Apple iOS 11.0.1 ir izlaists, un jums vajadzētu jaunināt tūlīt

Bluetooth

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: lietojumprogramma var piekļūt ierobežotiem failiem

Apraksts: apstrādājot kontaktkartes, pastāvēja privātuma problēma. Tas tika risināts ar uzlabotu valsts pārvaldību.

CVE-2017-7131: anonīms pētnieks Elviss (@elvisimprsntr), Dominik Conrads no Federālā informācijas drošības biroja, anonīmais pētnieks

Ieraksts pievienots 2017. gada 25. septembrī

CFNetwork starpniekserveri

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: Uzbrucējs, kas atrodas priviliģētā tīkla pozīcijā, iespējams, var izraisīt pakalpojumu atteikumu

Apraksts: daudzkārtējas pakalpojumu atteikšanas problēmas tika risinātas, uzlabojot atmiņas pārvaldību.

CVE-2017-7083: Abhinav Bansal no Zscaler Inc.

Ieraksts pievienots 2017. gada 25. septembrī

CoreAudio

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: lietojumprogramma, iespējams, var lasīt ierobežoto atmiņu

Apraksts: nolasītās robežas tika novērstas, atjauninot Opus versiju 1.1.4.

CVE-2017-0381: Mobilo draudu izpētes grupas Trend Micro pārstāvis V.E.O (@VYSEa)

Ieraksts pievienots 2017. gada 25. septembrī

Exchange ActiveSync

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: Uzbrucējs, kas atrodas priviliģētā tīkla vietā, iespējams, varēs izdzēst ierīci Exchange konta iestatīšanas laikā

Apraksts: AutoDiscover V1 pastāvēja validācijas problēma. Tas tika novērsts, pieprasot TLS AutoDiscover V1. Tagad tiek atbalstīts AutoDiscover V2.

CVE-2017-7088: Iļja Ņesterovs, Maksims Gončarovs

Heimdal

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: Uzbrucējs, kas atrodas priviliģētā tīkla pozīcijā, iespējams, var uzdoties par pakalpojumu

Apraksts: apstrādājot KDC-REP pakalpojuma nosaukumu, radās validācijas problēma. Šī problēma tika risināta, uzlabojot validāciju.

CVE-2017-11103: Džefrijs Altmans, Viktors Dučovni un Nikijs Viljamss

Ieraksts pievienots 2017. gada 25. septembrī

iBooks

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: ļaunprātīgi izstrādāta iBooks faila parsēšana var izraisīt pastāvīgu pakalpojumu atteikumu

Apraksts: daudzkārtējas pakalpojumu atteikšanas problēmas tika risinātas, uzlabojot atmiņas pārvaldību.

CVE-2017-7072: Jędrzej Krysztofiak

Kodols

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: lietojumprogramma, iespējams, var izpildīt patvaļīgu kodu ar kodola privilēģijām

Apraksts: atmiņas uzlabošanas problēma tika risināta, uzlabojot atmiņas pārvaldību.

CVE-2017-7114: Alekss Plaskets no MWR InfoSecurity

Ieraksts pievienots 2017. gada 25. septembrī

Tastatūras ieteikumi

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: tastatūras automātiskās pareizības ieteikumi var atklāt sensitīvu informāciju

Apraksts: iOS tastatūra netīšām ievietoja slepenu informāciju kešatmiņā. Šis jautājums tika risināts ar uzlabotu heiristiku.

CVE-2017-7140: anonīms pētnieks

Ieraksts pievienots 2017. gada 25. septembrī

libc

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: attāls uzbrucējs, iespējams, var izraisīt pakalpojumu atteikumu

Apraksts: Resursu izsmelšanas problēma glob () tika risināta, izmantojot uzlabotu algoritmu.

CVE-2017-7086: Russ Cox no Google

Ieraksts pievienots 2017. gada 25. septembrī

libc

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: lietojumprogramma var izraisīt pakalpojumu atteikumu

Apraksts: Atmiņas patēriņa problēma tika risināta, uzlabojot atmiņas pārvaldību.

CVE-2017-1000373

Ieraksts pievienots 2017. gada 25. septembrī

libexpat

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: vairāki jautājumi emigrācijā

Apraksts: Atjauninot uz versiju 2.2.1, tika risinātas vairākas problēmas

CVE-2016-9063

CVE-2017-9233

Ieraksts pievienots 2017. gada 25. septembrī

Vietnes ietvars

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: lietojumprogramma, iespējams, var nolasīt sensitīvu informāciju par atrašanās vietu

Apraksts: apstrādājot atrašanās vietas mainīgo, pastāvēja atļauju problēma. Tas tika risināts ar īpašumtiesību papildu pārbaudēm.

CVE-2017-7148: anonīms pētnieks, anonīms pētnieks

Ieraksts pievienots 2017. gada 25. septembrī

Pasta melnraksti

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: Uzbrucējs ar priviliģētu tīkla pozīciju, iespējams, var pārtvert pasta saturu

Apraksts: apstrādājot pasta melnrakstus, pastāvēja šifrēšanas problēma. Šī problēma tika risināta, uzlabojot pasta sūtījumu melnrakstu apstrādi.

CVE-2017-7078: anonīms pētnieks, anonīms pētnieks, anonīms pētnieks

Ieraksts pievienots 2017. gada 25. septembrī

Pasta ziņojumsUI

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: Ļaunprātīgi izstrādāta attēla apstrāde var izraisīt pakalpojumu atteikumu

Apraksts: atmiņas uzlabošanas problēma tika risināta ar uzlabotu validāciju.

CVE-2017-7097: Sinshu Dongs un Juns Hao Tans no Anquan Capital

Ziņas

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: Ļaunprātīgi izstrādāta attēla apstrāde var izraisīt pakalpojumu atteikumu

Apraksts: pakalpojuma atteikuma problēma tika risināta, uzlabojot validāciju.

CVE-2017-7118: Kiki Dzjana un Džeisons Tokofs

MobileBackup

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: Neraugoties uz prasību veikt tikai šifrētus dublējumus, dublēšana var veikt nešifrētu dublējumu

Apraksts: bija atļauju problēma. Šī problēma tika risināta ar uzlabotu atļauju validāciju.

CVE-2017-7133: Dons Sparks no vietnes HackediOS.com

Tālr

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: bloķējot iOS ierīci, var tikt veikts droša satura ekrānuzņēmums

Apraksts: apstrādājot bloķēšanu, bija laika problēma. Šī problēma tika novērsta, bloķējot ekrānuzņēmumus.

CVE-2017-7139: anonīms pētnieks

Ieraksts pievienots 2017. gada 25. septembrī

Safari

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: Apmeklējot ļaunprātīgu vietni, adreses josla var tikt sagrozīta

Apraksts: nekonsekventa lietotāja saskarnes problēma tika risināta, uzlabojot stāvokļa pārvaldību.

CVE-2017-7085: Tencent’s Xuanwu Lab xisigr (tencent.com)

Drošība

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: atsauktajam sertifikātam var uzticēties

Apraksts: apstrādājot atsaukšanas datus, bija sertifikāta validācijas problēma. Šī problēma tika risināta, uzlabojot validāciju.

CVE-2017-7080: anonīms pētnieks, anonīms pētnieks, Sven Driemecker no adesso mobilo risinājumu gmbh, Rune Darrud (@theflyingcorpse) no Bærum kommune

Ieraksts pievienots 2017. gada 25. septembrī

Drošība

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: ļaunprātīga lietotne var izsekot lietotājiem starp instalācijām

Apraksts: apstrādājot lietotnes Keychain datus, radās problēma ar atļauju pārbaudi. Šī problēma tika risināta ar uzlabotu atļauju pārbaudi.

CVE-2017-7146: anonīms pētnieks

Ieraksts pievienots 2017. gada 25. septembrī

SQLite

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: vairākas problēmas SQLite

Apraksts: atjauninot versiju 3.19.3, tika risinātas vairākas problēmas.

CVE-2017-10989: atrasts OSS-Fuzz

CVE-2017-7128: atrasts OSS-Fuzz

CVE-2017-7129: atrasts OSS-Fuzz

CVE-2017-7130: atrasts OSS-Fuzz

Ieraksts pievienots 2017. gada 25. septembrī

SQLite

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: lietojumprogramma, iespējams, var izpildīt patvaļīgu kodu ar sistēmas privilēģijām

Apraksts: atmiņas uzlabošanas problēma tika risināta, uzlabojot atmiņas pārvaldību.

CVE-2017-7127: anonīms pētnieks

Ieraksts pievienots 2017. gada 25. septembrī

Laiks

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: “Laika joslas iestatīšana” var nepareizi norādīt, ka tā izmanto atrašanās vietu

Apraksts: Procesā, kas apstrādā laika joslu informāciju, pastāvēja atļauju problēma. Problēma tika atrisināta, mainot atļaujas.

CVE-2017-7145: anonīms pētnieks

Ieraksts pievienots 2017. gada 25. septembrī

WebKit

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: ļaunprātīgi izstrādāta tīmekļa satura apstrāde var izraisīt patvaļīgu koda izpildi

Apraksts: atmiņas uzlabošanas problēma tika risināta, uzlabojot ievades validāciju.

CVE-2017-7081: Apple

Ieraksts pievienots 2017. gada 25. septembrī

WebKit

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: ļaunprātīgi izstrādāta tīmekļa satura apstrāde var izraisīt patvaļīgu koda izpildi

Apraksts: uzlabojot atmiņas pārvaldību, tika risinātas vairākas atmiņas bojājuma problēmas.

CVE-2017-7087: Apple

CVE-2017-7091: Vei Yuan no Baidu drošības laboratorijas, kas strādā ar Trend Micro iniciatīvu Zero Day Initiative

CVE-2017-7092: Samuel Gro un Niklas Baumstark strādā ar Trend Micro’s Zero Day Initiative, Qixun Zhao (@ S0rryMybad) no Qihoo 360 Vulcan Team.

CVE-2017-7093: Samuels Gro un Niklass Baumstarki strādā ar Trend Micro iniciatīvu Zero Day Initiative

CVE-2017-7094: Tims Mihauds (@TimGMichaud) no Leviathan drošības grupas

CVE-2017-7095: Vangs Džunjijs, Vei Lei un Liu Jangs no Nanjanas Tehnoloģiskās universitātes, kas strādā ar Trend Micro iniciatīvu Zero Day Initiative

CVE-2017-7096: Vei Yuan no Baidu drošības laboratorijas

CVE-2017-7098: Felipe Freitas no Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa un Mario Heiderich no Cure53

CVE-2017-7102: Vangs Džunjijs, Vei Lei un Liu Jangs no Nanjanas Tehnoloģiskās universitātes

CVE-2017-7104: piemēram, Baidu Secutity Lab

CVE-2017-7107: Vangs Džunjijs, Vei Lei un Liu Jangs no Nanjanas Tehnoloģiskās universitātes

CVE-2017-7111: līdzīgi kā Baidu Security Lab (xlab.baidu.com) sadarbībā ar Trend Micro iniciatīvu Zero Day Initiative

CVE-2017-7117: Google Project Zero lokihardt

CVE-2017-7120: chenqin (陈钦) no Ant-financial Gaismas gada drošības laboratorijas

Ieraksts pievienots 2017. gada 25. septembrī

WebKit

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: ļaunprātīgi izstrādāta tīmekļa satura apstrāde var izraisīt universālu skriptu izmantošanu dažādās vietnēs

Apraksts: apstrādājot cilni vecākus, radās loģikas problēma. Šis jautājums tika risināts, uzlabojot valsts pārvaldību.

CVE-2017-7089: Antons Lopanitsins no ONSEC, Frans Rosén no Detectify

WebKit

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: Sīkdatnes, kas pieder vienai izcelsmei, var nosūtīt uz citu izcelsmi

Apraksts: apstrādājot tīmekļa pārlūka sīkfailus, radās problēma ar atļaujām. Šī problēma tika novērsta, vairs neatgriežot sīkfailus pielāgotajām URL shēmām.

CVE-2017-7090: Apple

Ieraksts pievienots 2017. gada 25. septembrī

WebKit

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: Apmeklējot ļaunprātīgu vietni, adreses josla var tikt sagrozīta

Apraksts: nekonsekventa lietotāja saskarnes problēma tika risināta, uzlabojot stāvokļa pārvaldību.

CVE-2017-7106: Oliver Paukstadt no Thinking Objects GmbH (to.com)

WebKit

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: ļaunprātīgi izstrādāta tīmekļa satura apstrāde var izraisīt vietņu skriptu uzbrukumu

Apraksts: Lietojumprogrammas kešatmiņas politika var tikt negaidīti piemērota.

CVE-2017-7109: avlidienbrunn

Ieraksts pievienots 2017. gada 25. septembrī

WebKit

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: ļaunprātīga vietne, iespējams, var izsekot lietotājiem Safari privātās pārlūkošanas režīmā

Apraksts: apstrādājot tīmekļa pārlūka sīkfailus, radās problēma ar atļaujām. Šis jautājums tika risināts ar uzlabotiem ierobežojumiem.

CVE-2017-7144: anonīms pētnieks

Ieraksts pievienots 2017. gada 25. septembrī

Bezvadu internets

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: Uzbrucējs, kas atrodas diapazonā, iespējams, var izpildīt patvaļīgu kodu Wi-Fi mikroshēmā

Apraksts: atmiņas uzlabošanas problēma tika risināta, uzlabojot atmiņas pārvaldību.

CVE-2017-11120: Gal Beniamini no Google Project Zero

CVE-2017-11121: Gal Beniamini no Google Project Zero

Ieraksts pievienots 2017. gada 25. septembrī

Bezvadu internets

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: ļaunprātīgs kods, izpildot Wi-Fi mikroshēmu, var spēt izpildīt patvaļīgu kodu ar kodola privilēģijām lietojumprogrammu procesorā

Apraksts: atmiņas uzlabošanas problēma tika risināta, uzlabojot atmiņas pārvaldību.

CVE-2017-7103: Gal Beniamini no Google Project Zero

CVE-2017-7105: Gal Beniamini no Google Project Zero

CVE-2017-7108: Gal Beniamini no Google Project Zero

CVE-2017-7110: Gal Beniamini no Google Project Zero

CVE-2017-7112: Gal Beniamini no Google Project Zero

Bezvadu internets

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: ļaunprātīgs kods, izpildot Wi-Fi mikroshēmu, var spēt izpildīt patvaļīgu kodu ar kodola privilēģijām lietojumprogrammu procesorā

Apraksts: uzlabojot validāciju, tika ņemti vērā vairāku sacensību apstākļi.

CVE-2017-7115: Gal Beniamini no Google Project Zero

Bezvadu internets

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: ļaunprātīgs kods, izpildot Wi-Fi mikroshēmu, var lasīt ierobežotu kodola atmiņu

Apraksts: Apstiprināšanas problēma tika risināta ar uzlabotu ievades sanitizāciju.

CVE-2017-7116: Gal Beniamini no Google Project Zero

zlib

Pieejams: iPhone 5s un jaunākiem, iPad Air un jaunākiem, kā arī 6. paaudzes iPod touch

Ietekme: vairākas problēmas zlib

Apraksts: Atjauninot uz versiju 1.2.11, tika risinātas vairākas problēmas.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Avots