Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.
В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.
ОС iOS 11.1
Дата выпуска: 31 октября 2017 г.
CoreText
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Обработка вредоносного текстового файла может приводить к неожиданному завершению работы программы.
Описание. Проблема отказа в обслуживании устранена путем улучшенной обработки памяти.
CVE-2017-13849: пользователь Ro из SAVSEC
Ядро
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Программа может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2017-13799: Люфен Ли (Lufeng Li) из группы Vulcan в Qihoo 360
Запись обновлена 10 ноября 2017 г.
Ядро
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Вредоносная программа может запоминать информацию о наличии на устройстве других программ и их работе.
Описание. Программа могла получить доступ к данным о процессах, которые находились в открытой области операционной системы. Проблема устранена путем ограничения скорости передачи.
CVE-2017-13852: Сяокуань Чжан (Xiaokuan Zhang) и Иньцянь Чжан (Yinqian Zhang) из Университета штата Огайо, Сюцян Ван (Xueqiang Wang) и Сяо Фен Ван (XiaoFeng Wang) из Индианского университета в Блумингтоне и Сяолун Бай (Xiaolong Bai) из университета Цинхуа
Запись добавлена 10 ноября 2017 г.
Сообщения
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Пользователь, у которого есть физический доступ к устройству iOS, может получить доступ к фотографиям с экрана блокировки.
Описание. Проблема с заблокированным экраном позволяла получить доступ к фотографиям на заблокированном устройстве посредством функции ответа сообщением. Проблема устранена путем улучшенного управления состояниями.
CVE-2017-13844: Мигель Альварадо (Miguel Alvarado) из iDeviceHelp INC
Siri
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Пользователь, у которого есть физический доступ к устройству iOS, может использовать Siri для просмотра уведомлений о содержимом, не отображаемом на экране блокировки.
Описание. Возникала проблема с разрешениями Siri. Проблема устранена путем улучшенной проверки разрешений.
CVE-2017-13805: Йигит Кан Йилмаз (Yiğit Can Yilmaz, @yilmazcanyigit), Айден Панхейзен (Ayden Panhuyzen, madebyayden.co)
Запись обновлена 14 июня 2018 г.
StreamingZip
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Вредоносный файл ZIP может изменять области файловой системы с ограниченным доступом.
Описание. Проблема с обработкой пути устранена путем улучшенной проверки.
CVE-2017-13804: пользователь @qwertyoruiopz из KJC Research Intl. S.R.L.
UIKit
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Непреднамеренное раскрытие символов в защищенном текстовом поле.
Описание. Символы, содержащиеся в защищенном текстовом поле, отображались в ходе событий смены фокуса. Эта проблема устранена путем улучшенного управления состояниями.
CVE-2017-7113: анонимный исследователь, Дурайамутан Харикришнан (Duraiamuthan Harikrishnan) из Tech Mahindra, Рикардо Сампайо (Ricardo Sampayo) из Bemo Ltd
WebKit
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.
CVE-2017-13783: Айвен Фратрик (Ivan Fratric) из Google Project Zero
CVE-2017-13784: Айвен Фратрик (Ivan Fratric) из Google Project Zero
CVE-2017-13785: Айвен Фратрик (Ivan Fratric) из Google Project Zero
CVE-2017-13791: Айвен Фратрик (Ivan Fratric) из Google Project Zero
CVE-2017-13792: Айвен Фратрик (Ivan Fratric) из Google Project Zero
CVE-2017-13793: Ханул Чои (Hanul Choi), сотрудничающий с Trend Micro в рамках программы Zero Day Initiative
CVE-2017-13794: Айвен Фратрик (Ivan Fratric) из Google Project Zero
CVE-2017-13795: Айвен Фратрик (Ivan Fratric) из Google Project Zero
CVE-2017-13796: Айвен Фратрик (Ivan Fratric) из Google Project Zero
CVE-2017-13797: Айвен Фратрик (Ivan Fratric) из Google Project Zero
CVE-2017-13798: Айвен Фратрик (Ivan Fratric) из Google Project Zero
CVE-2017-13788: пользователь xisigr из отдела Xuanwu Lab компании Tencent (tencent.com)
CVE-2017-13802: Айвен Фратрик (Ivan Fratric) из Google Project Zero
CVE-2017-13803: пользователь chenqin (陈钦) из Ant-financial Light-Year Security
Запись обновлена 21 декабря 2017 г.
Wi-Fi
Целевые продукты: iPhone 8, iPhone 8 Plus и iPhone X
Не затрагиваемые продукты: iPhone 7, iPhone 7 Plus, iPhone 6s, iPhone 6s Plus, iPhone 6, iPhone 6 Plus, iPhone SE, iPhone 5s, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Злоумышленник, находящийся в радиусе действия сети Wi-Fi, может принудить клиенты WPA, выполняющие одноадресную рассылку, или клиенты PTK повторно использовать случайные числа (атаки на повторную установку ключей, KRACK).
Описание. При обработке переносов состояний возникала логическая ошибка. Проблема устранена путем улучшенного управления состояниями.
CVE-2017-13077: Мати Ванхеф (Mathy Vanhoef) из группы imec-DistriNet Левенского университета
CVE-2017-13078: Мати Ванхеф (Mathy Vanhoef) из группы imec-DistriNet Левенского университета
Запись обновлена 3 ноября 2017 г.
Wi-Fi
Целевые продукты: iPhone 7 и более поздние модели, iPad Pro (9,7 дюйма, начало 2016 г.) и более поздние модели
Воздействие. Злоумышленник, находящийся в радиусе действия сети Wi-Fi, может принудить клиенты WPA, выполняющие многоадресную рассылку/клиенты GTK повторно использовать случайные числа (атаки на повторную установку ключей, KRACK).
Описание. При обработке переносов состояний возникала логическая ошибка. Проблема устранена путем улучшенного управления состояниями.
CVE-2017-13080: Мати Ванхеф (Mathy Vanhoef) из группы imec-DistriNet Левенского университета
Запись обновлена 3 ноября 2017 г.