Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
iOS 11
Kiadási dátum: 2017. szeptember 19.
802.1X
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A támadók ki tudták használni a TLS 1.0-s verziójában fennálló réseket.
Leírás: A TLS 1.1 és a TLS 1.2 engedélyezésével elhárítottak egy protokollbiztonsági hibát.
CVE-2017-13832: Doug Wussler (Florida State University)
Bejegyzés hozzáadva: 2017. október 31., frissítve: 2017. november 10.
APNs
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A magas hálózati jogosultságú támadók nyomon tudták követni a felhasználókat.
Leírás: Adatvédelmi probléma lépett fel a klienstanúsítványok használatakor. Átdolgozott protokoll révén hárítottuk el a problémát.
CVE-2017-13863: FURIOUSMAC Team (United States Naval Academy)
Bejegyzés hozzáadva: 2017. december 21.
Bluetooth
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy alkalmazások hozzá tudtak férni korlátozott fájlokhoz.
Leírás: Adatvédelmi probléma lépett fel a kontaktkártyák kezelésekor. Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.
CVE-2017-7131: Dominik Conrads (Federal Office for Information Security), anonim kutató, Anand Kathapurkar (India), Elvis (@elvisimprsntr)
Bejegyzés frissítve 2017. október 9-én.
CFNetwork
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2017-13829: Niklas Baumstark és Samuel Gro, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2017-13833: Niklas Baumstark és Samuel Gro, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
Bejegyzés hozzáadva: 2017. november 10.
CFNetwork proxyk
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy szolgáltatásmegtagadással kapcsolatos problémát.
CVE-2017-7083: Abhinav Bansal (Zscaler Inc.)
A bejegyzés hozzáadva: 2017. szeptember 25.
CFString
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.
Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.
CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate
Bejegyzés hozzáadva 2017. október 31-én.
CoreAudio
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.
Leírás: Az Opus 1.1.4-es verziójára való frissítéssel elhárítottak egy határérték-olvasási hibát.
CVE-2017-0381: V.E.O (@VYSEa; Mobile Threat Research Team), Trend Micro
A bejegyzés hozzáadva: 2017. szeptember 25.
CoreText
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.
CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate
Bejegyzés hozzáadva: 2017. október 31., frissítve: 2018. november 16.
Exchange ActiveSync
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A magas hálózati jogosultságú támadók törölni tudták a készüléket Exchange-fiók beállítása során.
Leírás: Érvényesítési hiba lépett fel az AutoDiscover V1 szolgáltatásban. Azáltal hárították el a problémát, hogy kötelezővé tettük a TLS használatát az AutoDiscover V1 esetén. Most már az AutoDiscover V2 a támogatott szolgáltatás.
CVE-2017-7088: Ilya Nesterov, Maxim Goncharov
file
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Több biztonsági rés volt a file esetén.
Leírás: Több hibát elhárítottak az 5.31-es verzióra való frissítéssel.
CVE-2017-13815: az OSS-Fuzz fedezte fel
Bejegyzés hozzáadva: 2017. október 31., frissítve: 2018. október 18.
Betűtípusok
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy nem megbízható szövegek renderelésekor hamisításra került sor.
Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy inkonzisztens felhasználói felülettel kapcsolatos problémát.
CVE-2017-13828: Leonard Grey és Robert Sesek (Google Chrome)
Bejegyzés hozzáadva: 2017. október 31., frissítve: 2017. november 10.
Heimdal
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásnak tudták kiadni magukat.
Leírás: Érvényesítési hiba lépett fel a KDC-REP szolgáltatásnév kezelésekor. Hatékonyabb ellenőrzéssel hárították el a problémát.
CVE-2017-11103: Jeffrey Altman, Viktor Duchovni és Nico Williams
A bejegyzés hozzáadva: 2017. szeptember 25.
HFS
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2017-13830: Sergej Schumilo (Ruhr-University Bochum)
Bejegyzés hozzáadva 2017. október 31-én.
iBooks
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott iBooks-fájlok elemzésekor folyamatos szolgáltatásmegtagadás lépett fel.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy szolgáltatásmegtagadással kapcsolatos problémát.
CVE-2017-7072: Jędrzej Krysztofiak
ImageIO
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate
Bejegyzés hozzáadva: 2017. október 31., frissítve: 2018. november 16.
ImageIO
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor szolgáltatásmegtagadás lépett fel.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2017-13831: Glen Carmichael
Bejegyzés hozzáadva: 2017. október 31., frissítve: 2019. április 3.
Kernel
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2017-7114: Alex Plaskett (MWR InfoSecurity)
A bejegyzés hozzáadva: 2017. szeptember 25.
Kernel
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy a helyi felhasználók olvasni tudták a kernelmemóriát.
Leírás: Egy határérték-olvasási hiba miatt felfedhető volt a kernelmemória tartalma. Hatékonyabb bevitel-ellenőrzéssel hárították el a problémát.
CVE-2017-13817: Maxime Villard (m00nbsd)
Bejegyzés hozzáadva 2017. október 31-én.
Kernel
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.
Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.
CVE-2017-13818: National Cyber Security Centre (NCSC, Egyesült Királyság)
CVE-2017-13836: Vlad Tsyrklevich
CVE-2017-13841: Vlad Tsyrklevich
CVE-2017-13840: Vlad Tsyrklevich
CVE-2017-13842: Vlad Tsyrklevich
Bejegyzés hozzáadva: 2017. október 31., frissítve: 2018. június 18.
Kernel
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2017-13843: anonim kutató, anonim kutató
Bejegyzés hozzáadva 2017. október 31-én.
Kernel
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2017-13854: shrek_wzw (Qihoo 360 Nirvan Team)
Bejegyzés hozzáadva: 2017. november 2.
Kernel
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy a hibás formázású mach-binárisok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2017-13834: Maxime Villard (m00nbsd)
Bejegyzés hozzáadva: 2017. november 10.
Kernel
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A rosszindulatú alkalmazások információkat tudtak szerezni a készüléken lévő egyéb alkalmazások jelenlétéről és működéséről.
Leírás: Alkalmazások korlátlanul hozzá tudtak férni az operációs rendszer által kezelt hálózati tevékenységekkel kapcsolatos információkhoz. Úgy hárítottuk el a problémát, hogy korlátoztuk a külső alkalmazások számára rendelkezésre álló információkat.
CVE-2017-13873: Xiaokuan Zhang és Yinqian Zhang (Ohio State University), Xueqiang Wang és XiaoFeng Wang (Indiana University Bloomington) és Xiaolong Bai (Tsinghua University)
Bejegyzés hozzáadva: 2017. november 30.
Billentyűzetjavaslatok
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A billentyűzet automatikus javítási javaslatai révén felfedhetők voltak bizalmas jellegű információk.
Leírás: Az iOS-billentyűzet véletlenül bizalmas jellegű információkat gyorsítótárazott. Hatékonyabb heurisztikával küszöbölték ki a problémát.
CVE-2017-7140: Agim Allkanjari (Stream in Motion Inc.)
Bejegyzés frissítve 2017. október 9-én.
libarchive
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott archívumok kicsomagolásakor tetszőleges kód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy puffertúlcsordulást okozó problémát.
CVE-2017-13813: az OSS-Fuzz fedezte fel
CVE-2017-13816: az OSS-Fuzz fedezte fel
Bejegyzés hozzáadva 2017. október 31-én.
libarchive
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott archívumok kicsomagolásakor tetszőleges kód végrehajtására került sor.
Leírás: Több memóriasérüléssel kapcsolatos probléma állt fenn a libarchive esetén. Hatékonyabb bevitel-ellenőrzéssel hárították el a problémákat.
CVE-2017-13812: az OSS-Fuzz fedezte fel
Bejegyzés hozzáadva 2017. október 31-én.
libc
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Távoli támadó szolgáltatásmegtagadást tudott előidézni.
Leírás: Egy hatékonyabb algoritmussal elhárították a glob() esetén fellépett, erőforrásfogyással kapcsolatos hibát.
CVE-2017-7086: Russ Cox (Google)
A bejegyzés hozzáadva: 2017. szeptember 25.
libc
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az alkalmazások szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriafelhasználási hibát.
CVE-2017-1000373
A bejegyzés hozzáadva: 2017. szeptember 25.
libexpat
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az expat több biztonsági rése.
Leírás: Több hibát elhárítottak a 2.2.1-es verzióra való frissítéssel.
CVE-2016-9063
CVE-2017-9233
A bejegyzés hozzáadva: 2017. szeptember 25.
libxml2
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott XML-dokumentumok feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.
CVE-2017-7376: anonim kutató
CVE-2017-5130: anonim kutató
Bejegyzés hozzáadva: 2018. október 18.
libxml2
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott XML-dokumentumok feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.
CVE-2017-9050: Mateusz Jurczyk (j00ru, Google Project Zero)
Bejegyzés hozzáadva: 2018. október 18.
libxml2
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott XML-dokumentumok feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2017-9049: Wei Lei és Liu Yang (Nanyang Technological University, Szingapúr)
Bejegyzés hozzáadva: 2018. október 18.
libxml2
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott XML-dokumentumok feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.
CVE-2018-4302: Gustavo Grieco
Bejegyzés hozzáadva: 2018. október 18.
Helymeghatározási keretrendszer
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az alkalmazások be tudtak olvasni bizalmas jellegű helyadatokat.
Leírás: Engedélyezési hiba lépett fel a helyváltozó kezelésekor. További tulajdonjog-ellenőrzésekkel hárították el a problémát.
CVE-2017-7148: Igor Makarov (Moovit), Will McGinty és Shawnna Rodriguez (Bottle Rocket Studios)
Bejegyzés frissítve 2017. október 9-én.
E-mail-vázlatok
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A magas hálózati jogosultságú támadók meg tudták szerezni az e-mail-fiókok tartalmát.
Leírás: Titkosítási probléma lépett fel az e-mail-vázlatok kezelésekor. A titkosított módon elküldeni kívánt e-mail-vázlatok hatékonyabb kezelésével hárították el a problémát.
CVE-2017-7078: Petter Flink, Pierre ALBARÈDE (Franciaország, Marseille), anonim kutató
Bejegyzés frissítve 2017. október 9-én.
Mail MessageUI
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor szolgáltatásmegtagadás lépett fel.
Leírás: Hatékonyabb ellenőrzéssel elhárítottak egy memóriasérülési hibát.
CVE-2017-7097: Xinshu Dong és Jun Hao Tan (Anquan Capital)
Üzenetek
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor szolgáltatásmegtagadás lépett fel.
Leírás: Hatékonyabb ellenőrzéssel elhárítottak egy szolgáltatásmegtagadással kapcsolatos problémát.
CVE-2017-7118: Kiki Jiang és Jason Tokoph
MobileBackup
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy a biztonsági mentés során titkosítatlan biztonsági mentés jött létre akkor is, ha titkosított biztonsági mentés létrehozása volt megszabva.
Leírás: Engedélyezési hiba állt fenn. Az engedélyek hatékonyabb ellenőrzésével hárították el a problémát.
CVE-2017-7133: Don Sparks (HackediOS.com)
Megjegyzések
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A helyi felhasználók ki tudtak szivárogtatni bizalmas jellegű információkat.
Leírás: A zárolt jegyzetek tartalma néha megjelent a keresési találatok között. Hatékonyabb adattisztítással hárítottuk el a problémát.
CVE-2017-7075: Richard Will (Marathon Oil Company)
Bejegyzés hozzáadva: 2017. november 10.
Telefon
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: iOS-készülék zárolásakor képernyőfotó volt készíthető védett tartalmakról.
Leírás: Időzítési probléma lépett fel a zárolás során. Azáltal hárították el a problémát, hogy megakadályozták képernyőfotók készítését zárolás során.
CVE-2017-7139: anonim kutató
A bejegyzés hozzáadva: 2017. szeptember 25.
Profilok
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Véletlenül telepíteni lehetett készülékpárosítási rekordokat a készülékre olyan profil telepítésekor, amely megtiltja a párosítást.
Leírás: A párosítások nem törlődtek olyan profil telepítésekor, amely megtiltja a párosítást. A konfigurációs profillal ütköző párosítások eltávolításával hárítottuk el a problémát.
CVE-2017-13806: Rorie Hood (MWR InfoSecurity)
Bejegyzés hozzáadva: 2017. november 2.
Gyorsnézet
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.
Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.
CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate
Bejegyzés hozzáadva 2017. október 31-én.
Gyorsnézet
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott Office-dokumentumok elemzésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriafelhasználási hibát.
CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate
Bejegyzés hozzáadva 2017. október 31-én.
Safari
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.
Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy inkonzisztens felhasználói felülettel kapcsolatos problémát.
CVE-2017-7085: xisigr (Tencent; Xuanwu Lab; tencent.com)
Sandbox-profilok
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A rosszindulatú alkalmazások információkat tudtak szerezni a készüléken lévő egyéb alkalmazások jelenlétéről.
Leírás: Az alkalmazások meg tudták határozni, hogy milyen fájlok vannak a sandboxon kívül. A sandbox-ellenőrzések fejlesztésével küszöbölték ki a problémát.
CVE-2017-13877: Xiaokuan Zhang és Yinqian Zhang (Ohio State University), Xueqiang Wang és XiaoFeng Wang (Indiana University Bloomington) és Xiaolong Bai (Tsinghua University)
Bejegyzés hozzáadva: 2017. november 30.
Biztonság
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Meg lehetett jelölni megbízhatóként a visszavont tanúsítványokat.
Leírás: Tanúsítványhitelesítéssel kapcsolatos probléma lépett fel a visszavonási adatok kezelésekor. Hatékonyabb ellenőrzéssel hárították el a problémát.
CVE-2017-7080: anonim kutató, anonim kutató, Sven Driemecker (adesso mobile solutions gmbh), Rune Darrud (@theflyingcorpse; Bærum kommune)
A bejegyzés hozzáadva: 2017. szeptember 25.
Biztonság
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A rosszindulatú alkalmazások nyomon tudták követni a felhasználókat telepítések között.
Leírás: Jogosultságellenőrzési probléma lépett fel az alkalmazások Kulcskarika-adatainak kezelésekor. Az engedélyek hatékonyabb ellenőrzésével hárították el a problémát.
CVE-2017-7146: anonim kutató
A bejegyzés hozzáadva: 2017. szeptember 25.
SQLite
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az SQLite több biztonsági rése.
Leírás: Több hibát elhárítottak a 3.19.3-as verzióra való frissítéssel.
CVE-2017-10989: az OSS-Fuzz fedezte fel
CVE-2017-7128: az OSS-Fuzz fedezte fel
CVE-2017-7129: az OSS-Fuzz fedezte fel
CVE-2017-7130: az OSS-Fuzz fedezte fel
A bejegyzés hozzáadva: 2017. szeptember 25.
SQLite
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2017-7127: anonim kutató
A bejegyzés hozzáadva: 2017. szeptember 25.
Telefonálás
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air (Wi-Fi + Cellular) modellek.
Érintett terület: A hatókörön belül tartózkodó támadók tetszőleges programkódot tudtak futtatni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2017-6211: Matthew Spisak (ENDGAME; endgame.com)
Bejegyzés hozzáadva: 2017. december 4.
Idő
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az „Időzóna beállítása” funkció tévesen azt jelezte, hogy helyadatokat használt fel.
Leírás: Engedélyezési hiba lépett fel az időzóna-információkat kezelő folyamat során. Az engedélyek módosításával hárították el a problémát.
CVE-2017-7145: Chris Lawrence
Bejegyzés frissítve 2017. október 9-én.
WebKit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.
CVE-2017-7081: Apple
A bejegyzés hozzáadva: 2017. szeptember 25.
WebKit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.
CVE-2017-7087: Apple
CVE-2017-7091: Wei Yuan (Baidu Security Lab), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2017-7092: Samuel Gro és Niklas Baumstark, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként, Qixun Zhao (@S0rryMybad; Qihoo 360 Vulcan Team)
CVE-2017-7093: Samuel Gro és Niklas Baumstark, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2017-7094: Tim Michaud (@TimGMichaud; Leviathan Security Group)
CVE-2017-7095: Wang Junjie, Wei Lei és Liu Yang (Nanyang Technological University), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőiként
CVE-2017-7096: Wei Yuan (Baidu Security Lab)
CVE-2017-7098: Felipe Freitas (Instituto Tecnológico de Aeronáutica)
CVE-2017-7099: Apple
CVE-2017-7100: Masato Kinugawa és Mario Heiderich (Cure53)
CVE-2017-7102: Wang Junjie, Wei Lei és Liu Yang (Nanyang Technological University)
CVE-2017-7104: likemeng (Baidu Security Lab)
CVE-2017-7107: Wang Junjie, Wei Lei és Liu Yang (Nanyang Technological University)
CVE-2017-7111: likemeng (Baidu Security Lab; xlab.baidu.com), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2017-7117: lokihardt (Google Project Zero)
CVE-2017-7120: chenqin (陈钦; Ant-financial Light-Year Security Lab)
A bejegyzés hozzáadva: 2017. szeptember 25.
WebKit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.
Leírás: Logikai probléma lépett fel a szülőlap kezelésekor. Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.
CVE-2017-7089: Anton Lopanitsyn (ONSEC), Frans Rosén (Detectify)
WebKit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az egyik eredethez tartozó sütiket át lehetett küldeni egy másik eredethez.
Leírás: Engedélyezési hiba lépett fel a webböngészősütik kezelésekor. Annak beállításával hárították el a problémát, hogy ne menjen végbe a sütik visszajuttatása egyéni URL-sémák esetén.
CVE-2017-7090: Apple
A bejegyzés hozzáadva: 2017. szeptember 25.
WebKit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.
Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy inkonzisztens felhasználói felülettel kapcsolatos problémát.
CVE-2017-7106: Oliver Paukstadt (Thinking Objects GmbH; to.com)
WebKit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.
Leírás: Előfordult, hogy a rendszer váratlanul alkalmazta az alkalmazás-gyorsítótáras házirendet.
CVE-2017-7109: avlidienbrunn
A bejegyzés hozzáadva: 2017. szeptember 25.
WebKit
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A rosszindulatú webhelyek nyomon tudták követni a felhasználókat a Safari privát böngészési módjában.
Leírás: Engedélyezési hiba lépett fel a webböngészősütik kezelésekor. Hatékonyabb korlátozásokkal hárították el a problémát.
CVE-2017-7144: Mohammad Ghasemisharif (UIC’s BITS Lab)
Bejegyzés frissítve 2017. október 9-én.
WebKit-tároló
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: Előfordult, hogy a Safari privát böngészési munkamenete után is megmaradtak webhelyadatok.
Leírás: Egy információkiszivárgással kapcsolatos probléma lépett fel a webhelyadatok kezelésekor a Safari Privát-ablakaiban. Hatékonyabb adatkezeléssel küszöböltük ki a problémát.
CVE-2017-7142: Rich Shawn O’Connell, anonim kutató, anonim kutató
Bejegyzés hozzáadva: 2017. november 10.
Wi-Fi
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A hatókörön belül tartózkodó támadók tetszőleges programkódot tudtak futtatni a Wi-Fi-chipen.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2017-11120: Gal Beniamini (Google Project Zero)
CVE-2017-11121: Gal Beniamini (Google Project Zero)
A bejegyzés hozzáadva: 2017. szeptember 25.
Wi-Fi
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A Wi-Fi-chipen futtatott rosszindulatú kódok kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni az alkalmazásprocesszoron.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2017-7103: Gal Beniamini (Google Project Zero)
CVE-2017-7105: Gal Beniamini (Google Project Zero)
CVE-2017-7108: Gal Beniamini (Google Project Zero)
CVE-2017-7110: Gal Beniamini (Google Project Zero)
CVE-2017-7112: Gal Beniamini (Google Project Zero)
Wi-Fi
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A Wi-Fi-chipen futtatott rosszindulatú kódok kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni az alkalmazásprocesszoron.
Leírás: Hatékonyabb ellenőrzéssel elhárítottak több elsőbbségi problémát.
CVE-2017-7115: Gal Beniamini (Google Project Zero)
Wi-Fi
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A Wi-Fi-chipen futtatott rosszindulatú kódok olvasni tudták a korlátozott kernelmemóriát.
Leírás: Beviteltisztítással elhárítottak egy hitelesítési hibát.
CVE-2017-7116: Gal Beniamini (Google Project Zero)
Wi-Fi
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A hatókörön belül tartózkodó támadók olvasni tudták a korlátozott memóriát a Wi-Fi-lapkakészletből.
Leírás: Beviteltisztítással elhárítottak egy hitelesítési hibát.
CVE-2017-11122: Gal Beniamini (Google Project Zero)
Bejegyzés hozzáadva 2017. október 2-án.
zlib
A következőkhöz érhető el: iPhone 5s és újabb, iPad Air és újabb, 6. generációs iPod touch.
Érintett terület: A zlib több biztonsági rése.
Leírás: Több hibát elhárítottak az 1.2.11-es verzióra való frissítéssel.
CVE-2016-9840
CVE-2016-9841
CVE-2016-9842
CVE-2016-9843
A bejegyzés hozzáadva: 2017. szeptember 25.
További köszönetnyilvánítás
LaunchServices
Köszönjük Mark Zimmermann (EnBW Energie Baden-Württemberg AG) segítségét.
Biztonság
Köszönjük Abhinav Bansal (Zscaler, Inc.) segítségét.
Webkit
Köszönjük xisigr (Tencent; Xuanwu Lab; tencent.com) segítségét.
WebKit
Köszönjük Rayyan Bijoora (@Bijoora; The City School, PAF Chapter) segítségét.
WebKit Web Inspector
Köszönjük Ioan Bizău (Bloggify) segítségét.