Despre conținutul de securitate din iOS 10.3.3
Acest document descrie conținutul de securitate din iOS 10.3.3.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple. Poți să criptezi mesajele prin care comunici cu Apple folosind cheia PGP pentru securitatea produselor Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
iOS 10.3.3
Contacte
Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de depășire a zonei-tampon prin îmbunătățirea tratării memoriei.
CVE-2017-7062: Shashank (@cyberboyIndia)
CoreAudio
Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)
Impact: procesarea unui fișier film creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea verificării legăturilor.
CVE-2017-7008: Yangkang (@dnpushme) (Qihoo 360 Qex Team)
EventKitUI
Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației
Descriere: a fost rezolvată o problemă de epuizare a resurselor prin îmbunătățirea validării intrării.
CVE-2017-7007: José Antonio Esteban (@Erratum_) de la Sapsi Consultores
IOUSBFamily
Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-7009: shrek_wzw (Qihoo 360 Nirvan Team)
Kernel
Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-7022: un cercetător anonim
CVE-2017-7024: un cercetător anonim
CVE-2017-7026: un cercetător anonim
Kernel
Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-7023: un cercetător anonim
CVE-2017-7025: un cercetător anonim
CVE-2017-7027: un cercetător anonim
CVE-2017-7069: Proteas (Qihoo 360 Nirvan Team)
Kernel
Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.
CVE-2017-7028: un cercetător anonim
CVE-2017-7029: un cercetător anonim
libarchive
Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)
Impact: despachetarea unei arhive create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-2017-7068: problemă găsită de OSS-Fuzz
libxml2
Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)
Impact: analizarea unui document XML creat cu rea intenție poate cauza divulgarea informațiilor despre utilizator
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2017-7010: Apple
CVE-2017-7013: problemă găsită de OSS-Fuzz
libxpc
Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-7047: Ian Beer (Google Project Zero)
Mesaje
Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației
Descriere: a fost rezolvată o problemă de consum a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-7063: Shashank (@cyberboyIndia)
Notificări
Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)
Impact: este posibil ca în ecranul de blocare să apară notificări chiar dacă sunt dezactivate
Descriere: a fost rezolvată o problemă legată de ecranul de blocare prin gestionarea îmbunătățită a stării.
CVE-2017-7058: Beyza Sevinç (Süleyman Demirel Üniversitesi)
Safari
Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)
Impact: accesarea unui site web rău intenționat poate cauza falsificarea barei de adrese
Descriere: a fost rezolvată o problemă legată de inconstanța interfeței cu utilizatorul prin gestionarea îmbunătățită a stării.
CVE-2017-2517: xisigr (Tencent's Xuanwu Lab) (tencent.com)
Imprimare din Safari
Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)
Impact: procesarea de conținut web creat cu rea intenție poate duce la producerea unui număr infinit de dialoguri de imprimare
Descriere: a existat o problemă legată de faptul că un site web rău intenționat sau compromis putea să afișeze un număr infinit de dialoguri de imprimare și să facă utilizatorul să creadă că browserul este blocat. Problema a fost rezolvată prin limitarea dialogurilor de imprimare.
CVE-2017-7060: Travis Kelley din City of Mishawaka, Indiana
Telefonie
Disponibilitate: iPhone 5 și modele ulterioare și modele Wi-Fi + Cellular de iPad a 4-a generație și modele ulterioare
Impact: un atacator cu poziție privilegiată în rețea poate executa un cod arbitrar
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-8248
WebKit
Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)
Impact: un site web rău intenționat poate exfiltra date cu origini încrucișate
Descriere: procesarea de conținut web creat cu rea intenție poate permite exfiltrarea de date cu origini încrucișate prin utilizarea de filtre SVG pentru desfășurarea unui atac temporal prin canal auxiliar. Această problemă a fost rezolvată prin anularea reprezentării în cadrul filtrat a memoriei tampon pentru origini încrucișate.
CVE-2017-7006: un cercetător anonim și David Kohlbrenner de la UC San Diego
WebKit
Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)
Impact: accesarea unui site web rău intenționat poate cauza falsificarea barei de adrese
Descriere: a fost rezolvată o problemă de gestionare a stării prin îmbunătățirea tratării cadrelor.
CVE-2017-7011: xisigr (Tencent's Xuanwu Lab) (tencent.com)
WebKit
Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-7018: lokihardt (Google Project Zero)
CVE-2017-7020: likemeng (Baidu Security Lab)
CVE-2017-7030: chenqin (Ant-financial Light-Year Security Lab) (蚂蚁金服巴斯光年安全实验室)
CVE-2017-7034: chenqin (Ant-financial Light-Year Security Lab) (蚂蚁金服巴斯光年安全实验室)
CVE-2017-7037: lokihardt (Google Project Zero)
CVE-2017-7039: Ivan Fratric (Google Project Zero)
CVE-2017-7040: Ivan Fratric (Google Project Zero)
CVE-2017-7041: Ivan Fratric (Google Project Zero)
CVE-2017-7042: Ivan Fratric (Google Project Zero)
CVE-2017-7043: Ivan Fratric (Google Project Zero)
CVE-2017-7046: Ivan Fratric (Google Project Zero)
CVE-2017-7048: Ivan Fratric (Google Project Zero)
CVE-2017-7052: cc în colaborare cu Trend Micro Zero Day Initiative
CVE-2017-7055: National Cyber Security Centre (NCSC) (Marea Britanie)
CVE-2017-7056: lokihardt (Google Project Zero)
CVE-2017-7061: lokihardt (Google Project Zero)
WebKit
Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)
Impact: procesarea cu DOMParser a unui conținut web creat cu rea intenție poate cauza scripting între site-uri
Descriere: exista o problemă de logică în jurnal în tratarea DOMParser. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2017-7038: Egor Karbutov (@ShikariSenpai) (Digital Security) și Egor Saltykov (@ansjdnakjdnajkd) (Digital Security), Neil Jenkins (FastMail Pty Ltd)
CVE-2017-7059: Masato Kinugawa și Mario Heiderich (Cure53)
WebKit
Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: au fost rezolvate mai multe probleme de alterare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-7049: Ivan Fratric (Google Project Zero)
WebKit
Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-7064: lokihardt (Google Project Zero)
Încărcare pagină WebKit
Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-7019: Zhiyang Zeng (Tencent Security Platform Department)
WebKit Web Inspector
Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-7012: Apple
Wi-Fi
Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)
Impact: un atacator aflat în raza Wi-Fi ar putea executa cod arbitrar în cipul Wi-Fi
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-7065: Gal Beniamini de la Proiectul Zero Google
Wi-Fi
Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)
Impact: un atacator aflat în raza Wi-Fi ar putea cauza un refuz al serviciului în cipul Wi-Fi
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.
CVE-2017-7066: Gal Beniamini de la Proiectul Zero Google
Wi-Fi
Disponibilitate: iPhone 5 și modele ulterioare, iPad (a 4-a generație) și modele ulterioare și iPod touch (a 6-a generație)
Impact: un atacator aflat în raza Wi-Fi ar putea executa cod arbitrar în cipul Wi-Fi
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-9417: Nitay Artenstein (Exodus Intelligence)
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.