Om säkerhetsinnehållet i iOS 10.2.1

Det här dokumentet beskriver säkerhetsinnehållet i iOS 10.2.1.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga buggfixar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-produktsäkerhetsnyckel från Apple.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

iOS 10.2.1

Släppt 23 januari 2017

APNs-server

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: En angripare i en privilegierad nätverksposition kan spåra en användares aktivitet

Beskrivning: Ett klientcertifikat skickades i klartext. Problemet åtgärdades genom förbättrad certifikathantering.

CVE-2017-2383: Matthias Wachs och Quirin Scheitle på Technical University Munich (TUM)

Lades till 28 mars 2017

Samtalshistorik

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: Uppdateringar för CallKit-samtalshistorik skickas till iCloud

Beskrivning: Ett problem förekom i förhindrandet av överföring av CallKit-samtalshistorik till iCloud.  Problemet åtgärdades genom förbättrad logik.

CVE-2017-2375: Elcomsoft

Lades till 21 februari 2017

Kontakter

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: Bearbetning av ett skadligt utformat kontaktkort kunde leda till att program avslutades oväntat

Beskrivning: Det förekom ett problem med indatavalidering i tolkningen av kontaktkort. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2017-2368: Vincent Desmurs (vincedes3)

Kärna

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: Ett program kan köra opålitlig kod med kärnprivilegier

Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

CVE-2017-2370: Ian Beer på Google Project Zero

Kärna

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: Ett program kan köra opålitlig kod med kärnprivilegier

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2017-2360: Ian Beer på Google Project Zero

libarchive

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: Uppackning av ett arkiv med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

CVE-2016-8687: Agostino Sarubbo på Gentoo

Lås upp med iPhone

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: Apple Watch kan låsas upp när den inte befinner sig på användarens handled

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2017-2352: Ashley Fernandez på raptAware Pty Ltd

Informationen uppdaterades 25 januari 2017

WebKit

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: Bearbetning av skadligt webbinnehåll kan orsaka åtkomst till data från flera källor

Beskrivning: Ett problem med prototypåtkomst åtgärdades genom förbättrad undantagshantering.

CVE-2017-2350: Gareth Heyes på Portswigger Web Security

WebKit

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2017-2354: Neymar på Tencents Xuanwu Lab (tencent.com) i samarbete med Trend Micros Zero Day Initiative

CVE-2017-2362: Ivan Fratric på Google Project Zero

CVE-2017-2373: Ivan Fratric på Google Project Zero

WebKit

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med minnesinitieringen åtgärdades genom förbättrad minneshantering.

CVE-2017-2355: Team Pangu och lokihardt på PwnFest 2016

WebKit

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2356: Team Pangu och lokihardt på PwnFest 2016

CVE-2017-2369: Ivan Fratric på Google Project Zero

CVE-2017-2366: Kai Kang på Tencents Xuanwu Lab (tencent.com)

WebKit

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: Bearbetning av skadligt webbinnehåll kan orsaka åtkomst till data från flera källor

Beskrivning: Ett valideringsproblem förekom i hanteringen av laddning av sidor. Problemet åtgärdades genom förbättrad logik.

CVE-2017-2363: lokihardt på Google Project Zero

CVE-2017-2364: lokihardt på Google Project Zero

WebKit

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: En skadlig webbplats kan öppna popup-fönster

Beskrivning: Ett problem förekom i hanteringen av popup-blockering. Detta har åtgärdats genom förbättrad indatavalidering.

CVE-2017-2371: lokihardt på Google Project Zero

WebKit

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: Bearbetning av skadligt webbinnehåll kan orsaka åtkomst till data från flera källor

Beskrivning: Ett valideringsproblem förekom i variabelhanteringen. Problemet har åtgärdats genom förbättrad validering.

CVE-2017-2365: lokihardt på Google Project Zero

Wifi

Tillgängligt för: iPhone 5 och senare, 4:e generationens iPad och senare, 6:e generationens iPod touch och senare

Effekt: En aktiveringslåst enhet kan manipuleras så att hemskärmen visas en kort stund

Beskrivning: Det fanns ett problem i hanteringen av användarindata som gjorde att en enhet kunde visa hemskärmen trots att enheten var aktiveringslåst. Detta har åtgärdats genom förbättrad indatavalidering.

CVE-2017-2351: Hemanth Joseph, Sriram (@Sri_Hxor) på Primefort Pvt. Ltd., Mohamd Imran

Uppdaterades 21 februari 2017

Ytterligare tack

Webkit hardening

Vi vill tacka Ben Gras, Kaveh Razavi, Erik Bosman, Herbert Bos och Cristiano Giuffrida i vusec-gruppen på Vrije Universiteit Amsterdam för deras hjälp.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: