Om säkerhetsinnehållet i iOS 10.3
I det här dokumentet beskrivs säkerhetsinnehållet i iOS 10.3.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
iOS 10.3
Konton
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: En användare kan visa ett Apple-ID från låsskärmen
Beskrivning: Ett problem med uppmaningshantering åtgärdades genom att en uppmaning om iCloud-autentisering togs bort från låsskärmen.
CVE-2017-2397: Suprovici Vadim från UniApps, en anonym forskare
Ljud
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av en ljudfil med skadligt innehåll kan leda till körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2017-2430: En anonym forskare i samarbete med Trend Micros Zero Day Initiative
CVE-2017-2462: En anonym forskare i samarbete med Trend Micros Zero Day Initiative
Carbon
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av en skadlig .dfont-fil kan leda till körning av opålitlig kod
Beskrivning: Ett buffertspill förekom i hanteringen av typsnittsfiler. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-2017-2379: John Villamil, Doyensec, riusksk (泉哥) på Tencent Security Platform Department
CoreGraphics
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av en bild med skadligt innehåll kan leda till ett dos-angrepp
Beskrivning: Obegränsad rekursion åtgärdades genom förbättrad tillståndshantering.
CVE-2017-2417: riusksk (泉哥) på Tencent Security Platform Department
CoreGraphics
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Flera minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2017-2444: Mei Wang på 360 GearTeam
CoreText
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2017-2435: John Villamil, Doyensec
CoreText
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av ett typsnitt med skadligt innehåll kan leda till att processminnet avslöjas
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2017-2450: John Villamil, Doyensec
CoreText
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av ett skadligt textmeddelande kan leda till att åtkomsten till tjänsten begränsas
Beskrivning: Ett problem med resursutmattning åtgärdades genom förbättrad indatavalidering.
CVE-2017-2461: Isaac Archambault från IDAoADI, en anonym forskare
DataAccess
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Konfigurering av ett Exchange-konto med felskriven e-postadress kan leda till oväntat serverfel
Beskrivning: Ett indatavalideringsfel förekom vid hantering av Exchange-e-postadresser. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-2017-2414: Ilya Nesterov och Maxim Goncharov
FontParser
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod
Beskrivning: Flera minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2017-2487: riusksk (泉哥) på Tencent Security Platform Department
CVE-2017-2406: riusksk (泉哥) på Tencent Security Platform Department
FontParser
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Tolkning av en skadlig typsnittsfil kan leda till oväntad programavslutning eller körning av opålitlig kod
Beskrivning: Flera minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2017-2407: riusksk (泉哥) på Tencent Security Platform Department
FontParser
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av ett typsnitt med skadligt innehåll kan leda till att processminnet avslöjas
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2017-2439: John Villamil, Doyensec
HomeKit
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Home Control visas oväntat på Kontrollcenter
Beskrivning: Ett problem med tillståndshantering förekom i hanteringen av Home Control. Problemet har åtgärdats genom förbättrad validering.
CVE-2017-2434: Suyash Narain från Indien
HTTPProtocol
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: En skadlig HTTP/2-server kan orsaka odefinierat beteende
Beskrivning: Flera fel förekom i nghttp2 före 1.17.0. Dessa åtgärdades genom att uppdatera nghttp2 till version 1.17.0.
CVE-2017-2428
ImageIO
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) från KeenLab, Tencent
ImageIO
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Visning av en skadlig JPEG-fil kan leda till körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2017-2432: En anonym forskare i samarbete med Trend Micros Zero Day Initiative
ImageIO
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av en skadlig fil kan leda till oväntad programavslutning eller körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2017-2467
ImageIO
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av en skadlig bild kan leda till att program avslutas oväntat
Beskrivning: Ett problem med läsning utanför gränserna förekom i LibTIFF-versioner före 4.0.7. Det åtgärdades genom uppdatering av LibTIFF i ImageIO till version 4.0.7.
CVE-2016-3619
iTunes Store
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: En angripare i behörig nätverksposition kan manipulera iTunes-nätverkstrafik
Beskrivning: Förfrågningar till iTunes-webbtjänster i begränsat läge skickades i klartext. Det åtgärdades genom aktivering av HTTPS.
CVE-2017-2412: Richard Shupak (linkedin.com/in/rshupak)
JavaScriptCore
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2017-2491: Apple
JavaScriptCore
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av en skadlig webbsida kan leda till universell skriptkörning över flera sajter
Beskrivning: Ett prototypfel åtgärdades genom förbättrad logik.
CVE-2017-2492: lokihardt på Google Project Zero
Kernel
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2017-2398: Lufeng Li på Qihoo 360 Vulcan Team
CVE-2017-2401: Lufeng Li på Qihoo 360 Vulcan Team
Kernel
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.
CVE-2017-2440: En anonym forskare
Kernel
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: En skadlig app kan köra opålitlig kod med rotbehörighet
Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad minneshantering.
CVE-2017-2456: lokihardt på Google Project Zero
Kernel
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2017-2472: Ian Beer på Google Project Zero
Kernel
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Ett skadligt program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2017-2473: Ian Beer på Google Project Zero
Kernel
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med förskjutning åtgärdades genom förbättrad kontroll av gränserna.
CVE-2017-2474: Ian Beer på Google Project Zero
Kernel
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.
CVE-2017-2478: Ian Beer på Google Project Zero
Kernel
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.
CVE-2017-2482: Ian Beer på Google Project Zero
CVE-2017-2483: Ian Beer på Google Project Zero
Kernel
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Ett program kan köra opålitlig kod med förhöjd behörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2017-2490: Ian Beer på Google Project Zero, Storbritanniens National Cyber Security Centre (NCSC)
Tangentbord
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Ett program kan köra opålitlig kod
Beskrivning: Ett buffertspill åtgärdades genom förbättrad gränskontroll.
CVE-2017-2458: Shashank (@cyberboyIndia)
Nyckelring
Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: En angripare som klarar av att fånga upp TLS-anslutningar kan läsa hemligheter som skyddas av iCloud-nyckelring.
Beskrivning: Under vissa omständigheter kunde iCloud-nyckelring inte validera OTR-paketens autenticitet. Problemet har åtgärdats genom förbättrad validering.
CVE-2017-2448: Alex Radocea på Longterm Security, Inc.
libarchive
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: En lokal angripare kan ändra filsystembehörigheter på godtyckliga kataloger
Beskrivning: Ett valideringsproblem förekom i hanteringen av symlänkar. Problemet åtgärdades genom förbättrad validering av symlänkar.
CVE-2017-2390: Omer Medan på enSilo Ltd
libc++abi
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Avkodning av skadligt C++-program kan leda till körning av opålitlig kod
Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2017-2441
libxslt
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Flera sårbarheter i libxslt
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2017-5029: Holger Fuhrmannek
Urklipp
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: En person med fysisk åtkomst till en iOS-enhet kan läsa urklipp
Beskrivning: Urklipp krypterades med en nyckel som enbart skyddas av hårdvaru-UID. Problemet åtgärdades genom att kryptera urklipp med en nyckel som skyddas av både hårdvaru-UID och användarens lösenkod.
CVE-2017-2399
Telefon
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: En app från tredje part kan sätta igång en uppringning utan att användaren tillfrågas
Beskrivning: Ett problem i iOS möjliggjorde uppringning utan att fråga. Problemet åtgärdades genom att uppmana användaren att bekräfta uppringningen.
CVE-2017-2484
Profiler
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: En angripare kan få möjlighet att utnyttja svagheter i den kryptografiska algoritmen DES
Beskrivning: Stöd för den kryptografiska algoritmen 3DES lades till i SCEP-klienten och DES togs ur bruk.
CVE-2017-2380: En anonym forskare
Överblick
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Tryck på en telefonlänk i ett PDF-dokument kunde utlösa en uppringning utan att fråga användaren
Beskrivning: Ett problem förekom vid kontroll av telefonwebbadressen före uppringning. Problemet åtgärdades genom att en bekräftelsefråga lades till.
CVE-2017-2404: Tuan Anh Ngo (Melbourne, Australien), Christoph Nehring
Safari
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Besök på en skadlig webbplats kan leda till att adressfältet förfalskas
Beskrivning: Ett problem med tillståndshantering åtgärdades genom inaktivering av textinmatning tills målsidan var inläst.
CVE-2017-2376: En anonym forskare, Michal Zalewski på Google Inc, Muneaki Nishimura (nishimunea) på Recruit Technologies Co., Ltd., Chris Hlady på Google Inc, en anonym forskare, Yuyang Zhou på Tencent Security Platform Department (security.tencent.com)
Safari
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: En lokal användare kan se vilka webbplatser som en användare har besökt i Privat surfning
Beskrivning: Det förekom ett problem med radering av SQLite. Problemet åtgärdades genom förbättrad rensning av SQLite.
CVE-2017-2384
Safari
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av skadligt webbinnehåll kan visa autentiseringsark på skadliga webbplatser
Beskrivning: Ett problem med förfalskning och dos-angrepp (denial of service) förekom vid hantering av HTTP-autentisering. Problemet åtgärdades genom att HTTP-autentiseringsarken gjordes icke-modala.
CVE-2017-2389: ShenYeYinJiu på Tencent Security Response Center, TSRC
Safari
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Besök på en webbplats med skadligt innehåll via länkklick kan leda till att användargränssnittet förfalskas
Beskrivning: Ett problem med förfalskning förekom i hanteringen av FaceTime-uppmaningar. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-2017-2453: xisigr på Tencents Xuanwu Lab (tencent.com)
Safari-läsaren
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Aktivering av funktionen Safari-läsaren på en webbsida med skadligt innehåll kan leda till universell skriptkörning över flera sajter
Beskrivning: Flera valideringsproblem åtgärdades genom förbättrad indatasanering.
CVE-2017-2393: Erling Ellingsen
SafariViewController
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Cachetillståndet är inte korrekt synkroniserat mellan Safari och SafariViewController när en användare rensar Safari-cachen
Beskrivning: Ett problem förekom vid rensning av Safari-cacheinformation från SafariViewController. Problemet åtgärdades genom förbättrad hantering av cachetillståndet.
CVE-2017-2400: Abhinav Bansal på Zscaler, Inc.
Sandlådeprofiler
Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare samt iPod touch 6:e generationen
Effekt: Ett skadligt program kan komma åt iCloud-användarhistorik för en inloggad användare
Beskrivning: Ett åtkomstproblem åtgärdades med ytterligare sandlådebegränsningar för program från tredje part.
CVE-2017-6976: George Dan (@theninjaprawn)
Säkerhet
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Validering av tomma signaturer med SecKeyRawVerify() kan oväntat genomföras
Beskrivning: Det förekom ett valideringsproblem med kryptografiska API-samtal. Problemet har åtgärdats genom förbättrad parametervalidering.
CVE-2017-2423: En anonym forskare
Säkerhet
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Ett program kan köra opålitlig kod med rotbehörigheter
Beskrivning: Ett buffertspill åtgärdades genom förbättrad gränskontroll.
CVE-2017-2451: Alex Radocea på Longterm Security, Inc.
Säkerhet
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av ett skadligt x509-certifikat kan leda till körning av opålitlig kod
Beskrivning: Ett minnesfel förekom i tolkning av certifikat. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-2017-2485: Aleksandar Nikolic på Cisco Talos
Siri
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Siri kan avslöja meddelandeinnehåll när enheten är låst
Beskrivning: Ett problem med otillräckligt lås åtgärdades genom förbättrad tillståndshantering.
CVE-2017-2452: Hunter Byrnes
WebKit
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: När en skadlig länk dras och släpps kan det kan leda till förfalskning av bokmärke eller körning av opålitlig kod
Beskrivning: Det förekom ett valideringsproblem när bokmärken skapades. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-2017-2378: xisigr på Tencents Xuanwu Lab (tencent.com)
WebKit
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Besök på en skadlig webbplats kan leda till att adressfältet förfalskas
Beskrivning: Ett problem med inkonsekvent användargränssnitt åtgärdades genom förbättrad tillståndshantering.
CVE-2017-2486: redrain på light4freedom
WebKit
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av skadligt webbinnehåll kan orsaka åtkomst till data från flera källor
Beskrivning: Ett problem med prototypåtkomst åtgärdades genom förbättrad undantagshantering.
CVE-2017-2386: André Bargull
WebKit
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Flera minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2017-2394: Apple
CVE-2017-2396: Apple
CVE-2016-9642: Gustavo Grieco
WebKit
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2017-2395: Apple
CVE-2017-2454: Ivan Fratric på Google Project Zero, Zheng Huang på Baidu Security Lab i samarbete med Trend Micros Zero Day Initiative
CVE-2017-2455: Ivan Fratric på Google Project Zero
CVE-2017-2457: lokihardt på Google Project Zero
CVE-2017-2459: Ivan Fratric på Google Project Zero
CVE-2017-2460: Ivan Fratric på Google Project Zero
CVE-2017-2464: Jeonghoon Shin, natashenka på Google Project Zero
CVE-2017-2465: Zheng Huang och Wei Yuan på Baidu Security Lab
CVE-2017-2466: Ivan Fratric på Google Project Zero
CVE-2017-2468: lokihardt på Google Project Zero
CVE-2017-2469: lokihardt på Google Project Zero
CVE-2017-2470: lokihardt på Google Project Zero
CVE-2017-2476: Ivan Fratric på Google Project Zero
CVE-2017-2481: 0011 i samarbete med Trend Micros Zero Day Initiative
WebKit
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.
CVE-2017-2415: Kai Kang på Tencents Xuanwu Lab (tentcent.com)
WebKit
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Content Security Policy inte tillämpas
Beskrivning: Det förekom ett åtkomstproblem i Content Security Policy. Problemet åtgärdades genom förbättrad åtkomstbegränsning.
CVE-2017-2419: Nicolai Grødum på Cisco Systems
WebKit
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till hög minnesförbrukning
Beskrivning: Ett problem med okontrollerad resursförbrukning åtgärdades genom förbättrad regex-bearbetning.
CVE-2016-9643: Gustavo Grieco
WebKit
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till att processminnet visas
Beskrivning: Ett problem med avslöjande av information förekom i bearbetningen av OpenGL-shaders. Problemet åtgärdades genom förbättrad minneshantering.
CVE-2017-2424: Paul Thomson (med verktyget GLFuzz) på Multicore Programming Group, Imperial College London
WebKit
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2017-2433: Apple
WebKit
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av skadligt webbinnehåll kan orsaka åtkomst till data från flera källor
Beskrivning: Flera valideringsproblem förekom i hanteringen av inläsning av sidor. Problemet åtgärdades genom förbättrad logik.
CVE-2017-2364: lokihardt på Google Project Zero
WebKit
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: En webbplats med skadligt innehåll kan komma åt data från flera källor
Beskrivning: Ett valideringsproblem förekom i hanteringen av laddning av sidor. Problemet åtgärdades genom förbättrad logik.
CVE-2017-2367: lokihardt på Google Project Zero
WebKit
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av skadligt utformat webbinnehåll kan leda till universell skriptkörning över flera sajter
Beskrivning: Det fanns ett logikproblem i hantering av ramobjekt. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-2017-2445: lokihardt på Google Project Zero
WebKit
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Det fanns ett logikproblem i hanteringen av funktioner för strict-läge. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-2017-2446: natashenka på Google Project Zero
WebKit
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Besök på en skadlig webbplats kan leda till att användarinformation hamnar i orätta händer
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2017-2447: natashenka på Google Project Zero
WebKit
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2017-2463: Kai Kang (4B5F5F4B) på Tencents Xuanwu Lab (tencent.com) i samarbete med Trend Micros Zero Day Initiative
WebKit
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2017-2471: Ivan Fratric på Google Project Zero
WebKit
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av skadligt utformat webbinnehåll kan leda till universell skriptkörning över flera sajter
Beskrivning: Ett logikproblem förekom vid ramhantering. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-2017-2475: lokihardt på Google Project Zero
WebKit
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av skadligt webbinnehåll kan orsaka åtkomst till data från flera källor
Beskrivning: Ett valideringsproblem förekom i hanteringen av element. Problemet har åtgärdats genom förbättrad validering.
CVE-2017-2479: lokihardt på Google Project Zero
WebKit
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av skadligt webbinnehåll kan orsaka åtkomst till data från flera källor
Beskrivning: Ett valideringsproblem förekom i hanteringen av element. Problemet har åtgärdats genom förbättrad validering.
CVE-2017-2480: lokihardt på Google Project Zero
CVE-2017-2493: lokihardt på Google Project Zero
WebKit JavaScript Bindings
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av skadligt webbinnehåll kan orsaka åtkomst till data från flera källor
Beskrivning: Flera valideringsproblem förekom i hanteringen av inläsning av sidor. Problemet åtgärdades genom förbättrad logik.
CVE-2017-2442: lokihardt på Google Project Zero
WebKit Web Inspector
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: När ett fönster stängs medan felsökningen är pausad kan program oväntat avslutas
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2017-2377: Vicki Pfau
WebKit Web Inspector
Tillgängligt för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2017-2405: Apple
Ytterligare tack
XNU
Vi vill tacka Lufeng Li på Qihoo 360 Vulcan Team för deras hjälp.
WebKit
Vi vill tacka Yosuke HASEGAWA på Secure Sky Technology Inc. för deras hjälp.
Safari
Vi vill tacka Flyin9 (ZhenHui Lee) för deras hjälp.
Inställningar
Vi vill tacka Adi Sharabani och Yair Amit på Skycure för deras hjälp.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.