Informacije o sigurnosnom sadržaju sustava iOS 11

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 11.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

iOS 11

Izdano 19. rujna 2017.

802.1X

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: napadači su mogli iskoristiti slabe točke u TLS-u 1.0

Opis: problem sa sigurnošću protokola riješen je tako da su omogućeni TLS 1.1 i TLS 1.2.

CVE-2017-13832: Doug Wussler (Florida State University)

Unos je dodan 31. listopada 2017. i ažuriran 10. studenog 2017.

Bluetooth

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: neke aplikacije mogle su pristupiti datotekama s ograničenjima

Opis: u postupku obrade kartica kontakata otkriven je problem sa zaštitom privatnosti. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2017-7131: Dominik Conrads (Američki savezni ured za informatičku sigurnost), anonimni istraživač, Anand Kathapurkar (Indija), Elvis (@elvisimprsntr)

Unos je ažuriran 9. listopada 2017.

CFNetwork

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13829: Niklas Baumstark i Samuel Gro u suradnji s inicijativom Zero Day (Trend Micro) 

CVE-2017-13833: Niklas Baumstark i Samuel Gro u suradnji s inicijativom Zero Day (Trend Micro) 

Unos je dodan 10. studenog 2017.

CFNetwork proxyji

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: napadači s mrežnim ovlastima mogli su izazvati odbijanje usluge

Opis: veći broj problema s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.

CVE-2017-7083: Abhinav Bansal (Zscaler Inc.)

Unos dodan 25. rujna 2017.

CFString

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2017-13821: Australski centar za kibernetičku sigurnost – Australska obavještajna agencija za informacijsku sigurnost

Unos dodan 31. listopada 2017.

CoreAudio

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: čitanje ograničene memorije riješeno je ažuriranjem na Opus verzije 1.1.4.

CVE-2017-0381: V.E.O ((@VYSEa), istraživački tim za mobilne prijetnje (Trend Micro))

Unos dodan 25. rujna 2017.

Jezgreni tekst

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: obradom zlonamjerne datoteke fonta moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13825: Australski centar za kibernetičku sigurnost – Australska obavještajna agencija za informacijsku sigurnost

Unos dodan 31. listopada 2017.

Exchange ActiveSync

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: tijekom postavljanja računa za Exchange napadači s mrežnim ovlastima mogu izbrisati uređaj

Opis: na servisu AutoDiscover V1 otkriven je problem s provjerom valjanosti.  Taj je problem riješen zahtjevom za TLS za AutoDiscover V1. AutoDiscover V2 sada je podržan.

CVE-2017-7088: Ilya Nesterov, Maxim Goncharov

datoteka

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: veći broj problema u datoteci

Opis: veći broj problema riješen je ažuriranjem na verziju 5.31.

CVE-2017-13815

Unos dodan 31. listopada 2017.

Fontovi

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: obrada teksta iz nepouzdanog izvora mogla je dovesti do lažnog predstavljanja

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2017-13828: Leonard Grey i Robert Sesek (Google Chrome)

Unos je dodan 31. listopada 2017. i ažuriran 10. studenog 2017.

Heimdal

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: napadači s mrežnim ovlastima mogli su na servisima preuzeti tuđi identitet

Opis: u rukovanju KDC-REP nazivom servisa otkriven je problem s provjerom valjanosti. Problem je riješen poboljšanom provjerom valjanosti.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni i Nico Williams

Unos dodan 25. rujna 2017.

HFS

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13830: Sergej Schumilo (sveučilište Ruhr-Universität Bochum)

Unos dodan 31. listopada 2017.

iBooks

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: parsiranjem zlonamjerno stvorene iBooks datoteke može doći do trajnog odbijanja usluge

Opis: veći broj problema s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.

CVE-2017-7072: Jędrzej Krysztofiak

Ulaz i izlaz slika

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-13814: Australski centar za kibernetičku sigurnost – Australska obavještajna agencija za informacijsku sigurnost

Unos dodan 31. listopada 2017.

Ulaz i izlaz slika

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: obrada zlonamjerne slike može izazvati odbijanje usluge

Opis: u obradi diskovnih slika otkriven je problem s otkrivanjem podataka. Taj je problem riješen poboljšanim upravljanjem memorijom.

CVE-2017-13831: Glen Carmichael

Unos je dodan 31. listopada 2017. i ažuriran 10. studenog 2017.

Kernel

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-7114: Alex Plaskett (MWR InfoSecurity)

Unos dodan 25. rujna 2017.

Kernel

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: lokalni korisnici mogli su čitati kernelsku memoriju

Opis: otkriven je problem s prekoračenjem čitanja, koji je doveo do otkrivanja sadržaja kernelske memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-13817: Maxime Villard (m00nbsd)

Unos dodan 31. listopada 2017.

Kernel

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2017-13818: Britanski nacionalni centar za kibernetičku sigurnost (NCSC)

CVE-2017-13836: anonimni istraživač, anonimni istraživač

CVE-2017-13841: anonimni istraživač

CVE-2017-13840: anonimni istraživač

CVE-2017-13842: anonimni istraživač

Unos je dodan 31. listopada 2017. i ažuriran 14. studenog 2017.

Kernel

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13843: anonimni istraživač, anonimni istraživač

Unos dodan 31. listopada 2017.

Kernel

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13854: shrek_wzw (Qihoo 360 Nirvan Team)

Unos je dodan 2. studenog 2017.

Kernel

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: obradom oštećenog mach binarnog formata moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2017-13834: Maxime Villard (m00nbsd)

Unos je dodan 10. studenog 2017.

Prijedlozi tipkovnice

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: prijedlozi samoispravka na tipkovnici mogli su otkriti osjetljive podatke

Opis: tipkovnica sustava iOS nenamjerno je predmemorirala osjetljive podatke. Problem je riješen poboljšanom heuristikom.

CVE-2017-7140: Agim Allkanjari (Stream in Motion Inc.)

Unos ažuriran 9. listopada 2017.

libarchive

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: raspakiravanjem zlonamjerne arhive moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s prekoračenjem međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13813: otkrio OSS-Fuzz

CVE-2017-13816: otkrio OSS-Fuzz

Unos dodan 31. listopada 2017.

libarchive

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: raspakiravanjem zlonamjerne arhive moglo je doći do izvršavanja proizvoljnog koda

Opis: u biblioteci libarchive otkriven je veći broj problema s neispravnom memorijom. Ti su problemi riješeni poboljšanom provjerom ulaza.

CVE-2017-13812: otkrio OSS-Fuzz

Unos dodan 31. listopada 2017.

libc

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: udaljeni napadači mogli su izazvati odbijanje usluge

Opis: problem s pražnjenjem resursa u entitetu glob() riješen je poboljšanim algoritmom.

CVE-2017-7086: Russ Cox (Google)

Unos dodan 25. rujna 2017.

libc

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: neke su aplikacije mogle izazvati odbijanje usluge

Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-1000373

Unos dodan 25. rujna 2017.

libexpat

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: veći broj problema u biblioteci expat

Opis: veći broj problema riješen je ažuriranjem na verziju 2.2.1

CVE-2016-9063

CVE-2017-9233

Unos dodan 25. rujna 2017.

Lokacijska platforma

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: neke aplikacije mogle su čitati osjetljive podatke o lokaciji

Opis: u rukovanju varijablom lokacije otkriven je problem s dozvolama. Problem je riješen dodatnim provjerama vlasništva.

CVE-2017-7148: Igor Makarov (Moovit), Will McGinty i Shawnna Rodriguez (Bottle Rocket Studios)

Unos ažuriran 9. listopada 2017.

Skice e-mail poruka

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: napadači s mrežnim ovlastima mogli su presresti vjerodajnice za sadržaj

Opis: u rukovanju skicama e-mail poruka otkriven je problem s kriptiranjem. Taj je problem riješen poboljšanim upravljanjem skicama e-mail poruka koje se šalju kriptirane.

CVE-2017-7078: Petter Flink, Pierre ALBARÈDE (Marseille, Francuska), anonimni istraživač

Unos ažuriran 9. listopada 2017.

Mail MessageUI

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: obrada zlonamjerne slike može izazvati odbijanje usluge

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2017-7097: Xinshu Dong i Jun Hao Tan (Anquan Capital)

Poruke

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: obrada zlonamjerne slike može izazvati odbijanje usluge

Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti.

CVE-2017-7118: Kiki Jiang i Jason Tokoph

MobileBackup

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: prilikom izrade sigurnosnih kopija može nastati nekriptirana kopija unatoč zahtjevu da sigurnosne kopije budu kriptirane

Opis: otkriven je problem s dozvolama. Taj je problem riješen poboljšanom provjerom valjanosti dozvola.

CVE-2017-7133: Don Sparks (HackediOS.com)

Napomene

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: lokalni je korisnik mogao otkriti povjerljive podatke o korisniku

Opis: sadržaj zaključanih bilješki ponekad se prikazivao u rezultatima pretraživanja. Taj je problem riješen poboljšanjem čišćenja podataka.

CVE-2017-7075: Richard Will (Marathon Oil Company)

Unos je dodan 10. studenog 2017.

Telefon

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: na zaključanom iOS uređaju mogla je biti stvorena snimka zaslona sa sigurnosnim sadržajem

Opis: u rukovanju zaključavanjem otkriven je problem s mjerenjem vremena. Taj je problem riješen onemogućivanjem snimki zaslona dok je zaslon zaključan.

CVE-2017-7139: anonimni istraživač

Unos je dodan 25. rujna 2017.

Profili

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: zapisi o uparivanju uređaja mogli su nenamjerno biti instalirani na uređaj unatoč tome što je bio instaliran profil koji onemogućuje uparivanje

Opis: uparivanja se nisu uklanjala unatoč instaliranom profilu za onemogućivanje uparivanja. To je riješeno uklanjanjem uparivanja u sukobu s profilom konfiguracije.

CVE-2017-13806: Rorie Hood (MWR InfoSecurity)

Unos je dodan 2. studenog 2017.

Brzi pregled

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2017-13822: Australski centar za kibernetičku sigurnost – Australska obavještajna agencija za informacijsku sigurnost

Unos dodan 31. listopada 2017.

Brzi pregled

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: raščlanjivanjem zlonamjernih dokumenata sustava Office moglo je doći do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-7132: Australski centar za kibernetičku sigurnost – Australska obavještajna agencija za informacijsku sigurnost

Unos dodan 31. listopada 2017.

Safari

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2017-7085: xisigr (Tencentov odjel Xuanwu Lab (tencent.com))

Sigurnost

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: neki opozvani certifikati mogli su se tretirati kao pouzdani

Opis: u rukovanju opozvanim podacima otkriven je problem s provjerom valjanosti certifikata. Problem je riješen poboljšanom provjerom valjanosti.

CVE-2017-7080: anonimni istraživač, anonimni istraživač, Sven Driemecker (adesso mobile solutions gmbh), Rune Darrud ((@theflyingcorpse), Bærum kommune)

Unos dodan 25. rujna 2017.

Sigurnost

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: zlonamjerne aplikacije mogle su pratiti korisnike između dviju instalacija

Opis: u rukovanju podacima privjeska za ključeve nekih aplikacija otkriven je problem s provjerom dozvola. Taj je problem riješen poboljšanom provjerom dozvola.

CVE-2017-7146: anonimni istraživač

Unos dodan 25. rujna 2017.

SQLite

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: veći broj problema u bazi podataka SQLite

Opis: veći broj problema riješen je ažuriranjem na verziju 3.19.3

CVE-2017-10989: otkrio OSS-Fuzz

CVE-2017-7128: otkrio OSS-Fuzz

CVE-2017-7129: otkrio OSS-Fuzz

CVE-2017-7130: otkrio OSS-Fuzz

Unos dodan 25. rujna 2017.

SQLite

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-7127: anonimni istraživač

Unos dodan 25. rujna 2017.

Vrijeme

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: opcija Podešavanje zone mogla je netočno sugerirati da koristi lokaciju

Opis: u postupku rukovanja podacima o vremenskoj zoni otkriven je problem s dozvolama. Problem je riješen izmjenom dozvola.

CVE-2017-7145: Chris Lawrence

Unos ažuriran 9. listopada 2017.

WebKit

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-7081: Apple

Unos dodan 25. rujna 2017.

WebKit

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan (Baidu Security Lab) i inicijativa Zero Day (Trend Micro)

CVE-2017-7092: Samuel Gro i Niklas Baumstark u okviru inicijative Zero Day (Trend Micro), Qixun Zhao ((@S0rryMybad), Qihoo 360 Vulcan Team)

CVE-2017-7093: Samuel Gro, Niklas Baumstark i inicijativa Zero Day (Trend Micro)

CVE-2017-7094: Tim Michaud ((@TimGMichaud), Leviathan Security Group)

CVE-2017-7095: Wang Junjie, Wei Lei i Liu Yang (Tehnološki fakultet u Nanjangu) i inicijativa Zero Day (Trend Micro)

CVE-2017-7096: Wei Yuan (Baidu Security Lab)

CVE-2017-7098: Felipe Freitas (Instituto Tecnológico de Aeronáutica)

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa i Mario Heiderich (Cure53)

CVE-2017-7102: Wang Junjie, Wei Lei i Liu Yang (Tehnološki fakultet u Nanjangu)

CVE-2017-7104: likemeng (Baidu Security Lab)

CVE-2017-7107: Wang Junjie, Wei Lei i Liu Yang (Tehnološki fakultet u Nanjangu)

CVE-2017-7111: likemeng (Baidu Security Lab (xlab.baidu.com)) i inicijativa Zero Day (Trend Micro)

CVE-2017-7117: lokihardt (Google Project Zero)

CVE-2017-7120: chenqin ((陈钦), Ant-financial Light-Year Security Lab)

Unos dodan 25. rujna 2017.

WebKit

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: u rukovanju nadređenom karticom pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2017-7089: Anton Lopanitsyn (ONSEC, Frans Rosén of Detectify)

WebKit

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: kolačići iz jednog ishodišta mogli su se poslati drugom ishodištu

Opis: u rukovanju kolačićima web-preglednika otkriven je problem s dozvolama. Taj je problem riješen tako da se kolačići za prilagođene URL sheme više ne vraćaju.

CVE-2017-7090: Apple

Unos dodan 25. rujna 2017.

WebKit

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2017-7106: Oliver Paukstadt (Thinking Objects GmbH (to.com))

WebKit

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do napada unakrsnim skriptiranjem na više web-mjesta

Opis: neočekivano se mogao primijeniti pravilnik o predmemoriji aplikacija.

CVE-2017-7109: avlidienbrunn

Unos dodan 25. rujna 2017.

WebKit

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: zlonamjerne internetske stranice mogle su pratiti korisnike u privatnom načinu pregledavanja u pregledniku Safari

Opis: u rukovanju kolačićima web-preglednika otkriven je problem s dozvolama. Problem je riješen poboljšanim ograničenjima.

CVE-2017-7144: Mohammad Ghasemisharif (BITS Lab, UIC)

Unos je ažuriran 9. listopada 2017.

WebKit – pohrana

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: podaci web-mjesta mogli su nakon privatne sesije pregledavanja u pregledniku Safari ostati na uređaju

Opis: u prozorima za privatan pregled u pregledniku Safari postojao je problem s curenjem informacija tijekom rukovanja podacima web-mjesta. Taj je problem riješen poboljšanim upravljanjem podacima.

CVE-2017-7142: Rich Shawn O’Connell, anonimni istraživač

Unos je dodan 10. studenog 2017.

Wi-Fi

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: napadači u dometu mogli su na čipu za Wi-Fi pokrenuti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-11120: Gal Beniamini (Google Project Zero)

CVE-2017-11121: Gal Beniamini (Google Project Zero)

Unos dodan 25. rujna 2017.

Wi-Fi

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: pokretanje zlonamjernog koda na čipu za Wi-Fi može dovesti do izvršenja proizvoljnog koda s kernelskim ovlastima na procesoru za aplikacije

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-7103: Gal Beniamini (Google Project Zero)

CVE-2017-7105: Gal Beniamini (Google Project Zero)

CVE-2017-7108: Gal Beniamini (Google Project Zero)

CVE-2017-7110: Gal Beniamini (Google Project Zero)

CVE-2017-7112: Gal Beniamini (Google Project Zero)

Wi-Fi

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: pokretanje zlonamjernog koda na čipu za Wi-Fi može dovesti do izvršenja proizvoljnog koda s kernelskim ovlastima na procesoru za aplikacije

Opis: veći broj uvjeta nadjačavanja riješen je poboljšanom provjerom valjanosti.

CVE-2017-7115: Gal Beniamini (Google Project Zero)

Wi-Fi

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: pokretanje zlonamjernog koda na čipu za Wi-Fi može dovesti do čitanja ograničene kernelske memorije

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2017-7116: Gal Beniamini (Google Project Zero)

Wi-Fi

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: napadači u dometu mogli su na čipsetu za Wi-Fi čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2017-11122: Gal Beniamini (Google Project Zero)

Unos dodan 2. listopada 2017.

zlib

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: veći broj problema u biblioteci zlib

Opis: veći broj problema riješen je ažuriranjem na verziju 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Unos dodan 25. rujna 2017.

Dodatna zahvala

LaunchServices

Na pomoći zahvaljujemo Marku Zimmermannu (EnBW Energie Baden-Württemberg AG).

Sigurnost

Na pomoći zahvaljujemo Abhinavu Bansalu (Zscaler, Inc.).

Webkit

Na pomoći zahvaljujemo xisigru (Tencentov odjel Xuanwu Lab (tencent.com)).

WebKit

Na pomoći zahvaljujemo Rayyanu Bijoori (@Bijoora, The City School, PAF Chapter).

Web-inspektor za WebKit

Na pomoći zahvaljujemo Ioanu Bizăuu (Bloggify).

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: