关于 iOS 11 的安全性内容

本文介绍了 iOS 11 的安全性内容。

关于 Apple 安全性更新

为保护我们的客户,在没有进行调查并推出修补程序或发行版本之前,Apple 不会透露、讨论或确认安全性问题。“Apple 安全性更新”页面上列出了近期发布的版本。

如果需要了解有关安全性的更多信息,请参阅“Apple 产品安全性”页面。您可以使用 Apple 产品安全性 PGP 密钥对与 Apple 的通信进行加密。

如果可能,Apple 安全性文稿会引用 CVE-ID 中列出的安全漏洞。

iOS 11

发布于 2017 年 9 月 19 日

802.1X

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:攻击者或许能够利用 TLS 1.0 中的漏洞

描述:已通过启用 TLS 1.1 和 TLS 1.2 解决协议安全问题。

CVE-2017-13832: Doug Wussler of Florida State University

条目添加于 2017 年 10 月 31 日,更新于 2017 年 11 月 10 日

APNs

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:拥有特权网络地位的攻击者可能会跟踪用户

描述:使用客户端证书时存在隐私问题。已通过修订协议解决这个问题。 

CVE-2017-13863: FURIOUSMAC Team of United States Naval Academy

条目添加于 2017 年 12 月 21 日

蓝牙

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:应用程序或许能够访问受限文件

描述:处理联系人名片时存在隐私问题。已通过改进状态管理解决这个问题。

CVE-2017-7131: Dominik Conrads of Federal Office for Information Security, an anonymous researcher, Anand Kathapurkar of India, Elvis (@elvisimprsntr)

条目更新于 2017 年 10 月 9 日

CFNetwork

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-13829: Niklas Baumstark and Samuel Gro working with Trend Micro's Zero Day Initiative 

CVE-2017-13833: Niklas Baumstark and Samuel Gro working with Trend Micro's Zero Day Initiative

条目添加于 2017 年 11 月 10 日

CFNetwork 代理

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:拥有特权网络地位的攻击者或许能够导致服务遭拒

描述:已通过改进内存处理解决多个服务遭拒问题。

CVE-2017-7083: Abhinav Bansal of Zscaler Inc.

条目添加于 2017 年 9 月 25 日

CFString

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:应用程序或许能够读取受限内存

描述:已通过改进输入清理解决验证问题。

CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate

条目添加于 2017 年 10 月 31 日

CoreAudio

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:应用程序或许能够读取受限内存

描述:已通过更新至 Opus 版本 1.1.4 解决越界读取问题。

CVE-2017-0381: V.E.O (@VYSEa) of Mobile Threat Research Team, Trend Micro

条目添加于 2017 年 9 月 25 日

CoreText

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:处理恶意制作的字体文件可能会导致任意代码执行

描述:已通过改进内存处理解决内存消耗问题。

CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate

条目添加于 2017 年 10 月 31 日

Exchange ActiveSync

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:拥有特权网络地位的攻击者或许能够在 Exchange 帐户设置期间抹掉设备

描述:AutoDiscover V1 中存在的验证问题。已通过为 AutoDiscover V1 请求 TLS 解决这个问题。现在支持 AutoDiscover V2。

CVE-2017-7088: Ilya Nesterov, Maxim Goncharov

file

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:file 中存在多个问题

描述:已通过更新至版本 5.31 解决多个问题。

CVE-2017-13815: found by OSS-Fuzz

条目添加于 2017 年 10 月 31 日,更新于 2018 年 10 月 18 日

字体

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:渲染不可信的文本可能会导致欺诈问题

描述:已通过改进状态管理解决用户界面不一致问题。

CVE-2017-13828: Leonard Grey and Robert Sesek of Google Chrome

条目添加于 2017 年 10 月 31 日,更新于 2017 年 11 月 10 日

Heimdal

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:拥有特权网络地位的攻击者或许能够假冒服务

描述:处理 KDC-REP 服务名称时存在验证问题。已通过改进验证解决这个问题。

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni, and Nico Williams

条目添加于 2017 年 9 月 25 日

HFS

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-13830: Sergej Schumilo of Ruhr-University Bochum

条目添加于 2017 年 10 月 31 日

iBooks

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:解析恶意制作的 iBooks 文件可能会导致服务永久遭拒

描述:已通过改进内存处理解决多个服务遭拒问题。

CVE-2017-7072: Jędrzej Krysztofiak

ImageIO

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:处理恶意制作的图像可能会导致任意代码执行

描述:已通过改进输入验证解决内存损坏问题。

CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate

条目添加于 2017 年 10 月 31 日

ImageIO

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:处理恶意制作的图像可能会导致服务遭拒

描述:处理磁盘映像时存在信息泄漏问题。已通过改进内存管理解决这个问题。

CVE-2017-13831: Glen Carmichael

条目添加于 2017 年 10 月 31 日,更新于 2017 年 11 月 10 日

内核

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-7114: Alex Plaskett of MWR InfoSecurity

条目添加于 2017 年 9 月 25 日

内核

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:本地用户或许能够读取内核内存

描述:存在导致内核内存泄露的越界读取问题。已通过改进输入验证解决这个问题。

CVE-2017-13817: Maxime Villard (m00nbsd)

条目添加于 2017 年 10 月 31 日

内核

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:应用程序或许能够读取受限内存

描述:已通过改进输入清理解决验证问题。

CVE-2017-13818: The UK's National Cyber Security Centre (NCSC)

CVE-2017-13836: Vlad Tsyrklevich

CVE-2017-13841: Vlad Tsyrklevich

CVE-2017-13840: Vlad Tsyrklevich

CVE-2017-13842: Vlad Tsyrklevich

条目添加于 2017 年 10 月 31 日,更新于 2018 年 6 月 18 日

内核

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-13843: an anonymous researcher, an anonymous researcher

条目添加于 2017 年 10 月 31 日

内核

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-13854: shrek_wzw of Qihoo 360 Nirvan Team

条目添加于 2017 年 11 月 2 日

内核

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:处理格式错误的 mach 二进制文件可能会导致任意代码执行

描述:已通过改进验证解决内存损坏问题。

CVE-2017-13834: Maxime Villard (m00nbsd)

条目添加于 2017 年 11 月 10 日

内核

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:恶意应用程序或许能够获知设备上有哪些其他应用程序,以及这些应用程序的运行情况。

描述:应用程序能够在不受限制的情况下,访问由操作系统维护的网络活动信息。已通过减少第三方应用程序可获得的信息解决这个问题。

CVE-2017-13873: Xiaokuan Zhang and Yinqian Zhang of The Ohio State University, Xueqiang Wang and XiaoFeng Wang of Indiana University Bloomington, and Xiaolong Bai of Tsinghua University

条目添加于 2017 年 11 月 30 日

键盘建议

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:键盘自动更正建议可能会泄漏敏感信息

描述:iOS 键盘无意间缓存了敏感信息。已通过改进启发法解决这个问题。

CVE-2017-7140: Agim Allkanjari of Stream in Motion Inc.

条目更新于 2017 年 10 月 9 日

libarchive

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:解压恶意制作的归档文件可能会导致任意代码执行

描述:已通过改进内存处理解决缓冲区溢出问题。

CVE-2017-13813: found by OSS-Fuzz

CVE-2017-13816: found by OSS-Fuzz

条目添加于 2017 年 10 月 31 日

libarchive

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:解压恶意制作的归档文件可能会导致任意代码执行

描述:libarchive 中存在多个内存损坏问题。已通过改进输入验证解决这些问题。

CVE-2017-13812: found by OSS-Fuzz

条目添加于 2017 年 10 月 31 日

libc

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:远程攻击者或许能够导致服务遭拒

描述:已通过改进算法解决 glob() 中的资源耗尽问题。

CVE-2017-7086: Russ Cox of Google

条目添加于 2017 年 9 月 25 日

libc

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:应用程序或许能够导致服务遭拒

描述:已通过改进内存处理解决内存消耗问题。

CVE-2017-1000373

条目添加于 2017 年 9 月 25 日

libexpat

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:expat 中存在多个问题

描述:已通过更新至版本 2.2.1 解决多个问题

CVE-2016-9063

CVE-2017-9233

条目添加于 2017 年 9 月 25 日

libxml2

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:处理恶意制作的 XML 可能会导致应用程序意外终止或任意代码执行

描述:已通过改进内存处理解决缓冲区溢出问题。

CVE-2017-7376: an anonymous researcher

CVE-2017-5130: an anonymous researcher

条目添加于 2018 年 10 月 18 日

libxml2

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:处理恶意制作的 XML 可能会导致应用程序意外终止或任意代码执行

描述:已通过改进输入验证解决内存损坏问题。

CVE-2017-9050: Mateusz Jurczyk (j00ru) of Google Project Zero

条目添加于 2018 年 10 月 18 日

libxml2

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:处理恶意制作的 XML 可能会导致应用程序意外终止或任意代码执行

描述:已通过改进内存管理解决“释放后使用”问题。

CVE-2017-9049: Wei Lei and Liu Yang - Nanyang Technological University in Singapore

条目添加于 2018 年 10 月 18 日

libxml2

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:处理恶意制作的 XML 可能会导致应用程序意外终止或任意代码执行

描述:已通过改进验证解决空指针取消引用问题。

CVE-2018-4302: Gustavo Grieco

条目添加于 2018 年 10 月 18 日

位置框架

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:应用程序或许能够读取敏感的位置信息

描述:处理位置变量时存在权限问题。已通过增加所有权检查解决这个问题。

CVE-2017-7148: Igor Makarov from Moovit, Will McGinty and Shawnna Rodriguez of Bottle Rocket Studios

条目更新于 2017 年 10 月 9 日

邮件草稿

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:拥有特权网络地位的攻击者或许能够拦截邮件内容

描述:处理邮件草稿时存在加密问题。已通过改进应加密发送的邮件草稿的处理解决这个问题。

CVE-2017-7078: Petter Flink, Pierre ALBARÈDE from Marseille (France), an anonymous researcher

条目更新于 2017 年 10 月 9 日

邮件 MessageUI

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:处理恶意制作的图像可能会导致服务遭拒

描述:已通过改进验证解决内存损坏问题。

CVE-2017-7097: Xinshu Dong and Jun Hao Tan of Anquan Capital

信息

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:处理恶意制作的图像可能会导致服务遭拒

描述:已通过改进验证解决服务遭拒问题。

CVE-2017-7118: Kiki Jiang and Jason Tokoph

MobileBackup

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:尽管要求只进行加密备份,但备份功能可能还是会进行未加密备份

描述:存在权限问题。已通过改进权限验证解决这个问题。

CVE-2017-7133: Don Sparks of HackediOS.com

备注

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:本地用户或许能够泄露敏感用户信息

描述:锁定的备忘录的内容有时候会出现在搜索结果中。已通过改进数据清理解决这个问题。

CVE-2017-7075: Richard Will of Marathon Oil Company

条目添加于 2017 年 11 月 10 日

电话

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:iOS 设备在锁定时可能会对安全性内容拍下屏幕快照

描述:处理锁定操作时存在定时问题。已通过禁止在锁定时拍摄屏幕快照解决这个问题。

CVE-2017-7139: an anonymous researcher

条目添加于 2017 年 9 月 25 日

描述文件

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:安装不允许配对的描述文件后,可能无意中会在设备上安装设备配对记录

描述:安装不允许配对的描述文件时,没有移除配对。已通过移除与配置描述文件冲突的配对解决这个问题。

CVE-2017-13806: Rorie Hood of MWR InfoSecurity

条目添加于 2017 年 11 月 2 日

快速查看

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:应用程序或许能够读取受限内存

描述:已通过改进输入清理解决验证问题。

CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate

条目添加于 2017 年 10 月 31 日

快速查看

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:解析恶意制作的 Office 文稿可能会导致应用程序意外终止或任意代码执行

描述:已通过改进内存处理解决内存消耗问题。

CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate

条目添加于 2017 年 10 月 31 日

Safari 浏览器

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:访问恶意网站可能会导致地址栏欺诈

描述:已通过改进状态管理解决用户界面不一致问题。

CVE-2017-7085: xisigr of Tencent's Xuanwu Lab (tencent.com)

沙箱描述文件

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:恶意应用程序或许能够获知设备上有哪些其他应用程序。

描述:应用程序能够确定沙箱外部文件的存在情况。已通过增加沙箱检查解决这个问题。

CVE-2017-13877: Xiaokuan Zhang and Yinqian Zhang of The Ohio State University, Xueqiang Wang and XiaoFeng Wang of Indiana University Bloomington, and Xiaolong Bai of Tsinghua University

条目添加于 2017 年 11 月 30 日

安全性

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:已撤销的证书仍可能获得信任

描述:处理撤销数据时存在证书验证问题。已通过改进验证解决这个问题。

CVE-2017-7080: an anonymous researcher, an anonymous researcher, Sven Driemecker of adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) of Bærum kommune

条目添加于 2017 年 9 月 25 日

安全性

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:恶意应用或许能够在两次安装之间跟踪用户

描述:处理应用的钥匙串数据时存在权限检查问题。已通过改进权限检查解决这个问题。

CVE-2017-7146: an anonymous researcher

条目添加于 2017 年 9 月 25 日

SQLite

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:SQLite 中存在多个问题

描述:已通过更新至版本 3.19.3 解决多个问题。

CVE-2017-10989: found by OSS-Fuzz

CVE-2017-7128: found by OSS-Fuzz

CVE-2017-7129: found by OSS-Fuzz

CVE-2017-7130: found by OSS-Fuzz

条目添加于 2017 年 9 月 25 日

SQLite

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-7127: an anonymous researcher

条目添加于 2017 年 9 月 25 日

电话

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型(无线局域网 + 蜂窝网络机型)

影响:信号覆盖范围内的攻击者或许能够执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-6211: Matthew Spisak of ENDGAME (endgame.com)

条目添加于 2017 年 12 月 4 日

时间

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:“设置时区”可能会错误地指出它正在使用位置信息

描述:在处理时区信息的过程中存在权限问题。已通过修改权限解决这个问题。

CVE-2017-7145: Chris Lawrence

条目更新于 2017 年 10 月 9 日

WebKit

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:处理恶意制作的网页内容可能会导致任意代码执行

描述:已通过改进输入验证解决内存损坏问题。

CVE-2017-7081: Apple

条目添加于 2017 年 9 月 25 日

WebKit

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:处理恶意制作的网页内容可能会导致任意代码执行

描述:已通过改进内存处理解决多个内存损坏问题。

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan of Baidu Security Lab working with Trend Micro’s Zero Day Initiative

CVE-2017-7092: Samuel Gro and Niklas Baumstark working with Trend Micro's Zero Day Initiative, Qixun Zhao (@S0rryMybad) of Qihoo 360 Vulcan Team

CVE-2017-7093: Samuel Gro and Niklas Baumstark working with Trend Micro’s Zero Day Initiative

CVE-2017-7094: Tim Michaud (@TimGMichaud) of Leviathan Security Group

CVE-2017-7095: Wang Junjie, Wei Lei, and Liu Yang of Nanyang Technological University working with Trend Micro’s Zero Day Initiative

CVE-2017-7096: Wei Yuan of Baidu Security Lab

CVE-2017-7098: Felipe Freitas of Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa and Mario Heiderich of Cure53

CVE-2017-7102: Wang Junjie, Wei Lei, and Liu Yang of Nanyang Technological University

CVE-2017-7104: likemeng of Baidu Secutity Lab

CVE-2017-7107: Wang Junjie, Wei Lei, and Liu Yang of Nanyang Technological University

CVE-2017-7111: likemeng of Baidu Security Lab (xlab.baidu.com) working with Trend Micro's Zero Day Initiative

CVE-2017-7117: lokihardt of Google Project Zero

CVE-2017-7120: chenqin (陈钦) of Ant-financial Light-Year Security Lab

条目添加于 2017 年 9 月 25 日

WebKit

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:处理恶意制作的网页内容可能会导致通用跨站点脚本编写

描述:处理父标签时存在逻辑问题。已通过改进状态管理解决这个问题。

CVE-2017-7089: Anton Lopanitsyn of ONSEC, Frans Rosén of Detectify

WebKit

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:属于某个源的 Cookie 可能会被发送至其他源

描述:处理网页浏览器 Cookie 时存在权限问题。已通过不再为自定 URL 方案返回 Cookie 解决这个问题。

CVE-2017-7090: Apple

条目添加于 2017 年 9 月 25 日

WebKit

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:访问恶意网站可能会导致地址栏欺诈

描述:已通过改进状态管理解决用户界面不一致问题。

CVE-2017-7106: Oliver Paukstadt of Thinking Objects GmbH (to.com)

WebKit

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:处理恶意制作的网页内容可能会导致跨站点脚本攻击

描述:应用程序缓存策略可能会被意外应用。

CVE-2017-7109: avlidienbrunn

条目添加于 2017 年 9 月 25 日

WebKit

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:恶意网站或许能够在 Safari 浏览器无痕浏览模式下跟踪用户

描述:处理网页浏览器 Cookie 时存在权限问题。已通过改进访问限制解决这个问题。

CVE-2017-7144: Mohammad Ghasemisharif of UIC’s BITS Lab

条目更新于 2017 年 10 月 9 日

WebKit 储存

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:Safari 浏览器无痕浏览会话结束后网站数据可能仍然存在

描述:处理 Safari 浏览器无痕浏览窗口中的网站数据时存在信息泄漏问题。已通过改进数据处理解决这个问题。

CVE-2017-7142: Rich Shawn O’Connell, an anonymous researcher, an anonymous researcher

条目添加于 2017 年 11 月 10 日

Wi-Fi

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:信号覆盖范围内的攻击者或许能够在 Wi-Fi 芯片上执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-11120: Gal Beniamini of Google Project Zero

CVE-2017-11121: Gal Beniamini of Google Project Zero

条目添加于 2017 年 9 月 25 日

Wi-Fi

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:Wi-Fi 芯片上执行的恶意代码或许能够以内核权限在应用程序处理器上执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-7103: Gal Beniamini of Google Project Zero

CVE-2017-7105: Gal Beniamini of Google Project Zero

CVE-2017-7108: Gal Beniamini of Google Project Zero

CVE-2017-7110: Gal Beniamini of Google Project Zero

CVE-2017-7112: Gal Beniamini of Google Project Zero

Wi-Fi

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:Wi-Fi 芯片上执行的恶意代码或许能够以内核权限在应用程序处理器上执行任意代码

描述:已通过改进验证解决多个竞态条件问题。

CVE-2017-7115: Gal Beniamini of Google Project Zero

Wi-Fi

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:Wi-Fi 芯片上执行的恶意代码或许能够读取受限内核内存

描述:已通过改进输入清理解决验证问题。

CVE-2017-7116: Gal Beniamini of Google Project Zero

Wi-Fi

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:信号覆盖范围内的攻击者或许能够读取 Wi-Fi 芯片组上的受限内存

描述:已通过改进输入清理解决验证问题。

CVE-2017-11122: Gal Beniamini of Google Project Zero

条目添加于 2017 年 10 月 2 日

zlib

适用于:iPhone 5s 及更新机型、iPad Air 及更新机型和 iPod touch 第 6 代

影响:zlib 中存在多个问题

描述:已通过更新至版本 1.2.11 解决多个问题。

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

条目添加于 2017 年 9 月 25 日

其他表彰

LaunchServices

由衷感谢 EnBW Energie Baden-Württemberg AG 的 Mark Zimmermann 为我们提供的协助。

安全性

由衷感谢 Zscaler, Inc. 的 Abhinav Bansal 为我们提供的帮助。

Webkit

由衷感谢腾讯玄武实验室 (tencent.com) 的 xisigr 为我们提供的帮助。

WebKit

由衷感谢 The City School PAF Chapter 的 Rayyan Bijoora (@Bijoora) 为我们提供的帮助。

WebKit 网页检查器

由衷感谢 Bloggify 的 Ioan Bizău 为我们提供的帮助。

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。互联网的使用具有一定风险。请联系供应商以了解其他信息。其他公司和产品名称可能是其各自所有公司的商标。

发布日期: