Az iOS 10.3.3 biztonsági változásjegyzéke

Ez a dokumentum az iOS 10.3.3 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

iOS 10.3.3

Kontaktok

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy puffertúlcsordulást okozó problémát.

CVE-2017-7062: Shashank (@cyberboyIndia)

CoreAudio

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb határérték-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2017-7008: Yangkang (@dnpushme; Qihoo 360 Qex Team)

EventKitUI

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy erőforrásfogyással kapcsolatos hibát.

CVE-2017-7007: José Antonio Esteban (@Erratum_; Sapsi Consultores)

IOUSBFamily

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-7009: shrek_wzw (Qihoo 360 Nirvan Team)

Kernel

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-7022: anonim kutató

CVE-2017-7024: anonim kutató

CVE-2017-7026: anonim kutató

Kernel

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-7023: anonim kutató

CVE-2017-7025: anonim kutató

CVE-2017-7027: anonim kutató

CVE-2017-7069: Proteas (Qihoo 360 Nirvan Team)

Kernel

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2017-7028: anonim kutató

CVE-2017-7029: anonim kutató

libarchive

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott archívumok kicsomagolásakor tetszőleges kód végrehajtására került sor.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltek egy puffertúlcsordulást okozó problémát.

CVE-2017-7068: found by OSS-Fuzz

libxml2

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott XML-dokumentumok elemzésekor felfedhetők voltak a felhasználói adatok.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltek egy határérték-olvasási hibát.

CVE-2017-7010: Apple

CVE-2017-7013: found by OSS-Fuzz

libxpc

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-7047: Ian Beer (Google Project Zero)

Üzenetek

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriafelhasználási hibát.

CVE-2017-7063: Shashank (@cyberboyIndia)

Értesítések

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: Előfordulhat, hogy akkor is megjelentek értesítések a zárolt képernyőn, amikor le voltak tiltva.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy zárolt képernyővel kapcsolatos hibát.

CVE-2017-7058: Beyza Sevinç (Süleyman Demirel Üniversitesi)

Safari

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2017-2517: xisigr (Tencent; Xuanwu Lab; tencent.com)

Nyomtatás a Safariból

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor végtelen számú nyomtatási párbeszédpanel jelent meg.

Leírás: Egy hiba miatt a rosszindulatú, illetve a hackelt webhelyek végtelen számú nyomtatási párbeszédpanelt tudtak megjeleníteni, és el tudták hitetni a felhasználókkal, hogy a böngésző zárolt állapotban van. A nyomtatási párbeszédpanelek szabályozásával hárították el a problémát.

CVE-2017-7060: Travis Kelley (City of Mishawaka, Indiana)

Telefonálás

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad (Wi-Fi + Cellular modellek).

Érintett terület: A magas hálózati jogosultságú támadók tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-8248

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: A rosszindulatú webhelyek ki tudtak szivárogtatni adatokat különböző forrásokból.

Leírás: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetőség adódott arra, hogy különböző eredetekből származó adatokat szivárogtassanak ki SVG-szűrők segítségével, és így időzítésalapú „oldalcsatornás” támadást indítsanak. Azáltal hárítottuk el a problémát, hogy nem helyezték a különböző eredetek pufferét a szűrt keretbe.

CVE-2017-7006: anonim kutató, David Kohlbrenner (UC San Diego)

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: Hatékonyabb keretkezeléssel elhárítottunk egy állapotkezeléssel összefüggő problémát.

CVE-2017-7011: xisigr (Tencent; Xuanwu Lab; tencent.com)

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2017-7018: lokihardt (Google Project Zero)

CVE-2017-7020: likemeng (Baidu Security Lab)

CVE-2017-7030: chenqin (Ant-financial Light-Year Security Lab; 蚂蚁金服巴斯光年安全实验室)

CVE-2017-7034: chenqin (Ant-financial Light-Year Security Lab; 蚂蚁金服巴斯光年安全实验室)

CVE-2017-7037: lokihardt (Google Project Zero)

CVE-2017-7039: Ivan Fratric (Google Project Zero)

CVE-2017-7040: Ivan Fratric (Google Project Zero)

CVE-2017-7041: Ivan Fratric (Google Project Zero)

CVE-2017-7042: Ivan Fratric (Google Project Zero)

CVE-2017-7043: Ivan Fratric (Google Project Zero)

CVE-2017-7046: Ivan Fratric (Google Project Zero)

CVE-2017-7048: Ivan Fratric (Google Project Zero)

CVE-2017-7052: cc, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2017-7055: The UK's National Cyber Security Centre (NCSC)

CVE-2017-7056: lokihardt (Google Project Zero)

CVE-2017-7061: lokihardt (Google Project Zero)

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak DOMParser segítségével való feldolgozása webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Logikai probléma lépett fel a DOMParser kezelésekor. Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.

CVE-2017-7038: Egor Karbutov (@ShikariSenpai; Digital Security) és Egor Saltykov (@ansjdnakjdnajkd; Digital Security), Neil Jenkins (FastMail Pty Ltd)

CVE-2017-7059: Masato Kinugawa és Mario Heiderich (Cure53)

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2017-7049: Ivan Fratric (Google Project Zero)

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriainicializálási hibát.

CVE-2017-7064: lokihardt (Google Project Zero)

WebKit-oldalbetöltés

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2017-7019: Zhiyang Zeng (Tencent Security Platform Department)

WebKit Web Inspector

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2017-7012: Apple

Wi-Fi

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: A hatókörön belül tartózkodó támadók tetszőleges programkódot tudtak futtatni a Wi-Fi-chipen.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-7065: Gal Beniamini (Google Project Zero)

Wi-Fi

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: A Wi-Fi-hatókörön belül tartózkodó támadók szolgáltatásmegtagadást tudtak előidézni a Wi-Fi-chipen.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-7066: Gal Beniamini (Google Project Zero)

Wi-Fi

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: A hatókörön belül tartózkodó támadók tetszőleges programkódot tudtak futtatni a Wi-Fi-chipen.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-9417: Nitay Artenstein (Exodus Intelligence)