Om säkerhetsinnehållet i iOS 10.3

I det här dokumentet beskrivs säkerhetsinnehållet i iOS 10.3.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

iOS 10.3

Släpptes 27 mars 2017

Konton

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: En användare kan visa ett Apple-ID från låsskärmen

Beskrivning: Ett problem med uppmaningshantering åtgärdades genom att en uppmaning om iCloud-autentisering togs bort från låsskärmen.

CVE-2017-2397: Suprovici Vadim från UniApps, en anonym forskare

Ljud

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av en felaktigt utformad ljudfil kan leda till körning av godtycklig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2430: En anonym forskare i samarbete med Trend Micros Zero Day Initiative

CVE-2017-2462: En anonym forskare i samarbete med Trend Micros Zero Day Initiative

Carbon

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av en felaktigt utformad DFONT-fil kan leda till körning av godtycklig kod

Beskrivning: Ett buffertspill förekom i hanteringen av typsnittsfiler. Problemet åtgärdades genom förbättrad gränskontroll.

CVE-2017-2379: John Villamil, Doyensec, riusksk (泉哥) på Tencent Security Platform Department

CoreGraphics

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av en felaktigt utformad bild kan leda till att åtkomsten till tjänsten nekas

Beskrivning: Obegränsad rekursion åtgärdades genom förbättrad tillståndshantering.

CVE-2017-2417: riusksk (泉哥) på Tencent Security Platform Department

CoreGraphics

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod

Beskrivning: Flera minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2444: Mei Wang på 360 GearTeam

CoreText

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av en felaktigt utformad typsnittsfil kan leda till körning av godtycklig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av ett felaktigt utformat typsnitt kan leda till att processminnet avslöjas

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av ett felaktigt utformat textmeddelande kan leda till att åtkomsten till tjänsten begränsas

Beskrivning: Ett problem med resursutmattning åtgärdades genom förbättrad indatavalidering.

CVE-2017-2461: Isaac Archambault från IDAoADI, en anonym forskare

DataAccess

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Konfigurering av ett Exchange-konto med felskriven e-postadress kan leda till oväntat serverfel

Beskrivning: Ett indatavalideringsfel förekom vid hantering av Exchange-e-postadresser. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2017-2414: Ilya Nesterov och Maxim Goncharov

FontParser

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av en felaktigt utformad typsnittsfil kan leda till körning av godtycklig kod

Beskrivning: Flera minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2487: riusksk (泉哥) på Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) på Tencent Security Platform Department

FontParser

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Tolkning av en felaktigt utformad typsnittsfil kan leda till oväntad programavslutning eller körning av godtycklig kod

Beskrivning: Flera minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2407: riusksk (泉哥) på Tencent Security Platform Department

FontParser

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av ett felaktigt utformat typsnitt kan leda till att processminnet avslöjas

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2017-2439: John Villamil, Doyensec

HomeKit

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Home Control visas oväntat på Kontrollcenter

Beskrivning: Ett problem med tillståndshantering förekom i hanteringen av Home Control. Problemet har åtgärdats genom förbättrad validering.

CVE-2017-2434: Suyash Narain från Indien

HTTPProtocol

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: En skadlig HTTP/2-server kan orsaka odefinierat beteende

Beskrivning: Flera fel förekom i nghttp2 före 1.17.0. Dessa åtgärdades genom att uppdatera nghttp2 till version 1.17.0.

CVE-2017-2428

Uppdaterades 28 mars 2017

ImageIO

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av en felaktigt utformad bildfil kan ge upphov till körning av godtycklig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) från KeenLab, Tencent

ImageIO

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Visning av en felaktigt utformad JPEG-fil kan leda till körning av godtycklig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2432: En anonym forskare i samarbete med Trend Micros Zero Day Initiative

ImageIO

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av en felaktigt utformad fil kan leda till oväntad programavslutning eller körning av godtycklig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2467

ImageIO

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av en felaktigt utformad bild kan leda till att program avslutas oväntat

Beskrivning: Ett problem med läsning utanför gränserna förekom i LibTIFF-versioner före 4.0.7. Det åtgärdades genom uppdatering av LibTIFF i ImageIO till version 4.0.7.

CVE-2016-3619

iTunes Store

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: En angripare i behörig nätverksposition kan manipulera iTunes-nätverkstrafik

Beskrivning: Förfrågningar till iTunes-webbtjänster i begränsat läge skickades i klartext. Det åtgärdades genom aktivering av HTTPS.

CVE-2017-2412: Richard Shupak (linkedin.com/in/rshupak)

JavaScriptCore

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2017-2491: Apple

Lades till 2 maj 2017

JavaScriptCore

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av en felaktigt utformad webbsida kan leda till universell skriptkörning över flera sajter

Beskrivning: Ett prototypfel åtgärdades genom förbättrad logik.

CVE-2017-2492: lokihardt på Google Project Zero

Uppdaterades 24 april 2017

Kärna

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2398: Lufeng Li på Qihoo 360 Vulcan Team

CVE-2017-2401: Lufeng Li på Qihoo 360 Vulcan Team

Kärna

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.

CVE-2017-2440: En anonym forskare

Kärna

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett skadligt program kan köra godtycklig kod med rotbehörighet

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad minneshantering.

CVE-2017-2456: lokihardt på Google Project Zero

Kärna

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2017-2472: Ian Beer på Google Project Zero

Kärna

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett skadligt program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2473: Ian Beer på Google Project Zero

Kärna

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett problem med förskjutning åtgärdades genom förbättrad kontroll av gränserna.

CVE-2017-2474: Ian Beer på Google Project Zero

Kärna

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.

CVE-2017-2478: Ian Beer på Google Project Zero

Kärna

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

CVE-2017-2482: Ian Beer på Google Project Zero

CVE-2017-2483: Ian Beer på Google Project Zero

Kärna

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett program kan köra godtycklig kod med högre privilegier

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-2490: Ian Beer på Google Project Zero, Storbritanniens National Cyber Security Centre (NCSC)

Lades till 31 mars 2017

Tangentbord

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett program kan köra godtycklig kod

Beskrivning: Ett buffertspill åtgärdades genom förbättrad gränskontroll.

CVE-2017-2458: Shashank (@cyberboyIndia)

Nyckelring

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: En angripare som klarar av att fånga upp TLS-anslutningar kan läsa hemligheter som skyddas av iCloud-nyckelring.

Beskrivning: Under vissa omständigheter kunde iCloud-nyckelring inte validera OTR-paketens autenticitet. Problemet har åtgärdats genom förbättrad validering.

CVE-2017-2448: Alex Radocea på Longterm Security, Inc.

Uppdaterades 30 mars 2017

libarchive

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: En lokal angripare kan ändra filsystembehörigheter på godtyckliga kataloger

Beskrivning: Ett valideringsproblem förekom i hanteringen av symlänkar. Problemet åtgärdades genom förbättrad validering av symlänkar.

CVE-2017-2390: Omer Medan på enSilo Ltd

libc++abi

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Avkodning av skadligt C++-program kan leda till körning av godtycklig kod

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2017-2441

libxslt

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Flera sårbarheter i libxslt

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2017-5029: Holger Fuhrmannek

Lades till 28 mars 2017

Urklipp

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: En person med fysisk åtkomst till en iOS-enhet kan läsa urklipp

Beskrivning: Urklipp krypterades med en nyckel som enbart skyddas av hårdvaru-UID. Problemet åtgärdades genom att kryptera urklipp med en nyckel som skyddas av både hårdvaru-UID och användarens lösenkod.

CVE-2017-2399

Telefon

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: En app från tredje part kan sätta igång en uppringning utan att användaren tillfrågas

Beskrivning: Ett problem i iOS möjliggjorde uppringning utan att fråga.  Problemet åtgärdades genom att uppmana användaren att bekräfta uppringningen.

CVE-2017-2484

Profiler

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: En angripare kan få möjlighet att utnyttja svagheter i den kryptografiska algoritmen DES

Beskrivning: Stöd för den kryptografiska algoritmen 3DES lades till i SCEP-klienten och DES togs ur bruk.

CVE-2017-2380: En anonym forskare

Överblick

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Tryck på en telefonlänk i ett PDF-dokument kunde utlösa en uppringning utan att fråga användaren

Beskrivning: Ett problem förekom vid kontroll av telefonwebbadressen före uppringning. Problemet åtgärdades genom att en bekräftelsefråga lades till.

CVE-2017-2404: Tuan Anh Ngo (Melbourne, Australien), Christoph Nehring

Safari

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Besök på en skadlig webbplats kan leda till att adressfältet förfalskas

Beskrivning: Ett problem med tillståndshantering åtgärdades genom inaktivering av textinmatning tills målsidan var inläst.

CVE-2017-2376: En anonym forskare, Michal Zalewski på Google Inc, Muneaki Nishimura (nishimunea) på Recruit Technologies Co., Ltd., Chris Hlady på Google Inc, en anonym forskare, Yuyang Zhou på Tencent Security Platform Department (security.tencent.com)

Safari

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: En lokal användare kan se vilka webbplatser som en användare har besökt i Privat surfning

Beskrivning: Det förekom ett problem med radering av SQLite. Problemet åtgärdades genom förbättrad rensning av SQLite.

CVE-2017-2384

Safari

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan visa autentiseringsark på skadliga webbplatser

Beskrivning: Ett problem med förfalskning och dos-angrepp (denial of service) förekom vid hantering av HTTP-autentisering. Problemet åtgärdades genom att HTTP-autentiseringsarken gjordes icke-modala.

CVE-2017-2389: ShenYeYinJiu på Tencent Security Response Center, TSRC

Safari

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Besök på en webbplats med skadligt innehåll via länkklick kan leda till att användargränssnittet förfalskas

Beskrivning: Ett problem med förfalskning förekom i hanteringen av FaceTime-uppmaningar. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2017-2453: xisigr på Tencents Xuanwu Lab (tencent.com)

Safari-läsaren

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Aktivering av funktionen Safari-läsaren på en webbsida med skadligt innehåll kan leda till en universell skriptkörning mellan sajter

Beskrivning: Flera valideringsproblem åtgärdades genom förbättrad indatasanering.

CVE-2017-2393: Erling Ellingsen

SafariViewController

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Cachetillståndet är inte korrekt synkroniserat mellan Safari och SafariViewController när en användare rensar Safari-cachen

Beskrivning: Ett problem förekom vid rensning av Safari-cacheinformation från SafariViewController.  Problemet åtgärdades genom förbättrad hantering av cachetillståndet.

CVE-2017-2400: Abhinav Bansal på Zscaler, Inc.

Sandlådeprofiler

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare samt iPod touch 6:e generationen

Effekt: Ett skadligt program kan komma åt iCloud-användarhistorik för en inloggad användare

Beskrivning: Ett åtkomstproblem åtgärdades med ytterligare sandlådebegränsningar för program från tredje part.

CVE-2017-6976: George Dan (@theninjaprawn)

Lades till 1 augusti 2017

Säkerhet

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Validering av tomma signaturer med SecKeyRawVerify() kan oväntat genomföras

Beskrivning: Det förekom ett valideringsproblem med kryptografiska API-samtal. Problemet har åtgärdats genom förbättrad parametervalidering.

CVE-2017-2423: En anonym forskare

Säkerhet

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Ett program kan köra godtycklig kod med rotbehörigheter

Beskrivning: Ett buffertspill åtgärdades genom förbättrad gränskontroll.

CVE-2017-2451: Alex Radocea på Longterm Security, Inc.

Säkerhet

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av ett felaktigt utformat x509-certifikat kan leda till körning av godtycklig kod

Beskrivning: Ett minnesfel förekom i tolkning av certifikat. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2017-2485: Aleksandar Nikolic på Cisco Talos

Siri

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Siri kan avslöja meddelandeinnehåll när enheten är låst

Beskrivning: Ett problem med otillräckligt lås åtgärdades genom förbättrad tillståndshantering.

CVE-2017-2452: Hunter Byrnes

WebKit

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: När en felaktigt utformad länk dras och släpps kan det kan leda till förfalskning av bokmärke eller körning av godtycklig kod

Beskrivning: Det förekom ett valideringsproblem när bokmärken skapades. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2017-2378: xisigr på Tencent's Xuanwu Lab (tencent.com)

WebKit

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Besök på en skadlig webbplats kan leda till att adressfältet förfalskas

Beskrivning: Ett problem med inkonsekvent användargränssnitt åtgärdades genom förbättrad tillståndshantering.

CVE-2017-2486: redrain på light4freedom

WebKit

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan orsaka åtkomst till data från flera källor

Beskrivning: Ett problem med prototypåtkomst åtgärdades genom förbättrad undantagshantering.

CVE-2017-2386: André Bargull

WebKit

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod

Beskrivning: Flera minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric på Google Project Zero, Zheng Huang på Baidu Security Lab i samarbete med Trend Micros Zero Day Initiative

CVE-2017-2455: Ivan Fratric på Google Project Zero

CVE-2017-2457: lokihardt på Google Project Zero

CVE-2017-2459: Ivan Fratric på Google Project Zero

CVE-2017-2460: Ivan Fratric på Google Project Zero

CVE-2017-2464: Jeonghoon Shin, Natalie Silvanovich på Google Project Zero

CVE-2017-2465: Zheng Huang och Wei Yuan på Baidu Security Lab

CVE-2017-2466: Ivan Fratric på Google Project Zero

CVE-2017-2468: lokihardt på Google Project Zero

CVE-2017-2469: lokihardt på Google Project Zero

CVE-2017-2470: lokihardt på Google Project Zero

CVE-2017-2476: Ivan Fratric på Google Project Zero

CVE-2017-2481: 0011 i samarbete med Trend Micros Zero Day Initiative

Uppdaterades 20 juni 2017

WebKit

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.

CVE-2017-2415: Kai Kang på Tencents Xuanwu Lab (tencent.com)

WebKit

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till att Content Security Policy inte tillämpas

Beskrivning: Det förekom ett åtkomstproblem i Content Security Policy.  Problemet åtgärdades genom förbättrad åtkomstbegränsning.

CVE-2017-2419: Nicolai Grødum på Cisco Systems

WebKit

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till hög minnesförbrukning

Beskrivning: Ett problem med okontrollerad resursförbrukning åtgärdades genom förbättrad regex-bearbetning.

CVE-2016-9643: Gustavo Grieco

WebKit

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till att processminnet visas

Beskrivning: Ett problem med avslöjande av information förekom i bearbetningen av OpenGL-shaders. Problemet åtgärdades genom förbättrad minneshantering.

CVE-2017-2424: Paul Thomson (med verktyget GLFuzz) på Multicore Programming Group, Imperial College London

WebKit

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2433: Apple

WebKit

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan orsaka åtkomst till data från flera källor

Beskrivning: Flera valideringsproblem förekom i hanteringen av inläsning av sidor. Problemet åtgärdades genom förbättrad logik.

CVE-2017-2364: lokihardt på Google Project Zero

WebKit

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: En webbplats med skadligt innehåll kan komma åt data från flera källor

Beskrivning: Ett valideringsproblem förekom i hanteringen av laddning av sidor. Problemet åtgärdades genom förbättrad logik.

CVE-2017-2367: lokihardt på Google Project Zero

WebKit

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av skadligt utformat webbinnehåll kan leda till universell skriptkörning över flera sajter

Beskrivning: Det fanns ett logikproblem i hantering av ramobjekt. Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2017-2445: lokihardt på Google Project Zero

WebKit

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod

Beskrivning: Det fanns ett logikproblem i hanteringen av funktioner för strict-läge. Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2017-2446: Natalie Silvanovich på Google Project Zero

WebKit

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Besök på en felaktigt utformad webbplats kan leda till att användarinformation hamnar i orätta händer

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-2447: Natalie Silvanovich på Google Project Zero

WebKit

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2017-2463: Kai Kang (4B5F5F4B) på Tencents Xuanwu Lab (tencent.com) i samarbete med Trend Micros Zero Day Initiative

Lades till 28 mars 2017

WebKit

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2017-2471: Ivan Fratric på Google Project Zero

WebKit

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av skadligt utformat webbinnehåll kan leda till universell skriptkörning över flera sajter

Beskrivning: Ett logikproblem förekom vid ramhantering. Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2017-2475: lokihardt på Google Project Zero

WebKit

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan orsaka åtkomst till data från flera källor

Beskrivning: Ett valideringsproblem förekom i hanteringen av element. Problemet har åtgärdats genom förbättrad validering.

CVE-2017-2479: lokihardt på Google Project Zero

Lades till 28 mars 2017

WebKit

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan orsaka åtkomst till data från flera källor

Beskrivning: Ett valideringsproblem förekom i hanteringen av element. Problemet har åtgärdats genom förbättrad validering.

CVE-2017-2480: lokihardt på Google Project Zero

CVE-2017-2493: lokihardt på Google Project Zero

Uppdaterades 24 april 2017

WebKit JavaScript Bindings

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan orsaka åtkomst till data från flera källor

Beskrivning: Flera valideringsproblem förekom i hanteringen av inläsning av sidor. Problemet åtgärdades genom förbättrad logik.

CVE-2017-2442: lokihardt på Google Project Zero

WebKit Web Inspector

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: När ett fönster stängs medan felsökningen är pausad kan program oväntat avslutas

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2377: Vicki Pfau

WebKit Web Inspector

Tillgänglig för: iPhone 5 och senare, iPad 4:e generationen och senare, iPod touch 6:e generationen och senare

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2405: Apple

Ytterligare tack

XNU

Vi vill tacka Lufeng Li på Qihoo 360 Vulcan Team för deras hjälp.

WebKit

Vi vill tacka Yosuke HASEGAWA på Secure Sky Technology Inc. för deras hjälp.

Safari

Vi vill tacka Flyin9 (ZhenHui Lee) för deras hjälp.

Inställningar

Vi vill tacka Adi Sharabani och Yair Amit på Skycure för deras hjälp.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: