Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Para obter mais informações sobre segurança, consulte a página sobre Segurança do Produto Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
iOS 11
Lançamento em 19 de setembro de 2017
802.1X
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: um invasor pode ser capaz de explorar pontos fracos do TLS 1.0
Descrição: um problema de segurança no protocolo foi resolvido com a ativação do TLS 1.1 e TLS 1.2.
CVE-2017-13832: Doug Wussler da Florida State University
Entrada adicionada em 31 de outubro de 2017 e atualizada em 10 de novembro de 2017
APNs
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: um invasor em uma posição de rede privilegiada conseguia rastrear um usuário
Descrição: havia um problema de privacidade no uso de certificados de clientes. Esse problema foi resolvido por meio da revisão do protocolo.
CVE-2017-13863: FURIOUSMAC Team da United States Naval Academy
Entrada adicionada em 21 de dezembro de 2017
Bluetooth
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: um aplicativo pode ter acesso a arquivos restritos
Descrição: havia um problema de privacidade no processamento dos cartões de contato. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2017-7131: Dominik Conrads do Federal Office for Information Security, um pesquisador anônimo, Anand Kathapurkar da India, Elvis (@elvisimprsntr)
Entrada atualizada em 9 de outubro de 2017
CFNetwork
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-13829: Niklas Baumstark e Samuel Gro em parceria com a Zero Day Initiative da Trend Micro
CVE-2017-13833: Niklas Baumstark e Samuel Gro em parceria com a Zero Day Initiative da Trend Micro
Entrada adicionada em 10 de novembro de 2017
CFNetwork Proxies
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: um invasor em uma posição de rede privilegiada pode causar uma negação de serviço
Descrição: vários problemas de negação de serviço foram resolvidos por meio de melhorias no gerenciamento da memória.
CVE-2017-7083: Abhinav Bansal da Zscaler Inc.
Entrada adicionada em 25 de setembro de 2017
CFString
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: um aplicativo pode conseguir ler a memória restrita
Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.
CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate
Entrada adicionada em 31 de outubro de 2017
CoreAudio
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: um aplicativo pode conseguir ler a memória restrita
Descrição: uma leitura fora dos limites foi solucionada ao atualizar para o Opus 1.1.4.
CVE-2017-0381: V.E.O (@VYSEa) da Mobile Threat Research Team, Trend Micro
Entrada adicionada em 25 de setembro de 2017
CoreText
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de consumo de memória foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate
Entrada adicionada em 31 de outubro de 2017 e atualizada em 16 de novembro de 2018
Exchange ActiveSync
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: um invasor em uma posição de rede privilegiada pode apagar um dispositivo durante a configuração de uma conta do Exchange
Descrição: havia um problema de validação no AutoDiscover V1. O problema foi resolvido por meio da exigência de TLS para o AutoDiscover V1. O AutoDiscover V2 agora é compatível.
CVE-2017-7088: Ilya Nesterov, Maxim Goncharov
file
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: vários problemas em file
Descrição: diversos problemas foram resolvidos com a atualização para a versão 5.31.
CVE-2017-13815: encontrado por OSS-Fuzz
Entrada adicionada em 31 de outubro de 2017 e atualizada em 18 de outubro de 2018
Fontes
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: a renderização de texto não confiável pode causar spoofing
Descrição: um problema de interface de usuário inconsistente foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2017-13828: Leonard Grey e Robert Sesek do Google Chrome
Entrada adicionada em 31 de outubro de 2017 e atualizada em 10 de novembro de 2017
Heimdal
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: um invasor em uma posição de rede privilegiada podia se passar por um serviço
Descrição: havia um problema de validação no processamento do nome do serviço KDC-REP. Esse problema foi resolvido por meio de melhorias na validação.
CVE-2017-11103: Jeffrey Altman, Viktor Duchovni e Nico Williams
Entrada adicionada em 25 de setembro de 2017
HFS
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-13830: Sergej Schumilo da Ruhr-University Bochum
Entrada adicionada em 31 de outubro de 2017
iBooks
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: analisar um arquivo do iBooks criado com códigos maliciosos pode causar a negação de serviço persistente
Descrição: vários problemas de negação de serviço foram resolvidos por meio de melhorias no gerenciamento da memória.
CVE-2017-7072: Jędrzej Krysztofiak
ImageIO
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: processar uma imagem criada com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate
Entrada adicionada em 31 de outubro de 2017 e atualizada em 16 de novembro de 2018
ImageIO
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: processar uma imagem criada com códigos maliciosos pode causar uma negação de serviço
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2017-13831: Glen Carmichael
Entrada adicionada em 31 de outubro de 2017 e atualizada em 3 de abril de 2019
Kernel
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-7114: Alex Plaskett da MWR InfoSecurity
Entrada adicionada em 25 de setembro de 2017
Kernel
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: um usuário local pode ler a memória do kernel
Descrição: havia um problema de leitura fora dos limites que causava a divulgação da memória do kernel. Esse problema foi resolvido por meio de melhorias na validação de entradas.
CVE-2017-13817: Maxime Villard (m00nbsd)
Entrada adicionada em 31 de outubro de 2017
Kernel
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: um aplicativo pode conseguir ler a memória restrita
Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.
CVE-2017-13818: National Cyber Security Centre (NCSC) do Reino Unido
CVE-2017-13836: Vlad Tsyrklevich
CVE-2017-13841: Vlad Tsyrklevich
CVE-2017-13840: Vlad Tsyrklevich
CVE-2017-13842: Vlad Tsyrklevich
Entrada adicionada em 31 de outubro de 2017 e atualizada em 18 de junho de 2018
Kernel
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-13843: pesquisador anônimo
Entrada adicionada em 31 de outubro de 2017
Kernel
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-13854: shrek_wzw da Qihoo 360 Nirvan Team
Entrada adicionada em 2 de novembro de 2017
Kernel
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: processar um binário de mach inválido pode causar a execução de códigos arbitrários
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação.
CVE-2017-13834: Maxime Villard (m00nbsd)
Entrada adicionada em 10 de novembro de 2017
Kernel
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: um aplicativo malicioso pode descobrir informações sobre a presença e a operação de outros aplicativos no dispositivo.
Descrição: um aplicativo conseguia acessar, sem restrições, informações de atividade de rede mantidas pelo sistema operacional. Esse problema foi resolvido reduzindo as informações disponíveis para aplicativos de terceiros.
CVE-2017-13873: Xiaokuan Zhang e Yinqian Zhang da The Ohio State University, Xueqiang Wang e XiaoFeng Wang da Indiana University Bloomington e Xiaolong Bai da Tsinghua University
Entrada adicionada em 30 de novembro de 2017
Sugestões do teclado
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: sugestões de autocorreção do teclado podem revelar informações confidenciais
Descrição: o teclado iOS estava inadvertidamente armazenando informações confidenciais em cache. Esse problema foi resolvido por meio de melhorias na heurística.
CVE-2017-7140: Agim Allkanjari da Stream in Motion Inc.
Entrada atualizada em 9 de outubro de 2017
libarchive
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: descompactar um arquivo criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-13813: encontrado por OSS-Fuzz
CVE-2017-13816: encontrado por OSS-Fuzz
Entrada adicionada em 31 de outubro de 2017
libarchive
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: descompactar um arquivo criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia diversos problemas de corrompimento de memória no libarchive. Esses problemas foram resolvidos por meio de melhorias na validação de entradas.
CVE-2017-13812: encontrado por OSS-Fuzz
Entrada adicionada em 31 de outubro de 2017
libc
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: um invasor remoto podia causar uma negação de serviço
Descrição: um problema de esgotamento de recursos no glob() foi solucionado por meio de um algoritmo aprimorado.
CVE-2017-7086: Russ Cox da Google
Entrada adicionada em 25 de setembro de 2017
libc
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: um aplicativo podia causar uma negação de serviço
Descrição: um problema de consumo de memória foi solucionado por meio de melhorias no processamento da memória.
CVE-2017-1000373
Entrada adicionada em 25 de setembro de 2017
libexpat
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: vários problemas no expat
Descrição: diversos problemas foram resolvidos ao fazer a atualização para a versão 2.2.1
CVE-2016-9063
CVE-2017-9233
Entrada adicionada em 25 de setembro de 2017
libxml2
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: o processamento de um arquivo XML criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-7376: pesquisador anônimo
CVE-2017-5130: pesquisador anônimo
Entrada adicionada em 18 de outubro de 2018
libxml2
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: o processamento de um arquivo XML criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2017-9050: Mateusz Jurczyk (j00ru) do Google Project Zero
Entrada adicionada em 18 de outubro de 2018
libxml2
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: o processamento de um arquivo XML criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2017-9049: Wei Lei e Liu Yang da Nanyang Technological University em Cingapura
Entrada adicionada em 18 de outubro de 2018
libxml2
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: o processamento de um arquivo XML criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação.
CVE-2018-4302: Gustavo Grieco
Entrada adicionada em 18 de outubro de 2018
Estrutura de localização
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: um aplicativo pode ler informações de localização confidenciais
Descrição: havia um problema de permissões no processamento da variável de localização. Esse problema foi resolvido por meio da adição de outras verificações de propriedade.
CVE-2017-7148: Igor Makarov da Moovit, Will McGinty e Shawnna Rodriguez da Bottle Rocket Studios
Entrada atualizada em 9 de outubro de 2017
Rascunhos de e-mail
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: um invasor com posição de rede privilegiada pode interceptar conteúdos de e-mail
Descrição: havia um problema de criptografia no processamento de rascunhos de e-mail. Esse problema foi solucionado por meio de melhorias no processamento de rascunhos de e-mail que deveriam ser criptografados.
CVE-2017-7078: Petter Flink, Pierre ALBARÈDE de Marseille (França), um pesquisador anônimo
Entrada atualizada em 9 de outubro de 2017
Mail MessageUI
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: processar uma imagem criada com códigos maliciosos pode causar uma negação de serviço
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação.
CVE-2017-7097: Xinshu Dong e Jun Hao Tan de Anquan Capital
Mensagens
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: processar uma imagem criada com códigos maliciosos pode causar uma negação de serviço
Descrição: um problema de negação de serviço foi solucionado por meio de melhorias na validação.
CVE-2017-7118: Kiki Jiang e Jason Tokoph
MobileBackup
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: o backup pode realizar um backup não criptografado, apesar de um requisito para executar somente backups criptografados
Descrição: havia um problema de permissões. Esse problema foi resolvido por meio de melhorias na validação de permissões.
CVE-2017-7133: Don Sparks de HackediOS.com
Notas
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: um usuário local pode causar vazamento de dados confidenciais de usuários
Descrição: às vezes, o conteúdo de notas bloqueadas aparecia nos resultados de busca. Esse problema foi resolvido com melhorias na limpeza dos dados.
CVE-2017-7075: Richard Will da Marathon Oil Company
Entrada adicionada em 10 de novembro de 2017
Telefone
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: uma captura de tela de conteúdo seguro pode ser tirada ao bloquear um dispositivo iOS
Descrição: havia um problema de tempo no processamento do bloqueio. Esse problema foi resolvido por meio da desativação de capturas de tela durante o bloqueio.
CVE-2017-7139: um pesquisador anônimo
Entrada adicionada em 25 de setembro de 2017
Perfis
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: os registros de emparelhamento do dispositivo podem ser inadvertidamente instalados em um dispositivo após a instalação de um perfil que não permite emparelhamento
Descrição: os emparelhamentos não eram removidos quando um perfil que não permitia emparelhamento era instalado. Esse problema foi resolvido removendo os emparelhamentos em conflito com o perfil de configuração.
CVE-2017-13806: Rorie Hood da MWR InfoSecurity
Entrada adicionada em 2 de novembro de 2017
Visualização Rápida
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: um aplicativo pode conseguir ler a memória restrita
Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.
CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate
Entrada adicionada em 31 de outubro de 2017
Visualização Rápida
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: a análise de um documento do Office criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários
Descrição: um problema de consumo de memória foi solucionado por meio de melhorias no processamento da memória.
CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate
Entrada adicionada em 31 de outubro de 2017
Safari
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: acessar um site malicioso pode levar à falsificação da barra de endereços
Descrição: um problema de interface de usuário inconsistente foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2017-7085: xisigr do Xuanwu Lab da Tencent (tencent.com)
Perfis de área restrita
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: um aplicativo malicioso pode descobrir informações sobre a presença de outros aplicativos no dispositivo.
Descrição: um aplicativo conseguia identificar a existência de arquivos fora de sua área restrita. Esse problema foi resolvido por meio de verificações adicionais de área restrita.
CVE-2017-13877: Xiaokuan Zhang e Yinqian Zhang da The Ohio State University, Xueqiang Wang e XiaoFeng Wang da Indiana University Bloomington e Xiaolong Bai da Tsinghua University
Entrada adicionada em 30 de novembro de 2017
Segurança
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: um certificado revogado pode ser confiável
Descrição: havia um problema de validação de certificação no processamento de dados revogados. Esse problema foi resolvido por meio de melhorias na validação.
CVE-2017-7080: um pesquisador anônimo, um pesquisador anônimo, Sven Driemecker da adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) da Bærum kommune
Entrada adicionada em 25 de setembro de 2017
Segurança
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: um app malicioso pode rastrear usuários entre instalações
Descrição: havia um problema na verificação de permissões no processamento de dados das Chaves de um app. Esse problema foi resolvido por meio de melhorias na verificação de permissões.
CVE-2017-7146: um pesquisador anônimo
Entrada adicionada em 25 de setembro de 2017
SQLite
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: vários problemas no SQLite
Descrição: diversos problemas foram resolvidos ao fazer a atualização para a versão 3.19.3.
CVE-2017-10989: encontrado por OSS-Fuzz
CVE-2017-7128: encontrado por OSS-Fuzz
CVE-2017-7129: encontrado por OSS-Fuzz
CVE-2017-7130: encontrado por OSS-Fuzz
Entrada adicionada em 25 de setembro de 2017
SQLite
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-7127: um pesquisador anônimo
Entrada adicionada em 25 de setembro de 2017
Telefonia
Disponível para: iPhone 5s e posterior e iPad Air (Wi-Fi + Cellular) geração e posterior
Impacto: um invasor dentro da área de alcance pode executar códigos arbitrários
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-6211: Matthew Spisak da ENDGAME (endgame.com)
Entrada adicionada em 4 de dezembro de 2017
Horário
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: "Ajuste de Fuso Horário" pode indicar incorretamente que está usando a localização
Descrição: havia um problema com permissões no processo de informações do fuso horário. O problema foi resolvido por meio de modificações nas permissões.
CVE-2017-7145: Chris Lawrence
Entrada atualizada em 9 de outubro de 2017
WebKit
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2017-7081: Apple
Entrada adicionada em 25 de setembro de 2017
WebKit
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2017-7087: Apple
CVE-2017-7091: Wei Yuan da Baidu Security Lab em parceria com a Zero Day Initiative da Trend Micro
CVE-2017-7092: Samuel Gro e Niklas Baumstark em parceria com a Zero Day Initiative da Trend Micro, Qixun Zhao (@S0rryMybad) da Qihoo 360 Vulcan Team
CVE-2017-7093: Samuel Gro e Niklas Baumstark Micro em parceria com a Zero Day Initiative da Trend Micro
CVE-2017-7094: Tim Michaud (@TimGMichaud) da Leviathan Security Group
CVE-2017-7095: Wang Junjie, Wei Lei e Liu Yang da Nanyang Technological University em parceria com a Zero Day Initiative da Trend Micro
CVE-2017-7096: Wei Yuan da Baidu Security Lab
CVE-2017-7098: Felipe Freitas do Instituto Tecnológico de Aeronáutica
CVE-2017-7099: Apple
CVE-2017-7100: Masato Kinugawa e Mario Heiderich da Cure53
CVE-2017-7102: Wang Junjie, Wei Lei e Liu Yang da Nanyang Technological University
CVE-2017-7104: likemeng da Baidu Security Lab
CVE-2017-7107: Wang Junjie, Wei Lei e Liu Yang da Nanyang Technological University
CVE-2017-7111: likemeng do Baidu Security Lab (xlab.baidu.com) em parceria com a Zero Day Initiative da Trend Micro
CVE-2017-7117: lokihardt do Google Project Zero
CVE-2017-7120: chenqin (陈钦) da Ant-financial Light-Year Security Lab
Entrada adicionada em 25 de setembro de 2017
WebKit
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução universal de scripts entre sites
Descrição: havia um problema de lógica no processamento da aba principal. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2017-7089: Anton Lopanitsyn da ONSEC, Frans Rosén da Detectify
WebKit
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: cookies pertencentes a uma origem podiam ser enviados a outra
Descrição: havia um problema de permissões no processamento de cookies de um navegador. Esse problema foi resolvido deixando de retornar cookies para esquemas de URL personalizados.
CVE-2017-7090: Apple
Entrada adicionada em 25 de setembro de 2017
WebKit
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: acessar um site malicioso pode levar à falsificação da barra de endereços
Descrição: um problema de interface de usuário inconsistente foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2017-7106: Oliver Paukstadt da Thinking Objects GmbH (to.com)
WebKit
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: processar conteúdo da web criado com códigos maliciosos podia resultar em um ataque de transmissão de script entre sites
Descrição: a política do cache de aplicativos podia ser aplicada de maneira inesperada.
CVE-2017-7109: avlidienbrunn
Entrada adicionada em 25 de setembro de 2017
WebKit
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: um site criado com códigos mal-intencionados pode rastrear usuários no Safari no modo de navegação privada
Descrição: havia um problema de permissões no processamento de cookies de um navegador. Esse problema foi resolvido por meio de melhorias nas restrições.
CVE-2017-7144: Mohammad Ghasemisharif do BITS Lab da UIC
Entrada atualizada em 9 de outubro de 2017
Armazenamento do WebKit
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: dados de sites podem persistir após uma sessão de navegação privada no Safari
Descrição: havia um problema de vazamento de informações no processamento de dados de sites em janelas de navegação privada no Safari. Esse problema foi resolvido com melhorias no processamento de dados.
CVE-2017-7142: Rich Shawn O'Connell, pesquisador anônimo, pesquisador anônimo
Entrada adicionada em 10 de novembro de 2017
Wi-Fi
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: um invasor dentro da área de alcance pode executar códigos arbitrários no chip de Wi-Fi
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-11120: Gal Beniamini do Google Project Zero
CVE-2017-11121: Gal Beniamini do Google Project Zero
Entrada adicionada em 25 de setembro de 2017
Wi-Fi
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: a execução de códigos maliciosos no chip de Wi-Fi pode causar a execução arbitrária de códigos com privilégios de kernel no processador de aplicativos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-7103: Gal Beniamini do Google Project Zero
CVE-2017-7105: Gal Beniamini do Google Project Zero
CVE-2017-7108: Gal Beniamini do Google Project Zero
CVE-2017-7110: Gal Beniamini do Google Project Zero
CVE-2017-7112: Gal Beniamini do Google Project Zero
Wi-Fi
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: a execução de códigos maliciosos no chip de Wi-Fi pode causar a execução arbitrária de códigos com privilégios de kernel no processador de aplicativos
Descrição: várias condições de corrida foram resolvidas por meio de melhorias na validação.
CVE-2017-7115: Gal Beniamini do Google Project Zero
Wi-Fi
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: a execução de códigos maliciosos no chip de Wi-Fi pode causar a leitura da memória restrita do kernel
Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.
CVE-2017-7116: Gal Beniamini do Google Project Zero
Wi-Fi
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: um invasor dentro da área de alcance pode conseguir ler a memória restrita do chipset de Wi-Fi
Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.
CVE-2017-11122: Gal Beniamini do Google Project Zero
Entrada adicionada em 2 de outubro de 2017
zlib
Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch 6ª geração
Impacto: vários problemas no zlib
Descrição: diversos problemas foram resolvidos ao fazer a atualização para a versão 1.2.11.
CVE-2016-9840
CVE-2016-9841
CVE-2016-9842
CVE-2016-9843
Entrada adicionada em 25 de setembro de 2017
Outros reconhecimentos
LaunchServices
Gostaríamos de agradecer a Mark Zimmermann da EnBW Energie Baden-Württemberg AG pela ajuda.
Segurança
Gostaríamos de agradecer a Abhinav Bansal da Zscaler, Inc. pela ajuda.
Webkit
Gostaríamos de agradecer a xisigr do Xuanwu Lab da Tencent (tencent.com) pela ajuda.
WebKit
Gostaríamos de agradecer a Rayyan Bijoora (@Bijoora) da The City School, PAF Chapter pela ajuda.
Web Inspector do WebKit
Gostaríamos de agradecer a Ioan Bizău da Bloggify pela ajuda.