Издаден е Apple iOS 11.0.1 и трябва да надстроите сега

Bluetooth

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Приложение може да има достъп до файлове с ограничен достъп

Описание: Проблем с поверителността съществува при работа с карти за контакт. Това беше адресирано с подобрено управление на държавата.

CVE-2017-7131: анонимен изследовател, Елвис (@elvisimprsntr), Доминик Конрад от Федералната служба за сигурност на информацията, анонимен изследовател

Записът е добавен на 25 септември 2017 г.

CFNetwork прокси

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Нападателят в привилегирована мрежа може да е в състояние да причини отказ на услуга

Описание: Многобройните проблеми с отказ на услуги бяха разрешени чрез подобрено управление на паметта.

CVE-2017-7083: Abhinav Bansal на Zscaler Inc.

Записът е добавен на 25 септември 2017 г.

CoreAudio

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Приложението може да може да чете памет с ограничен достъп

Описание: Прочетеното извън границите беше адресирано чрез актуализиране до версия 1.1.4 на Opus.

CVE-2017-0381: V.E.O (@VYSEa) на изследователския екип за мобилни заплахи, Trend Micro

Записът е добавен на 25 септември 2017 г.

Exchange ActiveSync

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Нападателят в привилегирована позиция на мрежата може да може да изтрие устройство по време на настройката на акаунта на Exchange

Описание: Проблем с валидиране съществува в AutoDiscover V1. Това беше адресирано, като се изисква TLS за AutoDiscover V1. AutoDiscover V2 вече се поддържа.

CVE-2017-7088: Иля Нестеров, Максим Гончаров

Heimdal

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Нападателят в привилегирована позиция на мрежата може да бъде в състояние да се представи като услуга

Описание: Проблем с валидирането съществува при обработката на името на услугата KDC-REP. Този проблем беше разрешен чрез подобрено валидиране.

CVE-2017-11103: Джефри Алтман, Виктор Духовни и Нико Уилямс

Записът е добавен на 25 септември 2017 г.

iBooks

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Разбирането на злонамерено създаден файл на iBooks може да доведе до траен отказ на услуга

Описание: Многобройните проблеми с отказ на услуги бяха разрешени чрез подобрено управление на паметта.

CVE-2017-7072: Jędrzej Krysztofiak

ядро

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Приложението може да може да изпълни произволен код с привилегии на ядрото

Описание: Проблемът с корупционната памет беше решен с подобрена работа с паметта.

CVE-2017-7114: Алекс Пласкет от MWR InfoSecurity

Записът е добавен на 25 септември 2017 г.

Предложения за клавиатура

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Предложенията за автокорекция на клавиатурата могат да разкрият чувствителна информация

Описание: Клавиатурата на iOS по невнимание кешира чувствителна информация. Този въпрос беше адресиран с подобрена евристика.

CVE-2017-7140: анонимен изследовател

Записът е добавен на 25 септември 2017 г.

библшотеката

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Отдалечният нападател може да бъде в състояние да причини отказ на услуга

Описание: Въпросът с изчерпването на ресурсите в glob () беше решен чрез подобрен алгоритъм.

CVE-2017-7086: Russ Cox от Google

Записът е добавен на 25 септември 2017 г.

библшотеката

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Приложение може да е в състояние да причини отказ на услуга

Описание: Проблемът с потреблението на памет беше решен чрез подобрено управление на паметта.

CVE-2017-1000373

Записът е добавен на 25 септември 2017 г.

libexpat

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Множество проблеми в емигранта

Описание: Множество проблеми бяха решени чрез актуализиране до версия 2.2.1

CVE-2016-9063

CVE-2017-9233

Записът е добавен на 25 септември 2017 г.

Рамка за местоположение

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Приложението може да може да чете чувствителна информация за местоположението

Описание: При обработката на променливата за местоположение съществува проблем с разрешенията. Това беше адресирано с допълнителни проверки на собствеността.

CVE-2017-7148: анонимен изследовател, анонимен изследовател

Записът е добавен на 25 септември 2017 г.

Чернови на поща

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Нападател с привилегирована позиция в мрежата може да бъде в състояние да прихване съдържанието на пощата

Описание: Имаше проблем с криптирането при обработка на чернови на поща. Този проблем беше адресиран с подобрено боравене с черновите на пощата, предназначени да бъдат изпратени криптирани.

CVE-2017-7078: анонимен изследовател, анонимен изследовател, анонимен изследовател

Записът е добавен на 25 септември 2017 г.

Съобщение по пощатаUI

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Обработката на злонамерено изработено изображение може да доведе до отказ на услуга

Описание: Въпросът с корупционната памет беше разгледан с подобрена проверка.

CVE-2017-7097: Синшу Донг и Джун Хао Тан от столицата на Анкуан

Съобщения

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Обработката на злонамерено изработено изображение може да доведе до отказ на услуга

Описание: Въпросът за отказ в услугата беше разгледан чрез подобрена проверка.

CVE-2017-7118: Кики Дзян и Джейсън Токоф

MobileBackup

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Резервното копие може да извърши незашифровано архивиране, въпреки изискването за извършване само на криптирани архиви

Описание: Съществува издаване на разрешения. Този проблем беше адресиран с подобрена проверка на разрешенията.

CVE-2017-7133: Дон Искри на HackediOS.com

телефон

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: При заключване на iOS устройство може да се направи екранна снимка на защитено съдържание

Описание: Във връзка с блокировката съществуваше проблем с времето. Този проблем беше разрешен чрез деактивиране на екранни снимки при заключване.

CVE-2017-7139: анонимен изследовател

Записът е добавен на 25 септември 2017 г.

сафари

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Посещението на злонамерен уебсайт може да доведе до подправяне на адресната лента

Описание: Несъответстващ проблем с потребителския интерфейс беше адресиран с подобрено управление на държавата.

CVE-2017-7085: xisigr от Лабораторията на Xuanwu на Tencent (tencent.com)

Сигурност

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Оттегленият сертификат може да се вярва

Описание: При обработката на данни за анулиране съществува проблем за валидиране на сертификат. Този проблем беше разрешен чрез подобрено валидиране.

CVE-2017-7080: анонимен изследовател, анонимен изследовател, Sven Driemecker на мобилни решения adesso gmbh, Rune Darrud (@theflyingcorpse) на Bærum kommune

Записът е добавен на 25 септември 2017 г.

Сигурност

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Зловредното приложение може да може да проследява потребителите между инсталациите

Описание: Проблем с проверка на разрешения съществува при обработката на данни от ключодържателя на приложението. Този проблем беше адресиран с подобрена проверка на разрешенията.

CVE-2017-7146: анонимен изследовател

Записът е добавен на 25 септември 2017 г.

SQLite

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Множество проблеми в SQLite

Описание: Множество проблеми бяха решени чрез актуализиране до версия 3.19.3.

CVE-2017-10989: намерено от OSS-Fuzz

CVE-2017-7128: намерено от OSS-Fuzz

CVE-2017-7129: намерено от OSS-Fuzz

CVE-2017-7130: намерено от OSS-Fuzz

Записът е добавен на 25 септември 2017 г.

SQLite

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Приложението може да може да изпълни произволен код със системни привилегии

Описание: Проблемът с корупционната памет беше решен с подобрена работа с паметта.

CVE-2017-7127: анонимен изследовател

Записът е добавен на 25 септември 2017 г.

път

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: „Настройка на часовата зона“ може неправилно да показва, че използва местоположение

Описание: Проблем с разрешения съществува в процеса, който обработва информация за часовите зони. Проблемът беше решен чрез промяна на разрешенията.

CVE-2017-7145: анонимен изследовател

Записът е добавен на 25 септември 2017 г.

WebKit

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Обработката на злонамерено изработено уеб съдържание може да доведе до произволно изпълнение на код

Описание: Проблемът с корупционната памет беше решен чрез подобрена проверка на входа.

CVE-2017-7081: Apple

Записът е добавен на 25 септември 2017 г.

WebKit

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Обработката на злонамерено изработено уеб съдържание може да доведе до произволно изпълнение на код

Описание: Многобройни проблеми с корупцията в паметта бяха решени с подобрена работа с паметта.

CVE-2017-7087: Apple

CVE-2017-7091: Вей Юан от Baidu Security Lab работи с инициативата Zero Day на Trend Micro

CVE-2017-7092: Самуел Гро и Никлас Баумстарк, които работят с инициативата Zero Day на Trend Micro, Qixun Zhao (@ S0rryMybad) на Qihoo 360 Vulcan Team

CVE-2017-7093: Самуел Гро и Никлас Баумстарк, които работят с Zero Day Initiative на Trend Micro

CVE-2017-7094: Тим Мишо (@TimGMichaud) от Leviathan Security Group

CVE-2017-7095: Wang Junjie, Wei Lei и Liu Yang от Nanyang Technological University, работещи с инициативата Zero Day на Trend Micro

CVE-2017-7096: Wei Yuan от Laid Security Lab

CVE-2017-7098: Felipe Freitas от Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Масато Кинугава и Марио Хайдерих от Cure53

CVE-2017-7102: Wang Junjie, Wei Lei и Liu Yang от Nanyang Technological University

CVE-2017-7104: likemeng на Baidu Secutity Lab

CVE-2017-7107: Wang Junjie, Wei Lei и Liu Yang от Nanyang Technological University

CVE-2017-7111: Likemeng на Baidu Security Lab (xlab.baidu.com), работещ с инициативата Zero Day на Trend Micro

CVE-2017-7117: lokihardt от Google Project Zero

CVE-2017-7120: chenqin (陈钦) на лабораторията за сигурност на финансовата светлина

Записът е добавен на 25 септември 2017 г.

WebKit

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Обработката на злонамерено изработено уеб съдържание може да доведе до универсален скрипт на различни сайтове

Описание: При обработката на родителския раздел съществува логически проблем. Този въпрос беше адресиран с подобрено управление на държавата.

CVE-2017-7089: Антон Лопаницин от ONSEC, Frans Rosén от Detectify

WebKit

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Бисквитките, принадлежащи към един произход, могат да бъдат изпращани до друг

Описание: Съществува проблем с разрешения при работа с бисквитки на уеб браузър. Този проблем беше адресиран от вече не връщащи бисквитки за персонализирани схеми за URL адреси.

CVE-2017-7090: Apple

Записът е добавен на 25 септември 2017 г.

WebKit

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Посещението на злонамерен уебсайт може да доведе до подправяне на адресната лента

Описание: Несъответстващ проблем с потребителския интерфейс беше адресиран с подобрено управление на държавата.

CVE-2017-7106: Оливър Паукщат от Thinking Objects GmbH (to.com)

WebKit

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Обработката на злонамерено изработено уеб съдържание може да доведе до атака на скриптове на различни сайтове

Описание: Политиката за кеш на приложения може да бъде приложена неочаквано.

CVE-2017-7109: avlidienbrunn

Записът е добавен на 25 септември 2017 г.

WebKit

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Зловредният уебсайт може да може да проследява потребителите в режим на частно сърфиране в Safari

Описание: Съществува проблем с разрешения при работа с бисквитки на уеб браузър. Този проблем беше адресиран с подобрени ограничения.

CVE-2017-7144: анонимен изследовател

Записът е добавен на 25 септември 2017 г.

Wi-Fi

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Нападателят в обхват може да може да изпълни произволен код на Wi-Fi чипа

Описание: Проблемът с корупционната памет беше решен с подобрена работа с паметта.

CVE-2017-11120: Gal Beniamini от Google Project Zero

CVE-2017-11121: Gal Beniamini от Google Project Zero

Записът е добавен на 25 септември 2017 г.

Wi-Fi

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Изпълняването на злонамерен код на Wi-Fi чипа може да изпълни произволен код с привилегии на ядрото на процесора на приложението

Описание: Проблемът с корупционната памет беше решен с подобрена работа с паметта.

CVE-2017-7103: Gal Beniamini от Google Project Zero

CVE-2017-7105: Gal Beniamini от Google Project Zero

CVE-2017-7108: Gal Beniamini от Google Project Zero

CVE-2017-7110: Gal Beniamini от Google Project Zero

CVE-2017-7112: Gal Beniamini от Google Project Zero

Wi-Fi

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Изпълняването на злонамерен код на Wi-Fi чипа може да изпълни произволен код с привилегии на ядрото на процесора на приложението

Описание: Условията за множество състезания бяха разгледани чрез подобрено валидиране.

CVE-2017-7115: Gal Beniamini от Google Project Zero

Wi-Fi

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Изпълняването на зловреден код върху Wi-Fi чипа може да може да чете памет с ограничено ядро

Описание: Въпросът с валидирането беше разгледан с подобрена санитария на входа.

CVE-2017-7116: Gal Beniamini от Google Project Zero

Zlib

Предлага се за: iPhone 5s и по-нови версии, iPad Air и по-нови версии и iPod touch 6-то поколение

Въздействие: Множество проблеми в zlib

Описание: Множество проблеми бяха решени чрез актуализиране до версия 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

източник