Over de beveiligingsinhoud van iOS 10.3

In dit document wordt de beveiligingsinhoud van iOS 10.3 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging. U kunt communicatie met Apple versleutelen via de Apple Product Security PGP-sleutel.

Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.

iOS 10.3

Accounts

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: een gebruiker kan mogelijk een Apple ID bekijken vanaf het toegangsscherm

Beschrijving: een probleem met promptbeheer is opgelost door prompts voor iCloud-identiteitscontrole te verwijderen uit het toegangsscherm.

CVE-2017-2397: Suprovici Vadim van UniApps-team, een anonieme onderzoeker

Audio

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigd audiobestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-2430: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van Trend Micro

CVE-2017-2462: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van Trend Micro

Carbon

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigd DFONT-bestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: er was een bufferoverloop bij de verwerking van lettertypebestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

CVE-2017-2379: John Villamil, Doyensec, riusksk (泉哥) van Tencent Security Platform Department

CoreGraphics

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot een denial of service

Beschrijving: een oneindige recursie is verholpen door middel van verbeterd statusbeheer.

CVE-2017-2417: riusksk (泉哥) van Tencent Security Platform Department

CoreGraphics

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde invoervalidatie.

CVE-2017-2444: Mei Wang van 360 GearTeam

CoreText

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigd tekstbericht kan leiden tot een denial of service van het programma

Beschrijving: er is een bronuitputtingsprobleem aangepakt door verbeterde invoervalidatie.

CVE-2017-2461: Isaac Archambault van IDAoADI, een anonieme onderzoeker

DataAccess

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het configureren van een Exchange-account met een verkeerd getypt e-mailadres kan leiden tot omzetting naar een onverwachte server

Beschrijving: Er was een probleem met de invoervalidatie bij het verwerken van Exchange-e-mailadressen. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2017-2414: Ilya Nesterov en Maxim Goncharov

FontParser

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde invoervalidatie.

CVE-2017-2487: riusksk (泉哥) van Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) van Tencent Security Platform Department

FontParser

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het parseren van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde invoervalidatie.

CVE-2017-2407: riusksk (泉哥) van Tencent Security Platform Department

FontParser

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2017-2439: John Villamil, Doyensec

HomeKit

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: Woningbeheer kan onverwacht worden weergegeven op het bedieningspaneel

Beschrijving: Er was een statusprobleem bij de verwerking van Woningbeheer. Dit probleem is verholpen door een verbeterde validatie.

CVE-2017-2434: Suyash Narain van India

HTTP-protocol

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: een kwaadwillige HTTP/2-server veroorzaakt mogelijk ongedefinieerd gedrag

Beschrijving: er waren meerdere problemen in versies van nghttp2 die lager zijn dan 1.17.0. Deze zijn verholpen door nghttp2 bij te werken naar versie 1.17.0.

CVE-2017-2428

ImageIO

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) van KeenLab, Tencent

ImageIO

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het bekijken van een kwaadwillig vervaardigd JPEG-bestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-2432: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van Trend Micro

ImageIO

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-2467

ImageIO

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het onverwacht beëindigen van het programma

Beschrijving: Er was een probleem met lezen buiten het bereik in LibTIFF-versies lager dan 4.0.7. Dit probleem is verholpen door LibTIFF in ImageIO bij te werken naar versie 4.0.7.

CVE-2016-3619

iTunes Store

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk iTunes-netwerkverkeer manipuleren

Beschrijving: Aanvragen bij iTunes-sandboxwebservices werden in onversleutelde tekst verzonden. Dit probleem is opgelost door HTTPS in te schakelen.

CVE-2017-2412: Richard Shupak (linkedin.com/in/rshupak)

JavaScriptCore

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2017-2491: Apple

JavaScriptCore

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigde webpagina kan leiden tot universele cross-site-scripting

Beschrijving: een probleem met prototypen is verholpen door verbeterde logica.

CVE-2017-2492: lokihardt van Google Project Zero

Kernel

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-2398: Lufeng Li van Qihoo 360 Vulcan Team

CVE-2017-2401: Lufeng Li van Qihoo 360 Vulcan Team

Kernel

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met overloop van gehele getallen is verholpen door een verbeterde invoervalidatie.

CVE-2017-2440: een anonieme onderzoeker

Kernel

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: een kwaadaardig programma kan willekeurige code uitvoeren met rootbevoegdheden

Beschrijving: een 'race condition' is verholpen door verbeterde geheugenverwerking.

CVE-2017-2456: lokihardt van Google Project Zero

Kernel

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2017-2472: Ian Beer van Google Project Zero

Kernel

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-2473: Ian Beer van Google Project Zero

Kernel

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem 'off-by-one' is verholpen door een verbeterde controle van de grenzen.

CVE-2017-2474: Ian Beer van Google Project Zero

Kernel

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een racevoorwaarde is verholpen via verbeterde vergrendeling.

CVE-2017-2478: Ian Beer van Google Project Zero

Kernel

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met bufferoverloop is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-2482: Ian Beer van Google Project Zero

CVE-2017-2483: Ian Beer van Google Project Zero

Kernel

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: een programma kan willekeurige code uitvoeren met verhoogde bevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-2490: Ian Beer van Google Project Zero, het National Cyber Security Centre (NCSC) van het Verenigd Koninkrijk

Toetsenborden

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: een programma kan willekeurige code uitvoeren

Beschrijving: een bufferoverloop is verholpen door verbeterde controle van de grenzen.

CVE-2017-2458: Shashank (@cyberboyIndia)

Sleutelhanger

Beschikbaar voor: iPhone 5 en hoger, iPad (4e generatie) en hoger, iPod touch (6e generatie) en hoger

Impact: een aanvaller die TLS-verbindingen kan onderscheppen, kan geheimen lezen die worden beveiligd door iCloud-sleutelhanger.

Beschrijving: Onder bepaalde omstandigheden kan iCloud-sleutelhanger de authenticiteit van OTR-pakketten niet valideren. Dit probleem is verholpen door een verbeterde validatie.

CVE-2017-2448: Alex Radocea van Longterm Security, Inc.

libarchive

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: een lokale aanvaller kan de bestandssysteembevoegdheden voor willekeurige mappen wijzigen

Beschrijving: er was een validatieprobleem bij de verwerking van symlinks. Dit probleem is verholpen door een verbeterde validatie van symlinks.

CVE-2017-2390: Omer Medan van enSilo Ltd

libc++abi

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het herstellen van een kwaadwillig C++-programma kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2017-2441

libxslt

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: meerdere kwetsbaarheden in libxslt

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-5029: Holger Fuhrmannek

Klembord

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: een persoon met fysieke toegang tot een iOS-apparaat kan het klembord lezen

Beschrijving: Het klembord was versleuteld met een sleutel die alleen door de UID van de hardware was beschermd. Dit probleem is verholpen door het klembord te versleutelen met een code die door de UID van de hardware en de toegangscode van de gebruiker is beveiligd.

CVE-2017-2399

Telefoon

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: een app van derden kan een telefoongesprek starten zonder tussenkomst van de gebruiker

Beschrijving: Er was een probleem in iOS waarbij gesprekken werden gestart zonder om bevestiging te vragen. Dit probleem is opgelost door de gebruiker om bevestiging van het gesprek te vragen.

CVE-2017-2484

Profielen

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: een aanvaller kan mogelijk gebruikmaken van de kwetsbaarheden in het cryptografische DES-algoritme

Beschrijving: support voor het cryptografische 3DES-algoritme is toegevoegd aan de SCEP-client en DES wordt voortaan als verouderd beschouwd.

CVE-2017-2380: een anonieme onderzoeker

Snelle weergave

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: als op een tel-link in een pdf-document werd getikt, kon dit leiden tot het starten van een gesprek zonder de gebruiker om bevestiging te vragen

Beschrijving: Er was een probleem bij het controleren van de tel-URL voordat gesprekken werden gestart. Dit probleem is verholpen door om bevestiging te vragen.

CVE-2017-2404: Tuan Anh Ngo (Melbourne, Australië), Christoph Nehring

Safari

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het bezoeken van een kwaadaardige website kan leiden tot adresbalkvervalsing

Beschrijving: een probleem met statusbeheer is opgelost door tekstinvoer uit te schakelen totdat de bestemmingspagina is geladen.

CVE-2017-2376: een anonieme onderzoeker, Michal Zalewski van Google Inc, Muneaki Nishimura (nishimunea) van Recruit Technologies Co., Ltd., Chris Hlady van Google Inc, een anonieme onderzoeker, Yuyang Zhou van Tencent Security Platform Department (security.tencent.com)

Safari

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: een lokale gebruiker kan door een gebruiker in de privémodus bezochte websites ontdekken

Beschrijving: Er was een probleem bij het verwijderen van SQLite. Dit probleem is verholpen door een verbeterde opschoning van SQLite.

CVE-2017-2384

Safari

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot identiteitscontrolesheets op willekeurige websites

Beschrijving: Er was een probleem met vervalsing en denial-of-service bij het verwerken van HTTP-identiteitscontrole. Dit probleem is opgelost door HTTP-identiteitscontrolesheets niet-modaal te maken.

CVE-2017-2389: ShenYeYinJiu van Tencent Security Response Center, TSRC

Safari

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: een bezoek aan een kwaadwillige website door op een link te klikken kan leiden tot vervalsing van de gebruikersinterface

Beschrijving: Er was een probleem met vervalsing in het verwerken van FaceTime-prompts. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2017-2453: xisigr van het Xuanwu Lab van Tencent (tencent.com)

Safari Reader

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het inschakelen van de Safari Reader-functie op een kwaadwillig vervaardigde website kan leiden tot universal cross-site scripting

Beschrijving: verscheidene validatieproblemen zijn verholpen door een verbeterde invoervalidatie.

CVE-2017-2393: Erling Ellingsen

SafariViewController

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: cachestatus wordt niet goed gesynchroniseerd tussen Safari en SafariViewController als een gebruiker de Safari-cache wist

Beschrijving: Er was een probleem bij het wissen van de cache-informatie van Safari via SafariViewController. Dit probleem is opgelost door de statusverwerking van de cache te verbeteren.

CVE-2017-2400: Abhinav Bansal van Zscaler, Inc.

Sandbox-profielen

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie en nieuwer) en iPod touch (6e generatie)

Impact: een schadelijk programma heeft mogelijk toegang tot de record van een bij iCloud ingelogde gebruiker

Beschrijving: een toegangsprobleem is verholpen via extra sandbox-beperkingen op programma's van derden.

CVE-2017-6976: George Dan (@theninjaprawn)

Beveiliging

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het valideren van lege handtekeningen met SecKeyRawVerify() kan onverwacht lukken

Beschrijving: Er was een validatieprobleem met cryptografische API-aanroepen. Dit probleem is opgelost door een verbeterde parametervalidatie.

CVE-2017-2423: een anonieme onderzoeker

Beveiliging

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: een programma kan willekeurige code uitvoeren met rootbevoegdheden

Beschrijving: een bufferoverloop is verholpen door verbeterde controle van de grenzen.

CVE-2017-2451: Alex Radocea van Longterm Security, Inc.

Beveiliging

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigd x509-certificaat kan leiden tot het uitvoeren van willekeurige code

Beschrijving: Er was een probleem met geheugenbeschadiging bij het parseren van certificaten. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2017-2485: Aleksandar Nikolic van Cisco Talos

Siri

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: Siri geeft mogelijk inhoud van tekstberichten weer terwijl het apparaat is vergrendeld

Beschrijving: een probleem met ontoereikende vergrendeling is opgelost door verbeterd statusbeheer.

CVE-2017-2452: Hunter Byrnes

WebKit

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het slepen en neerzetten van een kwaadwillig vervaardigde link kan leiden tot vervalsing van bladwijzers of het uitvoeren van willekeurige code

Beschrijving: Er was een validatieprobleem bij het maken van bladwijzers. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2017-2378: xisigr van het Xuanwu Lab van Tencent (tencent.com)

WebKit

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het bezoeken van een kwaadaardige website kan leiden tot adresbalkvervalsing

Beschrijving: een probleem met inconsistente gebruikersinterface is opgelost door verbeterd statusbeheer.

CVE-2017-2486: redrain van light4freedom

WebKit

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het 'cross-origin' exfiltreren van gegevens

Beschrijving: een probleem met toegang tot prototypen is verholpen door een verbeterde verwerking van uitzonderingen.

CVE-2017-2386: André Bargull

WebKit

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde invoervalidatie.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric van Google Project Zero, Zheng Huang van Baidu Security Lab in samenwerking met het Zero Day Initiative van Trend Micro

CVE-2017-2455: Ivan Fratric van Google Project Zero

CVE-2017-2457: lokihardt van Google Project Zero

CVE-2017-2459: Ivan Fratric van Google Project Zero

CVE-2017-2460: Ivan Fratric van Google Project Zero

CVE-2017-2464: Jeonghoon Shin, natashenka van Google Project Zero

CVE-2017-2465: Zheng Huang en Wei Yuan van Baidu Security Lab

CVE-2017-2466: Ivan Fratric van Google Project Zero

CVE-2017-2468: lokihardt van Google Project Zero

CVE-2017-2469: lokihardt van Google Project Zero

CVE-2017-2470: lokihardt van Google Project Zero

CVE-2017-2476: Ivan Fratric van Google Project Zero

CVE-2017-2481: 0011 in samenwerking met het Zero Day Initiative van Trend Micro

WebKit

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met verwarring van het type is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-2415: Kai Kang van het Xuanwu Lab van Tencent (tencent.com)

WebKit

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het onverwacht niet handhaven van Content Security Policy

Beschrijving: Er was een toegangsprobleem met Content Security Policy. Dit probleem is verholpen door middel van verbeterde toegangsbeperkingen.

CVE-2017-2419: Nicolai Grødum van Cisco Systems

WebKit

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot hoog geheugenverbruik

Beschrijving: een probleem met onbeheerd bronverbruik is opgelost door verbeterde regex-verwerking.

CVE-2016-9643: Gustavo Grieco

WebKit

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: Er was een probleem met de vrijgave van informatie bij de verwerking van OpenGL-shaders. Dit probleem is verholpen door een verbeterd geheugenbeheer.

CVE-2017-2424: Paul Thomson (gebruikt de GLFuzz-tool) van de Multicore Programming Group, Imperial College London

WebKit

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-2433: Apple

WebKit

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het 'cross-origin' exfiltreren van gegevens

Beschrijving: Er waren meerdere validatieproblemen bij het verwerken van het laden van pagina's. Dit probleem is verholpen door een verbeterde logica.

CVE-2017-2364: lokihardt van Google Project Zero

WebKit

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: een kwaadaardige website kan gegevens 'cross-origin' exfiltreren

Beschrijving: Er was een validatieprobleem bij het verwerken van het laden van pagina's. Dit probleem is verholpen door een verbeterde logica.

CVE-2017-2367: lokihardt van Google Project Zero

WebKit

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot universele cross-site-scripting

Beschrijving: Er was een logisch probleem bij de verwerking van frame-objecten. Dit probleem is opgelost door een verbeterd statusbeheer.

CVE-2017-2445: lokihardt van Google Project Zero

WebKit

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: Er was een logisch probleem bij de verwerking van strikte modusfuncties. Dit probleem is opgelost door een verbeterd statusbeheer.

CVE-2017-2446: natashenka van Google Project Zero

WebKit

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het bezoeken van een kwaadwillig vervaardigde website kan gebruikersinformatie in gevaar brengen

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-2447: natashenka van Google Project Zero

WebKit

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-2463: Kai Kang (4B5F5F4B) van het Xuanwu Lab van Tencent (tencent.com) in samenwerking met het Zero Day Initiative van Trend Micro

WebKit

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2017-2471: Ivan Fratric van Google Project Zero

WebKit

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot universele cross-site-scripting

Beschrijving: Er was een logisch probleem bij de verwerking van frames. Dit probleem is verholpen door een verbeterd statusbeheer.

CVE-2017-2475: lokihardt van Google Project Zero

WebKit

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het 'cross-origin' exfiltreren van gegevens

Beschrijving: Er was een validatieprobleem bij het verwerken van elementen. Dit probleem is verholpen door een verbeterde validatie.

CVE-2017-2479: lokihardt van Google Project Zero

WebKit

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het 'cross-origin' exfiltreren van gegevens

Beschrijving: Er was een validatieprobleem bij het verwerken van elementen. Dit probleem is verholpen door een verbeterde validatie.

CVE-2017-2480: lokihardt van Google Project Zero

CVE-2017-2493: lokihardt van Google Project Zero

WebKit JavaScript Bindings

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het 'cross-origin' exfiltreren van gegevens

Beschrijving: Er waren meerdere validatieproblemen bij het verwerken van het laden van pagina's. Dit probleem is verholpen door een verbeterde logica.

CVE-2017-2442: lokihardt van Google Project Zero

WebKit Web Inspector

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het sluiten van een venster terwijl onderbroken in de debugger kan leiden tot onverwacht afsluiten van het programma

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-2377: Vicki Pfau

WebKit Web Inspector

Beschikbaar voor: iPhone 5 en nieuwer, iPad (4e generatie) en nieuwer, iPod touch (6e generatie) en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-2405: Apple

Aanvullende erkenning

XNU

Met dank aan Lufeng Li van Qihoo 360 Vulcan Team voor zijn hulp.

WebKit

Met dank aan Yosuke HASEGAWA van Secure Sky Technology Inc. voor zijn hulp.

Safari

Met dank aan Flyin9 (ZhenHui Lee) voor de hulp.

Instellingen

Met dank aan Adi Sharabani en Yair Amit van Skycure voor hun hulp.