Informacije o sigurnosnom sadržaju sustava iOS 11.1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 11.1.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

iOS 11.1

Izdano 31. listopada 2017.

Jezgreni tekst

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: obrada zlonamjerne tekstne datoteke mogla je izazvati neočekivano zatvaranje aplikacije

Opis: problem s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13849: Ro (SavSec)

Kernel

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13799: Lufeng Li (tim Vulcan, Qihoo 360)

Unos ažuriran 10. studenog 2017.

Kernel

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: zlonamjerne aplikacije mogle su otkriti podatke o radu drugih aplikacija na uređaju.

Opis: aplikacije su mogle pristupiti informacijama o obradi koje operacijski sustav nije ograničio. Taj je problem riješen ograničenjem brzine prometa.

CVE-2017-13852: Xiaokuan Zhang i Yinqian Zhang (Sveučilište u Ohiju), Xueqiang Wang i XiaoFeng Wang (Sveučilište Bloomington u Indiani) te Xiaolong Bai (Sveučilište Tsinghua)

Unos dodan 10. studenog 2017.

Poruke

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: osoba s fizičkim pristupom iOS uređaju mogla je sa zaključanog zaslona pristupiti fotografijama

Opis: zbog problema sa zaključanim zaslonom putem njega bio je moguć pristup fotografijama putem opcije Odgovori porukom. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2017-13844: Miguel Alvarado (iDeviceHelp INC)

Siri

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: osoba s fizičkim pristupom iOS uređaju mogla bi koristiti Siri za čitanje obavijesti o sadržaju postavljenom tako da se ne prikazuje na zaključanom zaslonu

Opis: otkriven je problem s dozvolama za Siri. Taj je problem riješen poboljšanom provjerom dozvola.

CVE-2017-13805: Yiğit Can YILMAZ (@yilmazcanyigit), Ayden Panhuyzen (madebyayden.co)

Unos je ažuriran 14. lipnja 2018.

StreamingZip

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: zlonamjerna ZIP datoteka mogla je izmijeniti ograničena područja datotečnog sustava

Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.

CVE-2017-13804: @qwertyoruiopz (KJC Research Intl. S.R.L.)

UIKit

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: u sigurnom tekstnom polju mogli su se otkriti znakovi

Opis: tijekom događaja promjene fokusa otkrili bi se znakovi u sigurnom tekstnom polju. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2017-7113: anonimni istraživač, Duraiamuthan Harikrishnan (Tech Mahindra), Ricardo Sampayo (Bemo Ltd)

WebKit

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovnajem memorijom.

CVE-2017-13783: Ivan Fratrić (Google Project Zero)

CVE-2017-13784: Ivan Fratrić (Google Project Zero)

CVE-2017-13785: Ivan Fratrić (Google Project Zero)

CVE-2017-13791: Ivan Fratrić (Google Project Zero)

CVE-2017-13792: Ivan Fratrić (Google Project Zero)

CVE-2017-13793: Hanul Choi i inicijativa Zero Day (Trend Micro)

CVE-2017-13794: Ivan Fratrić (Google Project Zero)

CVE-2017-13795: Ivan Fratrić (Google Project Zero)

CVE-2017-13796: Ivan Fratrić (Google Project Zero)

CVE-2017-13797: Ivan Fratrić (Google Project Zero)

CVE-2017-13798: Ivan Fratrić (Google Project Zero)

CVE-2017-13788: xisigr (Tencentov odjel Xuanwu Lab (tencent.com))

CVE-2017-13802: Ivan Fratrić (Google Project Zero)

CVE-2017-13803: chenqin ((陈钦), Ant-financial Light-Year Security)

Unos ažuriran 21. prosinca 2017.

Wi-Fi

Dostupno za: iPhone 8, iPhone 8 Plus i iPhone X

Nisu zahvaćeni: iPhone 7, iPhone 7 Plus, iPhone 6s, iPhone 6s Plus, iPhone 6, iPhone 6 Plus, iPhone SE, iPhone 5s, iPad Air i noviji te iPod touch šeste generacije

Učinak: napadač u dosegu Wi-Fi mreže mogao je prisilno omogućiti ponovno korištenje privremenog broja na WPA unicast / PTK klijentima (napadi ponovnom instalacijom ključa – Key Reinstallation Attacks, KRACK)

Opis: u rukovanju prijelazima iz jednog stanja u drugo pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2017-13077: Mathy Vanhoef (grupa imec-DistriNet, KU Leuven)

CVE-2017-13078: Mathy Vanhoef (grupa imec-DistriNet, KU Leuven)

Unos ažuriran 3. studenog 2017.

Wi-Fi

Dostupno za: iPhone 7 i noviji te iPad Pro od 9,7 inča (početak 2016.) i noviji

Učinak: napadač u dosegu Wi-Fi mreže mogao je prisilno omogućiti ponovno korištenje privremenog broja na WPA multicast / GTK klijentima (napadi ponovnom instalacijom ključa – Key Reinstallation Attacks, KRACK)

Opis: u rukovanju prijelazima iz jednog stanja u drugo pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2017-13080: Mathy Vanhoef (grupa imec-DistriNet, KU Leuven)

Unos ažuriran 3. studenog 2017.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: