Сведения о проблемах системы безопасности, устраненных в ОС iOS 10.2
В этом документе описаны проблемы системы безопасности, устраненные в ОС iOS 10.2.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.
В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.
ОС iOS 10.2
Доступность
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Находящийся рядом пользователь может подслушать проговариваемые пароли.
Описание. При обработке паролей возникала проблема с их раскрытием. Эта проблема устранена путем отключения проговаривания паролей.
CVE-2016-7634: Давут Хари (Davut Hari), Бирен В. Сони (Biren V. Soni), Кэмерон Ли (Cameron Lee)
Доступность
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Лицо, имеющее физический доступ к устройству с ОС iOS, может получить доступ к фотографиям и контактам с экрана блокировки.
Описание. Проблема с заблокированным экраном позволяла получить доступ к фотографиям и контактам на заблокированном устройстве. Проблема была решена ограничением предлагаемых опций на заблокированном устройстве.
CVE-2016-7664: Мигель Алварадо (Miguel Alvarado) из iDeviceHelp
Учетные записи
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Существовала проблема, из-за которой не сбрасывались настройки авторизации при удалении программы.
Описание. Проблема устранена путем улучшенной авторизации.
CVE-2016-7651: Цзюй Чжу (Ju Zhu) и Лилан Ву (Lilang Wu) из Trend Micro
Звук
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Обработка вредоносного файла могла привести к выполнению произвольного кода.
Описание. Проблема повреждения памяти устранена путем улучшенной проверки ввода.
CVE-2016-7658: Хаохао Кун (Haohao Kong) из отдела Keen Lab (@keen_lab) компании Tencent
CVE-2016-7659: Хаохао Кун (Haohao Kong) из отдела Keen Lab (@keen_lab) компании Tencent
Буфер обмена
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Злоумышленник в локальной сети может получить доступ к содержимому буфера обмена.
Описание. Содержимое буфера обмена было доступно до разблокировки устройства. Эта проблема устранена путем улучшенного управления состояниями.
CVE-2016-7765: CongRong (@Tr3jer)
CoreFoundation
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Обработка вредоносных строк могла приводить к неожиданному завершению работы программы или выполнению произвольного кода.
Описание. При обработке строк возникала проблема повреждения памяти. Проблема устранена путем улучшенной проверки границ памяти.
CVE-2016-7663: анонимный исследователь
CoreGraphics
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Обработка вредоносного файла шрифта может приводить к неожиданному завершению работы программы.
Описание. Проблема разыменования нулевого указателя решена путем улучшенной проверки ввода.
CVE-2016-7627: TRAPMINE Inc. и Мейзам Фироузи (Meysam Firouzi) @R00tkitSMM
Внешние дисплеи CoreMedia
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Локальная программа может исполнять произвольный код в контексте демона медиасервера.
Описание. Проблема смешения типов устранена путем улучшенной обработки памяти.
CVE-2016-7655: Keen Lab в сотрудничестве с компанией Trend Micro по программе Zero Day Initiative
Воспроизведение CoreMedia
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Обработка вредоносного файла .mp4 могла привести к выполнению произвольного кода.
Описание. Проблема повреждения памяти устранена путем улучшенной обработки памяти.
CVE-2016-7588: dragonltx из лабораторий Huawei 2012 Laboratories
CoreText
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Обработка вредоносного файла шрифта может приводить к выполнению произвольного кода.
Описание. При обработке файлов шрифтов возникал ряд проблем повреждения памяти. Проблемы были устранены путем улучшенной проверки границ.
CVE-2016-7595: пользователь riusksk (泉哥) из подразделения Tencent по разработке платформы безопасности
CoreText
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Обработка вредоносной строки может привести к отказу от обслуживания.
Описание. Для устранения проблемы при обработке перекрывающихся диапазонов улучшена проверка.
CVE-2016-7667: Нассер Аль-Хадхрами (Nasser Al-Hadhrami) (@fast_hack), Сайф Аль-Хинай (Saif Al-Hinai, welcom_there) из компании Digital Unit (dgunit.com)
Образы дисков
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Программа может выполнять произвольный код с привилегиями ядра.
Описание. Проблема повреждения памяти устранена путем улучшенной проверки ввода.
CVE-2016-7616: пользователь daybreaker@Minionz, сотрудничающий с компанией Trend Micro по программе Zero Day Initiative
Найти iPhone
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Злоумышленник, которому в руки попало незаблокированное устройство, может отключить службу «Найти iPhone».
Описание. При обработке данных аутентификации возникала проблема управления состоянием. Эта проблема устранена посредством улучшенного хранения данных учетной записи.
CVE-2016-7638: анонимный исследователь, Сезер Сакинер (Sezer Sakiner)
FontParser
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Обработка вредоносного файла шрифта может приводить к выполнению произвольного кода.
Описание. При обработке файлов шрифтов возникал ряд проблем повреждения памяти. Проблемы были устранены путем улучшенной проверки границ.
CVE-2016-4691: пользователь riusksk (泉哥) из подразделения Tencent по разработке платформы безопасности
Графический драйвер
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Просмотр вредоносного видео мог привести к отказу в обслуживании.
Описание. При обработке видео возникал отказ в обслуживании. Эта проблема устранена путем улучшенной проверки ввода.
CVE-2016-7665: Моатаз Ель Гамбл (Moataz El Gaml) из Schlumberger, Даниэл Шуртер (Daniel Schurter) из watson.ch и Марк Рюф (Marc Ruef) из scip AG
ICU
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема повреждения памяти устранена путем улучшенной обработки памяти.
CVE-2016-7594: Андре Баргулл (André Bargull)
Захват изображений
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Вредоносное устройство ввода может вызвать выполнение произвольного кода.
Описание. При использовании USB-устройств обработки изображений существовала проблема проверки. Эта проблема устранена путем улучшенной проверки ввода.
CVE-2016-4690: Энди Дэвис (Andy Davis) из компании NCC Group
ImageIO
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Злоумышленник может удаленно инициировать утечку памяти.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2016-7643: Янкан (Yangkang) (@dnpushme) из Qihoo360 Qex Team
IOHIDFamily
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Локальная программа с привилегиями пользователя может выполнять произвольный код с привилегиями ядра.
Описание. Проблема использования памяти после ее освобождения устранена путем улучшенного управления памятью.
CVE-2016-7591: пользователь daybreaker из Minionz
IOKit
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Программа могла прочитать данные из памяти ядра.
Описание. Проблема повреждения памяти устранена путем улучшенной проверки ввода.
CVE-2016-7657: Keen Lab в сотрудничестве с компанией Trend Micro по программе Zero Day Initiative
IOKit
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Локальный пользователь может определять схему распределения памяти в ядре.
Описание. Проблема совместно используемой памяти устранена путем улучшенной обработки памяти.
CVE-2016-7714: Цидань Хэ (Qidan He, @flanker_hqd) из KeenLab, сотрудничающий с Trend Micro по программе Zero Day Initiative
JavaScriptCore
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Сценарий, выполняемый в изолированной среде JavaScript, может получить доступ к состоянию за пределами этой изолированной среды.
Описание. При обработке JavaScript возникала проблема проверки. Эта проблема устранена путем улучшенной проверки.
CVE-2016-4695: Марк С. Миллер (Mark S. Miller) из Google
Ядро
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Программа может выполнять произвольный код с привилегиями ядра.
Описание. Ряд проблем повреждения памяти устранен путем улучшенной проверки ввода.
CVE-2016-7606: @cocoahuke, Чэнь Цинь (Chen Qin) из Topsec Alpha Team (topsec.com)
CVE-2016-7612: Иэн Бир (Ian Beer) из подразделения Google Project Zero
Ядро
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Программа могла прочитать данные из памяти ядра.
Описание. Проблема недостаточной инициализации устранена путем правильной инициализации памяти, возвращаемой в пространство пользователя.
CVE-2016-7607: Брэндон Азад (Brandon Azad)
Ядро
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Локальный пользователь может вызвать отказ в обслуживании.
Описание. Проблема отказа в обслуживании устранена путем улучшенной обработки памяти.
CVE-2016-7615: Центр национальной кибербезопасности Соединенного Королевства (National Cyber Security Centre, NCSC)
Ядро
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Локальный пользователь может вызвать внезапное завершение работы системы или выполнить произвольный код в ядре.
Описание. Проблема использования памяти после ее освобождения устранена путем улучшенного управления памятью.
CVE-2016-7621: Иэн Бир (Ian Beer) из подразделения Google Project Zero
Ядро
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Локальный пользователь может получить привилегии корневого пользователя.
Описание. Проблема повреждения памяти устранена путем улучшенной проверки ввода.
CVE-2016-7637: Иэн Бир (Ian Beer) из подразделения Google Project Zero
Ядро
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Локальная программа с привилегиями пользователя может выполнять произвольный код с привилегиями ядра.
Описание. Проблема использования памяти после ее освобождения устранена путем улучшенного управления памятью.
CVE-2016-7644: Иэн Бир (Ian Beer) из подразделения Google Project Zero
Ядро
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Программа может вызвать отказ в обслуживании.
Описание. Проблема отказа в обслуживании устранена путем улучшенной обработки памяти.
CVE-2016-7647: Лю Фен Ли (Lufeng Li) из подразделения Qihoo 360 Vulcan
Ядро
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Вредоносная программа может получить доступ к MAC-адресу устройства.
Описание. Проблема с доступом устранена посредством ввода дополнительных ограничений песочницы для программ сторонних разработчиков.
CVE-2016-7766: Цзюнь Ян (Jun Yang) из отдела WeiXin Group компании Tencent
libarchive
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Локальный злоумышленник может перезаписать существующие файлы.
Описание. При обработке символьных ссылок возникала проблема проверки. Эта проблема устранена путем улучшенной проверки символьных ссылок.
CVE-2016-7619: анонимный исследователь
Локальная аутентификация
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Устройство может не блокировать экран по истечении таймера бездействия.
Описание. При обработке таймера бездействия возникала проблема с логикой, когда отображается запрос Touch ID. Проблема устранена путем улучшенной обработки таймера бездействия.
CVE-2016-7601: анонимный исследователь
Почта
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Сообщение электронной почты, подписанное с использованием отозванного сертификата, может отображаться как допустимое.
Описание. Политике S/MIME не удалось проверить действительность сертификата. Эта проблема устранена путем уведомления пользователя в тех случаях, когда сообщение электронной почты подписано с использованием отозванного сертификата.
CVE-2016-4689: анонимный исследователь
Проигрыватель
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Пользователь может просматривать фотографии и контакты с экрана блокировки.
Описание. При обработке выбора медиаданных существовала проблема проверки. Эта проблема устранена путем улучшенной проверки.
CVE-2016-7653
Управление питанием
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Локальный пользователь может получить привилегии корневого пользователя.
Описание. Проблем в ссылках mach_port_name решена посредством улучшенной проверки.
CVE-2016-7661: Иэн Бир (Ian Beer) из подразделения Google Project Zero
Профили
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Открытие вредоносного сертификата могло привести к выполнению произвольного кода.
Описание. При обработке профилей сертификатов существовала проблема повреждения памяти. Эта проблема устранена путем улучшенной проверки ввода.
CVE-2016-7626: Максимилиан Арцемовиц (Maksymilian Arciemowicz) (cxsecurity.com)
Safari Reader
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Включение функции Safari Reader на вредоносной веб-странице может приводить к выполнению универсальных межсайтовых сценариев.
Описание. Ряд проблем проверки устранен путем улучшенной очистки ввода.
CVE-2016-7650: Эрлинг Эллингсен (Erling Ellingsen)
Безопасность
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Злоумышленник может воспользоваться слабостью криптографического алгоритма 3DES.
Описание. 3DES больше не используется в качестве шифра по умолчанию.
CVE-2016-4693: Гаэтан Лоран (Gaëtan Leurent) и Картикеяан Бхаргаван (Karthikeyan Bhargavan) из INRIA Paris
Безопасность
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может вызвать отказ в обслуживании.
Описание. При обработке URL-адресов ответчика OCSP существовала проблема проверки. Проблема устранена путем подтверждения статуса отзыва OCSP после проверки центра сертификации и посредством ограничения количества запросов OCSP на один сертификат.
CVE-2016-7636: Максимилиан Арцемовиц (Maksymilian Arciemowicz) (cxsecurity.com)
Безопасность
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Сертификаты могут неожиданно оцениваться как доверенные.
Описание. При проверки сертификатов возникала проблема оценки сертификатов. Эта проблема решена путем дополнительной проверки сертификатов.
CVE-2016-7662: Apple
SpringBoard
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Пользователь, имеющий физический доступ к устройству с ОС iOS, может разблокировать устройство.
Описание. В некоторых случаях при обработке попыток ввода пароля во время сброса возникала проблема с подсчетом попыток. Эта проблема устранена путем усовершенствования управления состоянием.
CVE-2016-4781: анонимный исследователь
SpringBoard
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Пользователь, имеющий физический доступ к устройству с ОС iOS, может препятствовать блокировке устройства.
Описание. При обработке операций Handoff с использованием Siri возникала проблема очистки. Эта проблема устранена путем усовершенствования управления состоянием.
CVE-2016-7597: анонимный исследователь
Системный журнал
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Локальный пользователь может получить привилегии корневого пользователя.
Описание. Проблем в ссылках mach_port_name решена посредством улучшенной проверки.
CVE-2016-7660: Иэн Бир (Ian Beer) из подразделения Google Project Zero
WebKit
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки памяти.
CVE-2016-4692: Apple
CVE-2016-7635: Apple
CVE-2016-7652: Apple
WebKit
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Обработка вредоносного веб-содержимого может приводить к раскрытию памяти процессов.
Описание. Проблема повреждения памяти устранена путем улучшенной проверки ввода.
CVE-2016-4743: Алан Каттер (Alan Cutter)
WebKit
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Обработка вредоносного веб-содержимого может привести к раскрытию информации пользователя.
Описание. Проблема проверки устранена путем улучшенного управления состояниями.
CVE-2016-7586: Борис Збарски (Boris Zbarsky)
WebKit
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Ряд проблем повреждения памяти устранен путем улучшенного управления состоянием.
CVE-2016-7587: Адам Кляйн (Adam Klein)
CVE-2016-7610: Чжэн Хуань (Zheng Huang) из Baidu Security Lab в сотрудничестве с компанией Trend Micro по программе Zero Day Initiative
CVE-2016-7611: анонимный исследователь, сотрудничающий с Trend Micro в рамках программы Zero Day Initiative
CVE-2016-7639: Тунбо Ло (Tongbo Luo) из компании Palo Alto Networks
CVE-2016-7640: Кай Кан (Kai Kang) из отдела Xuanwu Lab компании Tencent (tencent.com)
CVE-2016-7641: Кай Кан (Kai Kang) из отдела Xuanwu Lab компании Tencent (tencent.com)
CVE-2016-7642: Тунбо Ло (Tongbo Luo) из компании Palo Alto Networks
CVE-2016-7645: Кай Кан (Kai Kang) из отдела Xuanwu Lab компании Tencent (tencent.com)
CVE-2016-7646: Кай Кан (Kai Kang) из отдела Xuanwu Lab компании Tencent (tencent.com)
CVE-2016-7648: Кай Кан (Kai Kang) из отдела Xuanwu Lab компании Tencent (tencent.com)
CVE-2016-7649: Кай Кан (Kai Kang) из отдела Xuanwu Lab компании Tencent (tencent.com)
CVE-2016-7654: Keen Lab в сотрудничестве с компанией Trend Micro по программе Zero Day Initiative
WebKit
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема повреждения памяти устранена путем улучшенного управления состоянием.
CVE-2016-7589: Apple
CVE-2016-7656: Keen Lab в сотрудничестве с компанией Trend Micro по программе Zero Day Initiative
WebKit
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Обработка вредоносного веб-содержимого может скомпрометировать информацию пользователя.
Описание. В способе обработки запросов JavaScript пользователя существовала проблема. Эта проблема устранена путем усовершенствования управления состоянием.
CVE-2016-7592: xisigr из отдела Xuanwu Lab компании Tencent (www.tencent.com)
WebKit
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Обработка вредоносного веб-содержимого может приводить к раскрытию памяти процессов.
Описание. Проблема неинициализированного доступа к памяти устранена путем улучшения инициализации памяти.
CVE-2016-7598: Сэмуэл Гросс (Samuel Groß)
WebKit
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Обработка вредоносного веб-содержимого может привести к раскрытию информации пользователя.
Описание. Возникала проблема при обработке перенаправлений HTTP. Проблема устранена путем улучшенной проверки перекрестных источников.
CVE-2016-7599: Мунеаки Нишимура (Muneaki Nishimura, nishimunea) из Recruit Technologies Co., Ltd.
WebKit
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Посещение вредоносного веб-сайта может подвергнуть риску пользовательские данные.
Описание. Возникала проблема при обработке URL больших BLOB-объектов. Проблема устранена путем усовершенствования обработки URL-адресов.
CVE-2016-7623: xisigr из отдела Xuanwu Lab компании Tencent (www.tencent.com)
WebKit
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Посещение вредоносной веб-страницы может привести к неожиданному завершению работы программы или выполнению произвольного кода.
Описание. Проблема повреждения памяти устранена путем улучшенного управления состоянием.
CVE-2016-7632: Чонхун Шин (Jeonghoon Shin)
WebKit
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Обработка вредоносного веб-содержимого может привести к межсайтовому скриптингу.
Описание. Проблема возникала при отображении документов в браузере Safari. Эта проблема устранена путем улучшенной проверки ввода.
CVE-2016-7762: YongShao (Жиён Фен [Zhiyong Feng] из JDSEC 1aq.com)
WebSheet
Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.
Воздействие. Некий процесс в изолированной среде мог обойти ограничения изолированной среды.
Описание. Проблема выхода из изолированной среды решена посредством наложения дополнительных ограничений.
CVE-2016-7630: Марко Грасси (Marco Grassi, @marcograss) из отдела KeenLab (@keen_lab) компании Tencent, сотрудничающий с Trend Micro по программе Zero Day Initiative
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.