Obsah zabezpečenia v systéme iOS 11

V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 11.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.

Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

iOS 11

Vydané 19. septembra 2017

802.1X

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Útočník môže byť schopný zneužiť slabiny protokolu TLS 1.0

Popis: Dochádzalo k problému so zabezpečením protokolu, ktorý bol vyriešený povolením protokolov TLS 1.1 a TLS 1.2.

CVE-2017-13832: Doug Wussler z Floridskej štátnej univerzity

Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 10. novembra 2017

Služba APNs

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Útočník s oprávneniami v sieti môže sledovať používateľa

Popis: Pri používaní klientskych certifikátov dochádzalo k problému s ochranou osobných údajov. Tento problém bol vyriešený použitím revidovaného protokolu.

CVE-2017-13863: Tím FURIOUSMAC z Námornej akadémie Spojených štátov

Dátum pridania záznamu: 21. decembra 2017

Bluetooth

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Aplikácia môže byť schopná získať prístup k obmedzeným súborom

Popis: Pri spracovávaní vizitiek aplikácie Kontakty dochádzalo k problému s ochranou osobných údajov. Tento problém bol vyriešený vylepšením správy stavu.

CVE-2017-7131: Dominik Conrads zo Spolkového úradu pre bezpečnosť informačných technológií, anonymný výskumník, Anand Kathapurkar z Indie, Elvis (@elvisimprsntr)

Dátum aktualizovania záznamu: 9. októbra 2017

CFNetwork

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13829: Niklas Baumstark a Samuel Gro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2017-13833: Niklas Baumstark a Samuel Gro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum pridania záznamu: 10. novembra 2017

Servery proxy CFNetwork

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Útočník s oprávneniami v sieti môže byť schopný spôsobiť odmietnutie služby

Popis: Dochádzalo k viacerým problémom súvisiacim s odmietnutím služby, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2017-7083: Abhinav Bansal zo spoločnosti Zscaler Inc.

Dátum pridania záznamu: 25. septembra 2017

CFString

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2017-13821: Austrálske centrum kybernetickej bezpečnosti – Australian Signals Directorate

Dátum pridania záznamu: 31. októbra 2017

CoreAudio

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený aktualizovaním súčasti Opus na verziu 1.1.4.

CVE-2017-0381: V.E.O (@VYSEa) z tímu Mobile Threat Research Team, Trend Micro

Dátum pridania záznamu: 25. septembra 2017

CoreText

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13825: Austrálske centrum kybernetickej bezpečnosti – Australian Signals Directorate

Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 16. novembra 2018

Exchange ActiveSync

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Útočník s oprávneniami v sieti môže byť schopný vymazať zariadenie počas nastavovania účtu Exchange

Popis: V súčasti AutoDiscover V1 dochádzalo k problému s overovaním. Tento problém bol vyriešený tak, že súčasť AutoDiscover V1 teraz vyžaduje zabezpečenie TLS. V súčasnosti je podporovaná aj súčasť AutoDiscover V2.

CVE-2017-7088: Ilya Nesterov, Maxim Goncharov

File

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Viacero problémov v súčasti file

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním na verziu 5.31.

CVE-2017-13815: Nájdené programom OSS-Fuzz

Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 18. októbra 2018

Písma

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Vykreslenie nedôveryhodného textu môže viesť k falšovaniu

Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2017-13828: Leonard Grey a Robert Sesek z tímu prehliadača Google Chrome

Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 10. novembra 2017

Heimdal

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Útočník s oprávneniami v sieti môže byť schopný vydávať sa za službu

Popis: Pri spracovávaní názvu služby KDC-REP dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni a Nico Williams

Dátum pridania záznamu: 25. septembra 2017

HFS

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13830: Sergej Schumilo z Porúrskej univerzity v Bochume

Dátum pridania záznamu: 31. októbra 2017

iBooks

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Analýza súboru aplikácie iBooks so škodlivým kódom môže viesť k dlhodobému odmietnutiu služby

Popis: Dochádzalo k viacerým problémom súvisiacim s odmietnutím služby, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2017-7072: Jędrzej Krysztofiak

ImageIO

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2017-13814: Austrálske centrum kybernetickej bezpečnosti – Australian Signals Directorate

Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 16. novembra 2018

ImageIO

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2017-13831: Glen Carmichael

Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 3. apríla 2019

Jadro

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-7114: Alex Plaskett zo spoločnosti MWR InfoSecurity

Dátum pridania záznamu: 25. septembra 2017

Jadro

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Lokálny používateľ môže byť schopný čítať pamäť jadra

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2017-13817: Maxime Villard (m00nbsd)

Dátum pridania záznamu: 31. októbra 2017

Jadro

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2017-13818: Národné centrum Spojeného kráľovstva pre kybernetickú bezpečnosť (NCSC)

CVE-2017-13836: Vlad Tsyrklevich

CVE-2017-13841: Vlad Tsyrklevich

CVE-2017-13840: Vlad Tsyrklevich

CVE-2017-13842: Vlad Tsyrklevich

Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 18. júna 2018

Jadro

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13843: Dvaja anonymní výskumníci

Dátum pridania záznamu: 31. októbra 2017

Jadro

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13854: shrek_wzw z tímu Qihoo 360 Nirvan

Dátum pridania záznamu: 2. novembra 2017

Jadro

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Spracovanie poškodeného binárneho súboru mach môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2017-13834: Maxime Villard (m00nbsd)

Dátum pridania záznamu: 10. novembra 2017

Jadro

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Aplikácia so škodlivým kódom môže byť schopná získať informácie o prítomnosti a fungovaní iných aplikácií v zariadení.

Popis: Aplikácia mohla získať neobmedzený prístup k informáciám o sieťovej aktivite, ktoré spravuje operačný systém. Tento problém bol vyriešený obmedzením informácií dostupných pre aplikácie od iných výrobcov.

CVE-2017-13873: Xiaokuan Zhang a Yinqian Zhang z Ohijskej štátnej univerzity, Xueqiang Wang a XiaoFeng Wang z Bloomingtonskej univerzity v Indiane a Xiaolong Bai z univerzity Čching-chua

Dátum pridania záznamu: 30. novembra 2017

Návrhy klávesnice

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: V návrhoch automatických opráv pri písaní na klávesnici sa môžu zobrazovať citlivé informácie

Popis: Klávesnica systému iOS neúmyselne ukladala do vyrovnávacej pamäte citlivé informácie. Tento problém bol vyriešený vylepšením heuristiky.

CVE-2017-7140: Agim Allkanjari zo spoločnosti Stream in Motion Inc.

Dátum aktualizovania záznamu: 9. októbra 2017

libarchive

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Rozbalenie archívu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením medzipamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13813: Nájdené programom OSS-Fuzz

CVE-2017-13816: Nájdené programom OSS-Fuzz

Dátum pridania záznamu: 31. októbra 2017

libarchive

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Rozbalenie archívu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: V súčasti libarchive existovalo viacero problémov súvisiacich s poškodením pamäte. Tieto problémy boli vyriešené vylepšením overovania vstupu.

CVE-2017-13812: Nájdené programom OSS-Fuzz

Dátum pridania záznamu: 31. októbra 2017

libc

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

Popis: Dochádzalo k problému s vyčerpaním prostriedkov vo funkcii glob(), ktorý bol vyriešený vylepšením algoritmu.

CVE-2017-7086: Russ Cox zo spoločnosti Google

Dátum pridania záznamu: 25. septembra 2017

libc

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Aplikácia môže byť schopná spôsobiť odmietnutie služby

Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-1000373

Dátum pridania záznamu: 25. septembra 2017

libexpat

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Viacero problémov v súčasti expat

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním na verziu 2.2.1.

CVE-2016-9063

CVE-2017-9233

Dátum pridania záznamu: 25. septembra 2017

libxml2

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Spracovanie súboru XML so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením medzipamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-7376: Anonymný výskumník

CVE-2017-5130: Anonymný výskumník

Dátum pridania záznamu: 18. októbra 2018

libxml2

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Spracovanie súboru XML so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2017-9050: Mateusz Jurczyk (j00ru) z tímu Google Project Zero

Dátum pridania záznamu: 18. októbra 2018

libxml2

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Spracovanie súboru XML so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s použitím po uvoľnení, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-9049: Wei Lei a Liu Yang – Technologická univerzita v Nanyangu v Singapure

Dátum pridania záznamu: 18. októbra 2018

libxml2

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Spracovanie súboru XML so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s dereferenciou smerníka s hodnotou NULL, ktorý bol vyriešený vylepšením overovania.

CVE-2018-4302: Gustavo Grieco

Dátum pridania záznamu: 18. októbra 2018

Zostava polohy

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Aplikácia môže byť schopná čítať citlivé informácie o polohe

Popis: Pri spracovávaní premennej umiestnenia dochádzalo k problému s povoleniami. Tento problém bol vyriešený pridaním ďalších kontrol vlastníctva.

CVE-2017-7148: Igor Makarov zo spoločnosti Moovit, Will McGinty a Shawnna Rodriguez zo spoločnosti Bottle Rocket Studios

Dátum aktualizovania záznamu: 9. októbra 2017

Koncepty v aplikácii Mail

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dôsledok: Útočník s oprávneniami v sieti môže byť schopný zaznamenávať obsah e-mailov

Popis: Pri spracovávaní konceptov e-mailov dochádzalo k problému so šifrovaním. Tento problém bol vyriešený vylepšením spracovania konceptov e-mailov, ktoré sa majú odosielať zašifrované.

CVE-2017-7078: Petter Flink, Pierre ALBARÈDE z Marseille (Francúzsko), anonymný výskumník

Dátum aktualizovania záznamu: 9. októbra 2017

MessageUI v aplikácii Mail

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2017-7097: Xinshu Dong a Jun Hao Tan zo spoločnosti Anquan Capital

Správy

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením overovania.

CVE-2017-7118: Kiki Jiang a Jason Tokoph

MobileBackup

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Funkcia zálohovania môže vytvárať nešifrované zálohy, aj keď sa požaduje vytváranie len šifrovaných záloh

Popis: Dochádzalo k problému s povoleniami. Tento problém bol vyriešený vylepšením overovania povolení.

CVE-2017-7133: Don Sparks z tímu HackediOS.com

Poznámky

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Lokálny používateľ môže byť schopný spôsobiť únik citlivých používateľských informácií

Popis: Vo výsledkoch vyhľadávania sa niekedy zobrazoval obsah zamknutých poznámok. Tento problém bol vyriešený vylepšením čistenia dát.

CVE-2017-7075: Richard Will zo spoločnosti Marathon Oil Company

Dátum pridania záznamu: 10. novembra 2017

Telefón

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Pri zamykaní zariadenia so systémom iOS sa môže vytvoriť snímka obrazovky so zabezpečeným obsahom

Popis: Pri spracovávaní zamykania dochádzalo k problému s časovaním. Tento problém bol vyriešený zakázaním snímok obrazovky pri zamykaní.

CVE-2017-7139: Anonymný výskumník

Dátum pridania záznamu: 25. septembra 2017

Profily

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Do zariadenia sa mohli neúmyselne nainštalovať záznamy párovania zariadenia, aj keď v ňom bol nainštalovaný profil, ktorý párovanie zakazuje

Popis: Pri inštalácii profilu, ktorý zakazuje párovanie, sa neodstraňovali staré párovania. Tento problém bol vyriešený odstránením párovaní, ktoré sú v konflikte s konfiguračným profilom.

CVE-2017-13806: Rorie Hood zo spoločnosti MWR InfoSecurity

Dátum pridania záznamu: 2. novembra 2017

Rýchly náhľad

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2017-13822: Austrálske centrum kybernetickej bezpečnosti – Australian Signals Directorate

Dátum pridania záznamu: 31. októbra 2017

Rýchly náhľad

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Analýza dokumentu balíka Office so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-7132: Austrálske centrum kybernetickej bezpečnosti – Australian Signals Directorate

Dátum pridania záznamu: 31. októbra 2017

Safari

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou

Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2017-7085: xisigr z tímu Xuanwu Lab spoločnosti Tencent (tencent.com)

Profily izolovaného priestoru

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Aplikácia so škodlivým kódom môže byť schopná získať informácie o prítomnosti iných aplikácií v zariadení.

Popis: Aplikácia bola schopná určiť existenciu súborov mimo svojho izolovaného priestoru. Tento problém bol vyriešený dodatočnými kontrolami izolovaného priestoru.

CVE-2017-13877: Xiaokuan Zhang a Yinqian Zhang z Ohijskej štátnej univerzity, Xueqiang Wang a XiaoFeng Wang z Bloomingtonskej univerzity v Indiane a Xiaolong Bai z univerzity Čching-chua

Dátum pridania záznamu: 30. novembra 2017

Zabezpečenie

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Systém môže považovať zrušený certifikát za dôveryhodný

Popis: Pri spracovávaní dát zrušených certifikátov dochádzalo k problému s overovaním certifikátov. Tento problém bol vyriešený vylepšením overovania.

CVE-2017-7080: Dvaja anonymní výskumníci, Sven Driemecker zo spoločnosti adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) z obce Bærum

Dátum pridania záznamu: 25. septembra 2017

Zabezpečenie

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Aplikácia so škodlivým kódom môže byť schopná sledovať používateľov medzi inštaláciami

Popis: Pri spracovávaní dát aplikácie v Kľúčenke dochádzalo k problému s kontrolou povolení. Tento problém bol vyriešený vylepšením kontroly povolení.

CVE-2017-7146: Anonymný výskumník

Dátum pridania záznamu: 25. septembra 2017

SQLite

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Viacero problémov v súčasti SQLite

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním na verziu 3.19.3.

CVE-2017-10989: Nájdené programom OSS-Fuzz

CVE-2017-7128: Nájdené programom OSS-Fuzz

CVE-2017-7129: Nájdené programom OSS-Fuzz

CVE-2017-7130: Nájdené programom OSS-Fuzz

Dátum pridania záznamu: 25. septembra 2017

SQLite

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-7127: Anonymný výskumník

Dátum pridania záznamu: 25. septembra 2017

Telefónne funkcie

Dostupné pre: iPhone 5s a novší a modely Wi-Fi + Cellular iPadu Air a novšieho

Dopad: Útočník nachádzajúci sa v dosahu môže byť schopný spustiť ľubovoľný kód

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-6211: Matthew Spisak zo spoločnosti ENDGAME (endgame.com)

Dátum pridania záznamu: 4. decembra 2017

Čas

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Funkcia nastavenia časového pásma môže nesprávne uvádzať, že používa údaje o polohe

Popis: V procese spracovania informácií o časovom pásme dochádzalo k problému s povoleniami. Tento problém bol vyriešený úpravou povolení.

CVE-2017-7145: Chris Lawrence

Dátum aktualizovania záznamu: 9. októbra 2017

WebKit

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2017-7081: Apple

Dátum pridania záznamu: 25. septembra 2017

WebKit

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan z tímu Baidu Security Lab v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2017-7092: Samuel Gro a Niklas Baumstark v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Qixun Zhao (@S0rryMybad) z tímu Qihoo 360 Vulcan

CVE-2017-7093: Samuel Gro a Niklas Baumstark v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2017-7094: Tim Michaud (@TimGMichaud) z tímu Leviathan Security Group

CVE-2017-7095: Wang Junjie, Wei Lei a Liu Yang z Technologickej univerzity v Nanyangu v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2017-7096: Wei Yuan z tímu Baidu Security Lab

CVE-2017-7098: Felipe Freitas z organizácie Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa a Mario Heiderich zo spoločnosti Cure53

CVE-2017-7102: Wang Junjie, Wei Lei a Liu Yang z Technologickej univerzity v Nanyangu

CVE-2017-7104: likemeng z tímu Baidu Security Lab

CVE-2017-7107: Wang Junjie, Wei Lei a Liu Yang z Technologickej univerzity v Nanyangu

CVE-2017-7111: likemeng z tímu Baidu Security Lab (xlab.baidu.com) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2017-7117: lokihardt z tímu Google Project Zero

CVE-2017-7120: chenqin (陈钦) z tímu Ant-financial Light-Year Security Lab

Dátum pridania záznamu: 25. septembra 2017

WebKit

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)

Popis: Pri spracovávaní príkazu parent-tab dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.

CVE-2017-7089: Anton Lopanitsyn zo spoločnosti ONSEC, Frans Rosén zo spoločnosti Detectify

WebKit

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Súbory cookie z jednej domény sa môžu odoslať na inú doménu

Popis: Pri spracovávaní súborov cookie webového prehliadača dochádzalo k problému s povoleniami. Tento problém bol vyriešený tým, že sa prestali vracať súbory cookie z vlastných schém URL.

CVE-2017-7090: Apple

Dátum pridania záznamu: 25. septembra 2017

WebKit

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou

Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2017-7106: Oliver Paukstadt zo spoločnosti Thinking Objects GmbH (to.com)

WebKit

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)

Popis: Zásady aplikačnej vyrovnávacej pamäte sa mohli uplatňovať neočakávane.

CVE-2017-7109: avlidienbrunn

Dátum pridania záznamu: 25. septembra 2017

WebKit

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Webová stránka so škodlivým kódom môže byť schopná sledovať používateľov v režime anonymného prezerania v Safari

Popis: Pri spracovávaní súborov cookie webového prehliadača dochádzalo k problému s povoleniami. Tento problém bol vyriešený vylepšením obmedzení.

CVE-2017-7144: Mohammad Ghasemisharif z tímu BITS Lab spoločnosti UIC

Dátum aktualizovania záznamu: 9. októbra 2017

Úložisko WebKitu

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Po relácii anonymného prezerania v Safari sa môžu zachovať dáta webových stránok

Popis: Pri spracovávaní dát webových stránok v oknách anonymného prezerania v Safari dochádzalo k problému s únikom informácií. Tento problém bol vyriešený vylepšením spracovania dát.

CVE-2017-7142: Rich Shawn O’Connell, dvaja anonymní výskumníci

Dátum pridania záznamu: 10. novembra 2017

Wi-Fi

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Útočník nachádzajúci sa v dosahu môže byť schopný spustiť ľubovoľný kód vo Wi-Fi čipe

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-11120: Gal Beniamini z tímu Google Project Zero

CVE-2017-11121: Gal Beniamini z tímu Google Project Zero

Dátum pridania záznamu: 25. septembra 2017

Wi-Fi

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Škodlivý kód spustený v čipe Wi-Fi môže byť schopný spustiť v aplikačnom procesore ľubovoľný kód s oprávneniami jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-7103: Gal Beniamini z tímu Google Project Zero

CVE-2017-7105: Gal Beniamini z tímu Google Project Zero

CVE-2017-7108: Gal Beniamini z tímu Google Project Zero

CVE-2017-7110: Gal Beniamini z tímu Google Project Zero

CVE-2017-7112: Gal Beniamini z tímu Google Project Zero

Wi-Fi

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Škodlivý kód spustený v čipe Wi-Fi môže byť schopný spustiť v aplikačnom procesore ľubovoľný kód s oprávneniami jadra

Popis: Dochádzalo k viacerým problémom s postupnosťou vykonania procesov, ktoré boli vyriešené vylepšením overovania.

CVE-2017-7115: Gal Beniamini z tímu Google Project Zero

Wi-Fi

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Škodlivý kód spustený v čipe Wi-Fi môže byť schopný čítať vyhradenú pamäť jadra

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2017-7116: Gal Beniamini z tímu Google Project Zero

Wi-Fi

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Útočník v dosahu môže byť schopný čítať vyhradenú pamäť z Wi-Fi čipu

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2017-11122: Gal Beniamini z tímu Google Project Zero

Dátum pridania záznamu: 2. októbra 2017

zlib

K dispozícii pre: iPhone 5s a novší, iPad Air a novší a iPod touch (6. generácia)

Dopad: Viacero problémov v súčasti zlib

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním na verziu 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Dátum pridania záznamu: 25. septembra 2017

Ďalšie poďakovanie

LaunchServices

Poďakovanie za pomoc si zaslúži Mark Zimmermann zo spoločnosti EnBW Energie Baden-Württemberg AG.

Zabezpečenie

Poďakovanie za pomoc si zaslúži Abhinav Bansal zo spoločnosti Zscaler, Inc.

Webkit

Poďakovanie za pomoc si zaslúži xisigr z tímu Xuanwu Lab spoločnosti Tencent (tencent.com).

WebKit

Poďakovanie za pomoc si zaslúži Rayyan Bijoora (@Bijoora) z The City School, PAF Chapter.

WebKit Web Inspector

Poďakovanie za pomoc si zaslúži Ioan Bizău zo spoločnosti Bloggify.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: