Informazioni sui contenuti di sicurezza di iOS 10.3
In questo documento sono descritti i contenuti di sicurezza di iOS 10.3.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.
Per ulteriori informazioni sulla sicurezza, visita la pagina relativa alla sicurezza dei prodotti Apple. Puoi codificare le comunicazioni con Apple usando la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
iOS 10.3
Account
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: un utente potrebbe essere in grado di visualizzare un ID Apple dal blocco schermo.
Descrizione: un problema di gestione delle richieste è stato risolto eliminando le richieste di autenticazione di iCloud dal blocco schermo.
CVE-2017-2397: Suprovici Vadim del team di UniApps, un ricercatore autonomo
Audio
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di un file audio pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-2430: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro
CVE-2017-2462: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro
Carbon
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di un file con estensione .dfont pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: si verifica un overflow del buffer nella gestione dei file font. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-2017-2379: John Villamil, Doyensec, riusksk (泉哥) di Tencent Security Platform Department
CoreGraphics
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di un'immagine dannosa può causare l'interruzione del servizio.
Descrizione: una ricorsione infinita è stata risolta tramite una migliore gestione dello stato.
CVE-2017-2417: riusksk (泉哥) di Tencent Security Platform Department
CoreGraphics
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.
CVE-2017-2444: Mei Wang di 360 GearTeam
CoreText
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-2435: John Villamil, Doyensec
CoreText
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di un font pericoloso può causare la divulgazione della memoria dei processi.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida degli input.
CVE-2017-2450: John Villamil, Doyensec
CoreText
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di un messaggio di testo dannoso può causare l'interruzione del servizio di un'applicazione.
Descrizione: un problema di esaurimento delle risorse è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-2461: Isaac Archambault di IDAoADI, ricercatore autonomo
DataAccess
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: la configurazione di un account di Exchange con un indirizzo email digitato in modo errato può rimandare a un server imprevisto.
Descrizione: un problema di convalida dell'input era presente nella gestione degli indirizzi email di Exchange. Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-2414: Ilya Nesterov e Maxim Goncharov
FontParser
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.
CVE-2017-2487: riusksk (泉哥) di Tencent Security Platform Department
CVE-2017-2406: riusksk (泉哥) di Tencent Security Platform Department
FontParser
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di un file di font pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.
CVE-2017-2407: riusksk (泉哥) di Tencent Security Platform Department
FontParser
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di un font pericoloso può causare la divulgazione della memoria dei processi.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida degli input.
CVE-2017-2439: John Villamil, Doyensec
HomeKit
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: Controlli Casa potrebbe essere visualizzato per errore nel Centro di Controllo.
Descrizione: si verificava un errore di stato nella gestione di Controlli Casa. che è stato risolto attraverso una migliore convalida.
CVE-2017-2434: Suyash Narain, India
HTTPProtocol
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: un server HTTP/2 pericoloso potrebbe causare un comportamento non definito.
Descrizione: nelle versioni di nghttp2 precedenti alla 1.17.0 esistevano diversi problemi, che sono stati risolti con l'aggiornamento di nghttp2 alla versione 1.17.0.
CVE-2017-2428
ImageIO
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) di KeenLab, Tencent
ImageIO
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: la visualizzazione di un file JPEG pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-2432: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro
ImageIO
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di un file di dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-2467
ImageIO
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di un'immagine pericolosa può causare la chiusura improvvisa dell'applicazione.
Descrizione: nelle versioni di LibTIFF precedenti alla 4.0.7 esisteva un problema di lettura non nei limiti, che è stato risolto con l'aggiornamento di LibTIFF in ImageIO alla versione 4.0.7.
CVE-2016-3619
iTunes Store
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di manomettere il traffico di rete di iTunes.
Descrizione: le richieste ai servizi web delle sandbox di iTunes venivano inviate in chiaro. Il problema è stato risolto tramite l'attivazione di HTTPS.
CVE-2017-2412: Richard Shupak (linkedin.com/in/rshupak)
JavaScriptCore
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-2491: Apple
JavaScriptCore
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di una pagina web pericolosa può comportare lo scripting cross-site universale.
Descrizione: un problema del prototipo è stato risolto attraverso una migliore logica.
CVE-2017-2492: lokihardt di Google Project Zero
Kernel
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-2398: Lufeng Li di Qihoo 360 Vulcan Team
CVE-2017-2401: Lufeng Li di Qihoo 360 Vulcan Team
Kernel
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.
CVE-2017-2440: un ricercatore anonimo
Kernel
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi root.
Descrizione: una race condition è stata risolta attraverso una migliore gestione della memoria.
CVE-2017-2456: lokihardt di Google Project Zero
Kernel
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-2472: Ian Beer di Google Project Zero
Kernel
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-2473: Ian Beer di Google Project Zero
Kernel
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un errore off-by-one è stato risolto attraverso un migliore controllo dei limiti.
CVE-2017-2474: Ian Beer di Google Project Zero
Kernel
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: una race condition è stata risolta mediante un blocco migliore.
CVE-2017-2478: Ian Beer di Google Project Zero
Kernel
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-2482: Ian Beer di Google Project Zero
CVE-2017-2483: Ian Beer di Google Project Zero
Kernel
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: un'applicazione può eseguire codice arbitrario con privilegi elevati.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-2490: Ian Beer di Google Project Zero, National Cyber Security Centre (NCSC) del Regno Unito
Tastiere
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: un'applicazione può eseguire codice arbitrario
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2017-2458: Shashank (@cyberboyIndia)
Portachiavi
Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti
Impatto: un malintenzionato in grado di intercettare connessioni TLS può essere in grado di leggere informazioni riservate protette dal portachiavi iCloud.
Descrizione: in alcune circostanze, il portachiavi iCloud non riusciva a convalidare l'autenticità dei pacchetti OTR. che è stato risolto attraverso una migliore convalida.
CVE-2017-2448: Alex Radocea di Longterm Security, Inc.
libarchive
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: un utente malintenzionato locale può essere in grado di modificare le autorizzazioni del file system in directory arbitrarie.
Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Il problema è stato risolto attraverso una migliore convalida dei link simbolici.
CVE-2017-2390: Omer Medan di enSilo Ltd
libc++abi
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: il demangling di un'applicazione C++ pericolosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-2441
libxslt
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: si verificano diverse vulnerabilità in libxslt.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2017-5029: Holger Fuhrmannek
Pasteboard
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: un individuo con accesso fisico a un dispositivo iOS potrebbe leggere la pasteboard.
Descrizione: la pasteboard era codificata con una chiave protetta solamente dall'UID dell'hardware. Il problema è stato risolto codificando la pasteboard con una chiave protetta dall'UID dell'hardware e dal codice dell'utente.
CVE-2017-2399
Telefono
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: un'app di terze parti può avviare una chiamata senza l'interazione dell'utente.
Descrizione: in iOS esisteva un problema a causa del quale potevano essere avviate chiamate senza richiesta. Il problema è stato risolto richiedendo all'utente di confermare l'avvio delle chiamate.
CVE-2017-2484
Profili
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: un utente malintenzionato può essere in grado di sfruttare le debolezze dell'algoritmo di crittografia DES.
Descrizione: il supporto per l'algoritmo di crittografia 3DES è stato aggiunto al client SCEP e DES è stato dichiarato obsoleto.
CVE-2017-2380: un ricercatore anonimo
Visualizzazione rapida
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: la selezione del link di un numero telefonico in un documento PDF potrebbe causare l'avvio di una chiamata senza richiesta all'utente.
Descrizione: si verificava un problema relativo alla selezione dell'URL di un numero telefonico, prima di avviare le chiamate. Il problema è stato risolto con l'aggiunta di una richiesta di conferma.
CVE-2017-2404: Tuan Anh Ngo (Melbourne, Australia), Christoph Nehring
Safari
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'accesso a un sito web dannoso può causare lo spoofing della barra degli indirizzi.
Descrizione: un problema di gestione dello stato è stato risolto tramite la disabilitazione dell'inserimento del testo fino al caricamento della pagina di destinazione.
CVE-2017-2376: un ricercatore anonimo, Michal Zalewski di Google Inc, Muneaki Nishimura (nishimunea) di Recruit Technologies Co., Ltd., Chris Hlady di Google Inc, un ricercatore anonimo, Yuyang Zhou di Tencent Security Platform Department (security.tencent.com)
Safari
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: un utente locale potrebbe scoprire quali siti web sono stati visitati da un utente in Navigazione privata.
Descrizione: si verificava un problema nell'eliminazione di SQLite. Il problema è stato risolto attraverso una migliore pulizia di SQLite.
CVE-2017-2384
Safari
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la visualizzazione di fogli di autenticazione tramite siti web arbitrari.
Descrizione: nella gestione dell'autenticazione HTTP si verificava un problema di spoofing e DoS (Denial of Service). Il problema è stato risolto rendendo i fogli di autenticazione HTTP non modali.
CVE-2017-2389: ShenYeYinJiu di Tencent Security Response Center, TSRC
Safari
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'accesso a un sito web dannoso mediante clic su un link può consentire lo spoofing dell'interfaccia utente.
Descrizione: si verificava un problema di spoofing nella gestione delle richieste di FaceTime. Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-2453: xisigr di Tencent's Xuanwu Lab (tencent.com)
Reader di Safari
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'abilitazione della funzione Reader di Safari su una pagina web dannosa può causare il cross-site scripting universale.
Descrizione: diversi problemi di convalida sono stati risolti attraverso una migliore sanitizzazione dell'input.
CVE-2017-2393: Erling Ellingsen
SafariViewController
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: lo stato della cache non viene sincronizzato correttamente tra Safari e SafariViewController, quando un utente cancella la cache di Safari.
Descrizione: esisteva un problema relativo all'eliminazione delle informazioni della cache di Safari da SafariViewController. Il problema è stato risolto tramite una migliore gestione dello stato della cache.
CVE-2017-2400: Abhinav Bansal di Zscaler, Inc.
Profili delle sandbox
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione
Impatto: un'applicazione dannosa può accedere al record iCloud di un utente che ha eseguito l'accesso.
Descrizione: un problema di accesso è stato risolto attraverso restrizioni delle sandbox aggiuntive su applicazioni di terze parti.
CVE-2017-6976: George Dan (@theninjaprawn)
Sicurezza
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: la convalida delle firme vuote con SecKeyRawVerify() potrebbe avere esito positivo in modo inatteso.
Descrizione: si verificava un problema di convalida relativo alle chiamate API crittografiche. Il problema è stato risolto attraverso una migliore convalida dei parametri.
CVE-2017-2423: un ricercatore anonimo
Sicurezza
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: un'applicazione può eseguire codice arbitrario con privilegi root.
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2017-2451: Alex Radocea di Longterm Security, Inc.
Sicurezza
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di un certificato x509 pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di danneggiamento della memoria durante l'analisi dei certificati. Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-2485: Aleksandar Nikolic di Cisco Talos
Siri
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: Siri potrebbe rivelare i contenuti dei messaggi di testo quando il dispositivo è bloccato.
Descrizione: un problema di blocco insufficiente è stato risolto migliorando la gestione dello stato.
CVE-2017-2452: Hunter Byrnes
WebKit
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: le azioni di trascinamento e rilascio di un link pericoloso potrebbero causare lo spoofing dei preferiti o l'esecuzione di codice arbitrario.
Descrizione: durante la creazione dei preferiti si verificava un problema di convalida. Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-2378: xisigr di Tencent's Xuanwu Lab (tencent.com)
WebKit
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'accesso a un sito web pericoloso può causare lo spoofing della barra degli indirizzi.
Descrizione: un problema di interfaccia utente non coerente è stato risolto tramite una migliore gestione dello stato.
CVE-2017-2486: redrain di light4freedom
WebKit
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di contenuti web pericolosi può consentire l'esfiltrazione multiorigine dei dati.
Descrizione: un problema di accesso al prototipo è stato risolto attraverso una migliore gestione delle eccezioni.
CVE-2017-2386: André Bargull
WebKit
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.
CVE-2017-2394: Apple
CVE-2017-2396: Apple
CVE-2016-9642: Gustavo Grieco
WebKit
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2017-2395: Apple
CVE-2017-2454: Ivan Fratric di Google Project Zero, Zheng Huang di Baidu Security Lab in collaborazione con Zero Day Initiative di Trend Micro
CVE-2017-2455: Ivan Fratric di Google Project Zero
CVE-2017-2457: lokihardt di Google Project Zero
CVE-2017-2459: Ivan Fratric di Google Project Zero
CVE-2017-2460: Ivan Fratric di Google Project Zero
CVE-2017-2464: Jeonghoon Shin, natashenka di Google Project Zero
CVE-2017-2465: Zheng Huang e Wei Yuan di Baidu Security Lab
CVE-2017-2466: Ivan Fratric di Google Project Zero
CVE-2017-2468: lokihardt di Google Project Zero
CVE-2017-2469: lokihardt di Google Project Zero
CVE-2017-2470: lokihardt di Google Project Zero
CVE-2017-2476: Ivan Fratric di Google Project Zero
CVE-2017-2481: 0011 in collaborazione con Zero Day Initiative di Trend Micro
WebKit
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-2415: Kai Kang di Tencent's Xuanwu Lab (tentcent.com)
WebKit
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la mancata applicazione della Content Security Policy in modo inatteso.
Descrizione: nella Content Security Policy si verificava un problema di accesso. che è stato risolto attraverso migliori restrizioni di accesso.
CVE-2017-2419: Nicolai Grødum di Cisco Systems
WebKit
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di contenuti web pericolosi può comportare un elevato utilizzo della memoria.
Descrizione: un problema di utilizzo incontrollato delle risorse è stato risolto migliorando l'elaborazione regex.
CVE-2016-9643: Gustavo Grieco
WebKit
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la divulgazione della memoria dei processi.
Descrizione: si verificava un problema di divulgazione di informazioni durante l'elaborazione degli shader OpenGL. che è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-2424: Paul Thomson (tramite lo strumento GLFuzz) del Multicore Programming Group, Imperial College London
WebKit
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-2433: Apple
WebKit
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di contenuti web pericolosi può consentire l'esfiltrazione multiorigine dei dati.
Descrizione: si verificavano diversi problemi di convalida nella gestione del caricamento della pagina. Il problema è stato risolto attraverso una migliore logica.
CVE-2017-2364: lokihardt di Google Project Zero
WebKit
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: un sito web dannoso può consentire l'esfiltrazione multiorigine dei dati.
Descrizione: si verificava un problema di convalida nella gestione del caricamento della pagina. Il problema è stato risolto attraverso una migliore logica.
CVE-2017-2367: lokihardt di Google Project Zero
WebKit
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.
Descrizione: si verificava un problema logico nella gestione degli oggetti frame. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2017-2445: lokihardt di Google Project Zero
WebKit
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema logico nella gestione delle funzioni strict mode. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2017-2446: natashenka di Google Project Zero
WebKit
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'accesso a un sito web pericoloso può compromettere le informazioni dell'utente.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-2447: natashenka di Google Project Zero
WebKit
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2017-2463: Kai Kang (4B5F5F4B) di Tencent's Xuanwu Lab (tencent.com) in collaborazione con Zero Day Initiative di Trend Micro
WebKit
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-2471: Ivan Fratric di Google Project Zero
WebKit
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.
Descrizione: si verificava un problema logico nella gestione dei frame. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2017-2475: lokihardt di Google Project Zero
WebKit
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di contenuti web pericolosi può consentire l'esfiltrazione multiorigine dei dati.
Descrizione: si verificava un problema di convalida nella gestione degli elementi. che è stato risolto attraverso una migliore convalida.
CVE-2017-2479: lokihardt di Google Project Zero
WebKit
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di contenuti web pericolosi può consentire l'esfiltrazione multiorigine dei dati.
Descrizione: si verificava un problema di convalida nella gestione degli elementi. che è stato risolto attraverso una migliore convalida.
CVE-2017-2480: lokihardt di Google Project Zero
CVE-2017-2493: lokihardt di Google Project Zero
Binding JavaScript di WebKit
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di contenuti web pericolosi può consentire l'esfiltrazione multiorigine dei dati.
Descrizione: si verificavano diversi problemi di convalida nella gestione del caricamento della pagina. Il problema è stato risolto attraverso una migliore logica.
CVE-2017-2442: lokihardt di Google Project Zero
Inspector web di WebKit
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: la chiusura di una finestra sospesa nel debugger potrebbe causare l'arresto imprevisto dell'applicazione.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-2377: Vicki Pfau
Inspector web di WebKit
Disponibile per: iPhone 5 e modelli successivi, iPad 4a generazione e modelli successivi, iPod touch 6a generazione e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-2405: Apple
Altri riconoscimenti
XNU
Ringraziamo Lufeng Li di Qihoo 360 Vulcan Team per l'assistenza.
WebKit
Ringraziamo Yosuke HASEGAWA di Secure Sky Technology Inc. per l'assistenza.
Safari
Ringraziamo Flyin9 (ZhenHui Lee) per l'assistenza.
Impostazioni
Ringraziamo Adi Sharabani e Yair Amit di Skycure per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.