Informacije o sigurnosnom sadržaju sustava iOS 10.3.3

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 10.3.3.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

iOS 10.3.3

Objavljeno 19. srpnja 2017.

Kontakti

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: udaljeni napadač mogao je izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s prekoračenjem međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2017-7062: Shashank (@cyberboyIndia)

CoreAudio

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjerne datoteke videozapisa moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom granica.

CVE-2017-7008: Yangkang (@dnpushme) (Qihoo 360 Qex Team)

EventKitUI

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji 

Učinak: udaljeni napadač mogao je uzrokovati neočekivano zatvaranje aplikacije

Opis: problem iscrpljivanja resursa riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-7007: José Antonio Esteban (@Erratum_) (Sapsi Consultores)

IOUSBFamily

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-7009: shrek_wzw (Qihoo 360 Nirvan Team)

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji 

Učinak: uz sistemske ovlasti aplikacije su mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-7022: anonimni istraživač

CVE-2017-7024: anonimni istraživač

CVE-2017-7026: anonimni istraživač

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji 

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-7023: anonimni istraživač

CVE-2017-7025: anonimni istraživač

CVE-2017-7027: anonimni istraživač

CVE-2017-7069: Proteas (Qihoo 360 Nirvan Team)

Kernel

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: aplikacije su mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2017-7028: anonimni istraživač

CVE-2017-7029: anonimni istraživač

libarchive

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: raspakiravanjem zlonamjerne arhive moglo je doći do izvršavanja proizvoljnog koda

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2017-7068: otkrio OSS-Fuzz

libxml2

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji 

Učinak: raščlanjivanje zlonamjernog XML dokumenta moglo je dovesti do otkrivanja korisničkih podataka

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2017-7010: Apple

CVE-2017-7013: otkrio OSS-Fuzz

libxpc

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: uz sistemske ovlasti aplikacije su mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-7047: Ian Beer (Google Project Zero)

Poruke

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji 

Učinak: udaljeni napadač mogao je uzrokovati neočekivano zatvaranje aplikacije

Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-7063: Shashank (@cyberboyIndia)

Obavijesti

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obavijesti su se mogle prikazivati na zaključanom zaslonu i kad su onemogućene

Opis: problem sa zaključanim zaslonom riješen je poboljšanim upravljanjem stanjem.

CVE-2017-7058: Beyza Sevinç (Sveučilište Sulejmana Demirela)

Unos ažuriran 28. srpnja 2017.

Safari

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: posjetom zlonamjernom web-mjestu moglo se izazvati krivotvorenje adresne trake

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2017-2517: xisigr (Tencentov odjel Xuanwu Lab (tencent.com))

Ispis iz preglednika Safari

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji 

Učinak: obrada zlonamjernog web-sadržaja mogla je uzrokovati otvaranje beskonačnog broja dijaloških okvira za ispis

Opis: otkriven je problem zbog kojeg su zlonamjerna ili hakirana web-mjesta mogla prikazivati neograničen broj dijaloških okvira za ispis i navesti korisnika na zaključak da je preglednik zaključan. Problem je riješen ograničenjem dijaloških okvira za ispis.

CVE-2017-7060: Travis Kelley (Mishawaka, Indiana)

Telefonija

Dostupno za: iPhone 5 i noviji te modele iPad uređaja četvrte generacije i novije sa značajkom Wi-Fi + Cellular

Učinak: napadač s mrežnim ovlastima mogao je izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-8248

WebKit

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore podataka

Opis: obradom zlonamjernog web-sadržaja mogli su se isključiti filtri podataka iz različitih izvora putem SVG filtara i tako provesti tempiran napad iz sporednog kanala. Problem je riješen tako što se međuspremnik za različite izvore više ne unosi u okvir koji se filtrira.

CVE-2017-7006: anonimni istraživač, David Kohlbrenner (UC San Diego)

WebKit

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: posjetom zlonamjernom web-mjestu moglo se izazvati krivotvorenje adresne trake

Opis: problem s upravljanjem stanjem riješen je poboljšanom obradom okvira.

CVE-2017-7011: xisigr (Tencentov odjel Xuanwu Lab (tencent.com))

WebKit

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji 

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2017-7018: lokihardt (Google Project Zero)

CVE-2017-7020: likemeng (Baidu Security Lab)

CVE-2017-7030: chenqin (Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室))

CVE-2017-7034: chenqin (Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室))

CVE-2017-7037: lokihardt (Google Project Zero)

CVE-2017-7039: Ivan Fratrić (Google Project Zero)

CVE-2017-7040: Ivan Fratrić (Google Project Zero)

CVE-2017-7041: Ivan Fratrić (Google Project Zero)

CVE-2017-7042: Ivan Fratrić (Google Project Zero)

CVE-2017-7043: Ivan Fratrić (Google Project Zero)

CVE-2017-7046: Ivan Fratrić (Google Project Zero)

CVE-2017-7048: Ivan Fratrić (Google Project Zero)

CVE-2017-7052: cc i inicijativa Zero Day (Trend Micro)

CVE-2017-7055: National Cyber Security Centre (NCSC) iz Velike Britanije

CVE-2017-7056: lokihardt (Google Project Zero)

CVE-2017-7061: lokihardt (Google Project Zero)

WebKit

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja s parserom DOMParser moglo je doći do unakrsnog skriptiranja na više web-mjesta

Opis: u rukovanju parsera DOMParser pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2017-7038: Egor Karbutov (@ShikariSenpai) (Digital Security) i Egor Saltykov (@ansjdnakjdnajkd) (Digital Security), Neil Jenkins (FastMail Pty Ltd)

CVE-2017-7059: Masato Kinugawa i Mario Heiderich (Cure53)

Unos ažuriran 28. srpnja 2017.

WebKit

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji 

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2017-7049: Ivan Fratrić (Google Project Zero)

WebKit

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: aplikacije su mogle čitati ograničenu memoriju

Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-7064: lokihardt (Google Project Zero)

Učitavanje stranice WebKita

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji 

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2017-7019: Zhiyang Zeng (Tencentov odjel za sigurnosne platforme)

Web-inspektor za web-komplet

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji 

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2017-7012: Apple

Wi-Fi

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: napadači u dometu mogli su na čipu za Wi-Fi pokrenuti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-7065: Gal Beniamini (Google Project Zero)

Unos dodan 25. rujna 2017.

Wi-Fi

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: napadači u dometu Wi-Fi veze mogli su na čipu za Wi-Fi prouzročiti odbijanje pružanja usluge

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2017-7066: Gal Beniamini (Google Project Zero)

Unos dodan 26. rujna 2017.

Wi-Fi

Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji

Učinak: napadači u dometu mogli su na čipu za Wi-Fi pokrenuti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-9417: Nitay Artenstein (Exodus Intelligence)

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: