Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet. Du kan kryptere kommunikasjon med Apple ved å bruke PGP-nøkkelen for Apple-produktsikkerhet.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
iOS 11
Utgitt 19. september 2017
802.1X
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: En angriper kan utnytte svakheter i TLS 1.0.
Beskrivelse: Et problem med protokollsikkerhet ble løst gjennom aktivering av TLS 1.1 og TLS 1.2.
CVE-2017-13832: Doug Wussler fra Florida State University
Oppføring lagt til 31. oktober 2017, oppdatert 10. november 2017
APN-er
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: En angriper i en privilegert nettverksposisjon kan spore en bruker
Beskrivelse: Det var et problem med personvern ved bruk av klientsertifikater. Problemet ble løst gjennom forbedring av en protokoll.
CVE-2017-13863: FURIOUSMAC Team fra United States Naval Academy
Oppføring lagt til 21. desember 2017
Bluetooth
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Et program kan få tilgang til begrensede filer
Beskrivelse: Det var et problem med personvern i håndteringen av kontaktkort. Dette ble løst gjennom forbedret tilstandshåndtering.
CVE-2017-7131: Dominik Conrads fra Federal Office for Information Security, en anonym forsker, Anand Kathapurkar fra India, Elvis (@elvisimprsntr)
Oppføring oppdatert 9. oktober 2017
CFNetwork
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Et program kan utføre vilkårlig kode med systemrettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-13829: Niklas Baumstark og Samuel Gro i samarbeid med Trend Micros Zero Day Initiative
CVE-2017-13833: Niklas Baumstark og Samuel Gro i samarbeid med Trend Micros Zero Day Initiative
Oppføring lagt til 10. november 2017
CFNetwork-proxyer
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: En angriper i en privilegert nettverksposisjon kan forårsake tjenestenekt
Beskrivelse: Flere problemer med tjenestenekt ble løst gjennom forbedret minnehåndtering.
CVE-2017-7083: Abhinav Bansal fra Zscaler Inc.
Oppføring lagt til 25. september 2017
CFString
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Et program kan lese begrenset minne
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.
CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate
Oppføring lagt til 31. oktober 2017
CoreAudio
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Et program kan lese begrenset minne
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom oppdatering av Opus til versjon 1.1.4.
CVE-2017-0381: V.E.O (@VYSEa) fra Mobile Threat Research Team, Trend Micro
Oppføring lagt til 25. september 2017
CoreText
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med minnebruk ble løst gjennom forbedret minnehåndtering.
CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate
Oppføring lagt til 31. oktober 2017 og oppdatert 16. november 2018
Exchange ActiveSync
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: En angriper i en privilegert nettverksposisjon kan slette en enhet under konfigurering av Exchange-konto
Beskrivelse: Det var et valideringsproblem i AutoDiscover V1. Dette ble løst ved å kreve TLS for AutoDiscover V1. AutoDiscover V2 støttes nå.
CVE-2017-7088: Ilya Nesterov, Maxim Goncharov
file
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Flere problemer i file
Beskrivelse: Flere problemer ble løst gjennom oppdatering til versjon 5.31.
CVE-2017-13815: funnet av OSS-Fuzz
Oppføring lagt til 31. oktober 2017, oppdatert 18. oktober 2018
Fonts
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Gjengivelse av ikke-godkjent tekst kan føre til forfalskning
Beskrivelse: Et problem med inkonsistent brukergrensesnitt ble løst gjennom forbedret tilstandshåndtering.
CVE-2017-13828: Leonard Grey og Robert Sesek fra Google Chrome
Oppføring lagt til 31. oktober 2017, oppdatert 10. november 2017
Heimdal
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: En angriper i en privilegert nettverksposisjon kan utgi seg for å være en tjeneste
Beskrivelse: Det var et valideringsproblem i håndteringen av navnet til KDC-REP-tjenesten. Problemet ble løst gjennom forbedret validering.
CVE-2017-11103: Jeffrey Altman, Viktor Duchovni og Nico Williams
Oppføring lagt til 25. september 2017
HFS
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Et program kan utføre vilkårlig kode med systemrettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-13830: Sergej Schumilo fra Ruhr-universitetet Bochum
Oppføring lagt til 31. oktober 2017
iBooks
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Parsing av en skadelig iBooks-fil kan føre til vedvarende tjenestenekt
Beskrivelse: Flere problemer med tjenestenekt ble løst gjennom forbedret minnehåndtering.
CVE-2017-7072: Jędrzej Krysztofiak
ImageIO
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Behandling av et skadelig bilde kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate
Oppføring lagt til 31. oktober 2017 og oppdatert 16. november 2018
ImageIO
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-13831: Glen Carmichael
Oppføring lagt til 31. oktober 2017 og oppdatert 3. april 2019
Kjerne
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-7114: Alex Plaskett fra MWR InfoSecurity
Oppføring lagt til 25. september 2017
Kjerne
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: En lokal bruker kan være i stand til å lese kjerneminne
Beskrivelse: Det var et problem med lesing utenfor området som førte til avdekking av kjerneminnet. Dette ble løst gjennom forbedret validering av inndata.
CVE-2017-13817: Maxime Villard (m00nbsd)
Oppføring lagt til 31. oktober 2017
Kjerne
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Et program kan lese begrenset minne
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.
CVE-2017-13818: National Cyber Security Centre (NCSC) i Storbritannia
CVE-2017-13836: Vlad Tsyrklevich
CVE-2017-13841: Vlad Tsyrklevich
CVE-2017-13840: Vlad Tsyrklevich
CVE-2017-13842: Vlad Tsyrklevich
Oppføring lagt til 31. oktober 2017, oppdatert 18. juni 2018
Kjerne
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-13843: en anonym forsker, en anonym forsker
Oppføring lagt til 31. oktober 2017
Kjerne
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Et program kan utføre vilkårlig kode med systemrettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-13854: shrek_wzw fra Qihoo 360 Nirvan Team
Oppføring lagt til 2. november 2017
Kjerne
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Behandling av en skadelig mach-binærfil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2017-13834: Maxime Villard (m00nbsd)
Oppføring lagt til 10. november 2017
Kjerne
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: En skadelig app kan være i stand til å få informasjon om andre apper som finnes og brukes på enheten.
Beskrivelse: En app klarte å få tilgang til informasjon om nettverksaktivitet fra operativsystemet uten begrensning. Problemet ble løst gjennom redusering av tilgjengelig informasjon for tredjepartsapper.
CVE-2017-13873: Xiaokuan Zhang og Yinqian Zhang fra The Ohio State University, Xueqiang Wang og XiaoFeng Wang fra Indiana University Bloomington og Xiaolong Bai fra Tsinghua-universitetet
Oppføring lagt til 30. november 2017
Tastaturforslag
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Forslag fra tastaturets autokorrektur kan avsløre sensitive opplysninger
Beskrivelse: iOS-tastaturet bufret sensitiv informasjon ved en feiltakelse. Problemet ble løst gjennom forbedret heurestikk.
CVE-2017-7140: Agim Allkanjari fra Stream in Motion Inc.
Oppføring oppdatert 9. oktober 2017
libarchive
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Utpakking av et skadelig arkiv kan føre til at vilkårlig kode utføres
Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.
CVE-2017-13813: funnet av OSS-Fuzz
CVE-2017-13816: funnet av OSS-Fuzz
Oppføring lagt til 31. oktober 2017
libarchive
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Utpakking av et skadelig arkiv kan føre til at vilkårlig kode utføres
Beskrivelse: Det var flere problemer med skadet minne i libarchive. Problemene ble løst gjennom forbedret validering av inndata.
CVE-2017-13812: funnet av OSS-Fuzz
Oppføring lagt til 31. oktober 2017
libc
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: En ekstern angriper kan forårsake tjenestenekt
Beskrivelse: Et ressursuttømmingsproblem i glob() ble løst gjennom en forbedret algoritme.
CVE-2017-7086: Russ Cox fra Google
Oppføring lagt til 25. september 2017
libc
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Et program kan forårsake tjenestenekt
Beskrivelse: Et problem med bruk av minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-1000373
Oppføring lagt til 25. september 2017
libexpat
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Flere problemer i expat
Beskrivelse: Flere problemer ble løst gjennom oppdatering til versjon 2.2.1
CVE-2016-9063
CVE-2017-9233
Oppføring lagt til 25. september 2017
libxml2
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Behandling av en skadelig XML-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.
CVE-2017-7376: en anonym forsker
CVE-2017-5130: en anonym forsker
Oppføring lagt til 18. oktober 2018
libxml2
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Behandling av en skadelig XML-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-9050: Mateusz Jurczyk (j00ru) fra Google Project Zero
Oppføring lagt til 18. oktober 2018
libxml2
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Behandling av en skadelig XML-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2017-9049: Wei Lei og Liu Yang fra Det teknologiske universitetet i Nanyang i Singapore
Oppføring lagt til 18. oktober 2018
libxml2
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Behandling av en skadelig XML-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: En dereferanse for en nullpeker ble løst med forbedret validering.
CVE-2018-4302: Gustavo Grieco
Oppføring lagt til 18. oktober 2018
Location Framework
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Et program kan være i stand til å lese sensitiv stedsinformasjon
Beskrivelse: Det var et problem med tillatelser i håndteringen av posisjonsvariabelen. Dette ble løst gjennom ytterligere kontroller av eierskap.
CVE-2017-7148: Igor Makarov fra Moovit, Will McGinty og Shawnna Rodriguez fra Bottle Rocket Studios
Oppføring oppdatert 9. oktober 2017
E-postutkast
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: En angriper i en privilegert nettverksposisjon kan fange opp e-postinnhold
Beskrivelse: Det var et krypteringsproblem i håndteringen av e-postutkast. Problemet ble løst gjennom forbedret håndtering av e-postutkast som skal sendes kryptert.
CVE-2017-7078: Petter Flink, Pierre ALBARÈDE fra Marseille (Frankrike), en anonym forsker
Oppføring oppdatert 9. oktober 2017
Mail MessageUI
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2017-7097: Xinshu Dong og Jun Hao Tan fra Anquan Capital
Meldinger
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt
Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret validering.
CVE-2017-7118: Kiki Jiang og Jason Tokoph
MobileBackup
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Sikkerhetskopiering kan opprette en ukryptert sikkerhetskopi på tross av krav om bare å opprette krypterte sikkerhetskopier
Beskrivelse: Det var et problem med tillatelser. Problemet ble løst gjennom forbedret validering av tillatelser.
CVE-2017-7133: Don Sparks fra HackediOS.com
Merknader
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: En lokal bruker kan lekke sensitiv brukerinformasjon
Beskrivelse: Innholdet i låste notater var noen ganger synlig i søkeresultater. Problemet ble løst gjennom forbedret dataopprydding.
CVE-2017-7075: Richard Will fra Marathon Oil Company
Oppføring lagt til 10. november 2017
Telefon
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Et skjermbilde av sikkert innhold kan tas når man låser en iOS-enhet
Beskrivelse: Det var et timingproblem i håndteringen av låsing. Problemet ble løst ved å deaktivere skjermbilder under låsing.
CVE-2017-7139: en anonym forsker
Oppføring lagt til 25. september 2017
Profiler
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Sammenkoblingsposter for enhet kan ved en feiltakelse installeres på en enhet når en profil som ikke tillater paring er installert
Beskrivelse: Paringer ble ikke fjernet når en profil som ikke tillater paringer ble installert. Dette ble løst gjennom å fjerne paringer som kom i konflikt med konfigurasjonsprofilen.
CVE-2017-13806: Rorie Hood fra MWR InfoSecurity
Oppføring lagt til 2. november 2017
Hurtigvisning
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Et program kan lese begrenset minne
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.
CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate
Oppføring lagt til 31. oktober 2017
Hurtigvisning
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Parsing av et skadelig Office-dokument kan føre til at et program avsluttes uventet eller utføring av vilkårlig kode
Beskrivelse: Et problem med bruk av minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate
Oppføring lagt til 31. oktober 2017
Safari
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer
Beskrivelse: Et problem med inkonsistent brukergrensesnitt ble løst gjennom forbedret tilstandshåndtering.
CVE-2017-7085: xisigr fra Tencents Xuanwu Lab (tencent.com)
Sandkasseprofiler
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: En skadelig app kan kanskje få informasjon om andre apper som finnes på enheten.
Beskrivelse: En app kunne fastslå at det fantes filer utenfor sandkassen. Dette problemet ble løst gjennom ekstra sandkassekontroller.
CVE-2017-13877: Xiaokuan Zhang og Yinqian Zhang fra The Ohio State University, Xueqiang Wang og XiaoFeng Wang fra Indiana University Bloomington og Xiaolong Bai fra Tsinghua-universitetet
Oppføring lagt til 30. november 2017
Sikkerhet
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Et tilbakekalt sertifikat kan godkjennes
Beskrivelse: Det var et sertifikatvalideringsproblem i håndteringen av tilbakekallingsdata. Problemet ble løst gjennom forbedret validering.
CVE-2017-7080: en anonym forsker, en anonym forsker, Sven Driemecker fra adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) fra Bærum kommune
Oppføring lagt til 25. september 2017
Sikkerhet
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: En skadelig app kan være i stand til å spore brukere mellom installeringer
Beskrivelse: Det var et problem med sjekking av tillatelser i håndteringen av appens Nøkkelringdata. Problemet ble løst gjennom forbedret kontroll av tillatelser.
CVE-2017-7146: en anonym forsker
Oppføring lagt til 25. september 2017
SQLite
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Flere problemer i SQLite
Beskrivelse: Flere problemer ble løst gjennom oppdatering til versjon 3.19.3.
CVE-2017-10989: funnet av OSS-Fuzz
CVE-2017-7128: funnet av OSS-Fuzz
CVE-2017-7129: funnet av OSS-Fuzz
CVE-2017-7130: funnet av OSS-Fuzz
Oppføring lagt til 25. september 2017
SQLite
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Et program kan utføre vilkårlig kode med systemrettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-7127: en anonym forsker
Oppføring lagt til 25. september 2017
Telefoni
Tilgjengelig for: iPhone 5s og nyere og Wi-Fi + Cellular-modeller av iPad Air-generasjonen og nyere
Virkning: En angriper innen rekkevidde kan utføre vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-6211: Matthew Spisak fra ENDGAME (endgame.com)
Oppføring lagt til 4. desember 2017
Tid
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: «Tidssoneinnstilling» kan indikere feil at den bruker plassering
Beskrivelse: Det var et problem med tillatelser i prosessen som håndterer tidssoneinformasjon. Problemet ble løst ved å modifisere rettigheter.
CVE-2017-7145: Chris Lawrence
Oppføring oppdatert 9. oktober 2017
WebKit
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-7081: Apple
Oppføring lagt til 25. september 2017
WebKit
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-7087: Apple
CVE-2017-7091: Wei Yuan fra Baidu Security Lab i samarbeid med Trend Micros Zero Day Initiative
CVE-2017-7092: Samuel Gro og Niklas Baumstark i samarbeid med Trend Micros Zero Day Initiative, Qixun Zhao (@S0rryMybad) fra Qihoo 360 Vulcan Team
CVE-2017-7093: Samuel Gro og Niklas Baumstark i samarbeid med Trend Micros Zero Day Initiative
CVE-2017-7094: Tim Michaud (@TimGMichaud) fra Leviathan Security Group
CVE-2017-7095: Wang Junjie, Wei Lei og Liu Yang fra Det teknologiske universitetet i Nanyang i samarbeid med Trend Micros Zero Day Initiative
CVE-2017-7096: Wei Yuan fra Baidu Security Lab
CVE-2017-7098: Felipe Freitas fra Instituto Tecnológico de Aeronáutica
CVE-2017-7099: Apple
CVE-2017-7100: Masato Kinugawa og Mario Heiderich fra Cure53
CVE-2017-7102: Wang Junjie, Wei Lei og Liu Yang fra Det teknologiske universitetet i Nanyang
CVE-2017-7104: likemeng fra Baidu Secutity Lab
CVE-2017-7107: Wang Junjie, Wei Lei og Liu Yang fra Det teknologiske universitetet i Nanyang
CVE-2017-7111: likemeng fra Baidu Security Lab (xlab.baidu.com) i samarbeid med Trend Micros Zero Day Initiative
CVE-2017-7117: lokihardt fra Google Project Zero
CVE-2017-7120: chenqin (陈钦) fra Ant-financial Light-Year Security Lab
Oppføring lagt til 25. september 2017
WebKit
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder
Beskrivelse: Det var et logisk problem i håndteringen av overordnet fane. Problemet ble løst gjennom forbedret tilstandshåndtering.
CVE-2017-7089: Anton Lopanitsyn fra ONSEC, Frans Rosén fra Detectify
WebKit
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Informasjonskapsler som tilhører ett opphav kan bli sendt til et annet opphav
Beskrivelse: Det var et problem med tillatelser i håndteringen av informasjonskapsler i nettleseren. Problemet ble løst ved å ikke lenger returnere informasjonskapsler for tilpassede URL-oppsett.
CVE-2017-7090: Apple
Oppføring lagt til 25. september 2017
WebKit
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer
Beskrivelse: Et problem med inkonsistent brukergrensesnitt ble løst gjennom forbedret tilstandshåndtering.
CVE-2017-7106: Oliver Paukstadt fra Thinking Objects GmbH (to.com)
WebKit
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Behandling av skadelig nettinnhold kan føre til et angrep med skripting mellom nettsteder
Beskrivelse: Programbufferpolicy kan uventet bli tatt i bruk.
CVE-2017-7109: avlidienbrunn
Oppføring lagt til 25. september 2017
WebKit
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Et skadelig nettsted kan være i stand til å spore brukere i privat Safari-nettlesermodus
Beskrivelse: Det var et problem med tillatelser i håndteringen av informasjonskapsler i nettleseren. Problemet ble løst gjennom forbedrede begrensninger.
CVE-2017-7144: Mohammad Ghasemisharif fra UIC’s BITS Lab
Oppføring oppdatert 9. oktober 2017
WebKit-lagring
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Nettsteddata kan bevares etter en privat nettlesingsøkt i Safari
Beskrivelse: Det var et problem med lekking av informasjon ved håndteringen av nettsteddata i private vinduer i Safari. Problemet ble løst gjennom forbedret datahåndtering.
CVE-2017-7142: Rich Shawn O’Connell, en anonym forsker, en anonym forsker
Oppføring lagt til 10. november 2017
Wi-Fi
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: En angriper innen rekkevidde kan utføre vilkårlig kode på Wi-Fi-brikken
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-11120: Gal Beniamini fra Google Project Zero
CVE-2017-11121: Gal Beniamini fra Google Project Zero
Oppføring lagt til 25. september 2017
Wi-Fi
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Skadelig kode som utføres på Wi-Fi-brikken, kan utføre vilkårlig kode med kjernerettigheter på applikasjonsprosessoren
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-7103: Gal Beniamini fra Google Project Zero
CVE-2017-7105: Gal Beniamini fra Google Project Zero
CVE-2017-7108: Gal Beniamini fra Google Project Zero
CVE-2017-7110: Gal Beniamini fra Google Project Zero
CVE-2017-7112: Gal Beniamini fra Google Project Zero
Wi-Fi
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Skadelig kode som utføres på Wi-Fi-brikken, kan utføre vilkårlig kode med kjernerettigheter på applikasjonsprosessoren
Beskrivelse: Flere kritiske kjøresituasjoner (race condition) ble løst gjennom forbedret validering.
CVE-2017-7115: Gal Beniamini fra Google Project Zero
Wi-Fi
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Skadelig kode som utføres på Wi-Fi-brikken, kan lese kjerneminne med begrenset tilgang
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.
CVE-2017-7116: Gal Beniamini fra Google Project Zero
Wi-Fi
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: En angriper i nærheten kan lese begrenset minne fra Wi-Fi-brikkesettet
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.
CVE-2017-11122: Gal Beniamini fra Google Project Zero
Oppføring lagt til 2. oktober 2017
zlib
Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon
Virkning: Flere problemer i zlib
Beskrivelse: Flere problemer ble løst gjennom oppdatering til versjon 1.2.11.
CVE-2016-9840
CVE-2016-9841
CVE-2016-9842
CVE-2016-9843
Oppføring lagt til 25. september 2017
Ytterligere anerkjennelse
LaunchServices
Vi vil gjerne takke Mark Zimmermann fra EnBW Energie Baden-Württemberg AG for hjelpen.
Sikkerhet
Vi vil gjerne takke Abhinav Bansal fra Zscaler, Inc. for hjelpen.
Webkit
Vi vil gjerne takke xisigr fra Tencents Xuanwu Lab (tencent.com) for hjelpen.
WebKit
Vi vil gjerne takke Rayyan Bijoora (@Bijoora) fra The City School, PAF Chapter for hjelpen.
WebKit Nettinspektør
Vi vil gjerne takke Ioan Bizău fra Bloggify for hjelpen.