Om säkerhetsinnehållet i iOS 11.1

Det här dokumentet beskriver säkerhetsinnehållet i iOS 11.1.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

iOS 11.1

Släpptes 31 oktober 2017

CoreText

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: Bearbetning av en skadligt utformad textfil kan leda till oväntad programavslutning

Beskrivning: Ett problem med tjänster som nekades åtgärdades genom förbättrad minneshantering.

CVE-2017-13849: Ro på SavSec

Kernel

Tillgängligt för: iPhone 5s och senare, iPad Air och senare samt iPod touch 6:e generationen

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-13799: Lufeng Li på Qihoo 360 Vulcan Team

Informationen uppdaterades 10 november 2017

Kernel

Tillgängligt för: iPhone 5s och senare, iPad Air och senare samt iPod touch 6:e generationen

Effekt: En skadlig applikation kan få reda på information om andra applikationer och deras funktion på enheten.

Beskrivning: En applikation kunde obegränsat komma åt information om processer som underhölls av operativsystemet. Problemet åtgärdades genom begränsning av hastigheten.

CVE-2017-13852: Xiaokuan Zhang och Yinqian Zhang på The Ohio State University, Xueqiang Wang och XiaoFeng Wang på Indiana University Bloomington och Xiaolong Bai på Tsinghua University

Lades till 10 november 2017

Meddelanden

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: En person med fysisk åtkomst till en iOS-enhet kan komma åt bilder från låsskärmen

Beskrivning: Ett problem med låsskärmen tillät åtkomst till bilder via Svara med meddelande på en låst enhet. Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2017-13844: Miguel Alvarado på iDeviceHelp INC

Siri

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: En person med fysisk tillgång till en iOS-enhet kan använda Siri till att läsa notiser om innehåll som är inställt att inte visas på låsskärmen

Beskrivning: Ett problem med behörigheter fanns för Siri. Det har åtgärdats med förbättrad behörighetskontroll.

CVE-2017-13805: Yiğit Can YILMAZ (@yilmazcanyigit)

Informationen uppdaterades 10 november 2017

StreamingZip

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: En skadligt utformad zip-fil kan ändra i begränsade områden på filsystemet

Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.

CVE-2017-13804: @qwertyoruiopz på KJC Research Intl. S.R.L.

UIKit

Tillgängligt för: iPhone 5s och senare, iPad Air och senare, samt iPod touch 6:e generationen

Effekt: Tecken i ett säkert textfält kunde avslöjas

Beskrivning: Tecken i ett säkert textfält avslöjades vid händelser där fokus byttes. Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2017-7113: En anonym forskare, Duraiamuthan Harikrishnan på Tech Mahindra, Ricardo Sampayo på Bemo Ltd

WebKit

CVE-2017-13783: Ivan Fratric på Google Project Zero

CVE-2017-13784: Ivan Fratric på Google Project Zero

CVE-2017-13785: Ivan Fratric på Google Project Zero

CVE-2017-13788: xisigr på Tencents Xuanwu Lab (tencent.com)

CVE-2017-13791: Ivan Fratric på Google Project Zero

CVE-2017-13792: Ivan Fratric på Google Project Zero

CVE-2017-13793: Hanul Choi tillsammans med Trend Micros Zero Day Initiative

CVE-2017-13794: Ivan Fratric på Google Project Zero

CVE-2017-13795: Ivan Fratric på Google Project Zero

CVE-2017-13796: Ivan Fratric på Google Project Zero

CVE-2017-13797: Ivan Fratric på Google Project Zero

CVE-2017-13798: Ivan Fratric på Google Project Zero

CVE-2017-13802: Ivan Fratric på Google Project Zero

CVE-2017-13803: chenqin (陈钦) på Ant-financial Light-Year Security

Informationen uppdaterades 2 november 2017

Wifi

Tillgängligt för: iPhone 8, iPhone 8 Plus och iPhone X

Påverkas inte: iPhone 7, iPhone 7 Plus, iPhone 6s, iPhone 6s Plus, iPhone 6, iPhone 6 Plus, iPhone SE, iPhone 5s, iPad Air och senare, och iPod touch 6:e generationen

Effekt: En angripare inom wifi-räckhåll kan tvinga nonce-återanvändning i WPA unicast/PTK-klienter (Key Reinstallation Attacks – KRACK)

Beskrivning: Det fanns ett logikproblem i hanteringen av tillståndsövergångar. Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2017-13077: Mathy Vanhoef på imec-DistriNet group vid KU Leuven

CVE-2017-13078: Mathy Vanhoef på imec-DistriNet group vid KU Leuven

Informationen uppdaterades 3 november 2017

Wifi

Tillgängligt för: iPhone 7 och senare och iPad Pro 9.7 tum (tidigt 2016) och senare

Effekt: En angripare inom wifi-räckhåll kan tvinga nonce-återanvändning i WPA multicast/GTK-klienter (Key Reinstallation Attacks – KRACK)

Beskrivning: Det fanns ett logikproblem i hanteringen av tillståndsövergångar. Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2017-13080: Mathy Vanhoef på imec-DistriNet group vid KU Leuven

Informationen uppdaterades 3 november 2017

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: