Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
iOS 10.3.3
Objavljeno 19. srpnja 2017.
Kontakti
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: udaljeni napadač mogao je izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s prekoračenjem međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7062: Shashank (@cyberboyIndia)
CoreAudio
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjerne datoteke videozapisa moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom granica.
CVE-2017-7008: Yangkang (@dnpushme) (Qihoo 360 Qex Team)
EventKitUI
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: udaljeni napadač mogao je uzrokovati neočekivano zatvaranje aplikacije
Opis: problem iscrpljivanja resursa riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-7007: José Antonio Esteban (@Erratum_) (Sapsi Consultores)
IOUSBFamily
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7009: shrek_wzw (Qihoo 360 Nirvan Team)
Kernel
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: uz sistemske ovlasti aplikacije su mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7022: anonimni istraživač
CVE-2017-7024: anonimni istraživač
CVE-2017-7026: anonimni istraživač
Kernel
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7023: anonimni istraživač
CVE-2017-7025: anonimni istraživač
CVE-2017-7027: anonimni istraživač
CVE-2017-7069: Proteas (Qihoo 360 Nirvan Team)
Kernel
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: aplikacije su mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2017-7028: anonimni istraživač
CVE-2017-7029: anonimni istraživač
libarchive
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: raspakiravanjem zlonamjerne arhive moglo je doći do izvršavanja proizvoljnog koda
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2017-7068: otkrio OSS-Fuzz
libxml2
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: raščlanjivanje zlonamjernog XML dokumenta moglo je dovesti do otkrivanja korisničkih podataka
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2017-7010: Apple
CVE-2017-7013: otkrio OSS-Fuzz
libxpc
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: uz sistemske ovlasti aplikacije su mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7047: Ian Beer (Google Project Zero)
Poruke
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: udaljeni napadač mogao je uzrokovati neočekivano zatvaranje aplikacije
Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7063: Shashank (@cyberboyIndia)
Obavijesti
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obavijesti su se mogle prikazivati na zaključanom zaslonu i kad su onemogućene
Opis: problem sa zaključanim zaslonom riješen je poboljšanim upravljanjem stanjem.
CVE-2017-7058: Beyza Sevinç (Sveučilište Sulejmana Demirela)
Unos ažuriran 28. srpnja 2017.
Safari
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: posjetom zlonamjernom web-mjestu moglo se izazvati krivotvorenje adresne trake
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2017-2517: xisigr (Tencentov odjel Xuanwu Lab (tencent.com))
Ispis iz preglednika Safari
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obrada zlonamjernog web-sadržaja mogla je uzrokovati otvaranje beskonačnog broja dijaloških okvira za ispis
Opis: otkriven je problem zbog kojeg su zlonamjerna ili hakirana web-mjesta mogla prikazivati neograničen broj dijaloških okvira za ispis i navesti korisnika na zaključak da je preglednik zaključan. Problem je riješen ograničenjem dijaloških okvira za ispis.
CVE-2017-7060: Travis Kelley (Mishawaka, Indiana)
Telefonija
Dostupno za: iPhone 5 i noviji te modele iPad uređaja četvrte generacije i novije sa značajkom Wi-Fi + Cellular
Učinak: napadač s mrežnim ovlastima mogao je izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-8248
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore podataka
Opis: obradom zlonamjernog web-sadržaja mogli su se isključiti filtri podataka iz različitih izvora putem SVG filtara i tako provesti tempiran napad iz sporednog kanala. Problem je riješen tako što se međuspremnik za različite izvore više ne unosi u okvir koji se filtrira.
CVE-2017-7006: anonimni istraživač, David Kohlbrenner (UC San Diego)
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: posjetom zlonamjernom web-mjestu moglo se izazvati krivotvorenje adresne trake
Opis: problem s upravljanjem stanjem riješen je poboljšanom obradom okvira.
CVE-2017-7011: xisigr (Tencentov odjel Xuanwu Lab (tencent.com))
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2017-7018: lokihardt (Google Project Zero)
CVE-2017-7020: likemeng (Baidu Security Lab)
CVE-2017-7030: chenqin (Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室))
CVE-2017-7034: chenqin (Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室))
CVE-2017-7037: lokihardt (Google Project Zero)
CVE-2017-7039: Ivan Fratrić (Google Project Zero)
CVE-2017-7040: Ivan Fratrić (Google Project Zero)
CVE-2017-7041: Ivan Fratrić (Google Project Zero)
CVE-2017-7042: Ivan Fratrić (Google Project Zero)
CVE-2017-7043: Ivan Fratrić (Google Project Zero)
CVE-2017-7046: Ivan Fratrić (Google Project Zero)
CVE-2017-7048: Ivan Fratrić (Google Project Zero)
CVE-2017-7052: cc i inicijativa Zero Day (Trend Micro)
CVE-2017-7055: National Cyber Security Centre (NCSC) iz Velike Britanije
CVE-2017-7056: lokihardt (Google Project Zero)
CVE-2017-7061: lokihardt (Google Project Zero)
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja s parserom DOMParser moglo je doći do unakrsnog skriptiranja na više web-mjesta
Opis: u rukovanju parsera DOMParser pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2017-7038: Egor Karbutov (@ShikariSenpai) (Digital Security) i Egor Saltykov (@ansjdnakjdnajkd) (Digital Security), Neil Jenkins (FastMail Pty Ltd)
CVE-2017-7059: Masato Kinugawa i Mario Heiderich (Cure53)
Unos ažuriran 28. srpnja 2017.
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2017-7049: Ivan Fratrić (Google Project Zero)
WebKit
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: aplikacije su mogle čitati ograničenu memoriju
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7064: lokihardt (Google Project Zero)
Učitavanje stranice WebKita
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2017-7019: Zhiyang Zeng (Tencentov odjel za sigurnosne platforme)
Web-inspektor za web-komplet
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2017-7012: Apple
Wi-Fi
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: napadači u dometu mogli su na čipu za Wi-Fi pokrenuti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7065: Gal Beniamini (Google Project Zero)
Unos dodan 25. rujna 2017.
Wi-Fi
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: napadači u dometu Wi-Fi veze mogli su na čipu za Wi-Fi prouzročiti odbijanje pružanja usluge
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2017-7066: Gal Beniamini (Google Project Zero)
Unos dodan 26. rujna 2017.
Wi-Fi
Dostupno za: iPhone 5 i noviji, iPad četvrte generacije i noviji, iPod touch šeste generacije i noviji
Učinak: napadači u dometu mogli su na čipu za Wi-Fi pokrenuti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-9417: Nitay Artenstein (Exodus Intelligence)