Informazioni sui contenuti di sicurezza di iOS 11
In questo articolo vengono descritti i contenuti di sicurezza di iOS 11.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.
Per ulteriori informazioni sulla sicurezza, visita la pagina relativa alla sicurezza dei prodotti Apple. Puoi codificare le comunicazioni con Apple usando la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
iOS 11
802.1X
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un utente malintenzionato può essere in grado di sfruttare le debolezze di TLS 1.0.
Descrizione: un problema di sicurezza del protocollo è stato risolto abilitando TLS 1.1 e TLS 1.2.
CVE-2017-13832: Doug Wussler della Florida State University
APN
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un utente malintenzionato in una posizione privilegiata nella rete potrebbe monitorare un utente.
Descrizione: un problema di privacy nell'uso dei certificati client è stato risolto con la revisione del protocollo.
CVE-2017-13863: team FURIOUSMAC della United States Naval Academy
Bluetooth
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione può accedere a file con restrizioni.
Descrizione: si verificava un problema di privacy nella gestione delle schede dei contatti. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2017-7131: Dominik Conrads di Federal Office for Information Security, un ricercatore anonimo, Anand Kathapurkar dall'India, Elvis (@elvisimprsntr)
CFNetwork
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-13829: Niklas Baumstark e Samuel Gro in collaborazione con Zero Day Initiative di Trend Micro
CVE-2017-13833: Niklas Baumstark e Samuel Gro in collaborazione con Zero Day Initiative di Trend Micro
Proxy CFNetwork
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un utente malintenzionato in una posizione privilegiata nella rete può essere in grado di causare un'interruzione del servizio.
Descrizione: diversi problemi di interruzione del servizio sono stati risolti attraverso una migliore gestione della memoria.
CVE-2017-7083: Abhinav Bansal di Zscaler Inc.
CFString
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate
CoreAudio
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso l'aggiornamento a Opus 1.1.4.
CVE-2017-0381: V.E.O (@VYSEa) del Mobile Threat Research Team, Trend Micro
CoreText
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate
Exchange ActiveSync
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un utente malintenzionato in una posizione privilegiata nella rete può essere in grado di inizializzare un dispositivo durante la configurazione di un account di Exchange.
Descrizione: in AutoDiscover V1 esisteva un problema di convalida che è stato risolto richiedendo TLS per AutoDiscover V1. AutoDiscover V2 è ora supportato.
CVE-2017-7088: Ilya Nesterov, Maxim Goncharov
file
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: diversi problemi presenti in file.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione 5.31.
CVE-2017-13815: rilevato da OSS-Fuzz
Font
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: il rendering di testo non attendibile può causare lo spoofing.
Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.
CVE-2017-13828: Leonard Grey e Robert Sesek di Google Chrome
Heimdal
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un utente malintenzionato in una posizione privilegiata nella rete può essere in grado di impersonare un servizio.
Descrizione: si verificava un problema di convalida nella gestione del nome del servizio KDC-REP che è stato risolto attraverso una migliore convalida.
CVE-2017-11103: Jeffrey Altman, Viktor Duchovni e Nico Williams
HFS
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-13830: Sergej Schumilo, Ruhr-University Bochum
iBooks
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'analisi di un file iBooks dannoso può causare un'interruzione del servizio persistente.
Descrizione: diversi problemi di interruzione del servizio sono stati risolti attraverso una migliore gestione della memoria.
CVE-2017-7072: Jędrzej Krysztofiak
ImageIO
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate
ImageIO
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'elaborazione di un'immagine dannosa può causare l'interruzione del servizio.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-13831: Glen Carmichael
Kernel
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7114: Alex Plaskett di MWR InfoSecurity
Kernel
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un utente locale può essere in grado di leggere la memoria del kernel.
Descrizione: si verificava un problema di lettura non nei limiti che causava la divulgazione della memoria del kernel. è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-13817: Maxime Villard (m00nbsd)
Kernel
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2017-13818: National Cyber Security Centre (NCSC) del Regno Unito
CVE-2017-13836: Vlad Tsyrklevich
CVE-2017-13841: Vlad Tsyrklevich
CVE-2017-13840: Vlad Tsyrklevich
CVE-2017-13842: Vlad Tsyrklevich
Kernel
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-13843: un ricercatore anonimo, un ricercatore anonimo
Kernel
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-13854: shrek_wzw del Nirvan Team di Qihoo 360
Kernel
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'elaborazione di un file binario Mach non corretto può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2017-13834: Maxime Villard (m00nbsd)
Kernel
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione dannosa può essere in grado di acquisire informazioni sulla presenza e sul funzionamento di altre applicazioni sul dispositivo.
Descrizione: un'applicazione era in grado di accedere alle informazioni sull'attività di rete gestite dal sistema operativo senza restrizioni. Il problema è stato risolto riducendo le informazioni accessibili alle applicazioni di terze parti.
CVE-2017-13873: Xiaokuan Zhang e Yinqian Zhang della Ohio State University, Xueqiang Wang e XiaoFeng Wang dell'Indiana University Bloomington e Xiaolong Bai della Tsinghua University
Suggerimenti tastiera
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: i suggerimenti di correzione automatica della tastiera possono rivelare informazioni sensibili.
Descrizione: la tastiera iOS eseguiva inavvertitamente il caching di informazioni sensibili. Questo problema è stato risolto attraverso una migliore euristica.
CVE-2017-7140: Agim Allkanjari di Stream in Motion Inc.
libarchive
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'estrazione di un archivio dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-13813: rilevato da OSS-Fuzz
CVE-2017-13816: rilevato da OSS-Fuzz
libarchive
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'estrazione di un archivio dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: si verificavano diversi problemi di danneggiamento della memoria in libarchive che sono stati risolti attraverso una migliore convalida dell'input.
CVE-2017-13812: rilevato da OSS-Fuzz
libc
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un utente malintenzionato remoto può essere in grado di provocare un'interruzione del servizio.
Descrizione: un problema di esaurimento delle risorse in glob() è stato risolto attraverso il miglioramento di un algoritmo.
CVE-2017-7086: Russ Cox di Google
libc
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione può essere in grado di causare un'interruzione del servizio.
Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-1000373
libexpat
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: diversi problemi presenti in expat.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione 2.2.1.
CVE-2016-9063
CVE-2017-9233
libxml2
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'elaborazione di un file XML dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7376: un ricercatore anonimo
CVE-2017-5130: un ricercatore anonimo
libxml2
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'elaborazione di un file XML dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-9050: Mateusz Jurczyk (j00ru) di Google Project Zero
libxml2
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'elaborazione di un file XML dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-9049: Wei Lei e Liu Yang della Nanyang Technological University, Singapore
libxml2
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'elaborazione di un file XML dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida.
CVE-2018-4302: Gustavo Grieco
Framework di localizzazione
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione può essere in grado di leggere informazioni sensibili sulla posizione.
Descrizione: si verificava un problema di autorizzazioni nella gestione della variabile di posizione. Questo problema è stato risolto con ulteriori verifiche della proprietà.
CVE-2017-7148: Igor Makarov di Moovit, Will McGinty e Shawnna Rodriguez di Bottle Rocket Studios
Bozze dei messaggi di posta
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un utente malintenzionato in una posizione privilegiata nella rete può essere in grado di intercettare i contenuti della posta.
Descrizione: si verificava un problema di codifica nella gestione delle bozze dei messaggi di posta che è stato risolto attraverso a una migliore gestione delle bozze dei messaggi di posta destinati a essere codificati.
CVE-2017-7078: Petter Flink, Pierre ALBARÈDE di Marsiglia (Francia), un ricercatore anonimo
Mail MessageUI
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'elaborazione di un'immagine dannosa può causare l'interruzione del servizio.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2017-7097: Xinshu Dong e Jun Hao Tan di Anquan Capital
Messaggi
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'elaborazione di un'immagine dannosa può causare l'interruzione del servizio.
Descrizione: un'interruzione del servizio è stata risolta attraverso una migliore convalida.
CVE-2017-7118: Kiki Jiang e Jason Tokoph
MobileBackup
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: potrebbe essere eseguito un backup non codificato nonostante il requisito di eseguire solo backup codificati.
Descrizione: si verificava un problema di autorizzazioni che è stato risolto attraverso una migliore convalida dell'autorizzazione.
CVE-2017-7133: Don Sparks di HackediOS.com
Note
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un utente locale può essere in grado di divulgare informazioni sensibili degli utenti.
Descrizione: i contenuti delle note bloccate talvolta erano mostrati nei risultati di ricerca. Il problema è stato risolto attraverso una migliore pulizia dei dati.
CVE-2017-7075: Richard Will di Marathon Oil Company
Telefono
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: è possibile acquisire un'istantanea dei contenuti protetti quando un dispositivo iOS è bloccato.
Descrizione: si verificava un problema di timing nella gestione del blocco che è stato risolto attraverso la disabilitazione delle istantanee quando un dispositivo è bloccato.
CVE-2017-7139: un ricercatore anonimo
Profili
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: i record di abbinamento del dispositivo potevano essere installati inavvertitamente su un dispositivo su cui era installato un profilo che non permetteva l'abbinamento.
Descrizione: gli abbinamenti non venivano rimossi quando era installato un profilo che non permetteva l'abbinamento. Il problema è stato risolto rimuovendo gli abbinamenti in conflitto con il profilo di configurazione.
CVE-2017-13806: Rorie Hood di MWR InfoSecurity
QuickLook
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate
QuickLook
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'analisi di un documento Microsoft Office dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate
Safari
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'accesso a un sito web dannoso può causare lo spoofing della barra degli indirizzi.
Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.
CVE-2017-7085: xisigr di Xuanwu Lab di Tencent (tencent.com)
Profili delle sandbox
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione dannosa può essere in grado di acquisire informazioni sulla presenza di altre applicazioni sul dispositivo.
Descrizione: un'applicazione era in grado di determinare l'esistenza di file all'esterno della sua sandbox. Il problema è stato risolto con ulteriori verifiche della sandbox.
CVE-2017-13877: Xiaokuan Zhang e Yinqian Zhang della Ohio State University, Xueqiang Wang e XiaoFeng Wang dell'Indiana University Bloomington e Xiaolong Bai della Tsinghua University
Sicurezza
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un certificato revocato può risultare attendibile.
Descrizione: si verificava un problema di convalida dei certificati nella gestione dei dati di revoca che è stato risolto attraverso una migliore convalida.
CVE-2017-7080: un ricercatore anonimo, un ricercatore anonimo, Sven Driemecker di adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) di Bærum kommune
Sicurezza
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'app dannosa può essere in grado di monitorare gli utenti tra le installazioni.
Descrizione: si verificava un problema di controllo dell'autorizzazione nella gestione dei dati del portachiavi di un'app che è stato risolto attraverso un migliore controllo dell'autorizzazione.
CVE-2017-7146: un ricercatore anonimo
SQLite
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: diversi problemi presenti in SQLite.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione 3.19.3.
CVE-2017-10989: rilevato da OSS-Fuzz
CVE-2017-7128: rilevato da OSS-Fuzz
CVE-2017-7129: rilevato da OSS-Fuzz
CVE-2017-7130: rilevato da OSS-Fuzz
SQLite
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7127: un ricercatore anonimo
Telefonia
Disponibile per: iPhone 5s e successivi e modelli Wi-Fi + Cellular di iPad Air e successivi
Impatto: un utente malintenzionato nelle vicinanze può essere in grado di causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-6211: Matthew Spisak di ENDGAME (endgame.com)
Fuso orario
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: “Impostazione fuso orario” potrebbe erroneamente indicare che sta usando la posizione.
Descrizione: si verificava un problema di autorizzazioni nella gestione delle informazioni del fuso orario che è stato risolto attraverso la modifica delle autorizzazioni.
CVE-2017-7145: Chris Lawrence
WebKit
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-7081: Apple
WebKit
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2017-7087: Apple
CVE-2017-7091: Wei Yuan di Baidu Security Lab in collaborazione con Zero Day Initiative di Trend Micro
CVE-2017-7092: Samuel Gro e Niklas Baumstark in collaborazione con Zero Day Initiative di Trend Micro, Qixun Zhao (@S0rryMybad) del Vulcan Team di Qihoo 360
CVE-2017-7093: Samuel Gro e Niklas Baumstark in collaborazione con Zero Day Initiative di Trend Micro
CVE-2017-7094: Tim Michaud (@TimGMichaud) di Leviathan Security Group
CVE-2017-7095: Wang Junjie, Wei Lei e Liu Yang di Nanyang Technological University in collaborazione con Zero Day Initiative di Trend Micro
CVE-2017-7096: Wei Yuan di Baidu Security Lab
CVE-2017-7098: Felipe Freitas dell'Instituto Tecnológico de Aeronáutica
CVE-2017-7099: Apple
CVE-2017-7100: Masato Kinugawa e Mario Heiderich di Cure53
CVE-2017-7102: Wang Junjie, Wei Lei e Liu Yang di Nanyang Technological University
CVE-2017-7104: likemeng di Baidu Security Lab
CVE-2017-7107: Wang Junjie, Wei Lei e Liu Yang di Nanyang Technological University
CVE-2017-7111: likemeng di Baidu Security Lab (xlab.baidu.com) in collaborazione con Zero Day Initiative di Trend Micro
CVE-2017-7117: lokihardt di Google Project Zero
CVE-2017-7120: chenqin (陈钦) di Ant-financial Light-Year Security Lab
WebKit
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare cross-site scripting universale.
Descrizione: si verificava un problema logico nella gestione del pannello principale che è stato risolto attraverso una migliore gestione dello stato.
CVE-2017-7089: Anton Lopanitsyn di ONSEC, Frans Rosén di Detectify
WebKit
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: i cookie appartenenti a un'origine possono essere inviati a un'altra origine.
Descrizione: si verificava un problema di autorizzazioni nella gestione dei cookie del browser web che è stato risolto non restituendo più i cookie per gli schemi URL personalizzati.
CVE-2017-7090: Apple
WebKit
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'accesso a un sito web dannoso può causare lo spoofing della barra degli indirizzi.
Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.
CVE-2017-7106: Oliver Paukstadt di Thinking Objects GmbH (to.com)
WebKit
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare un attacco di scripting cross-site.
Descrizione: il criterio Application Cache può essere applicato in modo imprevisto.
CVE-2017-7109: avlidienbrunn
WebKit
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un sito web dannoso può essere in grado di monitorare gli utenti nella modalità di navigazione privata di Safari.
Descrizione: si verificava un problema di autorizzazioni nella gestione dei cookie del browser web che è stato risolto attraverso migliori limitazioni.
CVE-2017-7144: Mohammad Ghasemisharif del BITS Lab di UCI
Archiviazione di WebKit
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: i dati di siti web potrebbero persistere dopo una sessione di navigazione privata di Safari.
Descrizione: si verificava un problema di perdita di informazioni nella gestione dei dati di siti web nelle finestre di navigazione privata di Safari. Il problema è stato risolto attraverso una migliore gestione dei dati.
CVE-2017-7142: Rich Shawn O'Connell, un ricercatore anonimo, un ricercatore anonimo
Wi-Fi
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un utente malintenzionato nel raggio di portata può causare l'esecuzione di codice arbitrario nel chip Wi-Fi.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-11120: Gal Beniamini di Google Project Zero
CVE-2017-11121: Gal Beniamini di Google Project Zero
Wi-Fi
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'esecuzione di codice dannoso sul chip Wi-Fi può causare l'esecuzione di codice arbitrario con privilegi kernel sul processore dell'applicazione.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7103: Gal Beniamini di Google Project Zero
CVE-2017-7105: Gal Beniamini di Google Project Zero
CVE-2017-7108: Gal Beniamini di Google Project Zero
CVE-2017-7110: Gal Beniamini di Google Project Zero
CVE-2017-7112: Gal Beniamini di Google Project Zero
Wi-Fi
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'esecuzione di codice dannoso sul chip Wi-Fi può causare l'esecuzione di codice arbitrario con privilegi kernel sul processore dell'applicazione.
Descrizione: diverse race condition sono state risolte attraverso una migliore convalida.
CVE-2017-7115: Gal Beniamini di Google Project Zero
Wi-Fi
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'esecuzione di codice dannoso sul chip Wi-Fi può causare la lettura della memoria kernel con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2017-7116: Gal Beniamini di Google Project Zero
Wi-Fi
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un utente malintenzionato nel raggio di portata può essere in grado di leggere la memoria con restrizioni dal chipset Wi-Fi.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2017-11122: Gal Beniamini di Google Project Zero
zlib
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: diversi problemi presenti in zlib.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione 1.2.11.
CVE-2016-9840
CVE-2016-9841
CVE-2016-9842
CVE-2016-9843
Altri riconoscimenti
LaunchServices
Ringraziamo Mark Zimmermann di EnBW Energie Baden-Württemberg AG per l'assistenza.
Sicurezza
Ringraziamo Abhinav Bansal di Zscaler, Inc. per l'assistenza.
Webkit
Ringraziamo xisigr di Xuanwu Lab di Tencent (tencent.com) per l'assistenza.
WebKit
Ringraziamo Rayyan Bijoora (@Bijoora) di The City School, PAF Chapter per l'assistenza.
Inspector web di WebKit
Ringraziamo Ioan Bizău di Bloggify per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.