Informacije o sigurnosnom sadržaju sustava iOS 11.1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 11.1.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

iOS 11.1

Izdano 31. listopada 2017.

Jezgreni tekst

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: obrada zlonamjerne tekstne datoteke mogla je izazvati neočekivano zatvaranje aplikacije

Opis: problem s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13849: Ro (SavSec)

Kernel

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13799: anonimni istraživač

Poruke

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: osoba s fizičkim pristupom iOS uređaju mogla je sa zaključanog zaslona pristupiti fotografijama

Opis: zbog problema sa zaključanim zaslonom putem njega bio je moguć pristup fotografijama putem opcije Odgovori porukom. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2017-13844: Miguel Alvarado (iDeviceHelp INC)

Siri

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: osoba s fizičkim pristupom iOS uređaju može koristiti Siri za čitanje obavijesti o sadržaju postavljenom tako da se ne prikazuje na zaključanom zaslonu

Opis: otkriven je problem s dozvolama za Siri. Taj je problem riješen poboljšanom provjerom dozvola.

CVE-2017-13805: anonimni istraživač

StreamingZip

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: zlonamjerna ZIP datoteka mogla je izmijeniti ograničena područja datotečnog sustava

Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.

CVE-2017-13804: @qwertyoruiopz (KJC Research Intl. S.R.L.)

UIKit

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: mogli su se otkriti znakovi u sigurnom tekstnom polju

Opis: tijekom događaja promjene fokusa otkrili bi se znakovi u sigurnom tekstnom polju. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2017-7113: anonimni istraživač, Duraiamuthan Harikrishnan (Tech Mahindra), Ricardo Sampayo (Bemo Ltd)

WebKit

Dostupno za: iPhone 5s i noviji, iPad Air i noviji te iPod touch šeste generacije

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2017-13784: Ivan Fratrić (Google Project Zero)

CVE-2017-13783: Ivan Fratrić (Google Project Zero)

CVE-2017-13785: Ivan Fratrić (Google Project Zero)

CVE-2017-13788: xisigr (Tencentov odjel Xuanwu Lab (tencent.com))

CVE-2017-13802: Ivan Fratrić (Google Project Zero)

CVE-2017-13792: Ivan Fratrić (Google Project Zero)

CVE-2017-13795: Ivan Fratrić (Google Project Zero)

CVE-2017-13798: Ivan Fratrić (Google Project Zero)

CVE-2017-13796: Ivan Fratrić (Google Project Zero)

CVE-2017-13794: Ivan Fratrić (Google Project Zero)

CVE-2017-13793: Hanul Choi i inicijativa Zero Day (Trend Micro)

CVE-2017-13791: Ivan Fratrić (Google Project Zero)

CVE-2017-13803: chenqin ((陈钦), Ant-financial Light-Year Security)

Wi-Fi

Dostupno za: iPhone 7 i novije te iPad Pro od 9,7 inča (početak 2016.) i novije

Učinak: napadač u dosegu Wi-Fi mreže mogao je prisilno omogućiti ponovno korištenje privremenog broja na WPA klijentima (napadi ponovnom instalacijom ključa – Key Reinstallation Attacks, KRACK)

Opis: u rukovanju prijelazima iz jednog stanja u drugo pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2017-13080: Mathy Vanhoef (grupa imec-DistriNet, KU Leuven)

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: