Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
iOS 11
Izdano 19. rujna 2017.
802.1X
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: napadači su mogli iskoristiti slabe točke u TLS-u 1.0
Opis: problem sa sigurnošću protokola riješen je tako da su omogućeni TLS 1.1 i TLS 1.2.
CVE-2017-13832: Doug Wussler (Floridsko sveučilište)
Unos dodan 31. listopada 2017. i ažuriran 10. studenoga 2017.
APN-ovi
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: napadači s administratorskim ovlastima mogli su pratiti korisnike
Opis: prilikom upotrebe klijentskih certifikata otkriven je problem sa zaštitom privatnosti. Taj je problem riješen s pomoću revidiranog protokola.
CVE-2017-13863: tim FURIOUSMAC američke Mornaričke akademije
Unos dodan 21. prosinca 2017.
Bluetooth
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: neke aplikacije mogle su pristupiti datotekama s ograničenjima
Opis: u postupku obrade kartica kontakata otkriven je problem sa zaštitom privatnosti. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2017-7131: Dominik Conrads (Američki savezni ured za informatičku sigurnost), anonimni istraživač, Anand Kathapurkar (Indija), Elvis (@elvisimprsntr)
Unos ažuriran 9. listopada 2017.
CFNetwork
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-13829: Niklas Baumstark i Samuel Gro u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2017-13833: Niklas Baumstark i Samuel Gro u suradnji s inicijativom Zero Day (Trend Micro)
Unos dodan 10. studenoga 2017.
CFNetwork proxyji
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: napadači s mrežnim ovlastima mogli su izazvati odbijanje usluge
Opis: veći broj problema s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7083: Abhinav Bansal (Zscaler Inc.)
Unos dodan 25. rujna 2017.
CFString
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2017-13821: Australski centar za kibernetičku sigurnost – Australska obavještajna agencija za informacijsku sigurnost
Unos dodan 31. listopada 2017.
CoreAudio
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: čitanje ograničene memorije riješeno je ažuriranjem na Opus verzije 1.1.4.
CVE-2017-0381: V.E.O ((@VYSEa), istraživački tim za mobilne prijetnje (Trend Micro))
Unos dodan 25. rujna 2017.
Jezgreni tekst
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjerne datoteke fonta moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-13825: Australski centar za kibernetičku sigurnost – Australska obavještajna agencija za informacijsku sigurnost
Unos dodan 31. listopada 2017.
Exchange ActiveSync
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: tijekom postavljanja računa za Exchange napadači s mrežnim ovlastima mogu izbrisati uređaj
Opis: na servisu AutoDiscover V1 otkriven je problem s provjerom valjanosti. Taj je problem riješen zahtjevom za TLS za AutoDiscover V1. AutoDiscover V2 sada je podržan.
CVE-2017-7088: Ilya Nesterov, Maxim Goncharov
datoteka
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: veći broj problema u datoteci
Opis: veći broj problema riješen je ažuriranjem na verziju 5.31.
CVE-2017-13815: otkrio OSS-Fuzz
Unos dodan 31. listopada 2017. i ažuriran 18. listopada 2018.
Fontovi
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obrada teksta iz nepouzdanog izvora mogla je dovesti do lažnog predstavljanja
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2017-13828: Leonard Grey i Robert Sesek (Google Chrome)
Unos dodan 31. listopada 2017. i ažuriran 10. studenoga 2017.
Heimdal
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: napadači s mrežnim ovlastima mogli su na servisima preuzeti tuđi identitet
Opis: u rukovanju KDC-REP nazivom servisa otkriven je problem s provjerom valjanosti. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2017-11103: Jeffrey Altman, Viktor Duchovni i Nico Williams
Unos dodan 25. rujna 2017.
HFS
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-13830: Sergej Schumilo (sveučilište Ruhr-Universität Bochum)
Unos dodan 31. listopada 2017.
iBooks
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: parsiranjem zlonamjerno stvorene iBooks datoteke može doći do trajnog odbijanja usluge
Opis: veći broj problema s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7072: Jędrzej Krysztofiak
Ulaz i izlaz slika
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem oštećenja memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-13814: Australski centar za kibernetičku sigurnost – Australska obavještajna agencija za informacijsku sigurnost
Unos dodan 31. listopada 2017.
Ulaz i izlaz slika
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obrada zlonamjerne slike može izazvati odbijanje usluge
Opis: u obradi diskovnih slika otkriven je problem s otkrivanjem podataka. Taj je problem riješen poboljšanim upravljanjem memorijom.
CVE-2017-13831: Glen Carmichael
Unos dodan 31. listopada 2017. i ažuriran 10. studenoga 2017.
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: uz kernelske ovlasti aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7114: Alex Plaskett (MWR InfoSecurity)
Unos dodan 25. rujna 2017.
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: lokalni korisnici mogli su čitati kernelsku memoriju
Opis: otkriven je problem s prekoračenjem čitanja, koji je doveo do otkrivanja sadržaja kernelske memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-13817: Maxime Villard (m00nbsd)
Unos dodan 31. listopada 2017.
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2017-13818: Britanski nacionalni centar za kibernetičku sigurnost (NCSC)
CVE-2017-13836: Vlad Tsyrklevich
CVE-2017-13841: Vlad Tsyrklevich
CVE-2017-13840: Vlad Tsyrklevich
CVE-2017-13842: Vlad Tsyrklevich
Unos dodan 31. listopada 2017. i ažuriran 18. lipnja 2018.
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: uz kernelske ovlasti aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-13843: anonimni istraživač, anonimni istraživač
Unos dodan 31. listopada 2017.
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-13854: shrek_wzw (tim Nirvan tvrtke Qihoo 360)
Unos dodan 2. studenoga 2017.
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom oštećenog mach binarnog formata može doći do izvršavanja proizvoljnog koda
Opis: problem oštećenja memorije riješen je poboljšanom provjerom valjanosti.
CVE-2017-13834: Maxime Villard (m00nbsd)
Unos dodan 10. studenoga 2017.
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerne aplikacije mogu otkriti podatke o prisutnosti i radu drugih aplikacija na uređaju.
Opis: aplikacija je mogla pristupiti podacima o mrežnoj aktivnosti koje operacijski sustav nije ograničio. Taj je problem riješen smanjivanjem broja podataka dostupnih aplikacijama drugih proizvođača.
CVE-2017-13873: Xiaokuan Zhang i Yinqian Zhang (Sveučilište u Ohiju), Xueqiang Wang i XiaoFeng Wang (Sveučilište Bloomington u Indiani) i Xiaolong Bai (Sveučilište Tsinghua)
Unos dodan 30. studenoga 2017.
Prijedlozi tipkovnice
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: prijedlozi samoispravka na tipkovnici mogli su otkriti osjetljive podatke
Opis: tipkovnica sustava iOS nenamjerno je predmemorirala osjetljive podatke. Problem je riješen poboljšanom heuristikom.
CVE-2017-7140: Agim Allkanjari (Stream in Motion Inc.)
Unos ažuriran 9. listopada 2017.
libarchive
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: raspakiravanjem zlonamjerne arhive moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s prekoračenjem međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2017-13813: otkrio OSS-Fuzz
CVE-2017-13816: otkrio OSS-Fuzz
Unos dodan 31. listopada 2017.
libarchive
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: raspakiravanjem zlonamjerne arhive moglo je doći do izvršavanja proizvoljnog koda
Opis: u biblioteci libarchive otkriven je veći broj problema s neispravnom memorijom. Ti su problemi riješeni poboljšanom provjerom ulaza.
CVE-2017-13812: otkrio OSS-Fuzz
Unos dodan 31. listopada 2017.
libc
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: udaljeni napadači mogli su izazvati odbijanje usluge
Opis: problem s pražnjenjem resursa u entitetu glob() riješen je poboljšanim algoritmom.
CVE-2017-7086: Russ Cox (Google)
Unos dodan 25. rujna 2017.
libc
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: neke su aplikacije mogle izazvati odbijanje usluge
Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-1000373
Unos dodan 25. rujna 2017.
libexpat
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: veći broj problema u biblioteci expat
Opis: veći broj problema riješen je ažuriranjem na verziju 2.2.1
CVE-2016-9063
CVE-2017-9233
Unos dodan 25. rujna 2017.
libxml2
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7376: anonimni istraživač
CVE-2017-5130: anonimni istraživač
Unos je dodan 18. listopada 2018.
libxml2
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem oštećenja memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-9050: Mateusz Jurczyk (j00ru) (Google Project Zero)
Unos je dodan 18. listopada 2018.
libxml2
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2017-9049: Wei Lei i Liu Yang – Tehnološko sveučilište u Nanjangu u Singapuru
Unos je dodan 18. listopada 2018.
libxml2
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom provjerom valjanosti.
CVE-2018-4302: Gustavo Grieco
Unos je dodan 18. listopada 2018.
Lokacijska platforma
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: neke aplikacije mogle su čitati osjetljive podatke o lokaciji
Opis: u rukovanju varijablom lokacije otkriven je problem s dozvolama. Problem je riješen dodatnim provjerama vlasništva.
CVE-2017-7148: Igor Makarov (Moovit), Will McGinty i Shawnna Rodriguez (Bottle Rocket Studios)
Unos ažuriran 9. listopada 2017.
Skice e-mail poruka
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: napadači s mrežnim ovlastima mogli su presresti vjerodajnice za sadržaj
Opis: u rukovanju skicama e-mail poruka otkriven je problem s kriptiranjem. Taj je problem riješen poboljšanim upravljanjem skicama e-mail poruka koje se šalju kriptirane.
CVE-2017-7078: Petter Flink, Pierre ALBARÈDE (Marseille, Francuska), anonimni istraživač
Unos ažuriran 9. listopada 2017.
Mail MessageUI
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obrada zlonamjerne slike može izazvati odbijanje usluge
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2017-7097: Xinshu Dong i Jun Hao Tan (Anquan Capital)
Poruke
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obrada zlonamjerne slike može izazvati odbijanje usluge
Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti.
CVE-2017-7118: Kiki Jiang i Jason Tokoph
MobileBackup
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: prilikom izrade sigurnosnih kopija može nastati nekriptirana kopija unatoč zahtjevu da sigurnosne kopije budu kriptirane
Opis: otkriven je problem s dozvolama. Taj je problem riješen poboljšanom provjerom valjanosti dozvola.
CVE-2017-7133: Don Sparks (HackediOS.com)
Napomene
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: lokalni je korisnik mogao otkriti povjerljive korisničke podatke
Opis: u rezultatima pretraživanja ponekad se pojavljivao sadržaj zaključanih bilješki. Taj je problem riješen poboljšanim čišćenjem podataka.
CVE-2017-7075: Richard Will (Marathon Oil)
Unos dodan 10. studenoga 2017.
Telefon
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: na zaključanom iOS uređaju mogla je biti stvorena snimka zaslona sa sigurnosnim sadržajem
Opis: u rukovanju zaključavanjem otkriven je problem s mjerenjem vremena. Taj je problem riješen onemogućivanjem snimki zaslona dok je zaslon zaključan.
CVE-2017-7139: anonimni istraživač
Unos dodan 25. rujna 2017.
Profili
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zapisi o uparivanju uređaja mogli su se nehotice instalirati na uređaj na kojem je instaliran profil koji onemogućuje uparivanje
Opis: uparivanja se nisu uklanjala unatoč instaliranom profilu za onemogućivanje uparivanja. To je riješeno uklanjanjem uparivanja u sukobu s profilom konfiguracije.
CVE-2017-13806: Rorie Hood (MWR InfoSecurity)
Unos dodan 2. studenoga 2017.
Brzi pregled
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2017-13822: Australski centar za kibernetičku sigurnost – Australska obavještajna agencija za informacijsku sigurnost
Unos dodan 31. listopada 2017.
Brzi pregled
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: raščlanjivanjem zlonamjernih dokumenata sustava Office moglo je doći do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7132: Australski centar za kibernetičku sigurnost – Australska obavještajna agencija za informacijsku sigurnost
Unos dodan 31. listopada 2017.
Safari
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2017-7085: xisigr (Tencentov odjel Xuanwu Lab (tencent.com))
Profili s memorijom za testiranje
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerne aplikacije mogle su otkriti podatke o prisutnosti drugih aplikacija na uređaju.
Opis: neke aplikacije mogle su otkriti postojanje datoteka izvan memorije za testiranje. Problem je riješen dodatnim provjerama memorije za testiranje.
CVE-2017-13877: Xiaokuan Zhang i Yinqian Zhang (Sveučilište u Ohiju), Xueqiang Wang i XiaoFeng Wang (Sveučilište Bloomington u Indiani) i Xiaolong Bai (Sveučilište Tsinghua)
Unos dodan 30. studenoga 2017.
Sigurnost
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: neki opozvani certifikati mogli su se tretirati kao pouzdani
Opis: u rukovanju opozvanim podacima otkriven je problem s provjerom valjanosti certifikata. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2017-7080: anonimni istraživač, anonimni istraživač, Sven Driemecker (adesso mobile solutions gmbh), Rune Darrud ((@theflyingcorpse), Bærum kommune)
Unos dodan 25. rujna 2017.
Sigurnost
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerne aplikacije mogle su pratiti korisnike između dviju instalacija
Opis: u rukovanju podacima privjeska za ključeve nekih aplikacija otkriven je problem s provjerom dozvola. Taj je problem riješen poboljšanom provjerom dozvola.
CVE-2017-7146: anonimni istraživač
Unos dodan 25. rujna 2017.
SQLite
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: veći broj problema u bazi podataka SQLite
Opis: veći broj problema riješen je ažuriranjem na verziju 3.19.3
CVE-2017-10989: otkrio OSS-Fuzz
CVE-2017-7128: otkrio OSS-Fuzz
CVE-2017-7129: otkrio OSS-Fuzz
CVE-2017-7130: otkrio OSS-Fuzz
Unos dodan 25. rujna 2017.
SQLite
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7127: anonimni istraživač
Unos dodan 25. rujna 2017.
Telefonija
Dostupno za: iPhone 5s i noviji te modele generacije iPad Air uređaja i novijih sa značajkom Wi-Fi + Cellular
Učinak: napadači u dometu mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-6211: Matthew Spisak (ENDGAME (endgame.com))
Unos dodan 4. prosinca 2017.
Vrijeme
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: opcija Podešavanje zone mogla je netočno sugerirati da koristi lokaciju
Opis: u postupku rukovanja podacima o vremenskoj zoni otkriven je problem s dozvolama. Problem je riješen izmjenom dozvola.
CVE-2017-7145: Chris Lawrence
Unos ažuriran 9. listopada 2017.
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: problem oštećenja memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-7081: Apple
Unos dodan 25. rujna 2017.
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: više problema oštećene memorije riješeno je poboljšanim rukovanjem memorijom.
CVE-2017-7087: Apple
CVE-2017-7091: Wei Yuan (Baidu Security Lab) i inicijativa Zero Day (Trend Micro)
CVE-2017-7092: Samuel Gro i Niklas Baumstark u okviru inicijative Zero Day (Trend Micro), Qixun Zhao ((@S0rryMybad), Qihoo 360 Vulcan Team)
CVE-2017-7093: Samuel Gro, Niklas Baumstark i inicijativa Zero Day (Trend Micro)
CVE-2017-7094: Tim Michaud ((@TimGMichaud), Leviathan Security Group)
CVE-2017-7095: Wang Junjie, Wei Lei i Liu Yang (Tehnološki fakultet u Nanjangu) i inicijativa Zero Day (Trend Micro)
CVE-2017-7096: Wei Yuan (Baidu Security Lab)
CVE-2017-7098: Felipe Freitas (Instituto Tecnológico de Aeronáutica)
CVE-2017-7099: Apple
CVE-2017-7100: Masato Kinugawa i Mario Heiderich (Cure53)
CVE-2017-7102: Wang Junjie, Wei Lei i Liu Yang (Tehnološki fakultet u Nanjangu)
CVE-2017-7104: likemeng (Baidu Security Lab)
CVE-2017-7107: Wang Junjie, Wei Lei i Liu Yang (Tehnološki fakultet u Nanjangu)
CVE-2017-7111: likemeng (Baidu Security Lab (xlab.baidu.com)) i inicijativa Zero Day (Trend Micro)
CVE-2017-7117: lokihardt (Google Project Zero)
CVE-2017-7120: chenqin ((陈钦), Ant-financial Light-Year Security Lab)
Unos dodan 25. rujna 2017.
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: u rukovanju nadređenom karticom pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2017-7089: Anton Lopanitsyn (ONSEC, Frans Rosén of Detectify)
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: kolačići iz jednog ishodišta mogli su se poslati drugom ishodištu
Opis: u rukovanju kolačićima web-preglednika otkriven je problem s dozvolama. Taj je problem riješen tako da se kolačići za prilagođene URL sheme više ne vraćaju.
CVE-2017-7090: Apple
Unos dodan 25. rujna 2017.
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2017-7106: Oliver Paukstadt (Thinking Objects GmbH (to.com))
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do napada unakrsnim skriptiranjem na više web-mjesta
Opis: neočekivano se mogao primijeniti pravilnik o predmemoriji aplikacija.
CVE-2017-7109: avlidienbrunn
Unos dodan 25. rujna 2017.
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerne internetske stranice mogle su pratiti korisnike u privatnom načinu pregledavanja u pregledniku Safari
Opis: u rukovanju kolačićima web-preglednika otkriven je problem s dozvolama. Problem je riješen poboljšanim ograničenjima.
CVE-2017-7144: Mohammad Ghasemisharif (BITS Lab, UIC)
Unos ažuriran 9. listopada 2017.
WebKit – pohrana
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: podaci web-mjesta mogu nakon privatne sesije pregledavanja u pregledniku Safari ostati na uređaju
Opis: u prozorima za privatno pregledavanje u pregledniku Safari otkriven je problem curenja informacija tijekom rukovanja podacima web-mjesta. Taj je problem riješen poboljšanim upravljanjem podacima.
CVE-2017-7142: Rich Shawn O’Connell, anonimni istraživač
Unos dodan 10. studenoga 2017.
Wi-Fi
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: napadači u dometu mogli su na čipu za Wi-Fi pokrenuti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-11120: Gal Beniamini (Google Project Zero)
CVE-2017-11121: Gal Beniamini (Google Project Zero)
Unos dodan 25. rujna 2017.
Wi-Fi
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: pokretanje zlonamjernog koda na čipu za Wi-Fi može dovesti do izvršenja proizvoljnog koda s kernelskim ovlastima na procesoru za aplikacije
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7103: Gal Beniamini (Google Project Zero)
CVE-2017-7105: Gal Beniamini (Google Project Zero)
CVE-2017-7108: Gal Beniamini (Google Project Zero)
CVE-2017-7110: Gal Beniamini (Google Project Zero)
CVE-2017-7112: Gal Beniamini (Google Project Zero)
Wi-Fi
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: pokretanje zlonamjernog koda na čipu za Wi-Fi može dovesti do izvršenja proizvoljnog koda s kernelskim ovlastima na procesoru za aplikacije
Opis: veći broj uvjeta nadjačavanja riješen je poboljšanom provjerom valjanosti.
CVE-2017-7115: Gal Beniamini (Google Project Zero)
Wi-Fi
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: pokretanje zlonamjernog koda na čipu za Wi-Fi može dovesti do čitanja ograničene kernelske memorije
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2017-7116: Gal Beniamini (Google Project Zero)
Wi-Fi
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: napadači u dometu mogli su na čipsetu za Wi-Fi čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2017-11122: Gal Beniamini (Google Project Zero)
Unos dodan 2. listopada 2017.
zlib
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: veći broj problema u biblioteci zlib
Opis: veći broj problema riješen je ažuriranjem na verziju 1.2.11.
CVE-2016-9840
CVE-2016-9841
CVE-2016-9842
CVE-2016-9843
Unos dodan 25. rujna 2017.
Dodatna zahvala
LaunchServices
Na pomoći zahvaljujemo Marku Zimmermannu (EnBW Energie Baden-Württemberg AG).
Sigurnost
Na pomoći zahvaljujemo Abhinavu Bansalu (Zscaler, Inc.).
Webkit
Na pomoći zahvaljujemo xisigru (Tencentov odjel Xuanwu Lab (tencent.com)).
WebKit
Na pomoći zahvaljujemo Rayyanu Bijoori (@Bijoora, The City School, PAF Chapter).
Web-inspektor za WebKit
Na pomoći zahvaljujemo Ioanu Bizăuu (Bloggify).