Apple iOS 11.0.1 שוחרר ועליך לשדרג עכשיו

בלוטות

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: ייתכן שיישום יוכל לגשת לקבצים מוגבלים

תיאור: קיים נושא פרטיות בטיפול בכרטיסי איש קשר. לטפל בזה עם שיפור בניהול המדינה.

CVE-2017-7131: חוקר אנונימי, אלביס (@elvisimprsntr), Dominik Conrads של המשרד הפדרלי לאבטחת מידע, חוקר אנונימי

הכניסה נוספה ב- 25 בספטמבר 2017

פרוקסי CFNetwork

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: תוקף במיקום רשת המיועד עשוי להיות מסוגל לגרום לשלילת שירות

תיאור: מספר בעיות של מניעת שירות טופלו באמצעות שיפור הטיפול בזיכרון.

CVE-2017-7083: Abhinav Bansal מ- Zscaler Inc.

הכניסה נוספה ב- 25 בספטמבר 2017

CoreAudio

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: ייתכן שיישום יכול לקרוא זיכרון מוגבל

תיאור: קריאה מחוץ לתחום טופלה על ידי עדכון לגרסא 1.1.4 של אופוס.

CVE-2017-0381: V.E.O (@VYSEa) של צוות המחקר האיום הנייד, טרנד מיקרו

הכניסה נוספה ב- 25 בספטמבר 2017

Exchange ActiveSync

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: תוקף במיקום רשת המיועד עשוי להיות מסוגל למחוק מכשיר במהלך הגדרת חשבון Exchange

תיאור: קיימת בעיית אימות ב- AutoDiscover V1. לטפל בכך נדרש TLS עבור AutoDiscover V1. AutoDiscover V2 נתמך כעת.

CVE-2017-7088: איליה נסטרוב, מקסים גונצ'רוב

היימדל

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: תוקף במיקום רשת המיועד עשוי להיות מסוגל להתחזות לשירות

תיאור: קיימת בעיית אימות בטיפול בשם שירות KDC-REP. סוגיה זו טופלה באמצעות אימות משופר.

CVE-2017-11103: ג'פרי אלטמן, ויקטור דושובני וניקו וויליאמס

הכניסה נוספה ב- 25 בספטמבר 2017

iBooks

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: ניתוח ניתוח קובץ iBooks בעל כוונה זדונית עלול להוביל לשלילת שירות מתמשך

תיאור: מספר בעיות של מניעת שירות טופלו באמצעות שיפור הטיפול בזיכרון.

CVE-2017-7072: Jędrzej Krysztofiak

גרעין

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: ייתכן שיישום יוכל לבצע קוד שרירותי עם הרשאות גרעין

תיאור: סוגיית השחיתות בזיכרון טופלה בשיפור הטיפול בזיכרון.

CVE-2017-7114: אלכס פלסקט מ- MWR InfoSecurity

הכניסה נוספה ב- 25 בספטמבר 2017

הצעות למקלדת

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: הצעות לתיקון אוטומטי של המקלדת עשויות לחשוף מידע רגיש

תיאור: מקלדת iOS שומרת בטעות מידע רגיש. סוגיה זו טופלה בשיפור היוריסטיקות.

CVE-2017-7140: חוקר אנונימי

הכניסה נוספה ב- 25 בספטמבר 2017

libc

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: תוקף מרחוק עשוי להיות מסוגל לגרום לשלילת שירות

תיאור: נושא התשישות למשאבים ב- glob () טופל באמצעות אלגוריתם משופר.

CVE-2017-7086: רוס קוקס מגוגל

הכניסה נוספה ב- 25 בספטמבר 2017

libc

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: ייתכן שיישום יכול לגרום לשלילת שירות

תיאור: סוגיית צריכת הזיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2017-1000373

הכניסה נוספה ב- 25 בספטמבר 2017

libexpat

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: מספר נושאים בגולה

תיאור: מספר רב של בעיות טופלו על ידי עדכון לגרסה 2.2.1

CVE-2016-9063

CVE-2017-9233

הכניסה נוספה ב- 25 בספטמבר 2017

מסגרת מיקום

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: ייתכן שיישום יכול לקרוא מידע על מיקום רגיש

תיאור: קיימת בעיית הרשאות בטיפול במשתנה המיקום. לטפל בכך בבדיקות בעלות נוספות.

CVE-2017-7148: חוקר אנונימי, חוקר אנונימי

הכניסה נוספה ב- 25 בספטמבר 2017

טיוטות דואר

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: תוקף עם מיקום רשת המיועד עשוי להיות מסוגל ליירט תוכן דואר

תיאור: קיימת בעיית הצפנה בטיפול בטיוטות דואר. בעיה זו טופלה בשיפור הטיפול בטיוטות הדואר שנועדו להישלח מוצפן.

CVE-2017-7078: חוקר אנונימי, חוקר אנונימי, חוקר אנונימי

הכניסה נוספה ב- 25 בספטמבר 2017

דואר אלקטרוני UI

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לשלילת שירות

תיאור: סוגיית השחיתות בזיכרון טופלה תוך אימות משופר.

CVE-2017-7097: קסינשו דונג וג'ון האו טאן מבירת אנקוואן

הודעות

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לשלילת שירות

תיאור: סוגיית הכחשת השירות טופלה באמצעות אימות משופר.

CVE-2017-7118: קיקי ג'יאנג וג'ייסון טוקוף

גיבוי

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: גיבוי עשוי לבצע גיבוי לא מוצפן למרות דרישה לבצע רק גיבויים מוצפנים

תיאור: קיימת בעיית הרשאות. סוגיה זו טופלה תוך אימות הרשאה משופר.

CVE-2017-7133: דון ספארקס של HackediOS.com

מכשיר טלפון

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: צילום תמונות של תוכן מאובטח עשוי להילקח בעת נעילת מכשיר iOS

תיאור: קיימת בעיית תזמון בטיפול בנעילה. בעיה זו טופלה על ידי השבתת צילומי מסך במהלך הנעילה.

CVE-2017-7139: חוקר אנונימי

הכניסה נוספה ב- 25 בספטמבר 2017

ספארי

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: ביקור באתר זדוני עלול להוביל לזיוף בסרגל הכתובות

תיאור: בעיה של ממשק משתמש לא עקבי טופלה באמצעות ניהול מצב משופר.

CVE-2017-7085: xisigr של מעבדת Xuanwu של Tencent (tencent.com)

אבטחה

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: ניתן לסמוך על אישור שבוטל

תיאור: קיימת בעיית אימות אישור בטיפול בנתוני ביטול. סוגיה זו טופלה באמצעות אימות משופר.

CVE-2017-7080: חוקר אנונימי, חוקר אנונימי, סוון דרימקר מהפתרונות הניידים של אדסו gmbh, רון דרוד (@theflyingcorpse) של העיר Bærum.

הכניסה נוספה ב- 25 בספטמבר 2017

אבטחה

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: ייתכן שאפליקציה זדונית תוכל לעקוב אחר משתמשים בין התקנות

תיאור: קיימת בעיה בבדיקת הרשאות בטיפול בנתוני Keychain של אפליקציה. סוגיה זו טופלה בבדיקת הרשאות משופרת.

CVE-2017-7146: חוקר אנונימי

הכניסה נוספה ב- 25 בספטמבר 2017

SQLite

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: מספר סוגיות ב- SQLite

תיאור: מספר רב של בעיות טופלו על ידי עדכון לגרסה 3.19.3.

CVE-2017-10989: נמצא על ידי OSS-Fuzz

CVE-2017-7128: נמצא על ידי OSS-Fuzz

CVE-2017-7129: נמצא על ידי OSS-Fuzz

CVE-2017-7130: נמצא על ידי OSS-Fuzz

הכניסה נוספה ב- 25 בספטמבר 2017

SQLite

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: ייתכן שיישום יוכל לבצע קוד שרירותי עם הרשאות מערכת

תיאור: סוגיית השחיתות בזיכרון טופלה בשיפור הטיפול בזיכרון.

CVE-2017-7127: חוקר אנונימי

הכניסה נוספה ב- 25 בספטמבר 2017

זמן

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: "הגדרת אזור זמן" עשויה להצביע באופן שגוי שהוא משתמש במיקום

תיאור: קיימת בעיית הרשאות בתהליך המטפל במידע על אזור זמן. הבעיה נפתרה על ידי שינוי הרשאות.

CVE-2017-7145: חוקר אנונימי

הכניסה נוספה ב- 25 בספטמבר 2017

WebKit

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: עיבוד תוכן אינטרנטי שעשוי בזדון עלול להוביל לביצוע קוד שרירותי

תיאור: סוגיית השחיתות בזיכרון טופלה באמצעות אימות קלט משופר.

CVE-2017-7081: אפל

הכניסה נוספה ב- 25 בספטמבר 2017

WebKit

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: עיבוד תוכן אינטרנטי שעשוי בזדון עלול להוביל לביצוע קוד שרירותי

תיאור: מספר בעיות השחיתות בזיכרון טופלו באמצעות שיפור הטיפול בזיכרון.

CVE-2017-7087: אפל

CVE-2017-7091: וויי יואן ממעבדת האבטחה של באידו עובד עם יוזמת ה- Zero Day של Trend Micro

CVE-2017-7092: סמואל גרו וניקלאס באמסטארק עובדים עם יוזמת ה- Zero Day של Trend Micro, Qixun Zhao (@ S0rryMybad) מצוות Qihoo 360 Vulcan

CVE-2017-7093: סמואל גרו וניקלאס באמסטארק עובדים עם יוזמת ה- Zero Day של Trend Micro

CVE-2017-7094: טים מיכוד (@TimGMichaud) מקבוצת לויתן ביטחון

CVE-2017-7095: וואנג ג'ונג'י, וויי ליי ולי יאנג מהאוניברסיטה הטכנולוגית של נאניאנג העובדים עם יוזמת ה- Zero Day של Trend Micro.

CVE-2017-7096: וויי יואן ממעבדת האבטחה של באידו

CVE-2017-7098: פליפה פרייטאס ממכון Tecnológico de Aeronáutica

CVE-2017-7099: אפל

CVE-2017-7100: Masato Kinugawa and Mario Heiderich of Cure53

CVE-2017-7102: וואנג ג'ונג'י, וויי ליי וליו יאנג מהאוניברסיטה הטכנולוגית של נאניאנג

CVE-2017-7104: סימולציה של מעבדת Baidu Secutity

CVE-2017-7107: וואנג ג'ונג'י, וויי ליי וליו יאנג מהאוניברסיטה הטכנולוגית של נאניאנג

CVE-2017-7111: הדומה למעבדת האבטחה של Baidu (xlab.baidu.com) העובדת עם יוזמת ה- Zero Day של Trend Micro.

CVE-2017-7117: lokihardt של Google Project Zero

CVE-2017-7120: chenqin (陈钦) של מעבדת אבטחת שנת אור-פיננסית

הכניסה נוספה ב- 25 בספטמבר 2017

WebKit

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: עיבוד תוכן אינטרנטי שנוצר בזדון עלול להוביל לתסריטים אוניברסליים חוצי אתרים

תיאור: קיימת בעיית לוגיקה בטיפול בכרטיסיית האב. סוגיה זו טופלה בשיפור ניהול המדינה.

CVE-2017-7089: אנטון לופניצין מ- ONSEC, פרנס רוזן מ- Detectify

WebKit

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: עוגיות השייכות למקור אחד עשויות להישלח למקור אחר

תיאור: הייתה בעיה בהרשאות בטיפול בעוגיות של דפדפן האינטרנט. בעיה זו טופלה על ידי שוב לא החזרת קובצי Cookie לתוכניות כתובות אתרים מותאמות אישית.

CVE-2017-7090: אפל

הכניסה נוספה ב- 25 בספטמבר 2017

WebKit

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: ביקור באתר זדוני עלול להוביל לזיוף בסרגל הכתובות

תיאור: בעיה של ממשק משתמש לא עקבי טופלה באמצעות ניהול מצב משופר.

CVE-2017-7106: אוליבר פאוקשטאט מ- Thinking Objects GmbH (to.com)

WebKit

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: עיבוד תוכן אינטרנטי שעשוי בזדון עלול להוביל להתקפת תסריטים חוצה אתרים

תיאור: מדיניות מטמון היישומים עשויה להיות מיושמת במפתיע.

CVE-2017-7109: avlidienbrunn

הכניסה נוספה ב- 25 בספטמבר 2017

WebKit

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: אתר זדוני עשוי להיות מסוגל לעקוב אחר משתמשים במצב גלישה פרטית בספארי

תיאור: הייתה בעיה בהרשאות בטיפול בעוגיות של דפדפן האינטרנט. סוגיה זו טופלה בהגבלות משופרות.

CVE-2017-7144: חוקר אנונימי

הכניסה נוספה ב- 25 בספטמבר 2017

וויי - פיי

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: תוקף בטווח יכול להיות מסוגל לבצע קוד שרירותי בשבב ה- Wi-Fi

תיאור: סוגיית השחיתות בזיכרון טופלה בשיפור הטיפול בזיכרון.

CVE-2017-11120: גל בנימיני מ- Google Project Zero

CVE-2017-11121: גל בנימיני מ- Google Project Zero

הכניסה נוספה ב- 25 בספטמבר 2017

וויי - פיי

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: הפעלת קוד זדוני בשבב ה- Wi-Fi עשויה להיות מסוגלת לבצע קוד שרירותי עם הרשאות גרעין במעבד היישומים.

תיאור: סוגיית השחיתות בזיכרון טופלה בשיפור הטיפול בזיכרון.

CVE-2017-7103: גל בנימיני מבית Google Project Zero

CVE-2017-7105: גל בנימיני מבית Google Project Zero

CVE-2017-7108: גל בנימיני מ- Google Project Zero

CVE-2017-7110: גל בנימיני מ- Google Project Zero

CVE-2017-7112: גל בנימיני מ- Google Project Zero

וויי - פיי

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: הפעלת קוד זדוני בשבב ה- Wi-Fi עשויה להיות מסוגלת לבצע קוד שרירותי עם הרשאות גרעין במעבד היישומים.

תיאור: תנאי מירוץ מרובים טופלו באמצעות אימות משופר.

CVE-2017-7115: גל בנימיני מ- Google Project Zero

וויי - פיי

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: ביצוע קוד זדוני שבוצע בשבב ה- Wi-Fi עשוי לקרוא זיכרון גרעינים מוגבל

תיאור: טופלה בעיית אימות תוך שיפור בסניטור הקלט.

CVE-2017-7116: גל בנימיני מ- Google Project Zero

זליב

זמין עבור: מכשירי iPhone 5 ואילך, iPad Air ואילך, ו- iPod touch דור 6

השפעה: מספר סוגיות ב- zlib

תיאור: מספר רב של בעיות טופלו על ידי עדכון לגרסה 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

מקור