Informacije o sigurnosnom sadržaju sustava iOS 10.3.2

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 10.3.2.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

iOS 10.3.2

Izdano 15. svibnja 2017.

AVEVideoEncoder

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: aplikacije su mogle dobiti kernelske ovlasti

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2017-6989: Adam Donenfeld (@doadam) (Zimperium zLabs Team)

CVE-2017-6994: Adam Donenfeld (@doadam) (Zimperium zLabs Team)

CVE-2017-6995: Adam Donenfeld (@doadam) (Zimperium zLabs Team)

CVE-2017-6996: Adam Donenfeld (@doadam) (Zimperium zLabs Team)

CVE-2017-6997: Adam Donenfeld (@doadam) (Zimperium zLabs Team)

CVE-2017-6998: Adam Donenfeld (@doadam) (Zimperium zLabs Team)

CVE-2017-6999: Adam Donenfeld (@doadam) (Zimperium zLabs Team)

Unos ažuriran 17. svibnja 2017.

CoreAudio

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: aplikacije su mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2017-2502: Yangkang (@dnpushme) (Qihoo360 Qex Team)

CoreFoundation

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: parsiranjem zlonamjernih podataka moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-2522: Ian Beer (Google Project Zero)

Unos dodan 19. svibnja 2017.

Jezgreni tekst

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjerne datoteke fonta može doći do neočekivanog zatvaranja aplikacije

Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti.

CVE-2017-7003: Jake Davis (SPYSCAPE (@DoubleJake)), João Henrique Neves i Stephen Goldberg (Salesforce)

Unos dodan 7. lipnja 2017.

Osnove

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: parsiranjem zlonamjernih podataka moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-2523: Ian Beer (Google Project Zero)

Unos dodan 19. svibnja 2017.

iBooks

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: zlonamjerna knjiga mogla je otvarati proizvoljna web-mjesta bez dopuštenja korisnika

Opis: problem s rukovanjem URL-ovima riješen je poboljšanim upravljanjem stanjem.

CVE-2017-2497: Jun Kokatsu (@shhnjk)

iBooks

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: uz korijenske ovlasti aplikacija je mogla izvršiti proizvoljni kod

Opis: u logici za provjeru valjanosti puta za simboličke linkove otkriven je problem. Taj je problem riješen poboljšanim čišćenjem puta.

CVE-2017-6981: evi1m0 (YSRC) (sec.ly.com)

IOSurface

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: aplikacije su mogle dobiti kernelske ovlasti

Opis: uvjet nadvladavanja riješen je poboljšanim zaključavanjem.

CVE-2017-6979: Adam Donenfeld (@doadam) (Zimperium zLabs Team)

Unos ažuriran 17. svibnja 2017.

JavaScriptCore

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do neočekivanog zatvaranja aplikacije ili pokretanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2017-7005: lokihardt (Google Project Zero)

Unos dodan 9. lipnja 2017.

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: uvjet nadvladavanja riješen je poboljšanim zaključavanjem.

CVE-2017-2501: Ian Beer (Google Project Zero)

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: aplikacije su mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2017-2507: Ian Beer (Google Project Zero)

CVE-2017-6987: Patrick Wardle (Synack)

Obavijesti

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: aplikacije su mogle prouzročiti odbijanje usluge

Opis: problem s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.

CVE-2017-6982: Vincent Desmurs (vincedes3), Sem Voigtlander (OxFEEDFACE) i Joseph Shenton (CoffeeBreakers)

Safari

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: posjetom zlonamjernoj web-stranici moglo se izazvati odbijanje usluge u aplikaciji

Opis: problem s izbornikom povijesti u pregledniku Safari riješen je poboljšanim upravljanjem memorijom.

CVE-2017-2495: Tubasa Iinuma (@llamakko_cafe) (Gehirn Inc.)

Sigurnost

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: ažuriranje pravilnika o pouzdanosti certifikata

Opis: u rukovanju nepouzdanim certifikatima otkriven je problem s provjerom valjanosti certifikata. Problem je riješen poboljšanjem korisničkog upravljanja prihvaćanjem pouzdanosti.

CVE-2017-2498: Andrew Jerman

Sigurnost

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: lokalna aplikacija mogla je bez dozvole slati XPC poruke s ovlastima

Opis: uvjet nadvladavanja riješen je poboljšanim provjerama dosljednosti.

CVE-2017-7004: Ian Beer (Google Project Zero)

Unos dodan 8. lipnja 2017.

SQLite

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: zlonamjerni SQL upit mogao je dovesti do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim upravljanjem memorijom.

CVE-2017-2513: otkrio OSS-Fuzz

SQLite

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: zlonamjerni SQL upit mogao je dovesti do izvršavanja proizvoljnog koda

Opis: problem s prekoračenjem međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2017-2518: otkrio OSS-Fuzz

CVE-2017-2520: otkrio OSS-Fuzz

SQLite

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: zlonamjerni SQL upit mogao je dovesti do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-2519: otkrio OSS-Fuzz

SQLite

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-6983: Chaitin Security Research Lab (@ChaitinTech) i inicijativa Zero Day (Trend Micro)

CVE-2017-6991: Chaitin Security Research Lab (@ChaitinTech) i inicijativa Zero Day (Trend Micro)

CVE-2017-7000: Chaitin Security Research Lab (@ChaitinTech) i inicijativa Zero Day (Trend Micro)

CVE-2017-7001: Chaitin Security Research Lab (@ChaitinTech) i inicijativa Zero Day (Trend Micro)

CVE-2017-7002: Chaitin Security Research Lab (@ChaitinTech) i inicijativa Zero Day (Trend Micro)

Unos ažuriran 24. svibnja 2017.

TextInput

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: parsiranjem zlonamjernih podataka moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-2524: Ian Beer (Google Project Zero)

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2017-2496: Apple

CVE-2017-2505: lokihardt (Google Project Zero)

CVE-2017-2506: Zheng Huang (Baidu Security Lab) i inicijativa Zero Day (Trend Micro)

CVE-2017-2514: lokihardt (Google Project Zero)

CVE-2017-2515: lokihardt (Google Project Zero)

CVE-2017-2521: lokihardt (Google Project Zero)

CVE-2017-2525: Kai Kang (4B5F5F4B) (Tencentov odjel Xuanwu Lab (tencent.com)) i inicijativa Zero Day (Trend Micro)

CVE-2017-2526: Kai Kang (4B5F5F4B) (Tencentov odjel Xuanwu Lab (tencent.com)) i inicijativa Zero Day (Trend Micro)

CVE-2017-2530: Wei Yuan (Baidu Security Lab), Zheng Huang (Baidu Security Lab) i inicijativa Zero Day (Trend Micro)

CVE-2017-2531: lokihardt (Google Project Zero)

CVE-2017-2538: Richard Zhu (fluorescence) i inicijativa Zero Day (Trend Micro)

CVE-2017-2539: Richard Zhu (fluorescence) i inicijativa Zero Day (Trend Micro)

CVE-2017-2544: 360 Security (@mj0011sec) i inicijativa Zero Day (Trend Micro)

CVE-2017-2547: lokihardt (Google Project Zero), Team Sniper (Keen Lab i PC Mgr) i inicijativa Zero Day (Trend Micro)

CVE-2017-6980: lokihardt (Google Project Zero)

CVE-2017-6984: lokihardt (Google Project Zero)

Unos ažuriran 20. lipnja 2017.

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: u rukovanju naredbama alata za uređivanje web-kompleta pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2017-2504: lokihardt (Google Project Zero)

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: u rukovanju čvorovima sa spremnicima web-kompleta pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2017-2508: lokihardt (Google Project Zero)

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: u rukovanju događajima prikaza stranice pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2017-2510: lokihardt (Google Project Zero)

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: u rukovanju okvirima u predmemoriji u web-kompletu pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2017-2528: lokihardt (Google Project Zero)

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2017-2536: Samuel Groß, Niklas Baumstark i inicijativa Zero Day (Trend Micro)

Web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: u učitavanju okvira pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2017-2549: lokihardt (Google Project Zero)

Web-inspektor za web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: aplikacije su mogle izvršiti nepotpisani kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-2499: George Dan (@theninjaprawn)

Dodatna zahvala

Kernel

Na pomoći zahvaljujemo tvrtki Orr A. tvrtke Aleph Research, HCL Technologies.

Safari

Na pomoći zahvaljujemo grupi s foruma Flyin9_L (ZhenHui Lee) (@ACITSEC).

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: