Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
iOS 11.1
Izdano 31. listopada 2017.
Jezgreni tekst
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obrada zlonamjerne tekstne datoteke mogla je izazvati neočekivano zatvaranje aplikacije
Opis: problem s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.
CVE-2017-13849: Ro (SavSec)
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-13799: Lufeng Li (tim Vulcan, Qihoo 360)
Unos ažuriran 10. studenog 2017.
Kernel
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerne aplikacije mogle su otkriti podatke o radu drugih aplikacija na uređaju.
Opis: aplikacije su mogle pristupiti informacijama o obradi koje operacijski sustav nije ograničio. Taj je problem riješen ograničenjem brzine prometa.
CVE-2017-13852: Xiaokuan Zhang i Yinqian Zhang (Sveučilište u Ohiju), Xueqiang Wang i XiaoFeng Wang (Sveučilište Bloomington u Indiani) te Xiaolong Bai (Sveučilište Tsinghua)
Unos dodan 10. studenog 2017.
Poruke
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: osoba s fizičkim pristupom iOS uređaju mogla je sa zaključanog zaslona pristupiti fotografijama
Opis: zbog problema sa zaključanim zaslonom putem njega bio je moguć pristup fotografijama putem opcije Odgovori porukom. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2017-13844: Miguel Alvarado (iDeviceHelp INC)
Siri
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: osoba s fizičkim pristupom iOS uređaju mogla bi koristiti Siri za čitanje obavijesti o sadržaju postavljenom tako da se ne prikazuje na zaključanom zaslonu
Opis: otkriven je problem s dozvolama za Siri. Taj je problem riješen poboljšanom provjerom dozvola.
CVE-2017-13805: Yiğit Can YILMAZ (@yilmazcanyigit), Ayden Panhuyzen (madebyayden.co)
Unos je ažuriran 14. lipnja 2018.
StreamingZip
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: zlonamjerna ZIP datoteka mogla je izmijeniti ograničena područja datotečnog sustava
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2017-13804: @qwertyoruiopz (KJC Research Intl. S.R.L.)
UIKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: u sigurnom tekstnom polju mogli su se otkriti znakovi
Opis: tijekom događaja promjene fokusa otkrili bi se znakovi u sigurnom tekstnom polju. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2017-7113: anonimni istraživač, Duraiamuthan Harikrishnan (Tech Mahindra), Ricardo Sampayo (Bemo Ltd)
WebKit
Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovnajem memorijom.
CVE-2017-13783: Ivan Fratrić (Google Project Zero)
CVE-2017-13784: Ivan Fratrić (Google Project Zero)
CVE-2017-13785: Ivan Fratrić (Google Project Zero)
CVE-2017-13791: Ivan Fratrić (Google Project Zero)
CVE-2017-13792: Ivan Fratrić (Google Project Zero)
CVE-2017-13793: Hanul Choi i inicijativa Zero Day (Trend Micro)
CVE-2017-13794: Ivan Fratrić (Google Project Zero)
CVE-2017-13795: Ivan Fratrić (Google Project Zero)
CVE-2017-13796: Ivan Fratrić (Google Project Zero)
CVE-2017-13797: Ivan Fratrić (Google Project Zero)
CVE-2017-13798: Ivan Fratrić (Google Project Zero)
CVE-2017-13788: xisigr (Tencentov odjel Xuanwu Lab (tencent.com))
CVE-2017-13802: Ivan Fratrić (Google Project Zero)
CVE-2017-13803: chenqin ((陈钦), Ant-financial Light-Year Security)
Unos ažuriran 21. prosinca 2017.
Wi-Fi
Dostupno za: iPhone 8, iPhone 8 Plus i iPhone X
Nisu zahvaćeni: iPhone 7, iPhone 7 Plus, iPhone 6s, iPhone 6s Plus, iPhone 6, iPhone 6 Plus, iPhone SE, iPhone 5s, iPad Air i noviji te iPod touch šeste generacije
Učinak: napadač u dosegu Wi-Fi mreže mogao je prisilno omogućiti ponovno korištenje privremenog broja na WPA unicast / PTK klijentima (napadi ponovnom instalacijom ključa – Key Reinstallation Attacks, KRACK)
Opis: u rukovanju prijelazima iz jednog stanja u drugo pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2017-13077: Mathy Vanhoef (grupa imec-DistriNet, KU Leuven)
CVE-2017-13078: Mathy Vanhoef (grupa imec-DistriNet, KU Leuven)
Unos ažuriran 3. studenog 2017.
Wi-Fi
Dostupno za: iPhone 7 i noviji te iPad Pro od 9,7 inča (početak 2016.) i noviji
Učinak: napadač u dosegu Wi-Fi mreže mogao je prisilno omogućiti ponovno korištenje privremenog broja na WPA multicast / GTK klijentima (napadi ponovnom instalacijom ključa – Key Reinstallation Attacks, KRACK)
Opis: u rukovanju prijelazima iz jednog stanja u drugo pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2017-13080: Mathy Vanhoef (grupa imec-DistriNet, KU Leuven)
Unos ažuriran 3. studenog 2017.