Informacije o sigurnosnom sadržaju sustava iOS 11
U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 11.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
iOS 11
802.1X
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: napadači su mogli iskoristiti slabe točke u TLS-u 1.0
Opis: problem sa sigurnošću protokola riješen je tako da su omogućeni TLS 1.1 i TLS 1.2.
CVE-2017-13832: Doug Wussler (Floridsko sveučilište)
APN-ovi
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: napadači s administratorskim ovlastima mogli su pratiti korisnike
Opis: prilikom upotrebe klijentskih certifikata otkriven je problem sa zaštitom privatnosti. Taj je problem riješen s pomoću revidiranog protokola.
CVE-2017-13863: tim FURIOUSMAC američke Mornaričke akademije
Bluetooth
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: neke aplikacije mogle su pristupiti datotekama s ograničenjima
Opis: u postupku obrade kartica kontakata otkriven je problem sa zaštitom privatnosti. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2017-7131: Dominik Conrads (Američki savezni ured za informatičku sigurnost), anonimni istraživač, Anand Kathapurkar (Indija), Elvis (@elvisimprsntr)
CFNetwork
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-13829: Niklas Baumstark i Samuel Gro u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2017-13833: Niklas Baumstark i Samuel Gro u suradnji s inicijativom Zero Day (Trend Micro)
CFNetwork proxyji
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: napadači s mrežnim ovlastima mogli su izazvati odbijanje usluge
Opis: veći broj problema s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7083: Abhinav Bansal (Zscaler Inc.)
CFString
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2017-13821: Australski centar za kibernetičku sigurnost – Australska obavještajna agencija za informacijsku sigurnost
CoreAudio
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: čitanje ograničene memorije riješeno je ažuriranjem na Opus verzije 1.1.4.
CVE-2017-0381: V.E.O ((@VYSEa), istraživački tim za mobilne prijetnje (Trend Micro))
Jezgreni tekst
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjerne datoteke fonta moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-13825: Australski centar za kibernetičku sigurnost – Australska obavještajna agencija za informacijsku sigurnost
Exchange ActiveSync
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: tijekom postavljanja računa za Exchange napadači s mrežnim ovlastima mogu izbrisati uređaj
Opis: na servisu AutoDiscover V1 otkriven je problem s provjerom valjanosti. Taj je problem riješen zahtjevom za TLS za AutoDiscover V1. AutoDiscover V2 sada je podržan.
CVE-2017-7088: Ilya Nesterov, Maxim Goncharov
datoteka
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: veći broj problema u datoteci
Opis: veći broj problema riješen je ažuriranjem na verziju 5.31.
CVE-2017-13815: otkrio OSS-Fuzz
Fontovi
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obrada teksta iz nepouzdanog izvora mogla je dovesti do lažnog predstavljanja
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2017-13828: Leonard Grey i Robert Sesek (Google Chrome)
Heimdal
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: napadači s mrežnim ovlastima mogli su na servisima preuzeti tuđi identitet
Opis: u rukovanju KDC-REP nazivom servisa otkriven je problem s provjerom valjanosti. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2017-11103: Jeffrey Altman, Viktor Duchovni i Nico Williams
HFS
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-13830: Sergej Schumilo (sveučilište Ruhr-Universität Bochum)
iBooks
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: parsiranjem zlonamjerno stvorene iBooks datoteke može doći do trajnog odbijanja usluge
Opis: veći broj problema s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7072: Jędrzej Krysztofiak
Ulaz i izlaz slika
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-13814: Australski centar za kibernetičku sigurnost – Australska obavještajna agencija za informacijsku sigurnost
Ulaz i izlaz slika
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obrada zlonamjerne slike može izazvati odbijanje usluge
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-13831: Glen Carmichael
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7114: Alex Plaskett (MWR InfoSecurity)
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: lokalni korisnici mogli su čitati kernelsku memoriju
Opis: otkriven je problem s prekoračenjem čitanja, koji je doveo do otkrivanja sadržaja kernelske memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-13817: Maxime Villard (m00nbsd)
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2017-13818: Britanski nacionalni centar za kibernetičku sigurnost (NCSC)
CVE-2017-13836: Vlad Tsyrklevich
CVE-2017-13841: Vlad Tsyrklevich
CVE-2017-13840: Vlad Tsyrklevich
CVE-2017-13842: Vlad Tsyrklevich
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-13843: anonimni istraživač, anonimni istraživač
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-13854: shrek_wzw (tim Nirvan tvrtke Qihoo 360)
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom oštećenog mach binarnog formata može doći do izvršavanja proizvoljnog koda
Opis: problem oštećenja memorije riješen je poboljšanom provjerom valjanosti.
CVE-2017-13834: Maxime Villard (m00nbsd)
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerne aplikacije mogu otkriti podatke o prisutnosti i radu drugih aplikacija na uređaju.
Opis: aplikacija je mogla pristupiti podacima o mrežnoj aktivnosti koje operacijski sustav nije ograničio. Taj je problem riješen smanjivanjem broja podataka dostupnih aplikacijama drugih proizvođača.
CVE-2017-13873: Xiaokuan Zhang i Yinqian Zhang (Sveučilište u Ohiju), Xueqiang Wang i XiaoFeng Wang (Sveučilište Bloomington u Indiani) i Xiaolong Bai (Sveučilište Tsinghua)
Prijedlozi tipkovnice
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: prijedlozi samoispravka na tipkovnici mogli su otkriti osjetljive podatke
Opis: tipkovnica sustava iOS nenamjerno je predmemorirala osjetljive podatke. Problem je riješen poboljšanom heuristikom.
CVE-2017-7140: Agim Allkanjari (Stream in Motion Inc.)
libarchive
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: raspakiravanjem zlonamjerne arhive moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s prekoračenjem međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2017-13813: otkrio OSS-Fuzz
CVE-2017-13816: otkrio OSS-Fuzz
libarchive
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: raspakiravanjem zlonamjerne arhive moglo je doći do izvršavanja proizvoljnog koda
Opis: u medijateci libarchive otkriven je veći broj problema s neispravnom memorijom. Ti su problemi riješeni poboljšanom provjerom ulaza.
CVE-2017-13812: otkrio OSS-Fuzz
libc
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: udaljeni napadači mogli su izazvati odbijanje usluge
Opis: problem s pražnjenjem resursa u entitetu glob() riješen je poboljšanim algoritmom.
CVE-2017-7086: Russ Cox (Google)
libc
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: neke su aplikacije mogle izazvati odbijanje usluge
Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-1000373
libexpat
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: veći broj problema u medijateci expat
Opis: veći broj problema riješen je ažuriranjem na verziju 2.2.1
CVE-2016-9063
CVE-2017-9233
libxml2
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7376: anonimni istraživač
CVE-2017-5130: anonimni istraživač
libxml2
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-9050: Mateusz Jurczyk (j00ru) (Google Project Zero)
libxml2
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2017-9049: Wei Lei i Liu Yang – Tehnološko sveučilište u Nanjangu u Singapuru
libxml2
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom provjerom valjanosti.
CVE-2018-4302: Gustavo Grieco
Lokacijska platforma
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: neke aplikacije mogle su čitati osjetljive podatke o lokaciji
Opis: u rukovanju varijablom lokacije otkriven je problem s dozvolama. Problem je riješen dodatnim provjerama vlasništva.
CVE-2017-7148: Igor Makarov (Moovit), Will McGinty i Shawnna Rodriguez (Bottle Rocket Studios)
Skice e-mail poruka
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: napadači s mrežnim ovlastima mogli su presresti vjerodajnice za sadržaj
Opis: u rukovanju skicama e-mail poruka otkriven je problem s kriptiranjem. Taj je problem riješen poboljšanim upravljanjem skicama e-mail poruka koje se šalju kriptirane.
CVE-2017-7078: Petter Flink, Pierre ALBARÈDE (Marseille, Francuska), anonimni istraživač
Mail MessageUI
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obrada zlonamjerne slike može izazvati odbijanje usluge
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2017-7097: Xinshu Dong i Jun Hao Tan (Anquan Capital)
Poruke
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obrada zlonamjerne slike može izazvati odbijanje usluge
Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti.
CVE-2017-7118: Kiki Jiang i Jason Tokoph
MobileBackup
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: prilikom izrade sigurnosnih kopija može nastati nekriptirana kopija unatoč zahtjevu da sigurnosne kopije budu kriptirane
Opis: otkriven je problem s dozvolama. Taj je problem riješen poboljšanom provjerom valjanosti dozvola.
CVE-2017-7133: Don Sparks (HackediOS.com)
Napomene
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: lokalni je korisnik mogao otkriti povjerljive korisničke podatke
Opis: u rezultatima pretraživanja ponekad se pojavljivao sadržaj zaključanih bilješki. Taj je problem riješen poboljšanim čišćenjem podataka.
CVE-2017-7075: Richard Will (Marathon Oil)
Telefon
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: na zaključanom iOS uređaju mogla je biti stvorena snimka zaslona sa sigurnosnim sadržajem
Opis: u rukovanju zaključavanjem otkriven je problem s mjerenjem vremena. Taj je problem riješen onemogućivanjem snimki zaslona dok je zaslon zaključan.
CVE-2017-7139: anonimni istraživač
Profili
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zapisi o uparivanju uređaja mogli su se nehotice instalirati na uređaj na kojem je instaliran profil koji onemogućuje uparivanje
Opis: uparivanja se nisu uklanjala unatoč instaliranom profilu za onemogućivanje uparivanja. To je riješeno uklanjanjem uparivanja u sukobu s profilom konfiguracije.
CVE-2017-13806: Rorie Hood (MWR InfoSecurity)
Brzi pregled
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2017-13822: Australski centar za kibernetičku sigurnost – Australska obavještajna agencija za informacijsku sigurnost
Brzi pregled
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: raščlanjivanjem zlonamjernih dokumenata sustava Office moglo je doći do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7132: Australski centar za kibernetičku sigurnost – Australska obavještajna agencija za informacijsku sigurnost
Safari
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2017-7085: xisigr (Tencentov odjel Xuanwu Lab (tencent.com))
Profili s memorijom za testiranje
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerne aplikacije mogle su otkriti podatke o prisutnosti drugih aplikacija na uređaju.
Opis: neke aplikacije mogle su otkriti postojanje datoteka izvan memorije za testiranje. Problem je riješen dodatnim provjerama memorije za testiranje.
CVE-2017-13877: Xiaokuan Zhang i Yinqian Zhang (Sveučilište u Ohiju), Xueqiang Wang i XiaoFeng Wang (Sveučilište Bloomington u Indiani) i Xiaolong Bai (Sveučilište Tsinghua)
Sigurnost
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: neki opozvani certifikati mogli su se tretirati kao pouzdani
Opis: u rukovanju opozvanim podacima otkriven je problem s provjerom valjanosti certifikata. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2017-7080: anonimni istraživač, anonimni istraživač, Sven Driemecker (adesso mobile solutions gmbh), Rune Darrud ((@theflyingcorpse), Bærum kommune)
Sigurnost
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerne aplikacije mogle su pratiti korisnike između dviju instalacija
Opis: u rukovanju podacima privjeska za ključeve nekih aplikacija otkriven je problem s provjerom dozvola. Taj je problem riješen poboljšanom provjerom dozvola.
CVE-2017-7146: anonimni istraživač
SQLite
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: veći broj problema u bazi podataka SQLite
Opis: veći broj problema riješen je ažuriranjem na verziju 3.19.3
CVE-2017-10989: otkrio OSS-Fuzz
CVE-2017-7128: otkrio OSS-Fuzz
CVE-2017-7129: otkrio OSS-Fuzz
CVE-2017-7130: otkrio OSS-Fuzz
SQLite
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7127: anonimni istraživač
Telefonija
Dostupno za: iPhone 5s i novije verzije te modele generacije iPad Air uređaja i novije verzije sa značajkom Wi-Fi + Cellular
Učinak: napadači u dometu mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-6211: Matthew Spisak (ENDGAME (endgame.com))
Vrijeme
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: opcija Podešavanje zone mogla je netočno sugerirati da koristi lokaciju
Opis: u postupku rukovanja podacima o vremenskoj zoni otkriven je problem s dozvolama. Problem je riješen izmjenom dozvola.
CVE-2017-7145: Chris Lawrence
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-7081: Apple
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2017-7087: Apple
CVE-2017-7091: Wei Yuan (Baidu Security Lab) i inicijativa Zero Day (Trend Micro)
CVE-2017-7092: Samuel Gro i Niklas Baumstark u okviru inicijative Zero Day (Trend Micro), Qixun Zhao ((@S0rryMybad), Qihoo 360 Vulcan Team)
CVE-2017-7093: Samuel Gro, Niklas Baumstark i inicijativa Zero Day (Trend Micro)
CVE-2017-7094: Tim Michaud ((@TimGMichaud), Leviathan Security Group)
CVE-2017-7095: Wang Junjie, Wei Lei i Liu Yang (Tehnološki fakultet u Nanjangu) i inicijativa Zero Day (Trend Micro)
CVE-2017-7096: Wei Yuan (Baidu Security Lab)
CVE-2017-7098: Felipe Freitas (Instituto Tecnológico de Aeronáutica)
CVE-2017-7099: Apple
CVE-2017-7100: Masato Kinugawa i Mario Heiderich (Cure53)
CVE-2017-7102: Wang Junjie, Wei Lei i Liu Yang (Tehnološki fakultet u Nanjangu)
CVE-2017-7104: likemeng (Baidu Security Lab)
CVE-2017-7107: Wang Junjie, Wei Lei i Liu Yang (Tehnološki fakultet u Nanjangu)
CVE-2017-7111: likemeng (Baidu Security Lab (xlab.baidu.com)) i inicijativa Zero Day (Trend Micro)
CVE-2017-7117: lokihardt (Google Project Zero)
CVE-2017-7120: chenqin ((陈钦), Ant-financial Light-Year Security Lab)
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: u rukovanju nadređenom karticom pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2017-7089: Anton Lopanitsyn (ONSEC, Frans Rosén of Detectify)
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: kolačići iz jednog ishodišta mogli su se poslati drugom ishodištu
Opis: u rukovanju kolačićima web-preglednika otkriven je problem s dozvolama. Taj je problem riješen tako da se kolačići za prilagođene URL sheme više ne vraćaju.
CVE-2017-7090: Apple
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2017-7106: Oliver Paukstadt (Thinking Objects GmbH (to.com))
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do napada unakrsnim skriptiranjem na više web-mjesta
Opis: neočekivano se mogao primijeniti pravilnik o predmemoriji aplikacija.
CVE-2017-7109: avlidienbrunn
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerne internetske stranice mogle su pratiti korisnike u privatnom načinu pregledavanja u pregledniku Safari
Opis: u rukovanju kolačićima web-preglednika otkriven je problem s dozvolama. Problem je riješen poboljšanim ograničenjima.
CVE-2017-7144: Mohammad Ghasemisharif (BITS Lab, UIC)
WebKit – pohrana
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: podaci web-mjesta mogu nakon privatne sesije pregledavanja u pregledniku Safari ostati na uređaju
Opis: u prozorima za privatno pregledavanje u pregledniku Safari otkriven je problem curenja informacija tijekom rukovanja podacima web-mjesta. Taj je problem riješen poboljšanim upravljanjem podacima.
CVE-2017-7142: Rich Shawn O’Connell, anonimni istraživač
Wi-Fi
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: napadači u dometu mogli su na čipu za Wi-Fi pokrenuti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-11120: Gal Beniamini (Google Project Zero)
CVE-2017-11121: Gal Beniamini (Google Project Zero)
Wi-Fi
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: pokretanje zlonamjernog koda na čipu za Wi-Fi može dovesti do izvršenja proizvoljnog koda s kernelskim ovlastima na procesoru za aplikacije
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7103: Gal Beniamini (Google Project Zero)
CVE-2017-7105: Gal Beniamini (Google Project Zero)
CVE-2017-7108: Gal Beniamini (Google Project Zero)
CVE-2017-7110: Gal Beniamini (Google Project Zero)
CVE-2017-7112: Gal Beniamini (Google Project Zero)
Wi-Fi
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: pokretanje zlonamjernog koda na čipu za Wi-Fi može dovesti do izvršenja proizvoljnog koda s kernelskim ovlastima na procesoru za aplikacije
Opis: veći broj uvjeta nadjačavanja riješen je poboljšanom provjerom valjanosti.
CVE-2017-7115: Gal Beniamini (Google Project Zero)
Wi-Fi
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: pokretanje zlonamjernog koda na čipu za Wi-Fi može dovesti do čitanja ograničene kernelske memorije
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2017-7116: Gal Beniamini (Google Project Zero)
Wi-Fi
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: napadači u dometu mogli su na čipsetu za Wi-Fi čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2017-11122: Gal Beniamini (Google Project Zero)
zlib
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: veći broj problema u medijateci zlib
Opis: veći broj problema riješen je ažuriranjem na verziju 1.2.11.
CVE-2016-9840
CVE-2016-9841
CVE-2016-9842
CVE-2016-9843
Dodatna zahvala
LaunchServices
Na pomoći zahvaljujemo Marku Zimmermannu (EnBW Energie Baden-Württemberg AG).
Sigurnost
Na pomoći zahvaljujemo Abhinavu Bansalu (Zscaler, Inc.).
Webkit
Na pomoći zahvaljujemo xisigru (Tencentov odjel Xuanwu Lab (tencent.com)).
WebKit
Na pomoći zahvaljujemo Rayyanu Bijoori (@Bijoora, The City School, PAF Chapter).
Web-inspektor za WebKit
Na pomoći zahvaljujemo Ioanu Bizăuu (Bloggify).
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.