Apple iOS 10.3 - Czy należy dokonać aktualizacji i co obejmuje?

Konta

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: użytkownik może wyświetlić identyfikator Apple ID na ekranie blokady

Opis: Rozwiązano problem z szybkim zarządzaniem poprzez usunięcie monitów o uwierzytelnianie iCloud z ekranu blokady.

CVE-2017-2397: Suprovici Vadim z zespołu UniApps, anonimowy badacz

Audio

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu

Opis: Rozwiązano problem uszkodzenia pamięci, poprawiając sprawdzanie poprawności danych wejściowych.

CVE-2017-2430: anonimowy badacz współpracujący z Zero Day Initiative firmy Trend Micro

CVE-2017-2462: anonimowy badacz współpracujący z Zero Day Initiative firmy Trend Micro

Węgiel

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanego pliku .dfont może spowodować wykonanie dowolnego kodu

Opis: w procedurze obsługi plików czcionek występowało przepełnienie bufora. Ten problem rozwiązano przez poprawienie sprawdzania granic.

CVE-2017-2379: John Villamil, Doyensec, ruskusk (泉 哥) z Departamentu Platformy Bezpieczeństwa Tencent

CoreGraphics

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do odmowy usługi

Opis: naprawiono nieskończoną rekurencję poprzez ulepszone zarządzanie stanem.

CVE-2017-2417: ruskus (泉 哥) z Tencent Security Platform Department

CoreGraphics

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może spowodować wykonanie dowolnego kodu

Opis: Rozwiązano wiele problemów związanych z uszkodzeniem pamięci poprzez ulepszoną weryfikację danych wejściowych.

CVE-2017-2444: Mei Wang z 360 GearTeam

CoreText

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu

Opis: Rozwiązano problem uszkodzenia pamięci, poprawiając sprawdzanie poprawności danych wejściowych.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Wpływ: Przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesu

Opis: Rozwiązano problem odczytu poza zakresem poprzez poprawione sprawdzanie poprawności danych wejściowych.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości tekstowej może doprowadzić do odmowy usługi przez aplikację

Opis: Rozwiązano problem z wyczerpaniem zasobów poprzez ulepszoną weryfikację danych wejściowych.

CVE-2017-2461: Isaac Archambault z IDAoADI, anonimowego badacza

Dostęp do danych

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: skonfigurowanie konta Exchange z błędnie wpisanym adresem e-mail może rozwiązać problem na nieoczekiwanym serwerze

Opis: podczas obsługi adresów e-mail Exchange występował problem z weryfikacją danych wejściowych. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-2414: Ilya Nesterov i Maxim Goncharov

FontParser

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu

Opis: Rozwiązano wiele problemów związanych z uszkodzeniem pamięci poprzez ulepszoną weryfikację danych wejściowych.

CVE-2017-2487: riusksk (泉 哥) z Tencent Security Platform Department

CVE-2017-2406: ruskus (泉 哥) z Tencent Security Platform Department

FontParser

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: analizowanie złośliwie spreparowanego pliku czcionek może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu

Opis: Rozwiązano wiele problemów związanych z uszkodzeniem pamięci poprzez ulepszoną weryfikację danych wejściowych.

CVE-2017-2407: ruskus (泉 哥) z Departamentu Platformy Bezpieczeństwa Tencent

FontParser

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Wpływ: Przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesu

Opis: Rozwiązano problem odczytu poza zakresem poprzez poprawione sprawdzanie poprawności danych wejściowych.

CVE-2017-2439: John Villamil, Doyensec

HomeKit

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Wpływ: Kontrola główna może niespodziewanie pojawić się w Centrum sterowania

Opis: w postępowaniu z Home Control istniał problem ze stanem. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności.

CVE-2017-2434: Suyash Narain of India

Protokół HTTP

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: złośliwy serwer HTTP / 2 może spowodować niezdefiniowane zachowanie

Opis: w wersji nghttp2 przed 1.17.0 istniało wiele problemów. Rozwiązano je, aktualizując LibreSSL do wersji 1.17.0.

CVE-2017-2428

ImageIO

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu

Opis: Rozwiązano problem uszkodzenia pamięci, poprawiając sprawdzanie poprawności danych wejściowych.

CVE-2017-2416: Qidan He (何 淇 丹, @flanker_hqd) z KeenLab, Tencent

ImageIO

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: wyświetlenie specjalnie spreparowanego pliku JPEG może spowodować wykonanie dowolnego kodu

Opis: Rozwiązano problem uszkodzenia pamięci, poprawiając sprawdzanie poprawności danych wejściowych.

CVE-2017-2432: anonimowy badacz współpracujący z Zero Day Initiative firmy Trend Micro

ImageIO

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu

Opis: Rozwiązano problem uszkodzenia pamięci, poprawiając sprawdzanie poprawności danych wejściowych.

CVE-2017-2467

ImageIO

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może spowodować nieoczekiwane zakończenie działania aplikacji

Opis: odczyt poza zakresem istniał w wersjach LibTIFF przed 4.0.7. Rozwiązano ten problem, aktualizując LibTIFF w ImageIO do wersji 4.0.7.

CVE-2016-3619

sklep itunes

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: osoba atakująca w uprzywilejowanej pozycji sieciowej może manipulować ruchem sieciowym iTunes

Opis: Żądania do usług piaskownicy iTunes zostały wysłane w postaci czystego tekstu. Rozwiązano ten problem, włączając HTTPS.

CVE-2017-2412: Richard Shupak (linkedin.com/in/rshupak)

Jądro

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Wpływ: Aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra

Opis: Rozwiązano problem uszkodzenia pamięci, poprawiając sprawdzanie poprawności danych wejściowych.

CVE-2017-2398: Lufeng Li z zespołu Quloo 360 Vulcan Team

CVE-2017-2401: Lufeng Li z zespołu Quloo 360 Vulcan Team

Jądro

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Wpływ: Aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra

Opis: Usunięto przepełnienie liczb całkowitych poprzez ulepszoną weryfikację danych wejściowych.

CVE-2017-2440: anonimowy badacz

Jądro

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami administratora

Opis: Rozwiązano problem wyścigu poprzez lepszą obsługę pamięci.

CVE-2017-2456: lokihardt z Google Project Zero

Jądro

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Wpływ: Aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra

Opis: naprawiono problem dotyczący użycia po zwolnieniu poprzez ulepszone zarządzanie pamięcią.

CVE-2017-2472: Ian Beer z Google Project Zero

Jądro

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra

Opis: Rozwiązano problem uszkodzenia pamięci, poprawiając sprawdzanie poprawności danych wejściowych.

CVE-2017-2473: Ian Beer z Google Project Zero

Jądro

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Wpływ: Aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra

Opis: Rozwiązano problem „jeden po drugim” poprzez ulepszone sprawdzanie granic.

CVE-2017-2474: Ian Beer z Google Project Zero

Jądro

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Wpływ: Aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra

Opis: Rozwiązano problem wyścigu poprzez ulepszone blokowanie.

CVE-2017-2478: Ian Beer z Google Project Zero

Jądro

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Wpływ: Aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra

Opis: naprawiono problem przepełnienia bufora poprzez lepszą obsługę pamięci.

CVE-2017-2482: Ian Beer z Google Project Zero

CVE-2017-2483: Ian Beer z Google Project Zero

Klawiatury

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Wpływ: aplikacja może być w stanie wykonać dowolny kod

Opis: Usunięto przepełnienie bufora poprzez ulepszone sprawdzanie granic.

CVE-2017-2458: Shashank (@cyberboyIndia)

libarchive

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Wpływ: lokalny atakujący może zmienić uprawnienia systemu plików w dowolnych katalogach

Opis: w procedurze obsługi dowiązań symbolicznych występował błąd sprawdzania poprawności. Ten problem rozwiązano przez poprawienie sprawdzania poprawności dowiązań symbolicznych.

CVE-2017-2390: Omer Medan z enSilo Ltd

libc ++ abi

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: rozplątywanie złośliwej aplikacji C ++ może doprowadzić do wykonania dowolnego kodu

Opis: naprawiono problem dotyczący użycia po zwolnieniu poprzez ulepszone zarządzanie pamięcią.

CVE-2017-2441

Tektura

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Wpływ: Osoba fizycznie mająca dostęp do urządzenia z systemem iOS może przeczytać tablicę

Opis: Tektura została zaszyfrowana kluczem chronionym tylko przez UID sprzętowy. Rozwiązanie tego problemu polegało na zaszyfrowaniu tektury kluczem chronionym przez sprzętowy identyfikator UID i hasło użytkownika.

CVE-2017-2399

Telefon

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Wpływ: aplikacja innej firmy może inicjować połączenie telefoniczne bez interakcji użytkownika

Opis: w systemie iOS występował problem zezwalający na wykonywanie połączeń bez monitowania. Ten problem rozwiązano, prosząc użytkownika o potwierdzenie inicjacji połączenia.

CVE-2017-2484

Profile

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Wpływ: osoba atakująca może wykorzystać luki w algorytmie kryptograficznym DES

Opis: Dodano obsługę algorytmu kryptograficznego 3DES do klienta SCEP, a DES został uznany za przestarzały.

CVE-2017-2380: anonimowy badacz

Szybkie spojrzenie

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Wpływ: Stuknięcie łącza tel w dokumencie PDF może wywołać połączenie bez monitowania użytkownika

Opis: Wystąpił problem podczas sprawdzania adresu URL tel przed zainicjowaniem połączeń. Ten problem rozwiązano przez dodanie monitu o potwierdzenie.

CVE-2017-2404: Tuan Anh Ngo (Melbourne, Australia), Christoph Nehring

Safari

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: odwiedzenie złośliwej witryny może doprowadzić do fałszowania paska adresu

Opis: Rozwiązano problem zarządzania stanem poprzez wyłączenie wprowadzania tekstu do momentu załadowania strony docelowej.

CVE-2017-2376: anonimowy badacz, Michał Zalewski z Google Inc, Muneaki Nishimura (nishimunea) z Recruit Technologies Co., Ltd., Chris Hlady z Google Inc, anonimowy badacz, Yuyang Zhou z Departamentu Platformy Bezpieczeństwa Tencent (security.tencent.com)

Safari

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Wpływ: Lokalny użytkownik może być w stanie odkryć witryny odwiedzone przez użytkownika w trybie przeglądania prywatnego

Opis: Wystąpił problem podczas usuwania SQLite. Ten problem rozwiązano przez poprawienie procedury czyszczenia SQLite.

CVE-2017-2384

Safari

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: przetwarzanie złośliwie spreparowanej treści internetowej może powodować prezentację arkuszy uwierzytelniających na dowolnych stronach internetowych

Opis: w procedurze uwierzytelniania HTTP występował problem fałszowania i odmowy usługi. Rozwiązano ten problem, czyniąc arkusze uwierzytelniające HTTP niemodalnymi.

CVE-2017-2389: ShenYeYinJiu z Tencent Security Response Center, TSRC

Safari

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: odwiedzenie złośliwej witryny internetowej przez kliknięcie linku może doprowadzić do fałszowania interfejsu użytkownika

Opis: w procedurze obsługi podpowiedzi FaceTime występował błąd fałszowania. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-2453: xisigr z Tenuan's Xuanwu Lab (tencent.com)

Safari Reader

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Wpływ: włączenie funkcji Safari Reader na złośliwie spreparowanej stronie internetowej może doprowadzić do uniwersalnego skryptowania między witrynami

Opis: Rozwiązano wiele problemów związanych z sprawdzaniem poprawności dzięki ulepszonej dezynfekcji danych wejściowych.

CVE-2017-2393: Erling Ellingsen

SafariViewController

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: stan pamięci podręcznej nie jest poprawnie synchronizowany między Safari a SafariViewController, gdy użytkownik wyczyści pamięć podręczną Safari

Opis: Wystąpił problem podczas usuwania informacji o pamięci podręcznej Safari z SafariViewController. Ten problem rozwiązano przez poprawienie obsługi stanu pamięci podręcznej.

CVE-2017-2400: Abhinav Bansal z Zscaler, Inc.

Bezpieczeństwo

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Wpływ: Sprawdzanie poprawności pustych podpisów za pomocą SecKeyRawVerify () może nieoczekiwanie zakończyć się powodzeniem

Opis: w przypadku wywołań kryptograficznego interfejsu API występował problem z weryfikacją. Ten problem rozwiązano przez poprawienie sprawdzania poprawności parametrów.

CVE-2017-2423: anonimowy badacz

Bezpieczeństwo

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: osoba atakująca z uprzywilejowaną pozycją sieciową może przechwytywać lub modyfikować dane w sesjach chronionych przez SSL / TLS

Opis: w pewnych okolicznościach bezpieczny transport nie sprawdził autentyczności pakietów OTR. Ten problem rozwiązano przez przywrócenie brakujących kroków sprawdzania poprawności.

CVE-2017-2448: Alex Radocea z Longterm Security, Inc.

Bezpieczeństwo

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Wpływ: Aplikacja może być w stanie wykonać dowolny kod z uprawnieniami administratora

Opis: Usunięto przepełnienie bufora poprzez ulepszone sprawdzanie granic.

CVE-2017-2451: Alex Radocea z Longterm Security, Inc.

Bezpieczeństwo

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanego certyfikatu x509 może spowodować wykonanie dowolnego kodu

Opis: Wystąpił błąd uszkodzenia pamięci podczas analizowania certyfikatów. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-2485: Aleksandar Nikolic z Cisco Talos

Siri

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Wpływ: Siri może ujawnić treść wiadomości tekstowej, gdy urządzenie jest zablokowane

Opis: Rozwiązano problem niewystarczającego blokowania przy ulepszonym zarządzaniu stanem.

CVE-2017-2452: Hunter Byrnes

WebKit

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: przeciągnięcie i upuszczenie złośliwie spreparowanego łącza może doprowadzić do fałszowania zakładek lub wykonania dowolnego kodu

Opis: Wystąpił problem z weryfikacją podczas tworzenia zakładek. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-2378: xisigr z Tenuan's Xuanwu Lab (tencent.com)

WebKit

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: odwiedzenie złośliwej witryny może doprowadzić do fałszowania paska adresu

Opis: rozwiązano problem niespójnego interfejsu użytkownika poprzez ulepszone zarządzanie stanem.

CVE-2017-2486: redrain of light4freedom

WebKit

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Wpływ: Przetwarzanie złośliwie spreparowanej zawartości internetowej może spowodować odfiltrowanie danych pochodzących z różnych źródeł

Opis: Rozwiązano problem z dostępem do prototypu poprzez lepszą obsługę wyjątków.

CVE-2017-2386: André Bargull

WebKit

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może spowodować wykonanie dowolnego kodu

Opis: Rozwiązano wiele problemów związanych z uszkodzeniem pamięci poprzez ulepszoną weryfikację danych wejściowych.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może spowodować wykonanie dowolnego kodu

Opis: naprawiono wiele problemów związanych z uszkodzeniem pamięci.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric z Google Project Zero

CVE-2017-2455: Ivan Fratric z Google Project Zero

CVE-2017-2457: lokihardt z Google Project Zero

CVE-2017-2459: Ivan Fratric z Google Project Zero

CVE-2017-2460: Ivan Fratric z Google Project Zero

CVE-2017-2464: Jeonghoon Shin, Natalie Silvanovich z Google Project Zero

CVE-2017-2465: Zheng Huang i Wei Yuan z Baidu Security Lab

CVE-2017-2466: Ivan Fratric z Google Project Zero

CVE-2017-2468: lokihardt z Google Project Zero

CVE-2017-2469: lokihardt z Google Project Zero

CVE-2017-2470: lokihardt z Google Project Zero

CVE-2017-2476: Ivan Fratric z Google Project Zero

CVE-2017-2481: 0011 współpracujący z Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może spowodować wykonanie dowolnego kodu

Opis: naprawiono problem z pomyłką typu poprzez lepszą obsługę pamięci.

CVE-2017-2415: Kai Kang z Tenuan's Xuanwu Lab (tentcent.com)

WebKit

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: przetwarzanie złośliwie spreparowanej treści internetowej może spowodować nieoczekiwanie niewymuszoną politykę bezpieczeństwa treści

Opis: w polityce bezpieczeństwa treści istniał problem z dostępem. Ten problem rozwiązano przez poprawienie ograniczeń dostępu.

CVE-2017-2419: Nicolai Grødum z Cisco Systems

WebKit

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może prowadzić do dużego zużycia pamięci

Opis: Rozwiązano problem niekontrolowanego zużycia zasobów poprzez ulepszone przetwarzanie wyrażeń regularnych.

CVE-2016-9643: Gustavo Grieco

WebKit

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Wpływ: Przetwarzanie złośliwie spreparowanej treści internetowej może spowodować ujawnienie pamięci procesu

Opis: w przetwarzaniu modułów cieniujących OpenGL występował błąd ujawnienia informacji. Ten problem rozwiązano przez poprawienie zarządzania pamięcią.

CVE-2017-2424: Paul Thomson (przy użyciu narzędzia GLFuzz) z grupy programowania wielordzeniowego, Imperial College London

WebKit

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może spowodować wykonanie dowolnego kodu

Opis: Rozwiązano problem uszkodzenia pamięci, poprawiając sprawdzanie poprawności danych wejściowych.

CVE-2017-2433: Apple

WebKit

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Wpływ: Przetwarzanie złośliwie spreparowanej zawartości internetowej może spowodować odfiltrowanie danych pochodzących z różnych źródeł

Opis: Wystąpiło wiele problemów z weryfikacją podczas ładowania strony. Ten problem rozwiązano przez poprawienie logiki.

CVE-2017-2364: lokihardt z Google Project Zero

WebKit

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: złośliwa witryna może przenosić dane z różnych źródeł

Opis: Wystąpił problem z weryfikacją podczas ładowania strony. Ten problem rozwiązano przez poprawienie logiki.

CVE-2017-2367: lokihardt z Google Project Zero

WebKit

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: przetwarzanie złośliwie spreparowanej treści internetowej może doprowadzić do uniwersalnego skryptu między witrynami

Opis: w obsłudze obiektów ramki występował problem logiczny. Ten problem rozwiązano dzięki ulepszonemu zarządzaniu stanem.

CVE-2017-2445: lokihardt z Google Project Zero

WebKit

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może spowodować wykonanie dowolnego kodu

Opis: w obsłudze funkcji trybu ścisłego występował problem logiczny. Ten problem rozwiązano dzięki ulepszonemu zarządzaniu stanem.

CVE-2017-2446: Natalie Silvanovich z Google Project Zero

WebKit

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może zagrozić informacjom użytkowników

Opis: Rozwiązano problem uszkodzenia pamięci, poprawiając obsługę pamięci.

CVE-2017-2447: Natalie Silvanovich z Google Project Zero

WebKit

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może spowodować wykonanie dowolnego kodu

Opis: naprawiono problem dotyczący użycia po zwolnieniu poprzez ulepszone zarządzanie pamięcią.

CVE-2017-2471: Ivan Fratric z Google Project Zero

WebKit

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: przetwarzanie złośliwie spreparowanej treści internetowej może doprowadzić do uniwersalnego skryptu między witrynami

Opis: w obsłudze ramek występował problem logiczny. Ten problem rozwiązano przez usprawnienie zarządzania stanem.

CVE-2017-2475: lokihardt z Google Project Zero

Wiązania JavaScript WebKit

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Wpływ: Przetwarzanie złośliwie spreparowanej zawartości internetowej może spowodować odfiltrowanie danych pochodzących z różnych źródeł

Opis: Wystąpiło wiele problemów z weryfikacją podczas ładowania strony. Ten problem rozwiązano przez poprawienie logiki.

CVE-2017-2442: lokihardt z Google Project Zero

WebKit Web Inspector

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: zamknięcie okna w trybie wstrzymania w debugerze może spowodować nieoczekiwane zakończenie działania aplikacji

Opis: Rozwiązano problem uszkodzenia pamięci, poprawiając sprawdzanie poprawności danych wejściowych.

CVE-2017-2377: Vicki Pfau

WebKit Web Inspector

Dostępne dla: iPhone 5 i nowszych, iPad 4. generacji i nowszych, iPod touch 6. generacji i nowszych

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może spowodować wykonanie dowolnego kodu

Opis: Rozwiązano problem uszkodzenia pamięci, poprawiając sprawdzanie poprawności danych wejściowych.

CVE-2017-2405: Apple