Az iOS 10.3.3 biztonsági tartalma

Ez a dokumentum az iOS 10.3.3 biztonsági tartalmát ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

iOS 10.3.3

Kiadási dátum: 2017. július 19.

Kontaktok

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy puffertúlcsordulást okozó problémát.

CVE-2017-7062: Shashank (@cyberboyIndia)

CoreAudio

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb határérték-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-7008: Yangkang (@dnpushme; Qihoo 360 Qex Team)

EventKitUI

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch. 

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy erőforrásfogyással kapcsolatos hibát.

CVE-2017-7007: José Antonio Esteban (@Erratum_; Sapsi Consultores)

IOUSBFamily

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-7009: shrek_wzw (Qihoo 360 Nirvan Team)

Kernel

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch. 

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-7022: anonim kutató

CVE-2017-7024: anonim kutató

CVE-2017-7026: anonim kutató

Kernel

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch. 

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-7023: anonim kutató

CVE-2017-7025: anonim kutató

CVE-2017-7027: anonim kutató

CVE-2017-7069: Proteas (Qihoo 360 Nirvan Team)

Kernel

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottunk egy hitelesítési hibát.

CVE-2017-7028: anonim kutató

CVE-2017-7029: anonim kutató

libarchive

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott archívumok kicsomagolásakor tetszőleges kód végrehajtására került sor.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2017-7068: found by OSS-Fuzz

libxml2

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch. 

Érintett terület: Az ártó szándékkal létrehozott XML-dokumentumok elemzésekor felfedhetők voltak a felhasználói adatok.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határérték-olvasási hibát.

CVE-2017-7010: Apple

CVE-2017-7013: found by OSS-Fuzz

libxpc

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-7047: Ian Beer (Google Project Zero)

Üzenetek

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch. 

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.

CVE-2017-7063: Shashank (@cyberboyIndia)

Értesítések

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: Előfordulhat, hogy akkor is megjelentek értesítések a zárolt képernyőn, amikor le voltak tiltva.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy zárolt képernyővel kapcsolatos hibát.

CVE-2017-7058: Beyza Sevinç (Süleyman Demirel Üniversitesi)

Bejegyzés frissítve 2017. július 28-án.

Safari

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2017-2517: xisigr (Tencent; Xuanwu Lab; tencent.com)

Nyomtatás a Safariból

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch. 

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor végtelen számú nyomtatási párbeszédpanel jelent meg.

Leírás: Egy hiba miatt a rosszindulatú, illetve a hackelt webhelyek végtelen számú nyomtatási párbeszédpanelt tudtak megjeleníteni, és el tudták hitetni a felhasználókkal, hogy a böngésző zárolt állapotban van. A nyomtatási párbeszédpanelek szabályozásával hárították el a problémát.

CVE-2017-7060: Travis Kelley (City of Mishawaka, Indiana)

Telefonálás

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad (WiFi + Cellular modellek). 

Érintett terület: A magas hálózati jogosultságú támadók tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-8248

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: A rosszindulatú webhelyek ki tudtak szivárogtatni adatokat különböző forrásokból.

Leírás: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetőség adódott arra, hogy különböző eredetekből származó adatokat szivárogtassanak ki SVG-szűrők segítségével, és így időzítés-alapú „side-channel” típusú támadást indítsanak. Azáltal hárítottuk el a problémát, hogy nem helyezték a különböző eredetek pufferét a szűrt keretbe.

CVE-2017-7006: anonim kutató, David Kohlbrenner (UC San Diego)

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: Hatékonyabb keretkezeléssel elhárítottunk egy állapotkezeléssel összefüggő problémát.

CVE-2017-7011: xisigr (Tencent; Xuanwu Lab; tencent.com)

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch. 

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.

CVE-2017-7018: lokihardt (Google Project Zero)

CVE-2017-7020: likemeng (Baidu Security Lab)

CVE-2017-7030: chenqin (Ant-financial Light-Year Security Lab; 蚂蚁金服巴斯光年安全实验室)

CVE-2017-7034: chenqin (Ant-financial Light-Year Security Lab; 蚂蚁金服巴斯光年安全实验室)

CVE-2017-7037: lokihardt (Google Project Zero)

CVE-2017-7039: Ivan Fratric (Google Project Zero)

CVE-2017-7040: Ivan Fratric (Google Project Zero)

CVE-2017-7041: Ivan Fratric (Google Project Zero)

CVE-2017-7042: Ivan Fratric (Google Project Zero)

CVE-2017-7043: Ivan Fratric (Google Project Zero)

CVE-2017-7046: Ivan Fratric (Google Project Zero)

CVE-2017-7048: Ivan Fratric (Google Project Zero)

CVE-2017-7052: cc, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2017-7055: The UK's National Cyber Security Centre (NCSC)

CVE-2017-7056: lokihardt (Google Project Zero)

CVE-2017-7061: lokihardt (Google Project Zero)

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak DOMParser segítségével való feldolgozása webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Logikai probléma lépett fel a DOMParser kezelésekor. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2017-7038: Egor Karbutov (@ShikariSenpai; Digital Security) és Egor Saltykov (@ansjdnakjdnajkd; Digital Security), Neil Jenkins (FastMail Pty Ltd)

CVE-2017-7059: Masato Kinugawa és Mario Heiderich (Cure53)

Bejegyzés frissítve 2017. július 28-án.

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch. 

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.

CVE-2017-7049: Ivan Fratric (Google Project Zero)

WebKit

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2017-7064: lokihardt (Google Project Zero)

WebKit-oldalbetöltés

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch. 

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.

CVE-2017-7019: Zhiyang Zeng (Tencent Security Platform Department)

WebKit Web Inspector

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch. 

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.

CVE-2017-7012: Apple

Wi-Fi

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: A hatókörön belül tartózkodó támadók tetszőleges programkódot tudtak futtatni a Wi-Fi-chipen.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-7065: Gal Beniamini (Google Project Zero)

A bejegyzés hozzáadva: 2017. szeptember 25.

Wi-Fi

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: A Wi-Fi-hatókörön belül tartózkodó támadók szolgáltatásmegtagadást tudtak előidézni a Wi-Fi-chipen.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-7066: Gal Beniamini (Google Project Zero)

A bejegyzés hozzáadva: 2017. szeptember 26.

Wi-Fi

A következőkhöz érhető el: iPhone 5 és újabb, 4. generációs és újabb iPad, 6. generációs iPod touch.

Érintett terület: A hatókörön belül tartózkodó támadók tetszőleges programkódot tudtak futtatni a Wi-Fi-chipen.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-9417: Nitay Artenstein (Exodus Intelligence)

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: