Om säkerhetsinnehållet i iOS 10.2.1
Det här dokumentet beskriver säkerhetsinnehållet i iOS 10.2.1.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
iOS 10.2.1
Server för APN-tjänst
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: En angripare i en behörig nätverksposition kan spåra en användares aktivitet
Beskrivning: Ett klientcertifikat skickades i klartext. Problemet åtgärdades genom förbättrad certifikathantering.
CVE-2017-2383: Matthias Wachs och Quirin Scheitle på Technical University Munich (TUM)
Samtalshistorik
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Uppdateringar för CallKit-samtalshistorik skickas till iCloud
Beskrivning: Ett problem förekom som förhindrade överföring av CallKit-samtalshistorik till iCloud. Problemet åtgärdades genom förbättrad logik.
CVE-2017-2375: Elcomsoft
Kontakter
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av ett skadligt utformat kontaktkort kunde leda till att program avslutades oväntat
Beskrivning: Det förekom ett problem med indatavalidering i tolkningen av kontaktkort. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-2017-2368: Vincent Desmurs (vincedes3)
Kernel
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.
CVE-2017-2370: Ian Beer på Google Project Zero
Kernel
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2017-2360: Ian Beer på Google Project Zero
libarchive
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Uppackning av ett arkiv med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.
CVE-2016-8687: Agostino Sarubbo på Gentoo
Lås upp med iPhone
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Apple Watch kan låsas upp när den inte befinner sig på användarens handled
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2017-2352: Ashley Fernandez på raptAware Pty Ltd
WebKit
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av skadligt webbinnehåll kan orsaka åtkomst till data från flera källor
Beskrivning: Ett problem med prototypåtkomst åtgärdades genom förbättrad undantagshantering.
CVE-2017-2350: Gareth Heyes på Portswigger Web Security
WebKit
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2017-2354: Neymar på Tencents Xuanwu Lab (tencent.com) i samarbete med Trend Micros Zero Day Initiative
CVE-2017-2362: Ivan Fratric på Google Project Zero
CVE-2017-2373: Ivan Fratric på Google Project Zero
WebKit
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett problem med minnesinitieringen åtgärdades genom förbättrad minneshantering.
CVE-2017-2355: Team Pangu och lokihardt på PwnFest 2016
WebKit
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Flera minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2017-2356: Team Pangu och lokihardt på PwnFest 2016
CVE-2017-2369: Ivan Fratric på Google Project Zero
CVE-2017-2366: Kai Kang på Tencents Xuanwu Lab (tencent.com)
WebKit
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av skadligt webbinnehåll kan orsaka åtkomst till data från flera källor
Beskrivning: Ett valideringsproblem förekom i hanteringen av laddning av sidor. Problemet åtgärdades genom förbättrad logik.
CVE-2017-2363: lokihardt på Google Project Zero
CVE-2017-2364: lokihardt på Google Project Zero
WebKit
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: En skadlig webbplats kan öppna popup-fönster
Beskrivning: Ett problem förekom i hanteringen av popup-blockering. Detta har åtgärdats genom förbättrad indatavalidering.
CVE-2017-2371: lokihardt på Google Project Zero
WebKit
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av skadligt webbinnehåll kan orsaka åtkomst till data från flera källor
Beskrivning: Ett valideringsproblem förekom i variabelhanteringen. Problemet har åtgärdats genom förbättrad validering.
CVE-2017-2365: lokihardt på Google Project Zero
Wifi
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: En aktiveringslåst enhet kan manipuleras så att hemskärmen visas en kort stund
Beskrivning: Det fanns ett problem i hanteringen av användarindata som gjorde att en enhet kunde visa hemskärmen trots att enheten var aktiveringslåst. Detta har åtgärdats genom förbättrad indatavalidering.
CVE-2017-2351: Hemanth Joseph, Sriram (@Sri_Hxor) på Primefort Pvt. Ltd., Mohamd Imran
Ytterligare tack
WebKit hardening
Vi vill tacka Ben Gras, Kaveh Razavi, Erik Bosman, Herbert Bos och Cristiano Giuffrida i vusec-gruppen på Vrije Universiteit Amsterdam för deras hjälp.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.