Om säkerhetsinnehållet i iOS 10.3

I det här dokumentet beskrivs säkerhetsinnehållet i iOS 10.3.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

iOS 10.3

Släpptes 27 mars 2017

Konton

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: En användare kan visa ett Apple-ID från låsskärmen

Beskrivning: Ett problem med uppmaningshantering åtgärdades genom att en uppmaning om iCloud-autentisering togs bort från låsskärmen.

CVE-2017-2397: Suprovici Vadim från UniApps, en anonym forskare

Ljud

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av en ljudfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2430: En anonym forskare i samarbete med Trend Micros Zero Day Initiative

CVE-2017-2462: En anonym forskare i samarbete med Trend Micros Zero Day Initiative

Carbon

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av en skadlig .dfont-fil kan leda till körning av opålitlig kod

Beskrivning: Ett buffertspill förekom i hanteringen av typsnittsfiler. Problemet åtgärdades med förbättrad kontroll av gränserna.

CVE-2017-2379: John Villamil, Doyensec, riusksk (泉哥) på Tencent Security Platform Department

CoreGraphics

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av en bild med skadligt innehåll kan leda till ett dos-angrepp

Beskrivning: Obegränsad rekursion åtgärdades genom förbättrad tillståndshantering.

CVE-2017-2417: riusksk (泉哥) på Tencent Security Platform Department

CoreGraphics

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2444: Mei Wang på 360 GearTeam

CoreText

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av ett typsnitt med skadligt innehåll kan leda till att processminnet avslöjas

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av ett skadligt textmeddelande kan leda till att åtkomsten till tjänsten begränsas

Beskrivning: Ett problem med resursutmattning åtgärdades genom förbättrad indatavalidering.

CVE-2017-2461: Isaac Archambault från IDAoADI, en anonym forskare

DataAccess

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Konfigurering av ett Exchange-konto med felskriven e-postadress kan leda till oväntat serverfel

Beskrivning: Ett indatavalideringsfel förekom vid hantering av Exchange-e-postadresser. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2017-2414: Ilya Nesterov och Maxim Goncharov

FontParser

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2487: riusksk (泉哥) på Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) på Tencent Security Platform Department

FontParser

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Tolkning av en skadlig typsnittsfil kan leda till oväntad programavslutning eller körning av opålitlig kod

Beskrivning: Flera minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2407: riusksk (泉哥) på Tencent Security Platform Department

FontParser

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av ett typsnitt med skadligt innehåll kan leda till att processminnet avslöjas

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2017-2439: John Villamil, Doyensec

HomeKit

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Home Control visas oväntat på Kontrollcenter

Beskrivning: Ett problem med tillståndshantering förekom i hanteringen av Home Control. Problemet har åtgärdats genom förbättrad validering.

CVE-2017-2434: Suyash Narain från Indien

HTTPProtocol

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: En skadlig HTTP/2-server kan orsaka odefinierat beteende

Beskrivning: Flera fel förekom i nghttp2 före 1.17.0. Dessa åtgärdades genom att uppdatera nghttp2 till version 1.17.0.

CVE-2017-2428

Uppdaterades 28 mars 2017

ImageIO

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) från KeenLab, Tencent

ImageIO

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Visning av en skadlig JPEG-fil kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2432: En anonym forskare i samarbete med Trend Micros Zero Day Initiative

ImageIO

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av en skadlig fil kan leda till oväntad programavslutning eller körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2467

ImageIO

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av en skadlig bild kan leda till att program avslutas oväntat

Beskrivning: Ett problem med läsning utanför gränserna förekom i LibTIFF-versioner före 4.0.7. Det åtgärdades genom uppdatering av LibTIFF i ImageIO till version 4.0.7.

CVE-2016-3619

iTunes Store

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: En angripare i behörig nätverksposition kan manipulera iTunes-nätverkstrafik

Beskrivning: Förfrågningar till iTunes-webbtjänster i begränsat läge skickades i klartext. Det åtgärdades genom aktivering av HTTPS.

CVE-2017-2412: Richard Shupak (linkedin.com/in/rshupak)

JavaScriptCore

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2017-2491: Apple

Lades till 2 maj 2017

JavaScriptCore

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av en skadlig webbsida kan leda till universell skriptkörning över flera sajter

Beskrivning: Ett prototypfel åtgärdades genom förbättrad logik.

CVE-2017-2492: lokihardt på Google Project Zero

Uppdaterades 24 april 2017

Kernel

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2398: Lufeng Li på Qihoo 360 Vulcan Team

CVE-2017-2401: Lufeng Li på Qihoo 360 Vulcan Team

Kernel

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.

CVE-2017-2440: En anonym forskare

Kernel

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: En skadlig app kan köra opålitlig kod med rotbehörighet

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad minneshantering.

CVE-2017-2456: lokihardt på Google Project Zero

Kernel

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2017-2472: Ian Beer på Google Project Zero

Kernel

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett skadligt program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2473: Ian Beer på Google Project Zero

Kernel

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett problem med förskjutning åtgärdades genom förbättrad kontroll av gränserna.

CVE-2017-2474: Ian Beer på Google Project Zero

Kernel

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.

CVE-2017-2478: Ian Beer på Google Project Zero

Kernel

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

CVE-2017-2482: Ian Beer på Google Project Zero

CVE-2017-2483: Ian Beer på Google Project Zero

Kernel

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett program kan köra opålitlig kod med förhöjd behörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-2490: Ian Beer på Google Project Zero, Storbritanniens National Cyber Security Centre (NCSC)

Lades till 31 mars 2017

Tangentbord

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett program kan köra opålitlig kod

Beskrivning: Ett buffertspill åtgärdades genom förbättrad gränskontroll.

CVE-2017-2458: Shashank (@cyberboyIndia)

Nyckelring

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: En angripare som klarar av att fånga upp TLS-anslutningar kan läsa hemligheter som skyddas av iCloud-nyckelring.

Beskrivning: Under vissa omständigheter kunde iCloud-nyckelring inte validera OTR-paketens autenticitet. Problemet har åtgärdats genom förbättrad validering.

CVE-2017-2448: Alex Radocea på Longterm Security, Inc.

Uppdaterades 30 mars 2017

libarchive

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: En lokal angripare kan ändra filsystembehörigheter på godtyckliga kataloger

Beskrivning: Ett valideringsproblem förekom i hanteringen av symlänkar. Problemet åtgärdades genom förbättrad validering av symlänkar.

CVE-2017-2390: Omer Medan på enSilo Ltd

libc++abi

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Avkodning av skadligt C++-program kan leda till körning av opålitlig kod

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2017-2441

libxslt

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Flera sårbarheter i libxslt

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2017-5029: Holger Fuhrmannek

Lades till 28 mars 2017

Urklipp

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: En person med fysisk åtkomst till en iOS-enhet kan läsa urklipp

Beskrivning: Urklipp krypterades med en nyckel som enbart skyddas av hårdvaru-UID. Problemet åtgärdades genom att kryptera urklipp med en nyckel som skyddas av både hårdvaru-UID och användarens lösenkod.

CVE-2017-2399

Telefon

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: En app från tredje part kan sätta igång en uppringning utan att användaren tillfrågas

Beskrivning: Ett problem i iOS möjliggjorde uppringning utan att fråga.  Problemet åtgärdades genom att uppmana användaren att bekräfta uppringningen.

CVE-2017-2484

Profiler

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: En angripare kan få möjlighet att utnyttja svagheter i den kryptografiska algoritmen DES

Beskrivning: Stöd för den kryptografiska algoritmen 3DES lades till i SCEP-klienten och DES togs ur bruk.

CVE-2017-2380: En anonym forskare

Överblick

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Tryck på en telefonlänk i ett PDF-dokument kunde utlösa en uppringning utan att fråga användaren

Beskrivning: Ett problem förekom vid kontroll av telefonwebbadressen före uppringning. Problemet åtgärdades genom att en bekräftelsefråga lades till.

CVE-2017-2404: Tuan Anh Ngo (Melbourne, Australien), Christoph Nehring

Safari

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Besök på en skadlig webbplats kan leda till att adressfältet förfalskas

Beskrivning: Ett problem med tillståndshantering åtgärdades genom inaktivering av textinmatning tills målsidan var inläst.

CVE-2017-2376: En anonym forskare, Michal Zalewski på Google Inc, Muneaki Nishimura (nishimunea) på Recruit Technologies Co., Ltd., Chris Hlady på Google Inc, en anonym forskare, Yuyang Zhou på Tencent Security Platform Department (security.tencent.com)

Safari

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: En lokal användare kan se vilka webbplatser som en användare har besökt i Privat surfning

Beskrivning: Det förekom ett problem med radering av SQLite. Problemet åtgärdades genom förbättrad rensning av SQLite.

CVE-2017-2384

Safari

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan visa autentiseringsark på skadliga webbplatser

Beskrivning: Ett problem med förfalskning och dos-angrepp (denial of service) förekom vid hantering av HTTP-autentisering. Problemet åtgärdades genom att HTTP-autentiseringsarken gjordes icke-modala.

CVE-2017-2389: ShenYeYinJiu på Tencent Security Response Center, TSRC

Safari

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Besök på en webbplats med skadligt innehåll via länkklick kan leda till att användargränssnittet förfalskas

Beskrivning: Ett problem med förfalskning förekom i hanteringen av FaceTime-uppmaningar. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2017-2453: xisigr på Tencents Xuanwu Lab (tencent.com)

Safari-läsaren

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Aktivering av funktionen Safari-läsaren på en webbsida med skadligt innehåll kan leda till universell skriptkörning över flera sajter

Beskrivning: Flera valideringsproblem åtgärdades genom förbättrad indatasanering.

CVE-2017-2393: Erling Ellingsen

SafariViewController

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Cachetillståndet är inte korrekt synkroniserat mellan Safari och SafariViewController när en användare rensar Safari-cachen

Beskrivning: Ett problem förekom vid rensning av Safari-cacheinformation från SafariViewController.  Problemet åtgärdades genom förbättrad hantering av cachetillståndet.

CVE-2017-2400: Abhinav Bansal på Zscaler, Inc.

Sandlådeprofiler

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare samt iPod touch 6:e generationen

Effekt: Ett skadligt program kan komma åt iCloud-användarhistorik för en inloggad användare

Beskrivning: Ett åtkomstproblem åtgärdades med ytterligare sandlådebegränsningar för program från tredje part.

CVE-2017-6976: George Dan (@theninjaprawn)

Lades till 1 augusti 2017

Säkerhet

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Validering av tomma signaturer med SecKeyRawVerify() kan oväntat genomföras

Beskrivning: Det förekom ett valideringsproblem med kryptografiska API-samtal. Problemet har åtgärdats genom förbättrad parametervalidering.

CVE-2017-2423: En anonym forskare

Säkerhet

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett program kan köra opålitlig kod med rotbehörigheter

Beskrivning: Ett buffertspill åtgärdades genom förbättrad gränskontroll.

CVE-2017-2451: Alex Radocea på Longterm Security, Inc.

Säkerhet

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av ett skadligt x509-certifikat kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel förekom i tolkning av certifikat. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2017-2485: Aleksandar Nikolic på Cisco Talos

Siri

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Siri kan avslöja meddelandeinnehåll när enheten är låst

Beskrivning: Ett problem med otillräckligt lås åtgärdades genom förbättrad tillståndshantering.

CVE-2017-2452: Hunter Byrnes

WebKit

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: När en skadlig länk dras och släpps kan det kan leda till förfalskning av bokmärke eller körning av opålitlig kod

Beskrivning: Det förekom ett valideringsproblem när bokmärken skapades. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2017-2378: xisigr på Tencents Xuanwu Lab (tencent.com)

WebKit

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Besök på en skadlig webbplats kan leda till att adressfältet förfalskas

Beskrivning: Ett problem med inkonsekvent användargränssnitt åtgärdades genom förbättrad tillståndshantering.

CVE-2017-2486: redrain på light4freedom

WebKit

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan orsaka åtkomst till data från flera källor

Beskrivning: Ett problem med prototypåtkomst åtgärdades genom förbättrad undantagshantering.

CVE-2017-2386: André Bargull

WebKit

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric på Google Project Zero, Zheng Huang på Baidu Security Lab i samarbete med Trend Micros Zero Day Initiative

CVE-2017-2455: Ivan Fratric på Google Project Zero

CVE-2017-2457: lokihardt på Google Project Zero

CVE-2017-2459: Ivan Fratric på Google Project Zero

CVE-2017-2460: Ivan Fratric på Google Project Zero

CVE-2017-2464: Jeonghoon Shin, natashenka på Google Project Zero

CVE-2017-2465: Zheng Huang och Wei Yuan på Baidu Security Lab

CVE-2017-2466: Ivan Fratric på Google Project Zero

CVE-2017-2468: lokihardt på Google Project Zero

CVE-2017-2469: lokihardt på Google Project Zero

CVE-2017-2470: lokihardt på Google Project Zero

CVE-2017-2476: Ivan Fratric på Google Project Zero

CVE-2017-2481: 0011 i samarbete med Trend Micros Zero Day Initiative

Uppdaterades 20 juni 2017

WebKit

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.

CVE-2017-2415: Kai Kang på Tencents Xuanwu Lab (tentcent.com)

WebKit

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Content Security Policy inte tillämpas

Beskrivning: Det förekom ett åtkomstproblem i Content Security Policy.  Problemet åtgärdades genom förbättrad åtkomstbegränsning.

CVE-2017-2419: Nicolai Grødum på Cisco Systems

WebKit

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till hög minnesförbrukning

Beskrivning: Ett problem med okontrollerad resursförbrukning åtgärdades genom förbättrad regex-bearbetning.

CVE-2016-9643: Gustavo Grieco

WebKit

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att processminnet visas

Beskrivning: Ett problem med avslöjande av information förekom i bearbetningen av OpenGL-shaders. Problemet åtgärdades genom förbättrad minneshantering.

CVE-2017-2424: Paul Thomson (med verktyget GLFuzz) på Multicore Programming Group, Imperial College London

WebKit

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2433: Apple

WebKit

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan orsaka åtkomst till data från flera källor

Beskrivning: Flera valideringsproblem förekom i hanteringen av inläsning av sidor. Problemet åtgärdades genom förbättrad logik.

CVE-2017-2364: lokihardt på Google Project Zero

WebKit

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: En webbplats med skadligt innehåll kan komma åt data från flera källor

Beskrivning: Ett valideringsproblem förekom i hanteringen av laddning av sidor. Problemet åtgärdades genom förbättrad logik.

CVE-2017-2367: lokihardt på Google Project Zero

WebKit

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av skadligt utformat webbinnehåll kan leda till universell skriptkörning över flera sajter

Beskrivning: Det fanns ett logikproblem i hantering av ramobjekt. Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2017-2445: lokihardt på Google Project Zero

WebKit

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Det fanns ett logikproblem i hanteringen av funktioner för strict-läge. Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2017-2446: natashenka på Google Project Zero

WebKit

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Besök på en skadlig webbplats kan leda till att användarinformation hamnar i orätta händer

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-2447: natashenka på Google Project Zero

WebKit

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2017-2463: Kai Kang (4B5F5F4B) på Tencents Xuanwu Lab (tencent.com) i samarbete med Trend Micros Zero Day Initiative

Lades till 28 mars 2017

WebKit

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2017-2471: Ivan Fratric på Google Project Zero

WebKit

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av skadligt utformat webbinnehåll kan leda till universell skriptkörning över flera sajter

Beskrivning: Ett logikproblem förekom vid ramhantering. Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2017-2475: lokihardt på Google Project Zero

WebKit

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan orsaka åtkomst till data från flera källor

Beskrivning: Ett valideringsproblem förekom i hanteringen av element. Problemet har åtgärdats genom förbättrad validering.

CVE-2017-2479: lokihardt på Google Project Zero

Lades till 28 mars 2017

WebKit

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan orsaka åtkomst till data från flera källor

Beskrivning: Ett valideringsproblem förekom i hanteringen av element. Problemet har åtgärdats genom förbättrad validering.

CVE-2017-2480: lokihardt på Google Project Zero

CVE-2017-2493: lokihardt på Google Project Zero

Uppdaterades 24 april 2017

WebKit JavaScript Bindings

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan orsaka åtkomst till data från flera källor

Beskrivning: Flera valideringsproblem förekom i hanteringen av inläsning av sidor. Problemet åtgärdades genom förbättrad logik.

CVE-2017-2442: lokihardt på Google Project Zero

WebKit Web Inspector

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: När ett fönster stängs medan felsökningen är pausad kan program oväntat avslutas

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2377: Vicki Pfau

WebKit Web Inspector

Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2405: Apple

Ytterligare tack

XNU

Vi vill tacka Lufeng Li på Qihoo 360 Vulcan Team för deras hjälp.

WebKit

Vi vill tacka Yosuke HASEGAWA på Secure Sky Technology Inc. för deras hjälp.

Safari

Vi vill tacka Flyin9 (ZhenHui Lee) för deras hjälp.

Inställningar

Vi vill tacka Adi Sharabani och Yair Amit på Skycure för deras hjälp.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: