Despre conținutul de securitate din iOS 10.3

Acest document descrie conținutul de securitate din iOS 10.3.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple. Poți să criptezi mesajele prin care comunici cu Apple folosind cheia PGP pentru securitatea produselor Apple.

Documentele de securitate Apple menționează vulnerabilitățile după ID CVE atunci când este posibil.

iOS 10.3

Lansare: luni, 27 martie 2017

Conturi

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: un utilizator poate vizualiza un ID Apple din ecranul de blocare

Descriere: a fost rezolvată o problemă de gestionare a prompturilor prin eliminarea prompturilor de autentificare iCloud din ecranul de blocare.

CVE-2017-2397: Suprovici Vadim (UniApps Team), un cercetător anonim

Audio

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea unui fișier audio creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.

CVE-2017-2430: un cercetător anonim, în colaborare cu Zero Day Initiative (Trend Micro)

CVE-2017-2462: un cercetător anonim, în colaborare cu Zero Day Initiative (Trend Micro)

Carbon

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea unui fișier .dfont creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: s-a produs o depășire a memoriei tampon la tratarea fișierelor de fonturi. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.

CVE-2017-2379: John Villamil, Doyensec, riusksk (泉哥) (Tencent Security Platform Department)

CoreGraphics

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea unei imagini create cu rea intenție poate cauza o refuzare a serviciului (DoS)

Descriere: a fost rezolvată o problemă de recursivitate infinită prin îmbunătățirea gestionării stării.

CVE-2017-2417: riusksk (泉哥) (Tencent Security Platform Department)

CoreGraphics

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea validării intrării.

CVE-2017-2444: Mei Wang (360 GearTeam)

CoreText

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea unui font creat cu rea intenție poate cauza divulgarea memoriei procesului

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea unui mesaj text creat cu rea intenție poate cauza o refuzare a serviciului (DoS) pentru aplicație

Descriere: a fost rezolvată o problemă de epuizare a resurselor prin îmbunătățirea validării intrării.

CVE-2017-2461: Isaac Archambault (IDAoADI), un cercetător anonim

DataAccess

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: configurarea unui cont Exchange cu o adresă de e-mail introdusă greșit se poate rezolva la un server neașteptat

Descriere: a existat o problemă de validare a intrării la tratarea adreselor de e-mail Exchange. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2017-2414: Ilya Nesterov și Maxim Goncharov

FontParser

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea validării intrării.

CVE-2017-2487: riusksk (泉哥) (Tencent Security Platform Department)

CVE-2017-2406: riusksk (泉哥) (Tencent Security Platform Department)

FontParser

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: analizarea unui fișier de font creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea validării intrării.

CVE-2017-2407: riusksk (泉哥) (Tencent Security Platform Department)

FontParser

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea unui font creat cu rea intenție poate cauza divulgarea memoriei procesului

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2017-2439: John Villamil, Doyensec

HomeKit

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: controlul ecranului principal poate apărea pe neașteptate în centrul de control

Descriere: a existat o problemă de gestionare a stării la tratarea controlului ecranului principal. Această problemă a fost rezolvată prin îmbunătățirea validării.

CVE-2017-2434: Suyash Narain din India

HTTPProtocol

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: un server HTTP/2 rău intenționat poate cauza o comportare nedefinită

Descriere: au existat mai multe probleme în versiunile de nghttp2 anterioare versiunii 1.17.0. Acestea au fost rezolvate prin actualizarea nghttp2 la versiunea 1.17.0.

CVE-2017-2428

Actualizare intrare: marți, 28 martie 2017

ImageIO

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) (KeenLab), Tencent

ImageIO

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: vizualizarea unui fișier JPEG rău intenționat poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.

CVE-2017-2432: un cercetător anonim în colaborare cu Zero Day Initiative (Trend Micro)

ImageIO

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.

CVE-2017-2467

ImageIO

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea unei imagini create cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: a existat o citire în afara limitelor în versiunile LibTIFF anterioare versiunii 4.0.7. Această problemă a fost rezolvată prin actualizarea LibTIFF în ImageIO la versiunea 4.0.7.

CVE-2016-3619

iTunes Store

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: un atacator cu poziție privilegiată în rețea poate manipula traficul de rețea iTunes

Descriere: au fost trimise solicitări către serviciile web de sandbox iTunes în cleartext. Această problemă a fost rezolvată prin activarea HTTPS.

CVE-2017-2412: Richard Shupak (linkedin.com/in/rshupak)

JavaScriptCore

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de „utilizare după eliberare” prin îmbunătățirea gestionării memoriei.

CVE-2017-2491: Apple

Adăugare intrare: 2 mai 2017

JavaScriptCore

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea unei pagini web create cu rea intenție poate cauza scripting universal între site-uri

Descriere: a fost rezolvată o problemă legată de prototip prin îmbunătățirea logicii.

CVE-2017-2492: lokihardt (Google Project Zero)

Actualizare intrare: marți, luni, 24 aprilie 2017

Kernel

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.

CVE-2017-2398: Lufeng Li (Qihoo 360 Vulcan Team)

CVE-2017-2401: Lufeng Li (Qihoo 360 Vulcan Team)

Kernel

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.

CVE-2017-2440: un cercetător anonim

Kernel

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar cu privilegii de rădăcină

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea tratării memoriei.

CVE-2017-2456: lokihardt (Google Project Zero)

Kernel

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de „utilizare după eliberare” prin îmbunătățirea gestionării memoriei.

CVE-2017-2472: Ian Beer (Google Project Zero)

Kernel

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.

CVE-2017-2473: Ian Beer (Google Project Zero)

Kernel

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă off-by-one prin îmbunătățirea verificării limitelor.

CVE-2017-2474: Ian Beer (Google Project Zero)

Kernel

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.

CVE-2017-2478: Ian Beer (Google Project Zero)

Kernel

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de depășire a zonei-tampon prin îmbunătățirea tratării memoriei.

CVE-2017-2482: Ian Beer (Google Project Zero)

CVE-2017-2483: Ian Beer (Google Project Zero)

Kernel

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: o aplicație poate executa un cod arbitrar cu privilegii ridicate

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-2490: Ian Beer (Google Project Zero), National Cyber Security Centre (NCSC) (Marea Britanie)

Adăugare intrare: vineri, 31 martie 2017

Tastaturi

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: o aplicație poate executa un cod arbitrar

Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.

CVE-2017-2458: Shashank (@cyberboyIndia)

Portchei

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: un atacator capabil să intercepteze conexiuni TLS poate citi secrete protejate de Portcheiul iCloud.

Descriere: în anumite circumstanțe, Portcheiul iCloud nu a reușit să valideze autenticitatea pachetelor OTR. Această problemă a fost rezolvată prin îmbunătățirea validării.

CVE-2017-2448: Alex Radocea (Longterm Security, Inc.)

Actualizare intrare: marți, joi, 30 martie 2017

libarchive

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: un atacator local poate schimba permisiunile sistemului de fișiere pentru directoare arbitrare

Descriere: a existat o problemă de validare la tratarea symlinkurilor. Această problemă a fost rezolvată prin îmbunătățirea validării symlinkurilor.

CVE-2017-2390: Omer Medan (enSilo Ltd)

libc++abi

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: demontarea unei aplicații C++ create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de „utilizare după eliberare” prin îmbunătățirea gestionării memoriei.

CVE-2017-2441

libxslt

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: vulnerabilități multiple în libxslt

Descriere: au fost rezolvate mai multe probleme de alterare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-5029: Holger Fuhrmannek

Adăugare intrare: marți, 28 martie 2017

Pasteboard

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: este posibil ca o persoană cu acces fizic la un dispozitiv iOS să citească zona de manevră (pasteboard)

Descriere: zona de manevră (pasteboard) a fost criptată cu o cheie protejată numai prin identificarea utilizatorului hardware. Această problemă a fost rezolvată prin criptarea zonei de manevră (pasteboard) cu o cheie protejată prin identificarea utilizatorului hardware și codul de acces al utilizatorului.

CVE-2017-2399

Telefon

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: o aplicație de la un terț poate iniția un apel telefonic fără interacțiune cu utilizatorul

Descriere: a existat o problemă în iOS legată de permiterea apelurilor fără solicitare.  Această problemă a fost rezolvată prin solicitarea confirmării inițierii apelului de către utilizator.

CVE-2017-2484

Profiluri

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: un atacator poate exploata slăbiciuni din algoritmul criptografic DES

Descriere: a fost adăugată compatibilitatea pentru algoritmul criptografic 3DES la clientul SCEP și DES a fost perimat.

CVE-2017-2380: un cercetător anonim

Quick Look

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: atingerea unui link telefonic într-un document PDF putea declanșa un apel fără confirmarea utilizatorului

Descriere: a existat o problemă la verificarea URL-ului telefonic înainte de inițierea apelurilor. Problema a fost rezolvată prin adăugarea unui dialog de confirmare.

CVE-2017-2404: Tuan Anh Ngo (Melbourne, Australia), Christoph Nehring

Safari

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: accesarea unui site web rău intenționat poate cauza falsificarea barei de adrese

Descriere: a fost rezolvată o problemă de gestionare a stării prin dezactivarea intrării de text până la încărcarea paginii de destinație.

CVE-2017-2376: un cercetător anonim, Michal Zalewski (Google Inc), Muneaki Nishimura (nishimunea) (Recruit Technologies Co., Ltd.), Chris Hlady (Google Inc), un cercetător anonim, Yuyang Zhou (Tencent Security Platform Department) (security.tencent.com)

Safari

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: un utilizator local poate descoperi site-urile web accesate de un utilizator în modul de navigare privată

Descriere: a existat o problemă la ștergerea SQLite. Această problemă a fost rezolvată prin îmbunătățirea curățării SQLite.

CVE-2017-2384

Safari

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate prezenta fișe de autentificare peste site-uri web arbitrare

Descriere: a existat o problemă de falsificare și refuzare a serviciului (DoS) în tratarea autentificării HTTP. Această problemă a fost rezolvată făcând fișele de autentificare HTTP nemodale.

CVE-2017-2389: ShenYeYinJiu (Tencent Security Response Center), TSRC

Safari

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: accesarea unui site web rău intenționat prin efectuarea de clic pe un link poate cauza falsificarea interfeței cu utilizatorul

Descriere: a existat o problemă de falsificare la tratarea prompturilor FaceTime. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2017-2453: xisigr (Tencent's Xuanwu Lab) (tencent.com)

Cititor Safari

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: activarea caracteristicii Cititor Safari într-o pagină web creată cu rea intenție poate cauza scripting trans-site universal

Descriere: au fost rezolvate mai multe probleme de validare prin îmbunătățirea igienizării intrării.

CVE-2017-2393: Erling Ellingsen

SafariViewController

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: starea cache-ului nu este menținută corect în sincronizare între Safari și SafariViewController atunci când un utilizator golește cache-ul Safari

Descriere: a existat o problemă la golirea informațiilor din cache-ul Safari din SafariViewController.  Această problemă a fost rezolvată prin îmbunătățirea tratării stării cache-ului.

CVE-2017-2400: Abhinav Bansal (Zscaler, Inc.)

Profiluri de sandbox

Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)

Impact: o aplicație rău intenționată poate accesa înregistrarea de utilizator iCloud a unui utilizator autentificat

Descriere: o problemă legată de acces a fost rezolvată prin restricții suplimentare la nivel de sandbox aplicate aplicațiilor terțe.

CVE-2017-6976: George Dan (@theninjaprawn)

Adăugare intrare: 1 august 2017

Securitate

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: validarea semnăturilor goale cu SecKeyRawVerify() se poate finaliza în mod neașteptat cu succes

Descriere: a existat o problemă de validare la apelurile API criptografice. Această problemă a fost rezolvată prin îmbunătățirea validării parametrilor.

CVE-2017-2423: un cercetător anonim

Securitate

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: o aplicație poate executa un cod arbitrar cu privilegii de rădăcină

Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.

CVE-2017-2451: Alex Radocea (Longterm Security, Inc.)

Securitate

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea unui certificat x509 creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a existat o problemă de deteriorare a memoriei în timpul analizării certificatelor. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2017-2485: Aleksandar Nikolic (Cisco Talos)

Siri

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: este posibil ca Siri să divulge conținutul mesajelor text în timp ce dispozitivul este blocat

Descriere: a fost rezolvată o problemă de blocare insuficientă prin îmbunătățirea gestionării stării.

CVE-2017-2452: Hunter Byrnes

WebKit

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: glisarea și fixarea unui link creat cu rea intenție poate cauza falsificarea semnului de carte sau executarea unui cod arbitrar

Descriere: a existat o problemă de validare în crearea semnelor de carte. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2017-2378: xisigr (Tencent's Xuanwu Lab) (tencent.com)

WebKit

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: accesarea unui site web rău intenționat poate cauza falsificarea barei de adrese

Descriere: a fost rezolvată o problemă la interfața cu utilizatorul prin îmbunătățirea gestionării stării.

CVE-2017-2486: redrain (light4freedom)

WebKit

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea de conținut web creat cu rea intenție poate cauza exfiltrarea de date din mai multe surse

Descriere: a fost rezolvată o problemă de acces la prototip prin îmbunătățirea tratării excepțiilor.

CVE-2017-2386: André Bargull

WebKit

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea validării intrării.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: au fost rezolvate mai multe probleme de alterare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric (Google Project Zero), Zheng Huang (Baidu Security Lab) în colaborare cu Zero Day Initiative (Trend Micro)

CVE-2017-2455: Ivan Fratric (Google Project Zero)

CVE-2017-2457: lokihardt (Google Project Zero)

CVE-2017-2459: Ivan Fratric (Google Project Zero)

CVE-2017-2460: Ivan Fratric (Google Project Zero)

CVE-2017-2464: Jeonghoon Shin, Natalie Silvanovich (Google Project Zero)

CVE-2017-2465: Zheng Huang și Wei Yuan (Baidu Security Lab)

CVE-2017-2466: Ivan Fratric (Google Project Zero)

CVE-2017-2468: lokihardt (Google Project Zero)

CVE-2017-2469: lokihardt (Google Project Zero)

CVE-2017-2470: lokihardt (Google Project Zero)

CVE-2017-2476: Ivan Fratric (Google Project Zero)

CVE-2017-2481: 0011 în colaborare cu Trend Micro Zero Day Initiative

Actualizare intrare: 20 iunie 2017

WebKit

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.

CVE-2017-2415: Kai Kang (Tencent Xuanwu Lab) (tencent.com)

WebKit

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza neaplicarea accidentală a politicii CSP (Content Security Policy)

Descriere: a existat o problemă de acces în politica CSP (Content Security Policy).  Această problemă a fost rezolvată prin îmbunătățirea restricțiilor de accesare.

CVE-2017-2419: Nicolai Grødum (Cisco Systems)

WebKit

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza un consum mare de memorie

Descriere: a fost rezolvată o problemă de consum necontrolat de resurse prin îmbunătățirea procesării regex.

CVE-2016-9643: Gustavo Grieco

WebKit

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea conținutului unui site web creat cu rea intenție poate cauza divulgarea memoriei procesului

Descriere: a existat o problemă de divulgare de informații la procesarea shaderelor OpenGL. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

CVE-2017-2424: Paul Thomson (utilizând instrumentul GLFuzz) (Multicore Programming Group, Imperial College London)

WebKit

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.

CVE-2017-2433: Apple

WebKit

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea de conținut web creat cu rea intenție poate cauza exfiltrarea de date din mai multe surse

Descriere: au existat mai multe probleme de validare la tratarea încărcării paginilor. Această problemă a fost rezolvată prin îmbunătățirea logicii.

CVE-2017-2364: lokihardt (Google Project Zero)

WebKit

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: un site web rău intenționat poate exfiltra date cu origini încrucișate

Descriere: a existat o problemă de validare la tratarea încărcării paginilor. Această problemă a fost rezolvată prin îmbunătățirea logicii.

CVE-2017-2367: lokihardt (Google Project Zero)

WebKit

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza crearea de scripturi universale între site-uri

Descriere: a existat o problemă logică la tratarea obiectelor de tipul cadru. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2017-2445: lokihardt (Google Project Zero)

WebKit

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a existat o problemă logică la tratarea funcțiilor de mod strict. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2017-2446: Natalie Silvanovich (Google Project Zero)

WebKit

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: accesarea unui site web rău intenționat putea compromite informațiile utilizatorului

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-2447: Natalie Silvanovich (Google Project Zero)

WebKit

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: au fost rezolvate mai multe probleme de alterare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-2463: Kai Kang (4B5F5F4B) (Tencent Xuanwu Lab) (tencent.com) în colaborare cu Trend Micro Zero Day Initiative

Adăugare intrare: marți, 28 martie 2017

WebKit

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de „utilizare după eliberare” prin îmbunătățirea gestionării memoriei.

CVE-2017-2471: Ivan Fratric (Google Project Zero)

WebKit

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza crearea de scripturi universale între site-uri

Descriere: a existat o problemă de logică la tratarea cadrelor. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2017-2475: lokihardt (Google Project Zero)

WebKit

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea de conținut web creat cu rea intenție poate cauza exfiltrarea de date din mai multe surse

Descriere: a existat o problemă de validare la tratarea elementelor. Această problemă a fost rezolvată prin îmbunătățirea validării.

CVE-2017-2479: lokihardt (Google Project Zero)

Adăugare intrare: marți, 28 martie 2017

WebKit

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea de conținut web creat cu rea intenție poate cauza exfiltrarea de date din mai multe surse

Descriere: a existat o problemă de validare la tratarea elementelor. Această problemă a fost rezolvată prin îmbunătățirea validării.

CVE-2017-2480: lokihardt (Google Project Zero)

CVE-2017-2493: lokihardt (Google Project Zero)

Actualizare intrare: marți, luni, 24 aprilie 2017

Legături JavaScript WebKit

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea de conținut web creat cu rea intenție poate cauza exfiltrarea de date din mai multe surse

Descriere: au existat mai multe probleme de validare la tratarea încărcării paginilor. Această problemă a fost rezolvată prin îmbunătățirea logicii.

CVE-2017-2442: lokihardt (Google Project Zero)

WebKit Web Inspector

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: închiderea unei ferestre atunci când este în pauză în depanator poate provoca închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.

CVE-2017-2377: Vicki Pfau

WebKit Web Inspector

Disponibilitate pentru: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare, iPod touch (a 6-a generație) și modele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.

CVE-2017-2405: Apple

Alte mențiuni

XNU

Dorim să-i mulțumim lui Lufeng Li (Qihoo 360 Vulcan Team) pentru asistența acordată.

WebKit

Dorim să-i mulțumim lui Yosuke HASEGAWA (Secure Sky Technology Inc.) pentru asistența acordată.

Safari

Dorim să-i mulțumim lui Flyin9 (ZhenHui Lee) pentru asistența acordată.

Configurări

Dorim să-i mulțumim lui Adi Sharabani și lui Yair Amit (Skycure) pentru asistența acordată.

Informaţiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu îşi asumă nicio responsabilitate în ceea ce priveşte selectarea, funcţionarea sau utilizarea site-urilor web sau produselor de la terţi. Apple nu face niciun fel de declaraţii privind acurateţea sau fiabilitatea site-urilor web terţe. La utilizarea Internetului, riscurile sunt inerente. Contactează distribuitorul pentru informaţii suplimentare. Alte nume de companii şi produse pot fi mărci comerciale ale proprietarilor respectivi.

Data publicării: