Despre conținutul de securitate din iOS 10.3
Acest document descrie conținutul de securitate din iOS 10.3.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple. Poți să criptezi mesajele prin care comunici cu Apple folosind cheia PGP pentru securitatea produselor Apple.
Documentele de securitate Apple menționează vulnerabilitățile după ID CVE atunci când este posibil.
iOS 10.3
Conturi
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: un utilizator poate vizualiza un ID Apple din ecranul de blocare
Descriere: a fost rezolvată o problemă de gestionare a prompturilor prin eliminarea prompturilor de autentificare iCloud din ecranul de blocare.
CVE-2017-2397: Suprovici Vadim (UniApps Team), un cercetător anonim
Audio
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea unui fișier audio creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-2017-2430: un cercetător anonim, în colaborare cu Zero Day Initiative (Trend Micro)
CVE-2017-2462: un cercetător anonim, în colaborare cu Zero Day Initiative (Trend Micro)
Carbon
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea unui fișier .dfont creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: s-a produs o depășire a memoriei tampon la tratarea fișierelor de fonturi. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-2017-2379: John Villamil, Doyensec, riusksk (泉哥) (Tencent Security Platform Department)
CoreGraphics
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea unei imagini create cu rea intenție poate cauza o refuzare a serviciului (DoS)
Descriere: a fost rezolvată o problemă de recursivitate infinită prin îmbunătățirea gestionării stării.
CVE-2017-2417: riusksk (泉哥) (Tencent Security Platform Department)
CoreGraphics
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-2017-2444: Mei Wang (360 GearTeam)
CoreText
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-2017-2435: John Villamil, Doyensec
CoreText
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea unui font creat cu rea intenție poate cauza divulgarea memoriei procesului
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2017-2450: John Villamil, Doyensec
CoreText
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea unui mesaj text creat cu rea intenție poate cauza o refuzare a serviciului (DoS) pentru aplicație
Descriere: a fost rezolvată o problemă de epuizare a resurselor prin îmbunătățirea validării intrării.
CVE-2017-2461: Isaac Archambault (IDAoADI), un cercetător anonim
DataAccess
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: configurarea unui cont Exchange cu o adresă de e-mail introdusă greșit se poate rezolva la un server neașteptat
Descriere: a existat o problemă de validare a intrării la tratarea adreselor de e-mail Exchange. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2017-2414: Ilya Nesterov și Maxim Goncharov
FontParser
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-2017-2487: riusksk (泉哥) (Tencent Security Platform Department)
CVE-2017-2406: riusksk (泉哥) (Tencent Security Platform Department)
FontParser
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: analizarea unui fișier de font creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-2017-2407: riusksk (泉哥) (Tencent Security Platform Department)
FontParser
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea unui font creat cu rea intenție poate cauza divulgarea memoriei procesului
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2017-2439: John Villamil, Doyensec
HomeKit
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: controlul ecranului principal poate apărea pe neașteptate în centrul de control
Descriere: a existat o problemă de gestionare a stării la tratarea controlului ecranului principal. Această problemă a fost rezolvată prin îmbunătățirea validării.
CVE-2017-2434: Suyash Narain din India
HTTPProtocol
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: un server HTTP/2 rău intenționat poate cauza o comportare nedefinită
Descriere: au existat mai multe probleme în versiunile de nghttp2 anterioare versiunii 1.17.0. Acestea au fost rezolvate prin actualizarea nghttp2 la versiunea 1.17.0.
CVE-2017-2428
ImageIO
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) (KeenLab), Tencent
ImageIO
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: vizualizarea unui fișier JPEG rău intenționat poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-2017-2432: un cercetător anonim în colaborare cu Zero Day Initiative (Trend Micro)
ImageIO
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-2017-2467
ImageIO
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea unei imagini create cu rea intenție poate cauza închiderea neașteptată a aplicației
Descriere: a existat o citire în afara limitelor în versiunile LibTIFF anterioare versiunii 4.0.7. Această problemă a fost rezolvată prin actualizarea LibTIFF în ImageIO la versiunea 4.0.7.
CVE-2016-3619
iTunes Store
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: un atacator cu poziție privilegiată în rețea poate manipula traficul de rețea iTunes
Descriere: au fost trimise solicitări către serviciile web de sandbox iTunes în cleartext. Această problemă a fost rezolvată prin activarea HTTPS.
CVE-2017-2412: Richard Shupak (linkedin.com/in/rshupak)
JavaScriptCore
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de „utilizare după eliberare” prin îmbunătățirea gestionării memoriei.
CVE-2017-2491: Apple
JavaScriptCore
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea unei pagini web create cu rea intenție poate cauza scripting universal între site-uri
Descriere: a fost rezolvată o problemă legată de prototip prin îmbunătățirea logicii.
CVE-2017-2492: lokihardt (Google Project Zero)
Kernel
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-2017-2398: Lufeng Li (Qihoo 360 Vulcan Team)
CVE-2017-2401: Lufeng Li (Qihoo 360 Vulcan Team)
Kernel
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.
CVE-2017-2440: un cercetător anonim
Kernel
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar cu privilegii de rădăcină
Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea tratării memoriei.
CVE-2017-2456: lokihardt (Google Project Zero)
Kernel
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de „utilizare după eliberare” prin îmbunătățirea gestionării memoriei.
CVE-2017-2472: Ian Beer (Google Project Zero)
Kernel
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-2017-2473: Ian Beer (Google Project Zero)
Kernel
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă off-by-one prin îmbunătățirea verificării limitelor.
CVE-2017-2474: Ian Beer (Google Project Zero)
Kernel
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.
CVE-2017-2478: Ian Beer (Google Project Zero)
Kernel
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de depășire a zonei-tampon prin îmbunătățirea tratării memoriei.
CVE-2017-2482: Ian Beer (Google Project Zero)
CVE-2017-2483: Ian Beer (Google Project Zero)
Kernel
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: o aplicație poate executa un cod arbitrar cu privilegii ridicate
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-2490: Ian Beer (Google Project Zero), National Cyber Security Centre (NCSC) (Marea Britanie)
Tastaturi
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: o aplicație poate executa un cod arbitrar
Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-2017-2458: Shashank (@cyberboyIndia)
Portchei
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: un atacator capabil să intercepteze conexiuni TLS poate citi secrete protejate de Portcheiul iCloud.
Descriere: în anumite circumstanțe, Portcheiul iCloud nu a reușit să valideze autenticitatea pachetelor OTR. Această problemă a fost rezolvată prin îmbunătățirea validării.
CVE-2017-2448: Alex Radocea (Longterm Security, Inc.)
libarchive
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: un atacator local poate schimba permisiunile sistemului de fișiere pentru directoare arbitrare
Descriere: a existat o problemă de validare la tratarea symlinkurilor. Această problemă a fost rezolvată prin îmbunătățirea validării symlinkurilor.
CVE-2017-2390: Omer Medan (enSilo Ltd)
libc++abi
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: demontarea unei aplicații C++ create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de „utilizare după eliberare” prin îmbunătățirea gestionării memoriei.
CVE-2017-2441
libxslt
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: vulnerabilități multiple în libxslt
Descriere: au fost rezolvate mai multe probleme de alterare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-5029: Holger Fuhrmannek
Pasteboard
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: este posibil ca o persoană cu acces fizic la un dispozitiv iOS să citească zona de manevră (pasteboard)
Descriere: zona de manevră (pasteboard) a fost criptată cu o cheie protejată numai prin identificarea utilizatorului hardware. Această problemă a fost rezolvată prin criptarea zonei de manevră (pasteboard) cu o cheie protejată prin identificarea utilizatorului hardware și codul de acces al utilizatorului.
CVE-2017-2399
Telefon
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: o aplicație de la un terț poate iniția un apel telefonic fără interacțiune cu utilizatorul
Descriere: a existat o problemă în iOS legată de permiterea apelurilor fără solicitare. Această problemă a fost rezolvată prin solicitarea confirmării inițierii apelului de către utilizator.
CVE-2017-2484
Profiluri
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: un atacator poate exploata slăbiciuni din algoritmul criptografic DES
Descriere: a fost adăugată compatibilitatea pentru algoritmul criptografic 3DES la clientul SCEP și DES a fost perimat.
CVE-2017-2380: un cercetător anonim
Quick Look
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: atingerea unui link telefonic într-un document PDF putea declanșa un apel fără confirmarea utilizatorului
Descriere: a existat o problemă la verificarea URL-ului telefonic înainte de inițierea apelurilor. Problema a fost rezolvată prin adăugarea unui dialog de confirmare.
CVE-2017-2404: Tuan Anh Ngo (Melbourne, Australia), Christoph Nehring
Safari
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: accesarea unui site web rău intenționat poate cauza falsificarea barei de adrese
Descriere: a fost rezolvată o problemă de gestionare a stării prin dezactivarea intrării de text până la încărcarea paginii de destinație.
CVE-2017-2376: un cercetător anonim, Michal Zalewski (Google Inc), Muneaki Nishimura (nishimunea) (Recruit Technologies Co., Ltd.), Chris Hlady (Google Inc), un cercetător anonim, Yuyang Zhou (Tencent Security Platform Department) (security.tencent.com)
Safari
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: un utilizator local poate descoperi site-urile web accesate de un utilizator în modul de navigare privată
Descriere: a existat o problemă la ștergerea SQLite. Această problemă a fost rezolvată prin îmbunătățirea curățării SQLite.
CVE-2017-2384
Safari
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea unui conținut web creat cu rea intenție poate prezenta fișe de autentificare peste site-uri web arbitrare
Descriere: a existat o problemă de falsificare și refuzare a serviciului (DoS) în tratarea autentificării HTTP. Această problemă a fost rezolvată făcând fișele de autentificare HTTP nemodale.
CVE-2017-2389: ShenYeYinJiu (Tencent Security Response Center), TSRC
Safari
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: accesarea unui site web rău intenționat prin efectuarea de clic pe un link poate cauza falsificarea interfeței cu utilizatorul
Descriere: a existat o problemă de falsificare la tratarea prompturilor FaceTime. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2017-2453: xisigr (Tencent's Xuanwu Lab) (tencent.com)
Cititor Safari
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: activarea caracteristicii Cititor Safari într-o pagină web creată cu rea intenție poate cauza scripting trans-site universal
Descriere: au fost rezolvate mai multe probleme de validare prin îmbunătățirea igienizării intrării.
CVE-2017-2393: Erling Ellingsen
SafariViewController
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: starea cache-ului nu este menținută corect în sincronizare între Safari și SafariViewController atunci când un utilizator golește cache-ul Safari
Descriere: a existat o problemă la golirea informațiilor din cache-ul Safari din SafariViewController. Această problemă a fost rezolvată prin îmbunătățirea tratării stării cache-ului.
CVE-2017-2400: Abhinav Bansal (Zscaler, Inc.)
Profiluri de sandbox
Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)
Impact: o aplicație rău intenționată poate accesa înregistrarea de utilizator iCloud a unui utilizator autentificat
Descriere: o problemă legată de acces a fost rezolvată prin restricții suplimentare la nivel de sandbox aplicate aplicațiilor terțe.
CVE-2017-6976: George Dan (@theninjaprawn)
Securitate
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: validarea semnăturilor goale cu SecKeyRawVerify() se poate finaliza în mod neașteptat cu succes
Descriere: a existat o problemă de validare la apelurile API criptografice. Această problemă a fost rezolvată prin îmbunătățirea validării parametrilor.
CVE-2017-2423: un cercetător anonim
Securitate
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: o aplicație poate executa un cod arbitrar cu privilegii de rădăcină
Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-2017-2451: Alex Radocea (Longterm Security, Inc.)
Securitate
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea unui certificat x509 creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a existat o problemă de deteriorare a memoriei în timpul analizării certificatelor. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2017-2485: Aleksandar Nikolic (Cisco Talos)
Siri
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: este posibil ca Siri să divulge conținutul mesajelor text în timp ce dispozitivul este blocat
Descriere: a fost rezolvată o problemă de blocare insuficientă prin îmbunătățirea gestionării stării.
CVE-2017-2452: Hunter Byrnes
WebKit
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: glisarea și fixarea unui link creat cu rea intenție poate cauza falsificarea semnului de carte sau executarea unui cod arbitrar
Descriere: a existat o problemă de validare în crearea semnelor de carte. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2017-2378: xisigr (Tencent's Xuanwu Lab) (tencent.com)
WebKit
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: accesarea unui site web rău intenționat poate cauza falsificarea barei de adrese
Descriere: a fost rezolvată o problemă la interfața cu utilizatorul prin îmbunătățirea gestionării stării.
CVE-2017-2486: redrain (light4freedom)
WebKit
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea de conținut web creat cu rea intenție poate cauza exfiltrarea de date din mai multe surse
Descriere: a fost rezolvată o problemă de acces la prototip prin îmbunătățirea tratării excepțiilor.
CVE-2017-2386: André Bargull
WebKit
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-2017-2394: Apple
CVE-2017-2396: Apple
CVE-2016-9642: Gustavo Grieco
WebKit
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: au fost rezolvate mai multe probleme de alterare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-2395: Apple
CVE-2017-2454: Ivan Fratric (Google Project Zero), Zheng Huang (Baidu Security Lab) în colaborare cu Zero Day Initiative (Trend Micro)
CVE-2017-2455: Ivan Fratric (Google Project Zero)
CVE-2017-2457: lokihardt (Google Project Zero)
CVE-2017-2459: Ivan Fratric (Google Project Zero)
CVE-2017-2460: Ivan Fratric (Google Project Zero)
CVE-2017-2464: Jeonghoon Shin, natashenka (Google Project Zero)
CVE-2017-2465: Zheng Huang și Wei Yuan (Baidu Security Lab)
CVE-2017-2466: Ivan Fratric (Google Project Zero)
CVE-2017-2468: lokihardt (Google Project Zero)
CVE-2017-2469: lokihardt (Google Project Zero)
CVE-2017-2470: lokihardt (Google Project Zero)
CVE-2017-2476: Ivan Fratric (Google Project Zero)
CVE-2017-2481: 0011 în colaborare cu Trend Micro Zero Day Initiative
WebKit
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.
CVE-2017-2415: Kai Kang (Tencent Xuanwu Lab) (tencent.com)
WebKit
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea unui conținut web creat cu rea intenție poate cauza neaplicarea accidentală a politicii CSP (Content Security Policy)
Descriere: a existat o problemă de acces în politica CSP (Content Security Policy). Această problemă a fost rezolvată prin îmbunătățirea restricțiilor de accesare.
CVE-2017-2419: Nicolai Grødum (Cisco Systems)
WebKit
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea unui conținut web creat cu rea intenție poate cauza un consum mare de memorie
Descriere: a fost rezolvată o problemă de consum necontrolat de resurse prin îmbunătățirea procesării regex.
CVE-2016-9643: Gustavo Grieco
WebKit
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea conținutului unui site web creat cu rea intenție poate cauza divulgarea memoriei procesului
Descriere: a existat o problemă de divulgare de informații la procesarea shaderelor OpenGL. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.
CVE-2017-2424: Paul Thomson (utilizând instrumentul GLFuzz) (Multicore Programming Group, Imperial College London)
WebKit
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-2017-2433: Apple
WebKit
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea de conținut web creat cu rea intenție poate cauza exfiltrarea de date din mai multe surse
Descriere: au existat mai multe probleme de validare la tratarea încărcării paginilor. Această problemă a fost rezolvată prin îmbunătățirea logicii.
CVE-2017-2364: lokihardt (Google Project Zero)
WebKit
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: un site web rău intenționat poate exfiltra date cu origini încrucișate
Descriere: a existat o problemă de validare la tratarea încărcării paginilor. Această problemă a fost rezolvată prin îmbunătățirea logicii.
CVE-2017-2367: lokihardt (Google Project Zero)
WebKit
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea unui conținut web creat cu rea intenție poate cauza crearea de scripturi universale între site-uri
Descriere: a existat o problemă logică la tratarea obiectelor de tipul cadru. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2017-2445: lokihardt (Google Project Zero)
WebKit
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a existat o problemă logică la tratarea funcțiilor de mod strict. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2017-2446: natashenka (Google Project Zero)
WebKit
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: accesarea unui site web rău intenționat putea compromite informațiile utilizatorului
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-2447: natashenka (Google Project Zero)
WebKit
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: au fost rezolvate mai multe probleme de alterare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-2463: Kai Kang (4B5F5F4B) (Tencent Xuanwu Lab) (tencent.com) în colaborare cu Trend Micro Zero Day Initiative
WebKit
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de „utilizare după eliberare” prin îmbunătățirea gestionării memoriei.
CVE-2017-2471: Ivan Fratric (Google Project Zero)
WebKit
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea unui conținut web creat cu rea intenție poate cauza crearea de scripturi universale între site-uri
Descriere: a existat o problemă de logică la tratarea cadrelor. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2017-2475: lokihardt (Google Project Zero)
WebKit
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea de conținut web creat cu rea intenție poate cauza exfiltrarea de date din mai multe surse
Descriere: a existat o problemă de validare la tratarea elementelor. Această problemă a fost rezolvată prin îmbunătățirea validării.
CVE-2017-2479: lokihardt (Google Project Zero)
WebKit
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea de conținut web creat cu rea intenție poate cauza exfiltrarea de date din mai multe surse
Descriere: a existat o problemă de validare la tratarea elementelor. Această problemă a fost rezolvată prin îmbunătățirea validării.
CVE-2017-2480: lokihardt (Google Project Zero)
CVE-2017-2493: lokihardt (Google Project Zero)
Legături JavaScript WebKit
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea de conținut web creat cu rea intenție poate cauza exfiltrarea de date din mai multe surse
Descriere: au existat mai multe probleme de validare la tratarea încărcării paginilor. Această problemă a fost rezolvată prin îmbunătățirea logicii.
CVE-2017-2442: lokihardt (Google Project Zero)
WebKit Web Inspector
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: închiderea unei ferestre atunci când este în pauză în depanator poate provoca închiderea neașteptată a aplicației
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-2017-2377: Vicki Pfau
WebKit Web Inspector
Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-2017-2405: Apple
Alte mențiuni
XNU
Dorim să-i mulțumim lui Lufeng Li (Qihoo 360 Vulcan Team) pentru asistența acordată.
WebKit
Dorim să-i mulțumim lui Yosuke HASEGAWA (Secure Sky Technology Inc.) pentru asistența acordată.
Safari
Dorim să-i mulțumim lui Flyin9 (ZhenHui Lee) pentru asistența acordată.
Configurări
Dorim să-i mulțumim lui Adi Sharabani și lui Yair Amit (Skycure) pentru asistența acordată.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.