Om sikkerhetsinnholdet i iOS 11

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 11.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet. Du kan kryptere kommunikasjon med Apple ved å bruke PGP-nøkkelen for Apple-produktsikkerhet.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

iOS 11

Utgitt 19. september 2017

802.1X

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: En angriper kan utnytte svakheter i TLS 1.0.

Beskrivelse: Et problem med protokollsikkerhet ble løst gjennom aktivering av TLS 1.1 og TLS 1.2.

CVE-2017-13832: Doug Wussler fra Florida State University

Oppføring lagt til 31. oktober 2017, oppdatert 10. november 2017

Bluetooth

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et program kan få tilgang til begrensede filer

Beskrivelse: Det var et problem med personvern i håndteringen av kontaktkort. Dette ble løst gjennom forbedret tilstandshåndtering.

CVE-2017-7131: Dominik Conrads fra Federal Office for Information Security, en anonym forsker, Anand Kathapurkar fra India, Elvis (@elvisimprsntr)

Oppføring oppdatert 9. oktober 2017

CFNetwork

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-13829: Niklas Baumstark og Samuel Gro i samarbeid med Trend Micros Zero Day Initiative 

CVE-2017-13833: Niklas Baumstark og Samuel Gro i samarbeid med Trend Micros Zero Day Initiative

Oppføring lagt til 10. november 2017

CFNetwork-proxyer

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: En angriper i en privilegert nettverksposisjon kan forårsake tjenestenekt

Beskrivelse: Flere problemer med tjenestenekt ble løst gjennom forbedret minnehåndtering.

CVE-2017-7083: Abhinav Bansal fra Zscaler Inc.

Oppføring lagt til 25. september 2017

CFString

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et program kan lese begrenset minne

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.

CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate

Oppføring lagt til 31. oktober 2017

CoreAudio

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et program kan lese begrenset minne

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom oppdatering av Opus til versjon 1.1.4.

CVE-2017-0381: V.E.O (@VYSEa) fra Mobile Threat Research Team, Trend Micro

Oppføring lagt til 25. september 2017

CoreText

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med bruk av minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate

Oppføring lagt til 31. oktober 2017

Exchange ActiveSync

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: En angriper i en privilegert nettverksposisjon kan slette en enhet under konfigurering av Exchange-konto

Beskrivelse: Det var et valideringsproblem i AutoDiscover V1.  Dette ble løst ved å kreve TLS for AutoDiscover V1. AutoDiscover V2 støttes nå.

CVE-2017-7088: Ilya Nesterov, Maxim Goncharov

file

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Flere problemer i file

Beskrivelse: Flere problemer ble løst gjennom oppdatering til versjon 5.31.

CVE-2017-13815

Oppføring lagt til 31. oktober 2017

Fonts

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Gjengivelse av ikke-godkjent tekst kan føre til forfalskning

Beskrivelse: Et problem med inkonsistent brukergrensesnitt ble løst gjennom forbedret tilstandshåndtering.

CVE-2017-13828: Leonard Grey og Robert Sesek fra Google Chrome

Oppføring lagt til 31. oktober 2017, oppdatert 10. november 2017

Heimdal

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: En angriper i en privilegert nettverksposisjon kan utgi seg for å være en tjeneste

Beskrivelse: Det var et valideringsproblem i håndteringen av navnet til KDC-REP-tjenesten. Problemet ble løst gjennom forbedret validering.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni og Nico Williams

Oppføring lagt til 25. september 2017

HFS

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-13830: Sergej Schumilo fra Ruhr-universitetet Bochum

Oppføring lagt til 31. oktober 2017

iBooks

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Parsing av en skadelig iBooks-fil kan føre til vedvarende tjenestenekt

Beskrivelse: Flere problemer med tjenestenekt ble løst gjennom forbedret minnehåndtering.

CVE-2017-7072: Jędrzej Krysztofiak

ImageIO

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Behandling av et skadelig bilde kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate

Oppføring lagt til 31. oktober 2017

ImageIO

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt

Beskrivelse: Det var et problem med avdekking av informasjon i behandlingen av diskfiler. Problemet ble løst gjennom forbedret minnehåndtering.

CVE-2017-13831: Glen Carmichael

Oppføring lagt til 31. oktober 2017, oppdatert 10. november 2017

Kjerne

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-7114: Alex Plaskett fra MWR InfoSecurity

Oppføring lagt til 25. september 2017

Kjerne

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: En lokal bruker kan være i stand til å lese kjerneminne

Beskrivelse: Det var et problem med lesing utenfor området som førte til avdekking av kjerneminnet. Dette ble løst gjennom forbedret validering av inndata.

CVE-2017-13817: Maxime Villard (m00nbsd)

Oppføring lagt til 31. oktober 2017

Kjerne

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et program kan lese begrenset minne

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.

CVE-2017-13818: National Cyber Security Centre (NCSC) i Storbritannia

CVE-2017-13836: en anonym forsker, en anonym forsker

CVE-2017-13841: en anonym forsker

CVE-2017-13840: en anonym forsker

CVE-2017-13842: en anonym forsker

Oppføring lagt til 31. oktober 2017, oppdatert 14. november 2017

Kjerne

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-13843: en anonym forsker, en anonym forsker

Oppføring lagt til 31. oktober 2017

Kjerne

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-13854: shrek_wzw fra Qihoo 360 Nirvan Team

Oppføring lagt til 2. november 2017

Kjerne

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Behandling av en skadelig mach-binærfil kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.

CVE-2017-13834: Maxime Villard (m00nbsd)

Oppføring lagt til 10. november 2017

Tastaturforslag

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Forslag fra tastaturets autokorrektur kan avsløre sensitive opplysninger

Beskrivelse: iOS-tastaturet bufret sensitiv informasjon ved en feiltakelse. Problemet ble løst gjennom forbedret heurestikk.

CVE-2017-7140: Agim Allkanjari fra Stream in Motion Inc.

Oppføring oppdatert 9. oktober 2017

libarchive

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Utpakking av et skadelig arkiv kan føre til at vilkårlig kode utføres

Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.

CVE-2017-13813: funnet av OSS-Fuzz

CVE-2017-13816: funnet av OSS-Fuzz

Oppføring lagt til 31. oktober 2017

libarchive

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Utpakking av et skadelig arkiv kan føre til at vilkårlig kode utføres

Beskrivelse: Det var flere problemer med skadet minne i libarchive. Problemene ble løst gjennom forbedret validering av inndata.

CVE-2017-13812: funnet av OSS-Fuzz

Oppføring lagt til 31. oktober 2017

libc

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: En ekstern angriper kan forårsake tjenestenekt

Beskrivelse: Et ressursuttømmingsproblem i glob() ble løst gjennom en forbedret algoritme.

CVE-2017-7086: Russ Cox fra Google

Oppføring lagt til 25. september 2017

libc

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et program kan forårsake tjenestenekt

Beskrivelse: Et problem med bruk av minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-1000373

Oppføring lagt til 25. september 2017

libexpat

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Flere problemer i expat

Beskrivelse: Flere problemer ble løst gjennom oppdatering til versjon 2.2.1

CVE-2016-9063

CVE-2017-9233

Oppføring lagt til 25. september 2017

Location Framework

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et program kan være i stand til å lese sensitiv stedsinformasjon

Beskrivelse: Det var et problem med tillatelser i håndteringen av posisjonsvariabelen. Dette ble løst gjennom ytterligere kontroller av eierskap.

CVE-2017-7148: Igor Makarov fra Moovit, Will McGinty og Shawnna Rodriguez fra Bottle Rocket Studios

Oppføring oppdatert 9. oktober 2017

E-postutkast

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: En angriper i en privilegert nettverksposisjon kan fange opp e-postinnhold

Beskrivelse: Det var et krypteringsproblem i håndteringen av e-postutkast. Problemet ble løst gjennom forbedret håndtering av e-postutkast som skal sendes kryptert.

CVE-2017-7078: Petter Flink, Pierre ALBARÈDE fra Marseille (Frankrike), en anonym forsker

Oppføring oppdatert 9. oktober 2017

Mail MessageUI

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.

CVE-2017-7097: Xinshu Dong og Jun Hao Tan fra Anquan Capital

Meldinger

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt

Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret validering.

CVE-2017-7118: Kiki Jiang og Jason Tokoph

MobileBackup

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Sikkerhetskopiering kan opprette en ukryptert sikkerhetskopi på tross av krav om bare å opprette krypterte sikkerhetskopier

Beskrivelse: Det var et problem med tillatelser. Problemet ble løst gjennom forbedret validering av tillatelser.

CVE-2017-7133: Don Sparks fra HackediOS.com

Merknader

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: En lokal bruker kan lekke sensitiv brukerinformasjon

Beskrivelse: Innholdet i låste notater var noen ganger synlig i søkeresultater. Problemet ble løst gjennom forbedret dataopprydding.

CVE-2017-7075: Richard Will fra Marathon Oil Company

Oppføring lagt til 10. november 2017

Telefon

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et skjermbilde av sikkert innhold kan tas når man låser en iOS-enhet

Beskrivelse: Det var et timingproblem i håndteringen av låsing. Problemet ble løst ved å deaktivere skjermbilder under låsing.

CVE-2017-7139: en anonym forsker

Oppføring lagt til 25. september 2017

Profiler

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Sammenkoblingsposter for enhet kan ved en feiltakelse installeres på en enhet når en profil som ikke tillater paring er installert

Beskrivelse: Paringer ble ikke fjernet når en profil som ikke tillater paringer ble installert. Dette ble løst ved å fjerne paringer som kom i konflikt med konfigurasjonsprofilen.

CVE-2017-13806: Rorie Hood fra MWR InfoSecurity

Oppføring lagt til 2. november 2017

Hurtigvisning

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et program kan lese begrenset minne

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.

CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate

Oppføring lagt til 31. oktober 2017

Hurtigvisning

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Parsing av et skadelig Office-dokument kan føre til at et program avsluttes uventet eller utføring av vilkårlig kode

Beskrivelse: Et problem med bruk av minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate

Oppføring lagt til 31. oktober 2017

Safari

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer

Beskrivelse: Et problem med inkonsistent brukergrensesnitt ble løst gjennom forbedret tilstandshåndtering.

CVE-2017-7085: xisigr fra Tencents Xuanwu Lab (tencent.com)

Sikkerhet

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et tilbakekalt sertifikat kan godkjennes

Beskrivelse: Det var et sertifikatvalideringsproblem i håndteringen av tilbakekallingsdata. Problemet ble løst gjennom forbedret validering.

CVE-2017-7080: en anonym forsker, en anonym forsker, Sven Driemecker fra adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) fra Bærum kommune

Oppføring lagt til 25. september 2017

Sikkerhet

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: En skadelig app kan være i stand til å spore brukere mellom installeringer

Beskrivelse: Det var et problem med sjekking av tillatelser i håndteringen av appens Nøkkelringdata. Problemet ble løst gjennom forbedret kontroll av tillatelser.

CVE-2017-7146: en anonym forsker

Oppføring lagt til 25. september 2017

SQLite

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Flere problemer i SQLite

Beskrivelse: Flere problemer ble løst gjennom oppdatering til versjon 3.19.3.

CVE-2017-10989: funnet av OSS-Fuzz

CVE-2017-7128: funnet av OSS-Fuzz

CVE-2017-7129: funnet av OSS-Fuzz

CVE-2017-7130: funnet av OSS-Fuzz

Oppføring lagt til 25. september 2017

SQLite

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-7127: en anonym forsker

Oppføring lagt til 25. september 2017

Tid

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: «Tidssoneinnstilling» kan indikere feil at den bruker plassering

Beskrivelse: Det var et problem med tillatelser i prosessen som håndterer tidssoneinformasjon. Problemet ble løst ved å modifisere rettigheter.

CVE-2017-7145: Chris Lawrence

Oppføring oppdatert 9. oktober 2017

WebKit

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2017-7081: Apple

Oppføring lagt til 25. september 2017

WebKit

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan fra Baidu Security Lab i samarbeid med Trend Micros Zero Day Initiative

CVE-2017-7092: Samuel Gro og Niklas Baumstark i samarbeid med Trend Micros Zero Day Initiative, Qixun Zhao (@S0rryMybad) fra Qihoo 360 Vulcan Team

CVE-2017-7093: Samuel Gro og Niklas Baumstark i samarbeid med Trend Micros Zero Day Initiative

CVE-2017-7094: Tim Michaud (@TimGMichaud) fra Leviathan Security Group

CVE-2017-7095: Wang Junjie, Wei Lei og Liu Yang fra Det teknologiske universitetet i Nanyang i samarbeid med Trend Micros Zero Day Initiative

CVE-2017-7096: Wei Yuan fra Baidu Security Lab

CVE-2017-7098: Felipe Freitas fra Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa og Mario Heiderich fra Cure53

CVE-2017-7102: Wang Junjie, Wei Lei og Liu Yang fra Det teknologiske universitetet i Nanyang

CVE-2017-7104: likemeng fra Baidu Secutity Lab

CVE-2017-7107: Wang Junjie, Wei Lei og Liu Yang fra Det teknologiske universitetet i Nanyang

CVE-2017-7111: likemeng fra Baidu Security Lab (xlab.baidu.com) i samarbeid med Trend Micros Zero Day Initiative

CVE-2017-7117: lokihardt fra Google Project Zero

CVE-2017-7120: chenqin (陈钦) fra Ant-financial Light-Year Security Lab

Oppføring lagt til 25. september 2017

WebKit

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder

Beskrivelse: Det var et logisk problem i håndteringen av overordnet fane. Problemet ble løst gjennom forbedret tilstandshåndtering.

CVE-2017-7089: Anton Lopanitsyn fra ONSEC, Frans Rosén fra Detectify

WebKit

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Informasjonskapsler som tilhører ett opphav kan bli sendt til et annet opphav

Beskrivelse: Det var et problem med tillatelser i håndteringen av informasjonskapsler i nettleseren. Problemet ble løst ved å ikke lenger returnere informasjonskapsler for tilpassede URL-oppsett.

CVE-2017-7090: Apple

Oppføring lagt til 25. september 2017

WebKit

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer

Beskrivelse: Et problem med inkonsistent brukergrensesnitt ble løst gjennom forbedret tilstandshåndtering.

CVE-2017-7106: Oliver Paukstadt fra Thinking Objects GmbH (to.com)

WebKit

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Behandling av skadelig nettinnhold kan føre til et angrep med skripting mellom nettsteder

Beskrivelse: Programbufferpolicy kan uventet bli tatt i bruk.

CVE-2017-7109: avlidienbrunn

Oppføring lagt til 25. september 2017

WebKit

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Et skadelig nettsted kan være i stand til å spore brukere i privat Safari-nettlesermodus

Beskrivelse: Det var et problem med tillatelser i håndteringen av informasjonskapsler i nettleseren. Problemet ble løst gjennom forbedrede begrensninger.

CVE-2017-7144: Mohammad Ghasemisharif fra UIC’s BITS Lab

Oppføring oppdatert 9. oktober 2017

WebKit-lagring

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Nettsteddata kan bevares etter en privat nettlesingsøkt i Safari

Beskrivelse: Det var et problem med lekking av informasjon ved håndteringen av nettsteddata i private vinduer i Safari. Problemet ble løst gjennom forbedret datahåndtering.

CVE-2017-7142: Rich Shawn O’Connell, en anonym forsker, en anonym forsker

Oppføring lagt til 10. november 2017

Wi-Fi

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: En angriper innen rekkevidde kan utføre vilkårlig kode på Wi-Fi-brikken

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-11120: Gal Beniamini fra Google Project Zero

CVE-2017-11121: Gal Beniamini fra Google Project Zero

Oppføring lagt til 25. september 2017

Wi-Fi

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Skadelig kode som utføres på Wi-Fi-brikken, kan utføre vilkårlig kode med kjernerettigheter på applikasjonsprosessoren

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-7103: Gal Beniamini fra Google Project Zero

CVE-2017-7105: Gal Beniamini fra Google Project Zero

CVE-2017-7108: Gal Beniamini fra Google Project Zero

CVE-2017-7110: Gal Beniamini fra Google Project Zero

CVE-2017-7112: Gal Beniamini fra Google Project Zero

Wi-Fi

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Skadelig kode som utføres på Wi-Fi-brikken, kan utføre vilkårlig kode med kjernerettigheter på applikasjonsprosessoren

Beskrivelse: Flere kritiske kjøresituasjoner (race condition) ble løst gjennom forbedret validering.

CVE-2017-7115: Gal Beniamini fra Google Project Zero

Wi-Fi

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Skadelig kode som utføres på Wi-Fi-brikken, kan lese kjerneminne med begrenset tilgang

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.

CVE-2017-7116: Gal Beniamini fra Google Project Zero

Wi-Fi

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: En angriper i nærheten kan lese begrenset minne fra Wi-Fi-brikkesettet

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.

CVE-2017-11122: Gal Beniamini fra Google Project Zero

Oppføring lagt til 2. oktober 2017

zlib

Tilgjengelig for iPhone 5s og nyere, iPad Air og nyere og iPod touch 6. generasjon

Virkning: Flere problemer i zlib

Beskrivelse: Flere problemer ble løst gjennom oppdatering til versjon 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Oppføring lagt til 25. september 2017

Ytterligere anerkjennelse

LaunchServices

Vi vil gjerne takke Mark Zimmermann fra EnBW Energie Baden-Württemberg AG for hjelpen.

Sikkerhet

Vi vil gjerne takke Abhinav Bansal fra Zscaler, Inc. for hjelpen.

Webkit

Vi vil gjerne takke xisigr fra Tencents Xuanwu Lab (tencent.com) for hjelpen.

WebKit

Vi vil gjerne takke Rayyan Bijoora (@Bijoora) fra The City School, PAF Chapter for hjelpen.

WebKit Nettinspektør

Vi vil gjerne takke Ioan Bizău fra Bloggify for hjelpen.

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: