Sobre o conteúdo de segurança do iOS 10.3.3
Este documento descreve o conteúdo de segurança do iOS 10.3.3.
Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Para obter mais informações sobre segurança, consulte a página sobre Segurança do Produto Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
iOS 10.3.3
Contatos
Disponível para: iPhone 5 e posterior, iPad (4ª geração) e posterior e iPod touch (6ª geração)
Impacto: um invasor remoto pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-7062: Shashank (@cyberboyIndia)
CoreAudio
Disponível para: iPhone 5 e posterior, iPad (4ª geração) e posterior e iPod touch (6ª geração)
Impacto: processar um arquivo de filme criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na verificação de limites.
CVE-2017-7008: Yangkang (@dnpushme) da Qihoo 360 Qex Team
EventKitUI
Disponível para: iPhone 5 e posterior, iPad (4ª geração) e posterior e iPod touch (6ª geração)
Impacto: um invasor remoto poderia causar o encerramento inesperado de aplicativos
Descrição: o problema de esgotamento de recursos foi resolvido por meio de melhorias na validação de entradas.
CVE-2017-7007: José Antonio Esteban (@Erratum_) da Sapsi Consultores
IOUSBFamily
Disponível para: iPhone 5 e posterior, iPad (4ª geração) e posterior e iPod touch (6ª geração)
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-7009: shrek_wzw da Qihoo 360 Nirvan Team
Kernel
Disponível para: iPhone 5 e posterior, iPad (4ª geração) e posterior e iPod touch (6ª geração)
Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-7022: um pesquisador anônimo
CVE-2017-7024: um pesquisador anônimo
CVE-2017-7026: um pesquisador anônimo
Kernel
Disponível para: iPhone 5 e posterior, iPad (4ª geração) e posterior e iPod touch (6ª geração)
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-7023: um pesquisador anônimo
CVE-2017-7025: um pesquisador anônimo
CVE-2017-7027: um pesquisador anônimo
CVE-2017-7069: Proteas da Qihoo 360 Nirvan Team
Kernel
Disponível para: iPhone 5 e posterior, iPad (4ª geração) e posterior e iPod touch (6ª geração)
Impacto: um aplicativo pode conseguir ler a memória restrita
Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.
CVE-2017-7028: um pesquisador anônimo
CVE-2017-7029: um pesquisador anônimo
libarchive
Disponível para: iPhone 5 e posterior, iPad (4ª geração) e posterior e iPod touch (6ª geração)
Impacto: descompactar um arquivo criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: o estouro de buffer foi resolvido por meio de melhorias na verificação de limites.
CVE-2017-7068: encontrado por OSS-Fuzz
libxml2
Disponível para: iPhone 5 e posterior, iPad (4ª geração) e posterior e iPod touch (6ª geração)
Impacto: analisar um documento XML criado com códigos maliciosos pode levar à divulgação das informações do usuário
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2017-7010: Apple
CVE-2017-7013: encontrado por OSS-Fuzz
libxpc
Disponível para: iPhone 5 e posterior, iPad (4ª geração) e posterior e iPod touch (6ª geração)
Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-7047: Ian Beer do Google Project Zero
Mensagens
Disponível para: iPhone 5 e posterior, iPad (4ª geração) e posterior e iPod touch (6ª geração)
Impacto: um invasor remoto poderia causar o encerramento inesperado de aplicativos
Descrição: um problema de consumo de memória foi solucionado por meio de melhorias no processamento da memória.
CVE-2017-7063: Shashank (@cyberboyIndia)
Notificações
Disponível para: iPhone 5 e posterior, iPad (4ª geração) e posterior e iPod touch (6ª geração)
Impacto: as notificações podem aparecer na tela bloqueada mesmo quando desativadas
Descrição: um problema na tela bloqueada foi resolvido por meio de melhorias no gerenciamento de estado.
CVE-2017-7058: Beyza Sevinç da Süleyman Demirel Üniversitesi
Safari
Disponível para: iPhone 5 e posterior, iPad (4ª geração) e posterior e iPod touch (6ª geração)
Impacto: acessar um site malicioso pode levar à falsificação da barra de endereços
Descrição: um problema de interface de usuário inconsistente foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2017-2517: xisigr do Xuanwu Lab da Tencent (tencent.com)
Impressões do Safari
Disponível para: iPhone 5 e posterior, iPad (4ª geração) e posterior e iPod touch (6ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode levar a um número infinito de caixas de diálogo de impressão
Descrição: havia um problema no qual um site malicioso ou comprometido poderia exibir infinitas caixas de diálogo e fazer os usuários acreditarem que o navegador havia sido bloqueado. O problema foi resolvido por meio da otimização das caixas de diálogo de impressão.
CVE-2017-7060: Travis Kelley da cidade de Mishawaka, Indiana
Telefonia
Disponível para: iPhone 5 e posterior e iPad (4ª geração) Wi-Fi + Cellular e posterior
Impacto: um invasor em uma posição de rede privilegiada pode executar códigos arbitrários
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-8248
WebKit
Disponível para: iPhone 5 e posterior, iPad (4ª geração) e posterior e iPod touch (6ª geração)
Impacto: um site malicioso pode extrair dados de origem cruzada
Descrição: processar conteúdo da web criado com códigos maliciosos podia permitir que dados de origem cruzada fossem extraídos ao usar filtros SVG para conduzir um ataque no canal de temporização. O problema foi resolvido por meio da não pintura do buffer de origem cruzada no quadro em que é filtrado.
CVE-2017-7006: pesquisador anônimo, David Kohlbrenner da UC San Diego
WebKit
Disponível para: iPhone 5 e posterior, iPad (4ª geração) e posterior e iPod touch (6ª geração)
Impacto: acessar um site malicioso pode levar à falsificação da barra de endereços
Descrição: um problema de gerenciamento de estado foi resolvido por meio de melhorias no processamento de quadros.
CVE-2017-7011: xisigr do Xuanwu Lab da Tencent (tencent.com)
WebKit
Disponível para: iPhone 5 e posterior, iPad (4ª geração) e posterior e iPod touch (6ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2017-7018: lokihardt do Google Project Zero
CVE-2017-7020: likemeng do Baidu Security Lab
CVE-2017-7030: chenqin da Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)
CVE-2017-7034: chenqin da Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)
CVE-2017-7037: lokihardt do Google Project Zero
CVE-2017-7039: Ivan Fratric do Google Project Zero
CVE-2017-7040: Ivan Fratric do Google Project Zero
CVE-2017-7041: Ivan Fratric do Google Project Zero
CVE-2017-7042: Ivan Fratric do Google Project Zero
CVE-2017-7043: Ivan Fratric do Google Project Zero
CVE-2017-7046: Ivan Fratric do Google Project Zero
CVE-2017-7048: Ivan Fratric do Google Project Zero
CVE-2017-7052: cc em parceria com a Zero Day Initiative da Trend Micro
CVE-2017-7055: National Cyber Security Centre (NCSC) do Reino Unido
CVE-2017-7056: lokihardt do Google Project Zero
CVE-2017-7061: lokihardt do Google Project Zero
WebKit
Disponível para: iPhone 5 e posterior, iPad (4ª geração) e posterior e iPod touch (6ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos com DOMParser pode resultar na transmissão de script entre sites
Descrição: havia um problema de lógica no processamento do DOMParser. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2017-7038: Egor Karbutov (@ShikariSenpai) da Digital Security e Egor Saltykov (@ansjdnakjdnajkd) da Digital Security, Neil Jenkins da FastMail Pty Ltd
CVE-2017-7059: Masato Kinugawa e Mario Heiderich da Cure53
WebKit
Disponível para: iPhone 5 e posterior, iPad (4ª geração) e posterior e iPod touch (6ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2017-7049: Ivan Fratric do Google Project Zero
WebKit
Disponível para: iPhone 5 e posterior, iPad (4ª geração) e posterior e iPod touch (6ª geração)
Impacto: um aplicativo pode conseguir ler a memória restrita
Descrição: um problema de inicialização de memória foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-7064: lokihardt do Google Project Zero
Carregamento de página do WebKit
Disponível para: iPhone 5 e posterior, iPad (4ª geração) e posterior e iPod touch (6ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2017-7019: Zhiyang Zeng do Tencent Security Platform Department
Web Inspector do WebKit
Disponível para: iPhone 5 e posterior, iPad (4ª geração) e posterior e iPod touch (6ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2017-7012: Apple
Wi-Fi
Disponível para: iPhone 5 e posterior, iPad (4ª geração) e posterior e iPod touch (6ª geração)
Impacto: um invasor dentro da área de alcance pode executar códigos arbitrários no chip de Wi-Fi
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-7065: Gal Beniamini do Google Project Zero
Wi-Fi
Disponível para: iPhone 5 e posterior, iPad (4ª geração) e posterior e iPod touch (6ª geração)
Impacto: um invasor dentro do alcance da rede Wi-Fi pode causar uma negação de serviço no chip de Wi-Fi
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação.
CVE-2017-7066: Gal Beniamini do Google Project Zero
Wi-Fi
Disponível para: iPhone 5 e posterior, iPad (4ª geração) e posterior e iPod touch (6ª geração)
Impacto: um invasor dentro da área de alcance pode executar códigos arbitrários no chip de Wi-Fi
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-9417: Nitay Artenstein da Exodus Intelligence
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.