Despre conținutul de securitate din iOS 10.3.3

Acest document descrie conținutul de securitate din iOS 10.3.3.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple. Poți să criptezi mesajele prin care comunici cu Apple folosind cheia PGP pentru securitatea produselor Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

iOS 10.3.3

Contacte

Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)

Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de depășire a zonei-tampon prin îmbunătățirea tratării memoriei.

CVE-2017-7062: Shashank (@cyberboyIndia)

CoreAudio

Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)

Impact: procesarea unui fișier film creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea verificării legăturilor.

CVE-2017-7008: Yangkang (@dnpushme) (Qihoo 360 Qex Team)

EventKitUI

Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)

Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de epuizare a resurselor prin îmbunătățirea validării intrării.

CVE-2017-7007: José Antonio Esteban (@Erratum_) de la Sapsi Consultores

IOUSBFamily

Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-7009: shrek_wzw (Qihoo 360 Nirvan Team)

Kernel

Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-7022: un cercetător anonim

CVE-2017-7024: un cercetător anonim

CVE-2017-7026: un cercetător anonim

Kernel

Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-7023: un cercetător anonim

CVE-2017-7025: un cercetător anonim

CVE-2017-7027: un cercetător anonim

CVE-2017-7069: Proteas (Qihoo 360 Nirvan Team)

Kernel

Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.

CVE-2017-7028: un cercetător anonim

CVE-2017-7029: un cercetător anonim

libarchive

Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)

Impact: despachetarea unei arhive create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.

CVE-2017-7068: problemă găsită de OSS-Fuzz

libxml2

Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)

Impact: analizarea unui document XML creat cu rea intenție poate cauza divulgarea informațiilor despre utilizator

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2017-7010: Apple

CVE-2017-7013: problemă găsită de OSS-Fuzz

libxpc

Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-7047: Ian Beer (Google Project Zero)

Mesaje

Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)

Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de consum a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-7063: Shashank (@cyberboyIndia)

Notificări

Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)

Impact: este posibil ca în ecranul de blocare să apară notificări chiar dacă sunt dezactivate

Descriere: a fost rezolvată o problemă legată de ecranul de blocare prin gestionarea îmbunătățită a stării.

CVE-2017-7058: Beyza Sevinç (Süleyman Demirel Üniversitesi)

Safari

Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)

Impact: accesarea unui site web rău intenționat poate cauza falsificarea barei de adrese

Descriere: a fost rezolvată o problemă legată de inconstanța interfeței cu utilizatorul prin gestionarea îmbunătățită a stării.

CVE-2017-2517: xisigr (Tencent's Xuanwu Lab) (tencent.com)

Imprimare din Safari

Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)

Impact: procesarea de conținut web creat cu rea intenție poate duce la producerea unui număr infinit de dialoguri de imprimare

Descriere: a existat o problemă legată de faptul că un site web rău intenționat sau compromis putea să afișeze un număr infinit de dialoguri de imprimare și să facă utilizatorul să creadă că browserul este blocat. Problema a fost rezolvată prin limitarea dialogurilor de imprimare.

CVE-2017-7060: Travis Kelley din City of Mishawaka, Indiana

Telefonie

Disponibilitate: iPhone 5 și modele ulterioare și modele Wi-Fi + Cellular de iPad a 4-a generație și modele ulterioare

Impact: un atacator cu poziție privilegiată în rețea poate executa un cod arbitrar

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-8248

WebKit

Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)

Impact: un site web rău intenționat poate exfiltra date cu origini încrucișate

Descriere: procesarea de conținut web creat cu rea intenție poate permite exfiltrarea de date cu origini încrucișate prin utilizarea de filtre SVG pentru desfășurarea unui atac temporal prin canal auxiliar. Această problemă a fost rezolvată prin anularea reprezentării în cadrul filtrat a memoriei tampon pentru origini încrucișate.

CVE-2017-7006: un cercetător anonim și David Kohlbrenner de la UC San Diego

WebKit

Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)

Impact: accesarea unui site web rău intenționat poate cauza falsificarea barei de adrese

Descriere: a fost rezolvată o problemă de gestionare a stării prin îmbunătățirea tratării cadrelor.

CVE-2017-7011: xisigr (Tencent's Xuanwu Lab) (tencent.com)

WebKit

Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-7018: lokihardt (Google Project Zero)

CVE-2017-7020: likemeng (Baidu Security Lab)

CVE-2017-7030: chenqin (Ant-financial Light-Year Security Lab) (蚂蚁金服巴斯光年安全实验室)

CVE-2017-7034: chenqin (Ant-financial Light-Year Security Lab) (蚂蚁金服巴斯光年安全实验室)

CVE-2017-7037: lokihardt (Google Project Zero)

CVE-2017-7039: Ivan Fratric (Google Project Zero)

CVE-2017-7040: Ivan Fratric (Google Project Zero)

CVE-2017-7041: Ivan Fratric (Google Project Zero)

CVE-2017-7042: Ivan Fratric (Google Project Zero)

CVE-2017-7043: Ivan Fratric (Google Project Zero)

CVE-2017-7046: Ivan Fratric (Google Project Zero)

CVE-2017-7048: Ivan Fratric (Google Project Zero)

CVE-2017-7052: cc în colaborare cu Trend Micro Zero Day Initiative

CVE-2017-7055: National Cyber Security Centre (NCSC) (Marea Britanie)

CVE-2017-7056: lokihardt (Google Project Zero)

CVE-2017-7061: lokihardt (Google Project Zero)

WebKit

Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)

Impact: procesarea cu DOMParser a unui conținut web creat cu rea intenție poate cauza scripting între site-uri

Descriere: exista o problemă de logică în jurnal în tratarea DOMParser. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2017-7038: Egor Karbutov (@ShikariSenpai) (Digital Security) și Egor Saltykov (@ansjdnakjdnajkd) (Digital Security), Neil Jenkins (FastMail Pty Ltd)

CVE-2017-7059: Masato Kinugawa și Mario Heiderich (Cure53)

WebKit

Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: au fost rezolvate mai multe probleme de alterare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-7049: Ivan Fratric (Google Project Zero)

WebKit

Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-7064: lokihardt (Google Project Zero)

Încărcare pagină WebKit

Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-7019: Zhiyang Zeng (Tencent Security Platform Department)

WebKit Web Inspector

Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-7012: Apple

Wi-Fi

Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)

Impact: un atacator aflat în raza Wi-Fi ar putea executa cod arbitrar în cipul Wi-Fi

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-7065: Gal Beniamini de la Proiectul Zero Google

Wi-Fi

Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)

Impact: un atacator aflat în raza Wi-Fi ar putea cauza un refuz al serviciului în cipul Wi-Fi

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.

CVE-2017-7066: Gal Beniamini de la Proiectul Zero Google

Wi-Fi

Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)

Impact: un atacator aflat în raza Wi-Fi ar putea executa cod arbitrar în cipul Wi-Fi

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-9417: Nitay Artenstein (Exodus Intelligence)