Apple iOS 11.0.1 a fost lansat și ar trebui să faceți upgrade acum

Bluetooth

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: o aplicație poate avea acces la fișierele restricționate

Descriere: A existat o problemă de confidențialitate în gestionarea cărților de contact. Acest lucru a fost abordat cu un management îmbunătățit al statului.

CVE-2017-7131: un cercetător anonim, Elvis (@elvisimprsntr), Dominik Conrads al Oficiului Federal pentru Securitatea Informațiilor, un cercetător anonim

Intrare adăugată 25 septembrie 2017

Proxy-uri CFNetwork

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: Un atacator într-o poziție de rețea privilegiată poate fi în măsură să provoace refuzul serviciului

Descriere: Negarea multiplă a problemelor serviciului a fost abordată printr-o mai bună gestionare a memoriei.

CVE-2017-7083: Abhinav Bansal al Zscaler Inc.

Intrare adăugată 25 septembrie 2017

CoreAudio

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: o aplicație poate să poată citi memoria restricționată

Descriere: O citire în afara limitelor a fost adresată prin actualizarea la versiunea Opus 1.1.4.

CVE-2017-0381: V.E.O (@VYSEa) a echipei de cercetare a amenințărilor mobile, Trend Micro

Intrare adăugată 25 septembrie 2017

Schimb activesync

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: Un atacator într-o poziție de rețea privilegiată poate fi capabil să șteargă un dispozitiv în timpul configurarii contului Exchange

Descriere: A existat o problemă de validare în AutoDiscover V1. Acest lucru a fost rezolvat prin solicitarea TLS pentru AutoDiscover V1. AutoDiscover V2 este acum acceptat.

CVE-2017-7088: Ilya Nesterov, Maxim Goncharov

Heimdal

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: Un atacator într-o poziție privilegiată de rețea poate fi capabil să interpreteze un serviciu

Descriere: A existat o problemă de validare în tratarea numelui de serviciu KDC-REP. Această problemă a fost abordată printr-o validare îmbunătățită.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni și Nico Williams

Intrare adăugată 25 septembrie 2017

iBooks

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: Parsarea unui fișier iBooks conceput în mod greșit poate duce la o negare persistentă a serviciului

Descriere: Negarea multiplă a problemelor serviciului a fost abordată printr-o mai bună gestionare a memoriei.

CVE-2017-7072: Jędrzej Krysztofiak

Nucleu

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: o aplicație poate fi capabilă să execute cod arbitrar cu privilegii de kernel

Descriere: O problemă de corupție a memoriei a fost abordată cu o gestionare îmbunătățită a memoriei.

CVE-2017-7114: Alex Plaskett de la MWR InfoSecurity

Intrare adăugată 25 septembrie 2017

Sugestii pentru tastatură

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: Sugestiile de corectare automată a tastaturii pot dezvălui informații sensibile

Descriere: Tastatura iOS a intrat în cache în mod accidental în informații sensibile. Această problemă a fost abordată cu o euristică îmbunătățită.

CVE-2017-7140: un cercetător anonim

Intrare adăugată 25 septembrie 2017

libc

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: Un atacator de la distanță poate fi în măsură să provoace o refuz a serviciului

Descriere: O problemă de epuizare a resurselor din glob () a fost abordată printr-un algoritm îmbunătățit.

CVE-2017-7086: Russ Cox al Google

Intrare adăugată 25 septembrie 2017

libc

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: O aplicație poate fi capabilă să provoace o respingere a serviciului

Descriere: O problemă de consum de memorie a fost abordată printr-o mai bună manipulare a memoriei.

CVE-2017-1000373

Intrare adăugată 25 septembrie 2017

libexpat

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: multiple probleme în expat

Descriere: Mai multe probleme au fost abordate prin actualizarea la versiunea 2.2.1

CVE-2016-9063

CVE-2017-9233

Intrare adăugată 25 septembrie 2017

Cadrul de locație

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: o aplicație poate să poată citi informații despre locațiile sensibile

Descriere: A existat o problemă de permisiuni în tratarea variabilei de locație. Acest lucru a fost abordat prin verificări suplimentare de proprietate.

CVE-2017-7148: un cercetător anonim, un cercetător anonim

Intrare adăugată 25 septembrie 2017

Schițe prin poștă

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: Un atacator cu o poziție privilegiată de rețea poate fi capabil să intercepteze conținutul de e-mail

Descriere: A existat o problemă de criptare în gestionarea schițelor de poștă. Această problemă a fost abordată cu o gestionare îmbunătățită a schițelor de poștă destinate a fi trimise criptate.

CVE-2017-7078: un cercetător anonim, un cercetător anonim, un cercetător anonim

Intrare adăugată 25 septembrie 2017

Mesaj de e-mailUI

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: Procesarea unei imagini realizate cu răutate poate duce la refuzul serviciului

Descriere: O problemă de corupție a memoriei a fost abordată cu o validare îmbunătățită.

CVE-2017-7097: Xinshu Dong și Jun Hao Tan din Anquan Capital

Mesaje

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: Procesarea unei imagini realizate cu răutate poate duce la refuzul serviciului

Descriere: O problemă de refuz de serviciu a fost abordată printr-o validare îmbunătățită.

CVE-2017-7118: Kiki Jiang și Jason Tokoph

MobileBackup

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: Backup-ul poate efectua o copie de rezervă necriptată, în ciuda cerinței de a efectua doar copii de rezervă criptate

Descriere: A existat o problemă de permisiuni. Această problemă a fost abordată prin validarea permisiunii îmbunătățite.

CVE-2017-7133: Don Sparks al HackediOS.com

Telefon

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: Poate fi capturată o captură de ecran de conținut sigur când se blochează un dispozitiv iOS

Descriere: O problemă de sincronizare a existat în gestionarea blocării. Această problemă a fost rezolvată prin dezactivarea capturilor de ecran în timpul blocării.

CVE-2017-7139: un cercetător anonim

Intrare adăugată 25 septembrie 2017

Safari

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: Vizitarea unui site web dăunător poate duce la răspândirea barelor de adrese

Descriere: O problemă de interfață de utilizator inconsistentă a fost abordată cu o gestionare îmbunătățită a stării.

CVE-2017-7085: xisigr al Laboratorului Xuanwu de la Tencent (tencent.com)

Securitate

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: Un certificat revocat poate fi de încredere

Descriere: A existat o problemă de validare a certificatului în gestionarea datelor de revocare. Această problemă a fost abordată printr-o validare îmbunătățită.

CVE-2017-7080: un cercetător anonim, un cercetător anonim, Sven Driemecker al soluțiilor mobile adesso gmbh, Rune Darrud (@theflyingcorpse) din Bærum kommune

Intrare adăugată 25 septembrie 2017

Securitate

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: O aplicație rău intenționată poate fi capabilă să urmărească utilizatorii între instalări

Descriere: A existat o problemă de verificare a permisiunilor în gestionarea datelor Keychain ale unei aplicații. Această problemă a fost abordată prin verificarea permisiunilor îmbunătățite.

CVE-2017-7146: un cercetător anonim

Intrare adăugată 25 septembrie 2017

SQLite

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: multiple probleme în SQLite

Descriere: Mai multe probleme au fost abordate prin actualizarea la versiunea 3.19.3.

CVE-2017-10989: găsit de OSS-Fuzz

CVE-2017-7128: găsit de OSS-Fuzz

CVE-2017-7129: găsit de OSS-Fuzz

CVE-2017-7130: găsit de OSS-Fuzz

Intrare adăugată 25 septembrie 2017

SQLite

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: O aplicație poate fi capabilă să execute cod arbitrar cu privilegii de sistem

Descriere: O problemă de corupție a memoriei a fost abordată cu o gestionare îmbunătățită a memoriei.

CVE-2017-7127: un cercetător anonim

Intrare adăugată 25 septembrie 2017

Timp

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: „Setarea fusului orar” poate indica în mod incorect că utilizează locația

Descriere: A existat o problemă de permisiuni în procesul care gestionează informațiile despre fusul orar. Problema a fost rezolvată modificând permisiunile.

CVE-2017-7145: cercetător anonim

Intrare adăugată 25 septembrie 2017

WebKit

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: Prelucrarea conținutului web elaborat în mod greșit poate duce la executarea arbitrară a codului

Descriere: O problemă de corupție a memoriei a fost rezolvată printr-o validare îmbunătățită a intrării.

CVE-2017-7081: Apple

Intrare adăugată 25 septembrie 2017

WebKit

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: Prelucrarea conținutului web elaborat în mod greșit poate duce la executarea arbitrară a codului

Descriere: Problemele de corupție ale memoriei multiple au fost abordate cu o gestionare îmbunătățită a memoriei.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan al Laboratorului de securitate Baidu care lucrează cu inițiativa Ziua Zero a Trend Micro

CVE-2017-7092: Samuel Gro și Niklas Baumstark lucrează cu Inițiativa Zero Ziua Trend Micro, Qixun Zhao (@ S0rryMybad) din echipa Qihoo 360 Vulcan

CVE-2017-7093: Samuel Gro și Niklas Baumstark lucrează cu inițiativa Zero Ziua Trend Micro

CVE-2017-7094: Tim Michaud (@TimGMichaud) al Leviathan Security Group

CVE-2017-7095: Wang Junjie, Wei Lei și Liu Yang, de la Universitatea Tehnologică Nanyang, care lucrează cu inițiativa Zero Ziua Trend Micro

CVE-2017-7096: Wei Yuan al laboratorului de securitate Baidu

CVE-2017-7098: Felipe Freitas al Institutului Tecnologic de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa și Mario Heiderich din Cure53

CVE-2017-7102: Wang Junjie, Wei Lei și Liu Yang de la Universitatea Tehnologică Nanyang

CVE-2017-7104: probabilitatea Baidu Secutity Lab

CVE-2017-7107: Wang Junjie, Wei Lei și Liu Yang de la Universitatea Tehnologică Nanyang

CVE-2017-7111: probabilitatea Laboratorului de securitate Baidu (xlab.baidu.com) care lucrează cu Inițiativa Zero Ziua Trend Micro

CVE-2017-7117: lokihardt din Google Project Zero

CVE-2017-7120: chenqin (陈钦) al Laboratorului de Securitate pentru Anul Lumina Ant-financiar

Intrare adăugată 25 septembrie 2017

WebKit

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: Procesarea conținutului web elaborat în mod greșit poate duce la scrierea universală a site-urilor

Descriere: O problemă logică a existat în gestionarea filei părinte. Această problemă a fost abordată cu un management îmbunătățit al statului.

CVE-2017-7089: Anton Lopanitsyn din ONSEC, Frans Rosén din Detectify

WebKit

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: Cookie-urile aparținând unei origini pot fi trimise la o altă origine

Descriere: A existat o problemă de permisiuni în gestionarea cookie-urilor browserului web. Această problemă a fost abordată prin a nu mai returna cookie-urile pentru scheme URL personalizate.

CVE-2017-7090: Apple

Intrare adăugată 25 septembrie 2017

WebKit

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: Vizitarea unui site web dăunător poate duce la răspândirea barelor de adrese

Descriere: O problemă de interfață de utilizator inconsistentă a fost abordată cu o gestionare îmbunătățită a stării.

CVE-2017-7106: Oliver Paukstadt al Thinking Objects GmbH (to.com)

WebKit

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: Procesarea conținutului web elaborat în mod greșit poate duce la un atac de script de site-uri

Descriere: Politica de cache a aplicațiilor poate fi aplicată în mod neașteptat.

CVE-2017-7109: avlidienbrunn

Intrare adăugată 25 septembrie 2017

WebKit

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: Un site web dăunător poate fi capabil să urmărească utilizatorii în modul de navigare privată Safari

Descriere: A existat o problemă de permisiuni în gestionarea cookie-urilor browserului web. Această problemă a fost abordată cu restricții îmbunătățite.

CVE-2017-7144: un cercetător anonim

Intrare adăugată 25 septembrie 2017

Wifi

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: Un atacator în raza de acțiune poate fi capabil să execute cod arbitrar pe cipul Wi-Fi

Descriere: O problemă de corupție a memoriei a fost abordată cu o gestionare îmbunătățită a memoriei.

CVE-2017-11120: Gal Beniamini din Google Project Zero

CVE-2017-11121: Gal Beniamini din Google Project Zero

Intrare adăugată 25 septembrie 2017

Wifi

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: Codul dăunător care se execută pe cipul Wi-Fi poate fi capabil să execute cod arbitrar cu privilegii de kernel pe procesorul aplicației

Descriere: O problemă de corupție a memoriei a fost abordată cu o gestionare îmbunătățită a memoriei.

CVE-2017-7103: Gal Beniamini din Google Project Zero

CVE-2017-7105: Gal Beniamini din Google Project Zero

CVE-2017-7108: Gal Beniamini din Google Project Zero

CVE-2017-7110: Gal Beniamini din Google Project Zero

CVE-2017-7112: Gal Beniamini din Google Project Zero

Wifi

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: Codul dăunător care se execută pe cipul Wi-Fi poate fi capabil să execute cod arbitrar cu privilegii de kernel pe procesorul aplicației

Descriere: Condițiile de curse multiple au fost abordate prin validare îmbunătățită.

CVE-2017-7115: Gal Beniamini din Google Project Zero

Wifi

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: Codul răuvoitor care se execută pe cipul Wi-Fi poate fi capabil să citească memoria kernel-ului restricționat

Descriere: S-a rezolvat o problemă de validare prin igienizarea îmbunătățită a intrărilor.

CVE-2017-7116: Gal Beniamini din Google Project Zero

zlib

Disponibil pentru: iPhone 5s și versiuni ulterioare, iPad Air și versiuni ulterioare și iPod touch generația a 6-a

Impact: multiple probleme în zlib

Descriere: Mai multe probleme au fost abordate prin actualizarea la versiunea 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Sursă