Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet. Du kan kryptere kommunikasjon med Apple ved å bruke PGP-nøkkelen for Apple-produktsikkerhet.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
iOS 10.3
Utgitt 27. mars 2017
Kontoer
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: En bruker kan se en Apple-ID fra låst skjerm
Beskrivelse: Et problem med håndtering av varsler ble løst ved å fjerne valideringsforespørsler for iCloud fra den låste skjermen.
CVE-2017-2397: Suprovici Vadim fra UniApps-teamet, en anonym forsker
Lyd
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av en skadelig lydfil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-2430: en anonym forsker som arbeider med Trend Micros Zero Day Initiative
CVE-2017-2462: en anonym forsker som arbeider med Trend Micros Zero Day Initiative
Carbon
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av en skadelig .dfont-fil kan føre til utføring av vilkårlig kode
Beskrivelse: Det var en bufferoverflyt i håndteringen av fontfiler. Problemet ble løst gjennom forbedret grensekontroll.
CVE-2017-2379: John Villamil, Doyensec, riusksk (泉哥) fra Tencent Security Platform Department
CoreGraphics
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt
Beskrivelse: En uendelig rekursjon ble løst gjennom forbedret tilstandshåndtering.
CVE-2017-2417: riusksk (泉哥) fra Tencent Security Platform Department
CoreGraphics
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-2444: Mei Wang fra 360 GearTeam
CoreText
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-2435: John Villamil, Doyensec
CoreText
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2017-2450: John Villamil, Doyensec
CoreText
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av en skadelig tekstfil kan føre til tjenestenekt for et program
Beskrivelse: Et problem med tømming av ressurser ble løst gjennom forbedret validering av inndata.
CVE-2017-2461: Isaac Archambault fra IDAoADI, en anonym forsker
DataAccess
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Konfigurering av en Exchange-konto med feilstavet e-postadresse kan løses til en uventet server
Beskrivelse: Det var et problem med validering av inndata ved håndtering av Exchange-e-postadresser. Problemet ble løst gjennom forbedret validering av inndata.
CVE-2017-2414: Ilya Nesterov og Maxim Goncharov
FontParser
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-2487: riusksk (泉哥) fra Tencent Security Platform Department
CVE-2017-2406: riusksk (泉哥) fra Tencent Security Platform Department
FontParser
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Parsing av en skadelig fontfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-2407: riusksk (泉哥) fra Tencent Security Platform Department
FontParser
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2017-2439: John Villamil, Doyensec
HomeKit
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Hjemmekontroll kan vises uventet i Kontrollsenter
Beskrivelse: Det var et problem med håndteringen av Hjemmekontroll. Problemet ble løst gjennom forbedret validering.
CVE-2017-2434: Suyash Narain fra India
HTTPProtocol
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: En skadelig HTTP/2-server kan forårsake udefinert atferd
Beskrivelse: Det var flere problemer i nghttp2 før 1.17.0. Disse ble løst ved å oppdatere nghttp2 til versjon 1.17.0.
CVE-2017-2428
Oppføring oppdatert 28. mars 2017
ImageIO
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) fra KeenLab, Tencent
ImageIO
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Visning av en skadelig JPEG-fil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-2432: en anonym forsker som arbeider med Trend Micros Zero Day Initiative
ImageIO
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av en skadelig fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-2467
ImageIO
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av et skadelig bilde kan føre til uventet avslutning av et program
Beskrivelse: Det var et problem med lesing utenfor området i LibTIFF-versjoner før 4.0.7. Dette ble løst ved å oppdatere LibTIFF i ImageIO til versjon 4.0.7.
CVE-2016-3619
iTunes Store
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: En angriper i en privilegert nettverksposisjon kan forstyrre iTunes' nettverkstrafikk
Beskrivelse: Forespørsler til sandkassenettjenester for iTunes ble sendt i klartekst. Dette ble løst ved å aktivere HTTPS.
CVE-2017-2412: Richard Shupak (linkedin.com/in/rshupak)
JavaScriptCore
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst gjennom forbedret minnehåndtering.
CVE-2017-2491: Apple
Oppføring lagt til 2. mai 2017
JavaScriptCore
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av en skadelig nettside kan føre til universell skripting mellom nettsteder
Beskrivelse: Et prototypeproblem ble løst gjennom forbedret validering.
CVE-2017-2492: lokihardt fra Google Project Zero
Oppføring oppdatert 24. april 2017
Kjerne
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-2398: Lufeng Li fra Qihoo 360 Vulcan Team
CVE-2017-2401: Lufeng Li fra Qihoo 360 Vulcan Team
Kjerne
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med heltallsoverflyt ble løst gjennom forbedret validering av inndata.
CVE-2017-2440: en anonym forsker
Kjerne
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Et skadelig program kan utføre vilkårlig kode med rotrettigheter
Beskrivelse: En kappløpssituasjon ble løst gjennom forbedret minnehåndtering.
CVE-2017-2456: lokihardt fra Google Project Zero
Kjerne
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst gjennom forbedret minnehåndtering.
CVE-2017-2472: Ian Beer fra Google Project Zero
Kjerne
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-2473: Ian Beer fra Google Project Zero
Kjerne
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med forskyvning på én ble løst gjennom forbedret grensekontroll.
CVE-2017-2474: Ian Beer fra Google Project Zero
Kjerne
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: En kappløpssituasjon ble løst gjennom forbedret låsing.
CVE-2017-2478: Ian Beer fra Google Project Zero
Kjerne
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.
CVE-2017-2482: Ian Beer fra Google Project Zero
CVE-2017-2483: Ian Beer fra Google Project Zero
Kjerne
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Et program kan utføre vilkårlig kode med utvidede rettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-2490: Ian Beer fra Google Project Zero, Storbritannias National Cyber Security Centre (NCSC)
Oppføring lagt til 31. mars 2017
Tastaturer
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Et program kan utføre vilkårlig kode
Beskrivelse: Bufferoverflyt ble løst gjennom forbedret grensekontroll.
CVE-2017-2458: Shashank (@cyberboyIndia)
Nøkkelring
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: En angriper som er i stand til å fange opp TLS-tilkoblinger, kan lese hemmeligheter som beskyttes av iCloud-nøkkelringen.
Beskrivelse: Under visse forhold kunne ikke iCloud-nøkkelringen validere ektheten av OTR-pakker. Problemet ble løst gjennom forbedret validering.
CVE-2017-2448: Alex Radocea fra Longterm Security, Inc.
Oppføring oppdatert 30. mars 2017
libarchive
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: En lokal angriper kan endre filsystemrettigheter for vilkårlige kataloger
Beskrivelse: Det var et valideringsproblem i håndteringen av symlinks. Problemet ble løst gjennom forbedret validering av symlinks.
CVE-2017-2390: Omer Medan fra enSilo Ltd
libc++abi
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Utpakking av et skadelig C++-program kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst gjennom forbedret minnehåndtering.
CVE-2017-2441
libxslt
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Flere sårbarheter i libxslt
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-5029: Holger Fuhrmannek
Oppføring lagt til 28. mars 2017
Utklippstavle
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: En person med fysisk tilgang til en iOS-enhet kan lese utklippstavlen
Beskrivelse: Utklippstavlen ble kryptert med en nøkkel som ble beskyttet kun av maskinvare-UID-en. Problemet ble løst ved å kryptere utklippstavlen med en nøkkel som beskyttes av maskinvare-UID og brukerens sikkerhetskode.
CVE-2017-2399
Telefon
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: En tredjepartsapp kan starte et telefonanrop uten brukermedvirkning
Beskrivelse: Det var et problem i iOS som tillot anrop uten at brukeren ble spurt. Problemet ble løst ved å be brukere om å bekrefte start av anrop.
CVE-2017-2484
Profiler
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: En angriper kan utnytte svakheter i den kryptografiske DES-algoritmen
Beskrivelse: Støtte for den kryptografiske 3DES-algoritmen ble lagt til i SCEP-klienten, og DES ble avskrevet.
CVE-2017-2380: en anonym forsker
Hurtigvisning
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Trykk på en telefonkobling i et PDF-dokument kan starte et anrop uten at brukeren blir spurt
Beskrivelse: Det var et problem i kontrollen av telefonkoblingen før start av anrop. Dette problemet ble løst ved å legge inn et kontrollspørsmål.
CVE-2017-2404: Tuan Anh Ngo (Melbourne, Australia), Christoph Nehring
Safari
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer
Beskrivelse: Et problem med tilstandsadministrering ble løst ved å deaktivere skriving helt til målsiden er lastet inn.
CVE-2017-2376: en anonym forsker, Michal Zalewski fra Google Inc, Muneaki Nishimura (nishimunea) fra Recruit Technologies Co., Ltd., Chris Hlady fra Google Inc, en anonym forsker, Yuyang Zhou fra Tencent Security Platform Department (security.tencent.com)
Safari
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: En lokal bruker kan finne nettsteder som en annen bruker har besøkt i Privat nettlesing
Beskrivelse: Det var et problem med sletting i SQLite. Problemet ble løst gjennom forbedret opprydding i SQLite.
CVE-2017-2384
Safari
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av skadelig nettinnhold kan vise autentiseringsark over vilkårlige nettsteder
Beskrivelse: Det var et problem med forfalskning og tjenestenekt i håndteringen av HTTP-autentisering. Problemet ble løst gjennom å gjøre HTTP-autentiseringsark ikke-modale.
CVE-2017-2389: ShenYeYinJiu fra Tencent Security Response Center, TSRC
Safari
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Besøk på et skadelig nettsted ved å klikke på en kobling kan føre til forfalsking av brukergrensesnittet
Beskrivelse: Det var et problem med forfalskning i håndteringen av FaceTime-meldinger. Problemet ble løst gjennom forbedret validering av inndata.
CVE-2017-2453: xisigr fra Tencents Xuanwu Lab (tencent.com)
Leserfunksjonen i Safari
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Aktivering av leserfunksjonen i Safari på en skadelig nettside kan føre til universell skripting mellom nettsteder
Beskrivelse: Flere valideringsproblemer ble løst gjennom forbedret inndatarensing.
CVE-2017-2393: Erling Ellingsen
SafariViewController
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Buffertilstand holdes ikke riktig synkronisert mellom Safari og SafariViewController når en bruker tømmer Safari-bufferen
Beskrivelse: Det var et problem med tømming av Safari-bufferinformasjon fra SafariViewController. Problemet ble løst ved å forbedre håndteringen av buffertilstand.
CVE-2017-2400: Abhinav Bansal fra Zscaler, Inc.
Sandkasseprofiler
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere og iPod touch 6. generasjon
Virkning: Et ondsinnet program kan få tilgang til iCloud-brukerposten til en tidligere pålogget bruker
Beskrivelse: Et tilgangsproblem ble løst gjennom ekstra sandkasserestriksjoner for apper fra tredjeparter.
CVE-2017-6976: George Dan (@theninjaprawn)
Oppføring lagt til 1. august 2017
Sikkerhet
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Validering av tomme signaturer med SecKeyRawVerify() kan uventet lykkes
Beskrivelse: Det var et valideringsproblem med kryptografiske API-kall. Problemet ble løst gjennom forbedret parametervalidering.
CVE-2017-2423: en anonym forsker
Sikkerhet
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Et program kan utføre vilkårlig kode med rotrettigheter
Beskrivelse: Bufferoverflyt ble løst gjennom forbedret grensekontroll.
CVE-2017-2451: Alex Radocea fra Longterm Security, Inc.
Sikkerhet
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av et skadelig x509-sertifikat kan føre til utføring av vilkårlig kode
Beskrivelse: Det var et problem med skadet minne i parsingen av sertifikater. Problemet ble løst gjennom forbedret validering av inndata.
CVE-2017-2485: Aleksandar Nikolic fra Cisco Talos
Siri
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Siri kan avsløre innhold i tekstmeldinger mens enheten er låst
Beskrivelse: Et problem med utilstrekkelig låsing ble løst gjennom forbedret tilstandshåndtering.
CVE-2017-2452: Hunter Byrnes
WebKit
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Å flytte og slippe en skadelig kobling kan føre til bokmerkeforfalsking eller utføring av vilkårlig kode
Beskrivelse: Det var et valideringsproblem i oppretting av bokmerker. Problemet ble løst gjennom forbedret validering av inndata.
CVE-2017-2378: xisigr fra Tencents Xuanwu Lab (tencent.com)
WebKit
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer
Beskrivelse: Et problem med inkonsistent brukergrensesnitt ble løst gjennom forbedret tilstandshåndtering.
CVE-2017-2486: redrain fra light4freedom
WebKit
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av skadelig nettinnhold kan eksfiltrere data på tvers av opphav
Beskrivelse: Et problem med tilgang til prototyper ble løst gjennom forbedret unntakshåndtering.
CVE-2017-2386: André Bargull
WebKit
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-2394: Apple
CVE-2017-2396: Apple
CVE-2016-9642: Gustavo Grieco
WebKit
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-2395: Apple
CVE-2017-2454: Ivan Fratric fra Google Project Zero, Zheng Huang fra Baidu Security Lab som arbeider med Trend Micros Zero Day Initiative
CVE-2017-2455: Ivan Fratric fra Google Project Zero
CVE-2017-2457: lokihardt fra Google Project Zero
CVE-2017-2459: Ivan Fratric fra Google Project Zero
CVE-2017-2460: Ivan Fratric fra Google Project Zero
CVE-2017-2464: Jeonghoon Shin, natashenka fra Google Project Zero
CVE-2017-2465: Zheng Huang og Wei Yuan fra Baidu Security Lab
CVE-2017-2466: Ivan Fratric fra Google Project Zero
CVE-2017-2468: lokihardt fra Google Project Zero
CVE-2017-2469: lokihardt fra Google Project Zero
CVE-2017-2470: lokihardt fra Google Project Zero
CVE-2017-2476: Ivan Fratric fra Google Project Zero
CVE-2017-2481: 0011 som arbeider med Trend Micros Zero Day Initiative
Oppføring oppdatert 20. juni 2017
WebKit
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.
CVE-2017-2415: Kai Kang fra Tencents Xuanwu Lab (tentcent.com)
WebKit
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til at Content Security Policy uventet ikke håndheves
Beskrivelse: Det var et tilgangsproblem i Content Security Policy. Problemet ble løst gjennom forbedring av tilgangsrestriksjoner.
CVE-2017-2419: Nicolai Grødum fra Cisco Systems
WebKit
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til høyt minnebruk
Beskrivelse: Et problem med ukontrollert ressursbruk ble løst gjennom forbedret behandling av regex-uttrykk.
CVE-2016-9643: Gustavo Grieco
WebKit
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til at prosessminne avsløres
Beskrivelse: Det var et problem med avdekking av informasjon i behandlingen av OpenGL-skyggeleggere. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-2017-2424: Paul Thomson (ved bruk av GLFuzz-verktøyet) fra Multicore Programming Group, Imperial College London
WebKit
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-2433: Apple
WebKit
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av skadelig nettinnhold kan eksfiltrere data på tvers av opphav
Beskrivelse: Det var flere valideringsproblemer i håndteringen av innlasting av sider. Problemet ble løst gjennom forbedret logisk håndtering.
CVE-2017-2364: lokihardt fra Google Project Zero
WebKit
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Et skadelig nettsted kan eksfiltrere data på tvers av opphav
Beskrivelse: Det var et valideringsproblem i håndteringen av innlasting av sider. Problemet ble løst gjennom forbedret logisk håndtering.
CVE-2017-2367: lokihardt fra Google Project Zero
WebKit
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder
Beskrivelse: Det var et logisk problem i håndteringen av rammeobjekter. Problemet ble løst gjennom forbedret tilstandshåndtering.
CVE-2017-2445: lokihardt fra Google Project Zero
WebKit
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Det var et logisk problem i håndteringen av funksjoner i streng modus. Problemet ble løst gjennom forbedret tilstandshåndtering.
CVE-2017-2446: natashenka fra Google Project Zero
WebKit
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Besøk på et skadelig nettsted kan kompromittere brukerinformasjon
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-2447: natashenka fra Google Project Zero
WebKit
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-2463: Kai Kang (4B5F5F4B) fra Tencents Xuanwu Lab (tencent.com) arbeider med Trend Micros Zero Day Initiative
Oppføring lagt til 28. mars 2017
WebKit
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst gjennom forbedret minnehåndtering.
CVE-2017-2471: Ivan Fratric fra Google Project Zero
WebKit
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder
Beskrivelse: Det var et logisk problem i håndteringen av rammer. Problemet ble løst ved forbedret tilstandshåndtering.
CVE-2017-2475: lokihardt fra Google Project Zero
WebKit
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av skadelig nettinnhold kan eksfiltrere data på tvers av opphav
Beskrivelse: Det var et valideringsproblem i håndteringen av elementer. Problemet ble løst gjennom forbedret validering.
CVE-2017-2479: lokihardt fra Google Project Zero
Oppføring lagt til 28. mars 2017
WebKit
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av skadelig nettinnhold kan eksfiltrere data på tvers av opphav
Beskrivelse: Det var et valideringsproblem i håndteringen av elementer. Problemet ble løst gjennom forbedret validering.
CVE-2017-2480: lokihardt fra Google Project Zero
CVE-2017-2493: lokihardt fra Google Project Zero
Oppføring oppdatert 24. april 2017
WebKit JavaScript-bindinger
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av skadelig nettinnhold kan eksfiltrere data på tvers av opphav
Beskrivelse: Det var flere valideringsproblemer i håndteringen av innlasting av sider. Problemet ble løst gjennom forbedret logisk håndtering.
CVE-2017-2442: lokihardt fra Google Project Zero
WebKit Nettinspektør
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Lukking av et vindu mens feilsøkeren er midlertidig stanset kan føre til uventet avslutning av et program
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-2377: Vicki Pfau
WebKit Nettinspektør
Tilgjengelig for: iPhone 5 og nyere, iPad 4. generasjon og nyere, iPod touch 6. generasjon og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-2405: Apple
Ytterligere anerkjennelser
XNU
Vi vil gjerne takke Lufeng Li fra Qihoo 360 Vulcan Team for deres bistand.
WebKit
Vi vil gjerne takke Yosuke HASEGAWA fra Secure Sky Technology Inc. for deres bistand.
Safari
Vi vil gjerne takke Flyin9 (ZhenHui Lee) for hjelpen.
Innstillinger
Vi vil gjerne takke Adi Sharabani og Yair Amit fra Skycure for deres bistand.