Despre conținutul de securitate din iOS 11

Acest document descrie conținutul de securitate din iOS 11.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple. Poți să criptezi mesajele prin care comunici cu Apple folosind cheia PGP pentru securitatea produselor Apple.

Documentele de securitate Apple menționează vulnerabilitățile după ID CVE atunci când este posibil.

iOS 11

Publicare: 19 septembrie 2017

802.1X

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: un atacator ar putea exploata vulnerabilități din TLS 1.0

Descrierea: s-a rezolvat o problemă legată de securitatea protocoalelor prin activarea TLS 1.1 și TLS 1.2.

CVE-2017-13832: Doug Wussler (Florida State University)

Adăugare intrare: 31 octombrie 2017. Actualizare intrare: 10 noiembrie 2017

Bluetooth

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: o aplicație poate accesa fișiere restricționate

Descriere: a existat o problemă de confidențialitate la tratarea cărților de vizită ale contactelor. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2017-7131: Dominik Conrads (Federal Office for Information Security), un cercetător anonim, Anand Kathapurkar din India, Elvis (@elvisimprsntr)

Actualizare intrare: 9 octombrie 2017

CFNetwork

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-13829: Niklas Baumstark și Samuel Gro în colaborare cu Zero Day Initiative (Trend Micro) 

CVE-2017-13833: Niklas Baumstark și Samuel Gro în colaborare cu Zero Day Initiative (Trend Micro)

Adăugare intrare: 10 noiembrie 2017

Servere proxy CFNetwork

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: un atacator dintr-o poziție privilegiată în rețea poate cauza o refuzare a serviciului

Descriere: au fost rezolvate mai multe probleme de refuzare a serviciilor (DoS) prin îmbunătățirea tratării memoriei.

CVE-2017-7083: Abhinav Bansal (Zscaler Inc.)

Adăugare intrare: 25 septembrie 2017

CFString

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.

CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate

Adăugare intrare: 31 octombrie 2017

CoreAudio

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin actualizarea la Opus versiunea 1.1.4.

CVE-2017-0381: V.E.O (@VYSEa) (Mobile Threat Research Team, Trend Micro)

Adăugare intrare: 25 septembrie 2017

CoreText

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de consum a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate

Adăugare intrare: 31 octombrie 2017

Exchange ActiveSync

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: un atacator dintr-o rețea privilegiată ar putea șterge un dispozitiv în timpul configurării contului Exchange

Descriere: a existat o problemă de validare în AutoDiscover V1.  Problema a fost rezolvată prin solicitarea TLS pentru AutoDiscover V1. AutoDiscover V2 este acceptat acum.

CVE-2017-7088: Ilya Nesterov, Maxim Goncharov

fișier

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: probleme multiple în fișier

Descriere: au fost rezolvate mai multe probleme prin actualizare la versiunea 5.31.

CVE-2017-13815

Adăugare intrare: 31 octombrie 2017

Fonturi

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: redarea unui text care nu prezintă încredere ar putea duce la compromiterea adresei IP

Descriere: a fost rezolvată o problemă legată de inconstanța interfeței cu utilizatorul prin gestionarea îmbunătățită a stării.

CVE-2017-13828: Leonard Grey și Robert Sesek (Google Chrome)

Adăugare intrare: 31 octombrie 2017. Actualizare intrare: 10 noiembrie 2017

Heimdal

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: un atacator cu poziție privilegiată în rețea poate simula identitatea unui serviciu

Descriere: a existat o problemă de validare la tratarea numelui serviciului KDC-REP. Această problemă a fost rezolvată prin îmbunătățirea validării.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni și Nico Williams

Adăugare intrare: 25 septembrie 2017

HFS

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-13830: Sergej Schumilo, Ruhr-University Bochum

Adăugare intrare: 31 octombrie 2017

iBooks

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: analizarea unui fișier iBooks creat cu rea intenție poate cauza o eroare persistentă de refuzare a serviciului

Descriere: au fost rezolvate mai multe probleme de refuzare a serviciilor (DoS) prin îmbunătățirea tratării memoriei.

CVE-2017-7072: Jędrzej Krysztofiak

ImageIO

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.

CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate

Adăugare intrare: 31 octombrie 2017

ImageIO

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: procesarea unei imagini create cu rea intenție poate cauza o refuzare a serviciului (DoS)

Descriere: a existat o problemă de divulgare de informații la procesarea imaginilor de disc. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

CVE-2017-13831: Glen Carmichael

Adăugare intrare: 31 octombrie 2017. Actualizare intrare: 10 noiembrie 2017

Kernel

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-7114: Alex Plaskett (MWR InfoSecurity)

Adăugare intrare: 25 septembrie 2017

Kernel

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: un utilizator local poate citi memoria kernel

Descriere: a existat o problemă de citire în afara limitelor care conducea la divulgarea conținutului memoriei nucleului. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2017-13817: Maxime Villard (m00nbsd)

Adăugare intrare: 31 octombrie 2017

Kernel

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.

CVE-2017-13818: National Cyber Security Centre (NCSC) (Marea Britanie)

CVE-2017-13836: un cercetător anonim, un cercetător anonim

CVE-2017-13841: un cercetător anonim

CVE-2017-13840: un cercetător anonim

CVE-2017-13842: un cercetător anonim

Adăugare intrare: 31 octombrie 2017. Actualizare intrare: 14 noiembrie 2017

Kernel

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-13843: un cercetător anonim, un cercetător anonim

Adăugare intrare: 31 octombrie 2017

Kernel

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-13854: shrek_wzw (Qihoo 360 Nirvan Team)

Adăugare intrare: 2 noiembrie 2017

Kernel

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: procesarea unui fișier binar mach malformat poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de alterare a memoriei prin îmbunătățirea validării.

CVE-2017-13834: Maxime Villard (m00nbsd)

Adăugare intrare: 10 noiembrie 2017

Sugestii de la tastatură

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: sugestiile de corecție automată de la tastatură pot dezvălui informații sensibile

Descriere: tastatura iOS introducea accidental în memoria cache informații sensibile. Această problemă a fost rezolvată prin îmbunătățirea euristicii.

CVE-2017-7140: Agim Allkanjari (Stream in Motion Inc.)

Actualizare intrare: 9 octombrie 2017

libarchive

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: Despachetarea unei arhive create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de depășire a zonei-tampon prin îmbunătățirea tratării memoriei.

CVE-2017-13813: problemă găsită de OSS-Fuzz

CVE-2017-13816: problemă găsită de OSS-Fuzz

Adăugare intrare: 31 octombrie 2017

libarchive

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: Despachetarea unei arhive create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: în libarchive erau mai multe probleme de corupere a memoriei. Aceste probleme au fost rezolvate printr-o validare îmbunătățită a intrărilor.

CVE-2017-13812: problemă găsită de OSS-Fuzz

Adăugare intrare: 31 octombrie 2017

libc

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: un atacator aflat la distanță poate cauza o refuzare a serviciilor (DoS)

Descriere: a fost rezolvată o problemă de epuizare a resurselor în glob() printr-un algoritm îmbunătățit.

CVE-2017-7086: Russ Cox (Google)

Adăugare intrare: 25 septembrie 2017

libc

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: a fost rezolvată o problemă de consum a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-1000373

Adăugare intrare: 25 septembrie 2017

libexpat

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: probleme multiple în expat

Descriere: au fost rezolvate mai multe probleme prin actualizare la versiunea 2.2.1.

CVE-2016-9063

CVE-2017-9233

Adăugare intrare: 25 septembrie 2017

Location Framework

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: a existat o problemă de permisiune la tratarea variabilei de localizare. Această problemă a fost rezolvată cu verificări suplimentare ale dreptului de proprietate.

CVE-2017-7148: Igor Makarov (Moovit), Will McGinty și Shawnna Rodriguez (Bottle Rocket Studios)

Actualizare intrare: 9 octombrie 2017

Ciorne de e-mailuri

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: un atacator cu poziție privilegiată în rețea poate intercepta conținutul e-mailurilor

Descriere: a existat o problemă de criptare la tratarea ciornelor de e-mailuri. Această problemă a fost rezolvată prin îmbunătățirea tratării ciornelor de e-mailuri menite să fie trimise criptate.

CVE-2017-7078: Petter Flink, Pierre ALBARÈDE din Marsilia (Franța), un cercetător anonim

Actualizare intrare: 9 octombrie 2017

Mail MessageUI

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: procesarea unei imagini create cu rea intenție poate cauza o refuzare a serviciului (DoS)

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.

CVE-2017-7097: Xinshu Dong și Jun Hao Tan (Anquan Capital)

Mesaje

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: procesarea unei imagini create cu rea intenție poate cauza o refuzare a serviciului (DoS)

Descriere: a fost rezolvată o problemă de refuzare a serviciului printr-o validare îmbunătățită.

CVE-2017-7118: Kiki Jiang și Jason Tokoph

MobileBackup

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: funcția Backup ar putea efectua un backup necriptat în ciuda cerinței de a efectua dor backupuri criptate

Descriere: a existat o problemă de permisiune. Această problemă a fost rezolvată prin îmbunătăţirea validării permisiunilor.

CVE-2017-7133: Don Sparks (HackediOS.com)

Note

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: un utilizator local poate cauza scurgeri de informații sensibile ale utilizatorilor

Descriere: conținutul notelor blocate apărea uneori în rezultatele căutării. Această problemă a fost rezolvată prin îmbunătățirea curățării datelor.

CVE-2017-7075: Richard Will (Marathon Oil Company)

Adăugare intrare: 10 noiembrie 2017

Telefon

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: se poate face o captură de ecran a unui conținut securizat la blocarea unui dispozitiv iOS

Descriere: a existat o problemă de temporizare la tratarea blocării. Această problemă a fost rezolvată prin dezactivarea capturilor de ecran la blocare.

CVE-2017-7139: un cercetător anonim

Adăugare intrare: 25 septembrie 2017

Profiluri

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: se puteau instala accidental pe un dispozitiv înregistrări de asocieri de dispozitive atunci când era instalat un profil care nu permite asocierea

Descriere: asocierile nu erau eliminate atunci când era instalat un profil care nu permite asocierea. Această problemă a fost rezolvată prin eliminarea asocierilor care erau în conflict cu profilul de configurare.

CVE-2017-13806: Rorie Hood (MWR InfoSecurity)

Adăugare intrare: 2 noiembrie 2017

Quick Look

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.

CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate

Adăugare intrare: 31 octombrie 2017

Quick Look

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: analizarea unui document Office creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de consum a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate

Adăugare intrare: 31 octombrie 2017

Safari

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: accesarea unui site web rău intenționat poate cauza falsificarea barei de adrese

Descriere: a fost rezolvată o problemă legată de inconstanța interfeței cu utilizatorul prin gestionarea îmbunătățită a stării.

CVE-2017-7085: xisigr (Xuanwu Lab, Tencent) (tencent.com)

Securitate

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: un certificat revocat poate fi considerat ca fiind de încredere

Descriere: a existat o problemă de validare la tratarea datelor de revocare. Această problemă a fost rezolvată prin îmbunătățirea validării.

CVE-2017-7080: un cercetător anonim, un cercetător anonim, Sven Driemecker (adesso mobile solutions gmbh), Rune Darrud (@theflyingcorpse) (Bærum kommune)

Adăugare intrare: 25 septembrie 2017

Securitate

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: o aplicație rău intenționată poate urmări utilizatori între instalări

Descriere: a existat o problemă de verificare a permisiunilor în tratarea datelor Portchei ale unei aplicații. Această problemă a fost rezolvată prin îmbunătățirea verificării permisiunilor.

CVE-2017-7146: un cercetător anonim

Adăugare intrare: 25 septembrie 2017

SQLite

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: probleme multiple în SQLite

Descriere: au fost rezolvate mai multe probleme prin actualizare la versiunea 3.19.3.

CVE-2017-10989: problemă găsită de OSS-Fuzz

CVE-2017-7128: problemă găsită de OSS-Fuzz

CVE-2017-7129: problemă găsită de OSS-Fuzz

CVE-2017-7130: problemă găsită de OSS-Fuzz

Adăugare intrare: 25 septembrie 2017

SQLite

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-7127: un cercetător anonim

Adăugare intrare: 25 septembrie 2017

Oră

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: „Configurare fus orar” poate indica incorect că utilizează locația

Descriere: a existat o problemă legată de permisiuni în procesul care tratează informațiile de fus orar. Problema a fost rezolvată prin modificarea permisiunilor.

CVE-2017-7145: Chris Lawrence

Actualizare intrare: 9 octombrie 2017

WebKit

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.

CVE-2017-7081: Apple

Adăugare intrare: 25 septembrie 2017

WebKit

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan (Baidu Security Lab) în colaborare cu Zero Day Initiative (Trend Micro)

CVE-2017-7092: Samuel Gro și Niklas Baumstark în colaborare cu Zero Day Initiative (Trend Micro), Qixun Zhao (@S0rryMybad) (Qihoo 360 Vulcan Team)

CVE-2017-7093: Samuel Gro și Niklas Baumstark în colaborare cu Zero Day Initiative (Trend Micro)

CVE-2017-7094: Tim Michaud (@TimGMichaud) (Leviathan Security Group)

CVE-2017-7095: Wang Junjie, Wei Lei și Liu Yang (Nanyang Technological University) în colaborare cu Zero Day Initiative (Trend Micro)

CVE-2017-7096: Wei Yuan (Baidu Security Lab)

CVE-2017-7098: Felipe Freitas (Instituto Tecnológico de Aeronáutica)

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa și Mario Heiderich (Cure53)

CVE-2017-7102: Wang Junjie, Wei Lei și Liu Yang (Nanyang Technological University)

CVE-2017-7104: likemeng (Baidu Security Lab)

CVE-2017-7107: Wang Junjie, Wei Lei și Liu Yang (Nanyang Technological University)

CVE-2017-7111: likemeng (Baidu Security Lab) (xlab.baidu.com) în colaborare cu Zero Day Initiative (Trend Micro)

CVE-2017-7117: lokihardt (Google Project Zero)

CVE-2017-7120: chenqin (陈钦) (Ant-financial Light-Year Security Lab)

Adăugare intrare: 25 septembrie 2017

WebKit

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: procesarea unui conținut web creat cu rea intenție poate cauza crearea de scripturi universale între site-uri

Descriere: a existat o problemă de logică în jurnal în tratarea filei părinte. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2017-7089: Anton Lopanitsyn (ONSEC), Frans Rosén (Detectify)

WebKit

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: modulele cookie care aparțineau unei origini pot fi trimise la o altă origine

Descriere: a existat o problemă de permisiune la tratarea cookie-urilor browserului web. Această problemă a fost rezolvată prin nereturnarea cookie-urilor pentru scheme URL particularizate.

CVE-2017-7090: Apple

Adăugare intrare: 25 septembrie 2017

WebKit

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: accesarea unui site web rău intenționat poate cauza falsificarea barei de adrese

Descriere: a fost rezolvată o problemă legată de inconstanța interfeței cu utilizatorul prin gestionarea îmbunătățită a stării.

CVE-2017-7106: Oliver Paukstadt (Thinking Objects GmbH (to.com))

WebKit

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: procesarea unui conținut web creat cu rea intenție poate cauza un atac cu scripting între site-uri

Descriere: este posibilă aplicarea neașteptată a politicii privind memoria cache a aplicației.

CVE-2017-7109: avlidienbrunn

Adăugare intrare: 25 septembrie 2017

WebKit

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: un site web rău intenționat poate urmări utilizatori în modul de navigare privată din Safari

Descriere: a existat o problemă de permisiune la tratarea cookie-urilor browserului web. Această problemă a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2017-7144: Mohammad Ghasemisharif (BITS Lab, UIC)

Actualizare intrare: 9 octombrie 2017

Stocare WebKit

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: datele site-urilor web pot persista după o sesiune de navigare cu Safari în modul Privat

Descriere: a existat o problemă de scurgere de informații la tratarea datelor site-urilor web în ferestre de Safari în modul Privat. Această problemă a fost rezolvată prin îmbunătățirea tratării datelor.

CVE-2017-7142: Rich Shawn O’Connell, un cercetător anonim, un cercetător anonim

Adăugare intrare: 10 noiembrie 2017

Wi-Fi

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: un atacator aflat în raza Wi-Fi ar putea executa cod arbitrar în cipul Wi-Fi

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-11120: Gal Beniamini (Google Project Zero)

CVE-2017-11121: Gal Beniamini (Google Project Zero)

Adăugare intrare: 25 septembrie 2017

Wi-Fi

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: un cod rău intenționat executat pe chipul Wi-Fi ar putea executa cod arbitrar cu privilegii de kernel în procesorul aplicației

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-7103: Gal Beniamini (Google Project Zero)

CVE-2017-7105: Gal Beniamini (Google Project Zero)

CVE-2017-7108: Gal Beniamini (Google Project Zero)

CVE-2017-7110: Gal Beniamini (Google Project Zero)

CVE-2017-7112: Gal Beniamini (Google Project Zero)

Wi-Fi

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: un cod rău intenționat executat pe chipul Wi-Fi ar putea executa cod arbitrar cu privilegii de kernel în procesorul aplicației

Descriere: au fost rezolvate mai multe probleme legate de condițiile de rulare prin îmbunătățirea validării.

CVE-2017-7115: Gal Beniamini (Google Project Zero)

Wi-Fi

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: un cod rău intenționat executat pe chipul Wi-Fi ar putea citi memoria kernel restricționată

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.

CVE-2017-7116: Gal Beniamini (Google Project Zero)

Wi-Fi

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: un atacator aflat în zona de acoperire a rețelei poate citi memorie restricționată din chipsetul Wi-Fi

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.

CVE-2017-11122: Gal Beniamini (Google Project Zero)

Adăugare intrare: 2 octombrie 2017

zlib

Disponibilitate: iPhone 5s și modele ulterioare, iPad Air și modele ulterioare și iPod touch a 6-a generație

Impact: probleme multiple în zlib

Descriere: au fost rezolvate mai multe probleme prin actualizare la versiunea 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Adăugare intrare: 25 septembrie 2017

Alte mențiuni

LaunchServices

Dorim să-i mulțumim lui Mark Zimmermann de la EnBW Energie Baden-Württemberg AG pentru asistența oferită.

Securitate

Dorim să-i mulțumim lui Abhinav Bansal (Zscaler, Inc.) pentru asistența acordată.

Webkit

Dorim să-i mulțumim lui xisigr (Xuanwu Lab, Tencent) (tencent.com) pentru asistența acordată.

WebKit

Dorim să-i mulțumim lui Rayyan Bijoora (@Bijoora, The City School, PAF Chapter) pentru asistența acordată.

WebKit Web Inspector

Dorim să-i mulțumim lui Ioan Bizău (Bloggify) pentru asistența acordată.

Informaţiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu îşi asumă nicio responsabilitate în ceea ce priveşte selectarea, funcţionarea sau utilizarea site-urilor web sau produselor de la terţi. Apple nu face niciun fel de declaraţii privind acurateţea sau fiabilitatea site-urilor web terţe. La utilizarea Internetului, riscurile sunt inerente. Contactează distribuitorul pentru informaţii suplimentare. Alte nume de companii şi produse pot fi mărci comerciale ale proprietarilor respectivi.

Data publicării: