovanja simboličkim vezama. Taj je problem riješen poboljšanom provjerom simboličkih veza.
CVE-2017-2390: Omer Medan (enSilo Ltd)
libc++abi
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: dekodiranjem zlonamjerne C++ aplikacije mogao se izvršiti proizvoljni kod
Opis: problem je riješen poboljšanim upravljanjem memorijom.
CVE-2017-2441
libxslt
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: veći broj slabih točaka u medijateci libxslt
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2017-5029: Holger Fuhrmannek
Memorijski pretinac
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: osobe s fizičkim pristupom iOS uređaju mogle su čitati memorijski pretinac
Opis: memorijski je pretinac bio šifriran ključem zaštićenim samo hardverskim UID-om. Problem je riješen šifriranjem memorijskog pretinca ključem koji je zaštićen hardverskim UID-om i korisničkom šifrom.
CVE-2017-2399
Telefon
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: aplikacije drugih proizvođača mogle su uspostaviti telefonski poziv bez korisnikove interakcije
Opis: u sustavu iOS otkriven je problem koji je omogućivao pozive bez upita. Taj je problem riješen slanjem upita korisniku da potvrdi uspostavu poziva.
CVE-2017-2484
Profili
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: neki napadač mogao bi iskoristiti slabe točke kriptografskog algoritma DES
Opis: u SCEP klijent dodana je podrška za 3DES kriptografski algoritam, a DES je odbačen kao zastarjeli.
CVE-2017-2380: anonimni istraživač
Brzi pregled
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: dodirom na vezu za telefonski poziv u PDF dokumentu mogao bi se uspostaviti poziv bez slanja upita korisniku
Opis: u provjeri URL-a za telefonski poziv prije same uspostave poziva otkriven je problem. Taj je problem riješen dodavanjem upita za potvrdu.
CVE-2017-2404: Tuan Anh Ngo (Melbourne, Australija), Christoph Nehring
Safari
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake
Opis: problem s upravljanjem stanjem riješen je onemogućivanjem unosa teksta tijekom učitavanja odredišne stranice.
CVE-2017-2376: anonimni istraživač, Michal Zalewski (Google Inc), Muneaki Nishimura (nishimunea) (Recruit Technologies Co., Ltd.), Chris Hlady (Google Inc), anonimni istraživač, Yuyang Zhou (Tencentov odjel za sigurnosne platforme (security.tencent.com))
Safari
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: lokalni korisnik mogao je otkriti web-mjesta koja je neki korisnik posjetio tijekom privatnog pretraživanja
Opis: u brisanju medijateke SQLite otkriven je problem. Problem je riješen poboljšanim čišćenjem medijateke SQLite.
CVE-2017-2384
Safari
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja na proizvoljnim web-mjestima mogli su se pojaviti listovi za provjeru autentičnosti
Opis: u rukovanju provjerom autentičnosti za HTTP otkriven je problem s krivotvorenjem i odbijanjem usluge. Taj je problem riješen nemodalnim listovima za provjeru autentičnosti za HTTP.
CVE-2017-2389: ShenYeYinJiu (Tencentov pozivni centar za sigurnosna pitanja, TSRC)
Safari
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: na zlonamjernom web-mjestu klikom na vezu moglo se krivotvoriti sučelje
Opis: u rukovanju upitima za FaceTime otkriven je problem s krivotvorenjem. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2453: xisigr (Tencentov odjel Xuanwu Lab (tencent.com))
Čitač za Safari
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: omogućivanjem značajke čitača za Safari na zlonamjernoj web-stranici moglo se izazvati unakrsno skriptiranje
Opis: problemi s višestrukom provjerom riješeni su boljim čišćenjem unosa.
CVE-2017-2393: Erling Ellingsen
Kontroler za prikaz u Safariju
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: kada bi korisnik brisao predmemoriju u pregledniku Safari, stanje predmemorije nije se pravilno sinkroniziralo između Safarija i kontrolera za prikaz u Safariju
Opis: u brisanju podataka iz predmemorije preglednika Safari u kontroleru za prikaz u Safariju otkriven je problem. Taj je problem riješen poboljšanim rukovanjem stanjem predmemorije.
CVE-2017-2400: Abhinav Bansal (Zscaler, Inc.)
Profili s memorijom za testiranje
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: zlonamjerna aplikacija mogla je pristupiti zapisu korisnika prijavljenog na servisu iCloud
Opis: problem s pristupom riješen je dodatnim ograničenjima memorije za testiranje za aplikacije drugih proizvođača.
CVE-2017-6976: George Dan (@theninjaprawn)
Sigurnost
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: provjera valjanosti uz SecKeyRawVerify() mogla je neočekivano uspjeti
Opis: u kriptografskim API pozivima otkriven je problem s provjerom valjanosti. Problem je riješen poboljšanom provjerom parametara.
CVE-2017-2423: anonimni istraživač
Sigurnost
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: uz korijenske ovlasti aplikacija je mogla izvršiti proizvoljni kod
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2017-2451: Alex Radocea (Longterm Security, Inc.)
Sigurnost
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog certifikata x509 moglo je doći do pokretanja proizvoljnog koda
Opis: u parsiranju certifikata otkriven je problem s oštećenom memorijom. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2485: Aleksandar Nikolić (Cisco Talos)
Siri
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: Siri je mogla otkriti sadržaj tekstnih poruka na zaključanom uređaju
Opis: problem s nedovoljnim zaključavanjem riješen je poboljšanim upravljanjem stanjem.
CVE-2017-2452: Hunter Byrnes
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: povlačenje i ispuštanje zlonamjerne veze moglo bi dovesti do krivotvorene knjižne oznake ili izvršavanja proizvoljnog koda
Opis: u stvaranju knjižne oznake otkriven je problem s provjerom valjanosti. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2378: xisigr (Tencentov odjel Xuanwu Lab (tencent.com))
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2017-2486: redrain (light4freedom)
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka
Opis: problem s pristupom prototipu riješen je poboljšanim upravljanjem iznimkama.
CVE-2017-2386: André Bargull
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2394: Apple
CVE-2017-2396: Apple
CVE-2016-9642: Gustavo Grieco
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2017-2395: Apple
CVE-2017-2454: Ivan Fratrić (Google Project Zero), Zheng Huang (Baidu Security Lab) u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2017-2455: Ivan Fratrić (Google Project Zero)
CVE-2017-2457: lokihardt (Google Project Zero)
CVE-2017-2459: Ivan Fratrić (Google Project Zero)
CVE-2017-2460: Ivan Fratrić (Google Project Zero)
CVE-2017-2464: Jeonghoon Shin, natashenka (Google Project Zero)
CVE-2017-2465: Zheng Huang i Wei Yuan (Baidu Security Lab)
CVE-2017-2466: Ivan Fratrić (Google Project Zero)
CVE-2017-2468: lokihardt (Google Project Zero)
CVE-2017-2469: lokihardt (Google Project Zero)
CVE-2017-2470: lokihardt (Google Project Zero)
CVE-2017-2476: Ivan Fratrić (Google Project Zero)
CVE-2017-2481: 0011 i inicijativa Zero Day (Trend Micro)
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.
CVE-2017-2415: Kai Kang (Tencentov odjel Xuanwu Lab (tencent.com))
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja mogao se potaknuti nenametnuti pravilnik o sigurnosti sadržaja
Opis: u pravilniku o sigurnosti sadržaja otkriven je problem s pristupom. Problem je riješen povećanjem ograničenja pristupa.
CVE-2017-2419: Nicolai Grødum (Cisco Systems)
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do velike potrošnje memorije
Opis: problem s nekontroliranom potrošnjom resursa riješen je poboljšanom obradom regularnih izraza.
CVE-2016-9643: Gustavo Grieco
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja može se otkriti procesna memorija
Opis: u obradi OpenGL shader programa otkriven je problem s otkrivanjem podataka. Taj je problem riješen poboljšanim upravljanjem memorijom.
CVE-2017-2424: Paul Thomson (pomoću GLFuzz alata) (Multicore Programming Group, Imperial College London)
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2433: Apple
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka
Opis: u rukovanju učitavanjem stranice otkriveno je više problema s provjerom valjanosti. Problem je riješen poboljšanom logikom.
CVE-2017-2364: lokihardt (Google Project Zero)
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore podataka
Opis: u rukovanju učitavanjem stranice otkriven je problem s provjerom valjanosti. Problem je riješen poboljšanom logikom.
CVE-2017-2367: lokihardt (Google Project Zero)
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: u rukovanju objektima okvira pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2017-2445: lokihardt (Google Project Zero)
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: u rukovanju funkcijama u strogom načinu pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2017-2446: natashenka (Google Project Zero)
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: posjetom zlonamjernom web-mjestu mogli su se ugroziti korisnički podaci
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-2447: natashenka (Google Project Zero)
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2017-2463: Kai Kang (4B5F5F4B) (Tencentov odjel Xuanwu Lab (tencent.com)) i inicijativa Zero Day (Trend Micro)
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim upravljanjem memorijom.
CVE-2017-2471: Ivan Fratrić (Google Project Zero)
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: u rukovanju okvirima pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2017-2475: lokihardt (Google Project Zero)
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka
Opis: u rukovanju elementima pojavio se problem s provjerom valjanosti. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2017-2479: lokihardt (Google Project Zero)
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka
Opis: u rukovanju elementima pojavio se problem s provjerom valjanosti. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2017-2480: lokihardt (Google Project Zero)
CVE-2017-2493: lokihardt (Google Project Zero)
Veze za JavaScript u web-kompletu
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka
Opis: u rukovanju učitavanjem stranice otkriveno je više problema s provjerom valjanosti. Problem je riješen poboljšanom logikom.
CVE-2017-2442: lokihardt (Google Project Zero)
Web-inspektor za WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: zatvaranjem prozora tijekom pauziranja u alatu za uklanjanje pogrešaka moglo je doći do neočekivanog zatvaranja aplikacija
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2377: Vicki Pfau
Web-inspektor za WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2405: Apple
Dodatna zahvala
XNU
Na pomoći zahvaljujemo Lufengu Liju i njegovu timu Vulcan iz tvrtke Qihoo 360.
WebKit
Na pomoći zahvaljujemo Yosukeu HASEGAWI iz tvrtke Secure Sky Technology Inc.
Safari
Na pomoći zahvaljujemo grupi s foruma Flyin9 (ZhenHui Lee).
Postavke
Na pomoći zahvaljujemo Adiju Sharabaniju i Yairu Amitu iz tvrtke Skycure.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.