Сведения о проблемах системы безопасности, устраненных в ОС iOS 10.2

В этом документе описаны проблемы системы безопасности, устраненные в ОС iOS 10.2.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

ОС iOS 10.2

Версия выпущена 12 декабря 2016 г.

Доступность

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Находящийся рядом пользователь может подслушать проговариваемые пароли.

Описание. При обработке паролей возникала проблема с их раскрытием. Эта проблема устранена путем отключения проговаривания паролей.

CVE-2016-7634: Давут Хари (Davut Hari), Бирен В. Сони (Biren V. Soni), Кэмерон Ли (Cameron Lee)

Запись обновлена 10 января 2017 г.

Доступность

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Лицо, имеющее физический доступ к устройству с ОС iOS, может получить доступ к фотографиям и контактам с экрана блокировки.

Описание. Проблема с заблокированным экраном позволяла получить доступ к фотографиям и контактам на заблокированном устройстве. Проблема была решена ограничением предлагаемых опций на заблокированном устройстве.

CVE-2016-7664: Мигель Алварадо (Miguel Alvarado) из iDeviceHelp

Учетные записи

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Существовала проблема, из-за которой не сбрасывались настройки авторизации при удалении программы.

Описание. Проблема устранена путем улучшенной авторизации.

CVE-2016-7651: Цзюй Чжу (Ju Zhu) и Лилан Ву (Lilang Wu) из Trend Micro

Звук

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Обработка вредоносного файла могла привести к выполнению произвольного кода.

Описание. Проблема повреждения памяти устранена путем улучшенной проверки ввода.

CVE-2016-7658: Хаохао Кун (Haohao Kong) из отдела Keen Lab (@keen_lab) компании Tencent

CVE-2016-7659: Хаохао Кун (Haohao Kong) из отдела Keen Lab (@keen_lab) компании Tencent

Запись добавлена 13 декабря 2016 г.

Буфер обмена

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Злоумышленник в локальной сети может получить доступ к содержимому буфера обмена. 

Описание. Содержимое буфера обмена было доступно до разблокировки устройства. Эта проблема устранена путем улучшенного управления состояниями. 

CVE-2016-7765: CongRong (@Tr3jer)

Запись обновлена 17 января 2017 г.

CoreFoundation

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Обработка вредоносных строк могла приводить к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. При обработке строк возникала проблема повреждения памяти. Проблема устранена путем улучшенной проверки границ памяти.

CVE-2016-7663: анонимный исследователь

Запись добавлена 13 декабря 2016 г.

CoreGraphics

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Обработка вредоносного файла шрифта может приводить к неожиданному завершению работы программы.

Описание. Проблема разыменования нулевого указателя решена путем улучшенной проверки ввода.

CVE-2016-7627: TRAPMINE Inc. и Мейзам Фироузи (Meysam Firouzi) @R00tkitSMM

Запись добавлена 13 декабря 2016 г.

Внешние дисплеи CoreMedia

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Локальная программа может исполнять произвольный код в контексте демона медиасервера.

Описание. Проблема смешения типов устранена путем улучшенной обработки памяти.

CVE-2016-7655: Keen Lab в сотрудничестве с компанией Trend Micro по программе Zero Day Initiative

Запись добавлена 13 декабря 2016 г.

Воспроизведение CoreMedia

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Обработка вредоносного файла .mp4 могла привести к выполнению произвольного кода.

Описание. Проблема повреждения памяти устранена путем улучшенной обработки памяти.

CVE-2016-7588: dragonltx из лабораторий Huawei 2012 Laboratories

Запись добавлена 13 декабря 2016 г.

CoreText

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Обработка вредоносного файла шрифта может приводить к выполнению произвольного кода.

Описание. При обработке файлов шрифтов возникал ряд проблем повреждения памяти. Проблемы были устранены путем улучшенной проверки границ.

CVE-2016-7595: пользователь riusksk (泉哥) из подразделения Tencent по разработке платформы безопасности

Запись добавлена 13 декабря 2016 г.

CoreText

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Обработка вредоносной строки может привести к отказу от обслуживания.

Описание. Для устранения проблемы при обработке перекрывающихся диапазонов улучшена проверка.

CVE-2016-7667: Нассер Аль-Хадхрами (Nasser Al-Hadhrami) (@fast_hack), Сайф Аль-Хинай (Saif Al-Hinai, welcom_there) из компании Digital Unit (dgunit.com)

Запись добавлена 15 декабря 2016 г.

Образы дисков

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема повреждения памяти устранена путем улучшенной проверки ввода.

CVE-2016-7616: пользователь daybreaker@Minionz, сотрудничающий с компанией Trend Micro по программе Zero Day Initiative

Запись добавлена 13 декабря 2016 г.

Найти iPhone

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Злоумышленник, которому в руки попало незаблокированное устройство, может отключить службу «Найти iPhone».

Описание. При обработке данных аутентификации возникала проблема управления состоянием.  Эта проблема устранена посредством улучшенного хранения данных учетной записи.

CVE-2016-7638: анонимный исследователь, Сезер Сакинер (Sezer Sakiner)

FontParser

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Обработка вредоносного файла шрифта может приводить к выполнению произвольного кода.

Описание. При обработке файлов шрифтов возникал ряд проблем повреждения памяти. Проблемы были устранены путем улучшенной проверки границ.

CVE-2016-4691: пользователь riusksk (泉哥) из подразделения Tencent по разработке платформы безопасности

Запись добавлена 13 декабря 2016 г.

Графический драйвер

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Просмотр вредоносного видео мог привести к отказу в обслуживании.

Описание. При обработке видео возникал отказ в обслуживании. Эта проблема устранена путем улучшенной проверки ввода.

CVE-2016-7665: Моатаз Ель Гамбл (Moataz El Gaml) из Schlumberger, Даниэл Шуртер (Daniel Schurter) из watson.ch и Марк Рюф (Marc Ruef) из scip AG

Запись обновлена 15 декабря 2016 г.

ICU

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема повреждения памяти устранена путем улучшенной обработки памяти.

CVE-2016-7594: Андре Баргулл (André Bargull)

Запись добавлена 13 декабря 2016 г.

Захват изображений

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Вредоносное устройство ввода может вызвать выполнение произвольного кода.

Описание. При использовании USB-устройств обработки изображений существовала проблема проверки. Эта проблема устранена путем улучшенной проверки ввода.

CVE-2016-4690: Энди Дэвис (Andy Davis) из компании NCC Group

ImageIO

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Злоумышленник может удаленно инициировать утечку памяти.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2016-7643: Янкан (Yangkang) (@dnpushme) из Qihoo360 Qex Team

Запись добавлена 13 декабря 2016 г.

IOHIDFamily

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Локальная программа с привилегиями пользователя может выполнять произвольный код с привилегиями ядра.

Описание. Проблема использования памяти после ее освобождения устранена путем улучшенного управления памятью.

CVE-2016-7591: пользователь daybreaker из Minionz

Запись добавлена 13 декабря 2016 г.

IOKit

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Программа могла прочитать данные из памяти ядра.

Описание. Проблема повреждения памяти устранена путем улучшенной проверки ввода.

CVE-2016-7657: Keen Lab в сотрудничестве с компанией Trend Micro по программе Zero Day Initiative

Запись добавлена 13 декабря 2016 г.

IOKit

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Локальный пользователь может определять схему распределения памяти в ядре.

Описание. Проблема совместно используемой памяти устранена путем улучшенной обработки памяти.

CVE-2016-7714: Цидань Хэ (Qidan He, @flanker_hqd) из KeenLab, сотрудничающий с Trend Micro по программе Zero Day Initiative

Запись добавлена 25 января 2017 г.

JavaScriptCore

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Сценарий, выполняемый в изолированной среде JavaScript, может получить доступ к состоянию за пределами этой изолированной среды.

Описание. При обработке JavaScript возникала проблема проверки. Эта проблема устранена путем улучшенной проверки.

CVE-2016-4695: Марк С. Миллер (Mark S. Miller) из Google

Запись добавлена 16 августа 2017 г.

Ядро

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Программа может выполнять произвольный код с привилегиями ядра. 

Описание. Ряд проблем повреждения памяти устранен путем улучшенной проверки ввода.

CVE-2016-7606: @cocoahuke, Чэнь Цинь (Chen Qin) из Topsec Alpha Team (topsec.com)

CVE-2016-7612: Иэн Бир (Ian Beer) из подразделения Google Project Zero

Запись добавлена 13 декабря 2016 г.

Ядро

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Программа могла прочитать данные из памяти ядра.

Описание. Проблема недостаточной инициализации устранена путем правильной инициализации памяти, возвращаемой в пространство пользователя.

CVE-2016-7607: Брэндон Азад (Brandon Azad)

Запись добавлена 13 декабря 2016 г.

Ядро

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Локальный пользователь может вызвать отказ в обслуживании.

Описание. Проблема отказа в обслуживании устранена путем улучшенной обработки памяти.

CVE-2016-7615: Центр национальной кибербезопасности Соединенного Королевства (National Cyber Security Centre, NCSC)

Запись добавлена 13 декабря 2016 г.

Ядро

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Локальный пользователь может вызвать внезапное завершение работы системы или выполнить произвольный код в ядре.

Описание. Проблема использования памяти после ее освобождения устранена путем улучшенного управления памятью.

CVE-2016-7621: Иэн Бир (Ian Beer) из подразделения Google Project Zero

Запись добавлена 13 декабря 2016 г.

Ядро

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Локальный пользователь может получить привилегии корневого пользователя.

Описание. Проблема повреждения памяти устранена путем улучшенной проверки ввода.

CVE-2016-7637: Иэн Бир (Ian Beer) из подразделения Google Project Zero

Запись добавлена 13 декабря 2016 г.

Ядро

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Локальная программа с привилегиями пользователя может выполнять произвольный код с привилегиями ядра.

Описание. Проблема использования памяти после ее освобождения устранена путем улучшенного управления памятью.

CVE-2016-7644: Иэн Бир (Ian Beer) из подразделения Google Project Zero

Запись добавлена 13 декабря 2016 г.

Ядро

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Программа может вызвать отказ в обслуживании.

Описание. Проблема отказа в обслуживании устранена путем улучшенной обработки памяти.

CVE-2016-7647: Лю Фен Ли (Lufeng Li) из подразделения Qihoo 360 Vulcan

Запись добавлена 17 мая 2017 г.

Ядро

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Вредоносная программа может получить доступ к MAC-адресу устройства.

Описание. Проблема с доступом устранена посредством ввода дополнительных ограничений песочницы для программ сторонних разработчиков.

CVE-2016-7766: Цзюнь Ян (Jun Yang) из отдела WeiXin Group компании Tencent

Запись добавлена 31 мая 2017 г.

libarchive

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Локальный злоумышленник может перезаписать существующие файлы.

Описание. При обработке символьных ссылок возникала проблема проверки. Эта проблема устранена путем улучшенной проверки символьных ссылок.

CVE-2016-7619: анонимный исследователь

Запись добавлена 13 декабря 2016 г.

Локальная аутентификация

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Устройство может не блокировать экран по истечении таймера бездействия.

Описание. При обработке таймера бездействия возникала проблема с логикой, когда отображается запрос Touch ID. Проблема устранена путем улучшенной обработки таймера бездействия.

CVE-2016-7601: анонимный исследователь

Почта

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Сообщение электронной почты, подписанное с использованием отозванного сертификата, может отображаться как допустимое.

Описание. Политике S/MIME не удалось проверить действительность сертификата.  Эта проблема устранена путем уведомления пользователя в тех случаях, когда сообщение электронной почты подписано с использованием отозванного сертификата.

CVE-2016-4689: анонимный исследователь

Проигрыватель

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Пользователь может просматривать фотографии и контакты с экрана блокировки.

Описание. При обработке выбора медиаданных существовала проблема проверки. Эта проблема устранена путем улучшенной проверки.

CVE-2016-7653

Управление питанием

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Локальный пользователь может получить привилегии корневого пользователя.

Описание. Проблем в ссылках mach_port_name решена посредством улучшенной проверки.

CVE-2016-7661: Иэн Бир (Ian Beer) из подразделения Google Project Zero

Запись добавлена 13 декабря 2016 г.

Профили

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Открытие вредоносного сертификата могло привести к выполнению произвольного кода.

Описание. При обработке профилей сертификатов существовала проблема повреждения памяти. Эта проблема устранена путем улучшенной проверки ввода.

CVE-2016-7626: Максимилиан Арцемовиц (Maksymilian Arciemowicz) (cxsecurity.com)

Safari Reader

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Включение функции Safari Reader на вредоносной веб-странице может приводить к выполнению универсальных межсайтовых сценариев.

Описание. Ряд проблем проверки устранен путем улучшенной очистки ввода.

CVE-2016-7650: Эрлинг Эллингсен (Erling Ellingsen)

Запись добавлена 13 декабря 2016 г.

Безопасность

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Злоумышленник может воспользоваться слабостью криптографического алгоритма 3DES.

Описание. 3DES больше не используется в качестве шифра по умолчанию.

CVE-2016-4693: Гаэтан Лоран (Gaëtan Leurent) и Картикеяан Бхаргаван (Karthikeyan Bhargavan) из INRIA Paris

Запись добавлена 13 декабря 2016 г.

Безопасность

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может вызвать отказ в обслуживании.

Описание. При обработке URL-адресов ответчика OCSP существовала проблема проверки. Проблема устранена путем подтверждения статуса отзыва OCSP после проверки центра сертификации и посредством ограничения количества запросов OCSP на один сертификат.

CVE-2016-7636: Максимилиан Арцемовиц (Maksymilian Arciemowicz) (cxsecurity.com)

Запись добавлена 13 декабря 2016 г.

Безопасность

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Сертификаты могут неожиданно оцениваться как доверенные.

Описание. При проверки сертификатов возникала проблема оценки сертификатов. Эта проблема решена путем дополнительной проверки сертификатов.

CVE-2016-7662: Apple

Запись добавлена 13 декабря 2016 г.

SpringBoard

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Пользователь, имеющий физический доступ к устройству с ОС iOS, может разблокировать устройство.

Описание. В некоторых случаях при обработке попыток ввода пароля во время сброса возникала проблема с подсчетом попыток. Эта проблема устранена путем усовершенствования управления состоянием.

CVE-2016-4781: анонимный исследователь

SpringBoard

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Пользователь, имеющий физический доступ к устройству с ОС iOS, может препятствовать блокировке устройства.

Описание. При обработке операций Handoff с использованием Siri возникала проблема очистки.  Эта проблема устранена путем усовершенствования управления состоянием.

CVE-2016-7597: анонимный исследователь

Системный журнал

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Локальный пользователь может получить привилегии корневого пользователя.

Описание. Проблем в ссылках mach_port_name решена посредством улучшенной проверки.

CVE-2016-7660: Иэн Бир (Ian Beer) из подразделения Google Project Zero

Запись добавлена 13 декабря 2016 г.

WebKit

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки памяти.

CVE-2016-4692: Apple

CVE-2016-7635: Apple

CVE-2016-7652: Apple

Запись добавлена 13 декабря 2016 г.

WebKit

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Обработка вредоносного веб-содержимого может приводить к раскрытию памяти процессов.

Описание. Проблема повреждения памяти устранена путем улучшенной проверки ввода.

CVE-2016-4743: Алан Каттер (Alan Cutter)

Запись добавлена 13 декабря 2016 г.

WebKit

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Обработка вредоносного веб-содержимого может привести к раскрытию информации пользователя.

Описание. Проблема проверки устранена путем улучшенного управления состояниями.

CVE-2016-7586: Борис Збарски (Boris Zbarsky)

Запись добавлена 13 декабря 2016 г.

WebKit

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Ряд проблем повреждения памяти устранен путем улучшенного управления состоянием.

CVE-2016-7587: Адам Кляйн (Adam Klein)

CVE-2016-7610: Чжэн Хуань (Zheng Huang) из Baidu Security Lab в сотрудничестве с компанией Trend Micro по программе Zero Day Initiative

CVE-2016-7611: анонимный исследователь, сотрудничающий с Trend Micro в рамках программы Zero Day Initiative

CVE-2016-7639: Тунбо Ло (Tongbo Luo) из компании Palo Alto Networks

CVE-2016-7640: Кай Кан (Kai Kang) из отдела Xuanwu Lab компании Tencent (tencent.com)

CVE-2016-7641: Кай Кан (Kai Kang) из отдела Xuanwu Lab компании Tencent (tencent.com)

CVE-2016-7642: Тунбо Ло (Tongbo Luo) из компании Palo Alto Networks

CVE-2016-7645: Кай Кан (Kai Kang) из отдела Xuanwu Lab компании Tencent (tencent.com)

CVE-2016-7646: Кай Кан (Kai Kang) из отдела Xuanwu Lab компании Tencent (tencent.com)

CVE-2016-7648: Кай Кан (Kai Kang) из отдела Xuanwu Lab компании Tencent (tencent.com)

CVE-2016-7649: Кай Кан (Kai Kang) из отдела Xuanwu Lab компании Tencent (tencent.com)

CVE-2016-7654: Keen Lab в сотрудничестве с компанией Trend Micro по программе Zero Day Initiative

Запись добавлена 13 декабря 2016 г.

WebKit

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема повреждения памяти устранена путем улучшенного управления состоянием.

CVE-2016-7589: Apple

CVE-2016-7656: Keen Lab в сотрудничестве с компанией Trend Micro по программе Zero Day Initiative

Запись добавлена 13 декабря 2016 г.

WebKit

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Обработка вредоносного веб-содержимого может скомпрометировать информацию пользователя.

Описание. В способе обработки запросов JavaScript пользователя существовала проблема. Эта проблема устранена путем усовершенствования управления состоянием.

CVE-2016-7592: xisigr из отдела Xuanwu Lab компании Tencent (www.tencent.com)

Запись добавлена 13 декабря 2016 г.

WebKit

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Обработка вредоносного веб-содержимого может приводить к раскрытию памяти процессов.

Описание. Проблема неинициализированного доступа к памяти устранена путем улучшения инициализации памяти.

CVE-2016-7598: Сэмуэл Гросс (Samuel Groß)

Запись добавлена 13 декабря 2016 г.

WebKit

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Обработка вредоносного веб-содержимого может привести к раскрытию информации пользователя.

Описание. Возникала проблема при обработке перенаправлений HTTP. Проблема устранена путем улучшенной проверки перекрестных источников.

CVE-2016-7599: Мунеаки Нишимура (Muneaki Nishimura, nishimunea) из Recruit Technologies Co., Ltd.

Запись добавлена 13 декабря 2016 г.

WebKit

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Посещение вредоносного веб-сайта может подвергнуть риску пользовательские данные.

Описание. Возникала проблема при обработке URL больших BLOB-объектов.  Проблема устранена путем усовершенствования обработки URL-адресов.

CVE-2016-7623: xisigr из отдела Xuanwu Lab компании Tencent (www.tencent.com)

Запись добавлена 13 декабря 2016 г.

WebKit

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Посещение вредоносной веб-страницы может привести к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. Проблема повреждения памяти устранена путем улучшенного управления состоянием.

CVE-2016-7632: Чонхун Шин (Jeonghoon Shin)

Запись добавлена 13 декабря 2016 г.

WebKit

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Обработка вредоносного веб-содержимого может привести к межсайтовому скриптингу.

Описание. Проблема возникала при отображении документов в браузере Safari. Эта проблема устранена путем улучшенной проверки ввода.

CVE-2016-7762: YongShao (Жиён Фен [Zhiyong Feng] из JDSEC 1aq.com‍)

Запись добавлена 24 января 2017 г.

WebSheet

Доступно для: iPhone 5 и более поздних моделей, iPad (4-го поколения) и более поздних моделей, iPod touch (6-го поколения) и более поздних моделей.

Воздействие. Некий процесс в изолированной среде мог обойти ограничения изолированной среды.

Описание. Проблема выхода из изолированной среды решена посредством наложения дополнительных ограничений.

CVE-2016-7630: Марко Грасси (Marco Grassi, @marcograss) из отдела KeenLab (@keen_lab) компании Tencent, сотрудничающий с Trend Micro по программе Zero Day Initiative

Запись добавлена 25 января 2017 г.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: