Om sikkerhetsinnholdet i iOS 11

I dette dokumentet beskrives sikkerhetsinnholdet i iOS 11.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet. Du kan kryptere kommunikasjon med Apple ved å bruke PGP-nøkkelen for Apple-produktsikkerhet.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

iOS 11

802.1X

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: En angriper kan utnytte svakheter i TLS 1.0.

Beskrivelse: Et problem med protokollsikkerhet ble løst gjennom aktivering av TLS 1.1 og TLS 1.2.

CVE-2017-13832: Doug Wussler fra Florida State University

APN-er

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: En angriper i en privilegert nettverksposisjon kan spore en bruker

Beskrivelse: Det var et problem med personvern ved bruk av klientsertifikater. Problemet ble løst gjennom forbedring av en protokoll.

CVE-2017-13863: FURIOUSMAC Team fra United States Naval Academy

Bluetooth

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et program kan få tilgang til begrensede filer

Beskrivelse: Det var et problem med personvern i håndteringen av kontaktkort. Dette ble løst gjennom forbedret tilstandshåndtering.

CVE-2017-7131: Dominik Conrads fra Federal Office for Information Security, en anonym forsker, Anand Kathapurkar fra India, Elvis (@elvisimprsntr)

CFNetwork

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-13829: Niklas Baumstark og Samuel Gro i samarbeid med Trend Micros Zero Day Initiative

CVE-2017-13833: Niklas Baumstark og Samuel Gro i samarbeid med Trend Micros Zero Day Initiative

CFNetwork-proxyer

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: En angriper i en privilegert nettverksposisjon kan forårsake tjenestenekt

Beskrivelse: Flere problemer med tjenestenekt ble løst gjennom forbedret minnehåndtering.

CVE-2017-7083: Abhinav Bansal fra Zscaler Inc.

CFString

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et program kan lese begrenset minne

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.

CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate

CoreAudio

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et program kan lese begrenset minne

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom oppdatering av Opus til versjon 1.1.4.

CVE-2017-0381: V.E.O (@VYSEa) fra Mobile Threat Research Team, Trend Micro

CoreText

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med minnebruk ble løst gjennom forbedret minnehåndtering.

CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate

Exchange ActiveSync

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: En angriper i en privilegert nettverksposisjon kan slette en enhet under konfigurering av Exchange-konto

Beskrivelse: Det var et valideringsproblem i AutoDiscover V1. Dette ble løst ved å kreve TLS for AutoDiscover V1. AutoDiscover V2 støttes nå.

CVE-2017-7088: Ilya Nesterov, Maxim Goncharov

file

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Flere problemer i file

Beskrivelse: Flere problemer ble løst gjennom oppdatering til versjon 5.31.

CVE-2017-13815: funnet av OSS-Fuzz

Fonts

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Gjengivelse av ikke-godkjent tekst kan føre til forfalskning

Beskrivelse: Et problem med inkonsistent brukergrensesnitt ble løst gjennom forbedret tilstandshåndtering.

CVE-2017-13828: Leonard Grey og Robert Sesek fra Google Chrome

Heimdal

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: En angriper i en privilegert nettverksposisjon kan utgi seg for å være en tjeneste

Beskrivelse: Det var et valideringsproblem i håndteringen av navnet til KDC-REP-tjenesten. Problemet ble løst gjennom forbedret validering.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni og Nico Williams

HFS

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-13830: Sergej Schumilo fra Ruhr-universitetet Bochum

iBooks

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Parsing av en skadelig iBooks-fil kan føre til vedvarende tjenestenekt

Beskrivelse: Flere problemer med tjenestenekt ble løst gjennom forbedret minnehåndtering.

CVE-2017-7072: Jędrzej Krysztofiak

ImageIO

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Behandling av et skadelig bilde kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate

ImageIO

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2017-13831: Glen Carmichael

Kjerne

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-7114: Alex Plaskett fra MWR InfoSecurity

Kjerne

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: En lokal bruker kan være i stand til å lese kjerneminne

Beskrivelse: Det var et problem med lesing utenfor området som førte til avdekking av kjerneminnet. Dette ble løst gjennom forbedret validering av inndata.

CVE-2017-13817: Maxime Villard (m00nbsd)

Kjerne

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et program kan lese begrenset minne

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.

CVE-2017-13818: National Cyber Security Centre (NCSC) i Storbritannia

CVE-2017-13836: Vlad Tsyrklevich

CVE-2017-13841: Vlad Tsyrklevich

CVE-2017-13840: Vlad Tsyrklevich

CVE-2017-13842: Vlad Tsyrklevich

Kjerne

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-13843: en anonym forsker, en anonym forsker

Kjerne

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-13854: shrek_wzw fra Qihoo 360 Nirvan Team

Kjerne

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Behandling av en skadelig mach-binærfil kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.

CVE-2017-13834: Maxime Villard (m00nbsd)

Kjerne

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: En skadelig app kan være i stand til å få informasjon om andre apper som finnes og brukes på enheten.

Beskrivelse: En app klarte å få tilgang til informasjon om nettverksaktivitet fra operativsystemet uten begrensning. Problemet ble løst gjennom redusering av tilgjengelig informasjon for tredjepartsapper.

CVE-2017-13873: Xiaokuan Zhang og Yinqian Zhang fra The Ohio State University, Xueqiang Wang og XiaoFeng Wang fra Indiana University Bloomington og Xiaolong Bai fra Tsinghua-universitetet

Tastaturforslag

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Forslag fra tastaturets autokorrektur kan avsløre sensitive opplysninger

Beskrivelse: iOS-tastaturet bufret sensitiv informasjon ved en feiltakelse. Problemet ble løst gjennom forbedret heurestikk.

CVE-2017-7140: Agim Allkanjari fra Stream in Motion Inc.

libarchive

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Utpakking av et skadelig arkiv kan føre til at vilkårlig kode utføres

Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.

CVE-2017-13813: funnet av OSS-Fuzz

CVE-2017-13816: funnet av OSS-Fuzz

libarchive

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Utpakking av et skadelig arkiv kan føre til at vilkårlig kode utføres

Beskrivelse: Det var flere problemer med skadet minne i libarchive. Problemene ble løst gjennom forbedret validering av inndata.

CVE-2017-13812: funnet av OSS-Fuzz

libc

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: En ekstern angriper kan forårsake tjenestenekt

Beskrivelse: Et ressursuttømmingsproblem i glob() ble løst gjennom en forbedret algoritme.

CVE-2017-7086: Russ Cox fra Google

libc

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et program kan forårsake tjenestenekt

Beskrivelse: Et problem med bruk av minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-1000373

libexpat

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Flere problemer i expat

Beskrivelse: Flere problemer ble løst gjennom oppdatering til versjon 2.2.1

CVE-2016-9063

CVE-2017-9233

libxml2

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Behandling av en skadelig XML-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.

CVE-2017-7376: en anonym forsker

CVE-2017-5130: en anonym forsker

libxml2

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Behandling av en skadelig XML-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2017-9050: Mateusz Jurczyk (j00ru) fra Google Project Zero

libxml2

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Behandling av en skadelig XML-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2017-9049: Wei Lei og Liu Yang fra Det teknologiske universitetet i Nanyang i Singapore

libxml2

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Behandling av en skadelig XML-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

Beskrivelse: En dereferanse for en nullpeker ble løst med forbedret validering.

CVE-2018-4302: Gustavo Grieco

Location Framework

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et program kan være i stand til å lese sensitiv stedsinformasjon

Beskrivelse: Det var et problem med tillatelser i håndteringen av posisjonsvariabelen. Dette ble løst gjennom ytterligere kontroller av eierskap.

CVE-2017-7148: Igor Makarov fra Moovit, Will McGinty og Shawnna Rodriguez fra Bottle Rocket Studios

E-postutkast

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: En angriper i en privilegert nettverksposisjon kan fange opp e-postinnhold

Beskrivelse: Det var et krypteringsproblem i håndteringen av e-postutkast. Problemet ble løst gjennom forbedret håndtering av e-postutkast som skal sendes kryptert.

CVE-2017-7078: Petter Flink, Pierre ALBARÈDE fra Marseille (Frankrike), en anonym forsker

Mail MessageUI

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.

CVE-2017-7097: Xinshu Dong og Jun Hao Tan fra Anquan Capital

Meldinger

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt

Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret validering.

CVE-2017-7118: Kiki Jiang og Jason Tokoph

MobileBackup

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Sikkerhetskopiering kan opprette en ukryptert sikkerhetskopi på tross av krav om bare å opprette krypterte sikkerhetskopier

Beskrivelse: Det var et problem med tillatelser. Problemet ble løst gjennom forbedret validering av tillatelser.

CVE-2017-7133: Don Sparks fra HackediOS.com

Merknader

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: En lokal bruker kan lekke sensitiv brukerinformasjon

Beskrivelse: Innholdet i låste notater var noen ganger synlig i søkeresultater. Problemet ble løst gjennom forbedret dataopprydding.

CVE-2017-7075: Richard Will fra Marathon Oil Company

Telefon

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et skjermbilde av sikkert innhold kan tas når man låser en iOS-enhet

Beskrivelse: Det var et timingproblem i håndteringen av låsing. Problemet ble løst ved å deaktivere skjermbilder under låsing.

CVE-2017-7139: en anonym forsker

Profiler

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Sammenkoblingsposter for enhet kan ved en feiltakelse installeres på en enhet når en profil som ikke tillater paring er installert

Beskrivelse: Paringer ble ikke fjernet når en profil som ikke tillater paringer ble installert. Dette ble løst gjennom å fjerne paringer som kom i konflikt med konfigurasjonsprofilen.

CVE-2017-13806: Rorie Hood fra MWR InfoSecurity

Hurtigvisning

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et program kan lese begrenset minne

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.

CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate

Hurtigvisning

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Parsing av et skadelig Office-dokument kan føre til at et program avsluttes uventet eller utføring av vilkårlig kode

Beskrivelse: Et problem med bruk av minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate

Safari

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer

Beskrivelse: Et problem med inkonsistent brukergrensesnitt ble løst gjennom forbedret tilstandshåndtering.

CVE-2017-7085: xisigr fra Tencents Xuanwu Lab (tencent.com)

Sandkasseprofiler

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: En skadelig app kan kanskje få informasjon om andre apper som finnes på enheten.

Beskrivelse: En app kunne fastslå at det fantes filer utenfor sandkassen. Dette problemet ble løst gjennom ekstra sandkassekontroller.

CVE-2017-13877: Xiaokuan Zhang og Yinqian Zhang fra The Ohio State University, Xueqiang Wang og XiaoFeng Wang fra Indiana University Bloomington og Xiaolong Bai fra Tsinghua-universitetet

Sikkerhet

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et tilbakekalt sertifikat kan godkjennes

Beskrivelse: Det var et sertifikatvalideringsproblem i håndteringen av tilbakekallingsdata. Problemet ble løst gjennom forbedret validering.

CVE-2017-7080: en anonym forsker, en anonym forsker, Sven Driemecker fra adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) fra Bærum kommune

Sikkerhet

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: En skadelig app kan være i stand til å spore brukere mellom installeringer

Beskrivelse: Det var et problem med sjekking av tillatelser i håndteringen av appens Nøkkelringdata. Problemet ble løst gjennom forbedret kontroll av tillatelser.

CVE-2017-7146: en anonym forsker

SQLite

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Flere problemer i SQLite

Beskrivelse: Flere problemer ble løst gjennom oppdatering til versjon 3.19.3.

CVE-2017-10989: funnet av OSS-Fuzz

CVE-2017-7128: funnet av OSS-Fuzz

CVE-2017-7129: funnet av OSS-Fuzz

CVE-2017-7130: funnet av OSS-Fuzz

SQLite

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-7127: en anonym forsker

Telefoni

Tilgjengelig for: iPhone 5s og nyere og Wi-Fi + Cellular-modeller av iPad Air-generasjonen og nyere

Virkning: En angriper innen rekkevidde kan utføre vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-6211: Matthew Spisak fra ENDGAME (endgame.com)

Tid

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: «Tidssoneinnstilling» kan indikere feil at den bruker plassering

Beskrivelse: Det var et problem med tillatelser i prosessen som håndterer tidssoneinformasjon. Problemet ble løst ved å modifisere rettigheter.

CVE-2017-7145: Chris Lawrence

WebKit

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2017-7081: Apple

WebKit

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan fra Baidu Security Lab i samarbeid med Trend Micros Zero Day Initiative

CVE-2017-7092: Samuel Gro og Niklas Baumstark i samarbeid med Trend Micros Zero Day Initiative, Qixun Zhao (@S0rryMybad) fra Qihoo 360 Vulcan Team

CVE-2017-7093: Samuel Gro og Niklas Baumstark i samarbeid med Trend Micros Zero Day Initiative

CVE-2017-7094: Tim Michaud (@TimGMichaud) fra Leviathan Security Group

CVE-2017-7095: Wang Junjie, Wei Lei og Liu Yang fra Det teknologiske universitetet i Nanyang i samarbeid med Trend Micros Zero Day Initiative

CVE-2017-7096: Wei Yuan fra Baidu Security Lab

CVE-2017-7098: Felipe Freitas fra Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa og Mario Heiderich fra Cure53

CVE-2017-7102: Wang Junjie, Wei Lei og Liu Yang fra Det teknologiske universitetet i Nanyang

CVE-2017-7104: likemeng fra Baidu Secutity Lab

CVE-2017-7107: Wang Junjie, Wei Lei og Liu Yang fra Det teknologiske universitetet i Nanyang

CVE-2017-7111: likemeng fra Baidu Security Lab (xlab.baidu.com) i samarbeid med Trend Micros Zero Day Initiative

CVE-2017-7117: lokihardt fra Google Project Zero

CVE-2017-7120: chenqin (陈钦) fra Ant-financial Light-Year Security Lab

WebKit

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder

Beskrivelse: Det var et logisk problem i håndteringen av overordnet fane. Problemet ble løst gjennom forbedret tilstandshåndtering.

CVE-2017-7089: Anton Lopanitsyn fra ONSEC, Frans Rosén fra Detectify

WebKit

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Informasjonskapsler som tilhører ett opphav kan bli sendt til et annet opphav

Beskrivelse: Det var et problem med tillatelser i håndteringen av informasjonskapsler i nettleseren. Problemet ble løst ved å ikke lenger returnere informasjonskapsler for tilpassede URL-oppsett.

CVE-2017-7090: Apple

WebKit

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer

Beskrivelse: Et problem med inkonsistent brukergrensesnitt ble løst gjennom forbedret tilstandshåndtering.

CVE-2017-7106: Oliver Paukstadt fra Thinking Objects GmbH (to.com)

WebKit

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Behandling av skadelig nettinnhold kan føre til et angrep med skripting mellom nettsteder

Beskrivelse: Programbufferpolicy kan uventet bli tatt i bruk.

CVE-2017-7109: avlidienbrunn

WebKit

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et skadelig nettsted kan være i stand til å spore brukere i privat Safari-nettlesermodus

Beskrivelse: Det var et problem med tillatelser i håndteringen av informasjonskapsler i nettleseren. Problemet ble løst gjennom forbedrede begrensninger.

CVE-2017-7144: Mohammad Ghasemisharif fra UIC’s BITS Lab

WebKit-lagring

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Nettsteddata kan bevares etter en privat nettlesingsøkt i Safari

Beskrivelse: Det var et problem med lekking av informasjon ved håndteringen av nettsteddata i private vinduer i Safari. Problemet ble løst gjennom forbedret datahåndtering.

CVE-2017-7142: Rich Shawn O’Connell, en anonym forsker, en anonym forsker

Wi-Fi

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: En angriper innen rekkevidde kan utføre vilkårlig kode på Wi-Fi-brikken

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-11120: Gal Beniamini fra Google Project Zero

CVE-2017-11121: Gal Beniamini fra Google Project Zero

Wi-Fi

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Skadelig kode som utføres på Wi-Fi-brikken, kan utføre vilkårlig kode med kjernerettigheter på applikasjonsprosessoren

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-7103: Gal Beniamini fra Google Project Zero

CVE-2017-7105: Gal Beniamini fra Google Project Zero

CVE-2017-7108: Gal Beniamini fra Google Project Zero

CVE-2017-7110: Gal Beniamini fra Google Project Zero

CVE-2017-7112: Gal Beniamini fra Google Project Zero

Wi-Fi

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Skadelig kode som utføres på Wi-Fi-brikken, kan utføre vilkårlig kode med kjernerettigheter på applikasjonsprosessoren

Beskrivelse: Flere kritiske kjøresituasjoner (race condition) ble løst gjennom forbedret validering.

CVE-2017-7115: Gal Beniamini fra Google Project Zero

Wi-Fi

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Skadelig kode som utføres på Wi-Fi-brikken, kan lese kjerneminne med begrenset tilgang

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.

CVE-2017-7116: Gal Beniamini fra Google Project Zero

Wi-Fi

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: En angriper i nærheten kan lese begrenset minne fra Wi-Fi-brikkesettet

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.

CVE-2017-11122: Gal Beniamini fra Google Project Zero

zlib

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Flere problemer i zlib

Beskrivelse: Flere problemer ble løst gjennom oppdatering til versjon 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Ytterligere anerkjennelse

LaunchServices

Vi vil gjerne takke Mark Zimmermann fra EnBW Energie Baden-Württemberg AG for hjelpen.

Sikkerhet

Vi vil gjerne takke Abhinav Bansal fra Zscaler, Inc. for hjelpen.

Webkit

Vi vil gjerne takke xisigr fra Tencents Xuanwu Lab (tencent.com) for hjelpen.

WebKit

Vi vil gjerne takke Rayyan Bijoora (@Bijoora) fra The City School, PAF Chapter for hjelpen.

WebKit Nettinspektør

Vi vil gjerne takke Ioan Bizău fra Bloggify for hjelpen.