Apple iOS 11.0.1 vrijgegeven en u zou nu moeten upgraden

Bluetooth

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een toepassing heeft mogelijk toegang tot beperkte bestanden

Beschrijving: er was een privacyprobleem bij de verwerking van contactkaarten. Dit werd aangepakt met verbeterd statusbeheer.

CVE-2017-7131: een anonieme onderzoeker, Elvis (@elvisimprsntr), Dominik Conrads van Federal Office for Information Security, een anonieme onderzoeker

Inschrijving toegevoegd 25 september 2017

CFNetwork-proxy's

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een aanvaller in een bevoorrechte netwerkpositie kan mogelijk een denial of service veroorzaken

Beschrijving: Meerdere denial of service-problemen zijn verholpen door een verbeterde geheugenverwerking.

CVE-2017-7083: Abhinav Bansal van Zscaler Inc.

Inschrijving toegevoegd 25 september 2017

CoreAudio

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een toepassing kan mogelijk beperkt geheugen lezen

Beschrijving: een out-of-bounds lezen is verholpen door bij te werken naar Opus-versie 1.1.4.

CVE-2017-0381: V.E.O (@VYSEa) van Mobile Threat Research Team, Trend Micro

Inschrijving toegevoegd 25 september 2017

Exchange ActiveSync

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een aanvaller in een bevoorrechte netwerkpositie kan mogelijk een apparaat wissen tijdens het instellen van een Exchange-account

Beschrijving: er was een validatieprobleem in AutoDiscover V1. Dit werd verholpen door TLS te vereisen voor AutoDiscover V1. AutoDiscover V2 wordt nu ondersteund.

CVE-2017-7088: Ilya Nesterov, Maxim Goncharov

Heimdal

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een aanvaller in een bevoorrechte netwerkpositie kan zich voordoen als een service

Beschrijving: er was een validatieprobleem bij de behandeling van de KDC-REP-servicenaam. Dit probleem is verholpen door een verbeterde validatie.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni en Nico Williams

Inschrijving toegevoegd 25 september 2017

iBooks

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: het parseren van een kwaadwillig vervaardigd iBooks-bestand kan leiden tot een blijvende denial-of-service

Beschrijving: Meerdere denial of service-problemen zijn verholpen door een verbeterde geheugenverwerking.

CVE-2017-7072: Jędrzej Krysztofiak

pit

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een toepassing kan willekeurige code met kernelrechten uitvoeren

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde geheugenverwerking.

CVE-2017-7114: Alex Plaskett van MWR InfoSecurity

Inschrijving toegevoegd 25 september 2017

Toetsenbordsuggesties

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: suggesties voor automatisch corrigeren van het toetsenbord kunnen gevoelige informatie bevatten

Beschrijving: het iOS-toetsenbord bewaarde per ongeluk gevoelige informatie. Dit probleem is verholpen met verbeterde heuristiek.

CVE-2017-7140: een anonieme onderzoeker

Inschrijving toegevoegd 25 september 2017

libc

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een externe aanvaller kan mogelijk een denial-of-service veroorzaken

Beschrijving: een probleem met bronuitputting in glob () is verholpen door een verbeterd algoritme.

CVE-2017-7086: Russ Cox van Google

Inschrijving toegevoegd 25 september 2017

libc

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een toepassing kan mogelijk een denial of service veroorzaken

Beschrijving: een probleem met geheugenverbruik is verholpen door een verbeterde geheugenverwerking.

CVE-2017-1000373

Inschrijving toegevoegd 25 september 2017

libexpat

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: meerdere problemen bij expat

Beschrijving: meerdere problemen zijn verholpen door bij te werken naar versie 2.2.1

CVE-2016-9063

CVE-2017-9233

Inschrijving toegevoegd 25 september 2017

Locatie Framework

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een toepassing kan mogelijk gevoelige locatie-informatie lezen

Beschrijving: er was een probleem met de machtiging bij de verwerking van de locatievariabele. Dit werd aangepakt met extra eigendomscontroles.

CVE-2017-7148: een anonieme onderzoeker, een anonieme onderzoeker

Inschrijving toegevoegd 25 september 2017

Mailconcepten

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een aanvaller met een bevoorrechte netwerkpositie kan mogelijk e-mailinhoud onderscheppen

Beschrijving: er was een coderingsprobleem bij de verwerking van e-mailconcepten. Dit probleem is verholpen door een verbeterde verwerking van e-mailconcepten die gecodeerd moeten worden verzonden.

CVE-2017-7078: een anonieme onderzoeker, een anonieme onderzoeker, een anonieme onderzoeker

Inschrijving toegevoegd 25 september 2017

E-mailbericht UI

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot denial of service

Beschrijving: een probleem met geheugenbeschadiging is verholpen met een verbeterde validatie.

CVE-2017-7097: Xinshu Dong en Jun Hao Tan van Anquan Capital

berichten

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot denial of service

Beschrijving: een denial of service-probleem is verholpen door een verbeterde validatie.

CVE-2017-7118: Kiki Jiang en Jason Tokoph

MobileBackup

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: back-up kan een niet-gecodeerde back-up uitvoeren, ondanks de eis om alleen gecodeerde back-ups uit te voeren

Beschrijving: er was een probleem met de rechten. Dit probleem is verholpen met een verbeterde machtigingsvalidatie.

CVE-2017-7133: Don Sparks van HackediOS.com

Telefoon

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een screenshot van beveiligde inhoud kan worden genomen bij het vergrendelen van een iOS-apparaat

Beschrijving: er was een timingprobleem bij de afhandeling van vergrendeling. Dit probleem is verholpen door schermafbeeldingen uit te schakelen tijdens het vergrendelen.

CVE-2017-7139: een anonieme onderzoeker

Inschrijving toegevoegd 25 september 2017

Safari

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: het bezoeken van een kwaadwillende website kan leiden tot spoofing van de adresbalk

Beschrijving: een inconsistent probleem met de gebruikersinterface is verholpen met verbeterd statusbeheer.

CVE-2017-7085: xisigr van Xcent Xuw Lab van Tencent (tencent.com)

Veiligheid

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een ingetrokken certificaat kan worden vertrouwd

Beschrijving: er was een probleem met de validatie van certificaten bij de verwerking van intrekkingsgegevens. Dit probleem is verholpen door een verbeterde validatie.

CVE-2017-7080: een anonieme onderzoeker, een anonieme onderzoeker, Sven Driemecker van adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) van Bærum kommune

Inschrijving toegevoegd 25 september 2017

Veiligheid

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een kwaadwillende app kan mogelijk gebruikers tussen installaties volgen

Beschrijving: er was een probleem met het controleren van rechten bij de verwerking van de Keychain-gegevens van een app. Dit probleem is verholpen met verbeterde machtigingscontrole.

CVE-2017-7146: een anonieme onderzoeker

Inschrijving toegevoegd 25 september 2017

SQLite

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: meerdere problemen in SQLite

Beschrijving: meerdere problemen zijn verholpen door bij te werken naar versie 3.19.3.

CVE-2017-10989: gevonden door OSS-Fuzz

CVE-2017-7128: gevonden door OSS-Fuzz

CVE-2017-7129: gevonden door OSS-Fuzz

CVE-2017-7130: gevonden door OSS-Fuzz

Inschrijving toegevoegd 25 september 2017

SQLite

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een toepassing kan mogelijk willekeurige code uitvoeren met systeemrechten

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde geheugenverwerking.

CVE-2017-7127: een anonieme onderzoeker

Inschrijving toegevoegd 25 september 2017

Tijd

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: "Tijdzone instellen" geeft mogelijk ten onrechte aan dat de locatie wordt gebruikt

Beschrijving: er was een probleem met toestemmingen dat tijdzone-informatie afhandelde. Het probleem is opgelost door machtigingen te wijzigen.

CVE-2017-7145: een anonieme onderzoeker

Inschrijving toegevoegd 25 september 2017

WebKit

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-7081: Apple

Inschrijving toegevoegd 25 september 2017

WebKit

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: Meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde geheugenverwerking.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan van Baidu Security Lab werkt samen met het Zero Day Initiative van Trend Micro

CVE-2017-7092: Samuel Gro en Niklas Baumstark werken samen met het Zero Day Initiative van Trend Micro, Qixun Zhao (@ S0rryMybad) van Qihoo 360 Vulcan Team

CVE-2017-7093: Samuel Gro en Niklas Baumstark werken samen met het Zero Day Initiative van Trend Micro

CVE-2017-7094: Tim Michaud (@TimGMichaud) van Leviathan Security Group

CVE-2017-7095: Wang Junjie, Wei Lei en Liu Yang van Nanyang Technological University werken samen met het Zero Day Initiative van Trend Micro

CVE-2017-7096: Wei Yuan van Baidu Security Lab

CVE-2017-7098: Felipe Freitas van Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa en Mario Heiderich van Cure53

CVE-2017-7102: Wang Junjie, Wei Lei en Liu Yang van Nanyang Technological University

CVE-2017-7104: likemeng van Baidu Secutity Lab

CVE-2017-7107: Wang Junjie, Wei Lei en Liu Yang van Nanyang Technological University

CVE-2017-7111: likemeng van Baidu Security Lab (xlab.baidu.com) in samenwerking met het Zero Day Initiative van Trend Micro

CVE-2017-7117: lokihardt van Google Project Zero

CVE-2017-7120: chenqin (陈钦) van Ant-financial Light-Year Security Lab

Inschrijving toegevoegd 25 september 2017

WebKit

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot universele cross-site scripting

Beschrijving: er was een logisch probleem bij de verwerking van het bovenliggende tabblad. Dit probleem is verholpen met verbeterd statusbeheer.

CVE-2017-7089: Anton Lopanitsyn van ONSEC, Frans Rosén van Detectify

WebKit

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: cookies die tot de ene oorsprong behoren, kunnen naar een andere oorsprong worden verzonden

Beschrijving: er was een probleem met de machtiging bij de verwerking van webbrowsercookies. Dit probleem is verholpen door cookies voor aangepaste URL-schema's niet meer te retourneren.

CVE-2017-7090: Apple

Inschrijving toegevoegd 25 september 2017

WebKit

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: het bezoeken van een kwaadwillende website kan leiden tot spoofing van de adresbalk

Beschrijving: een inconsistent probleem met de gebruikersinterface is verholpen met verbeterd statusbeheer.

CVE-2017-7106: Oliver Paukstadt van Thinking Objects GmbH (to.com)

WebKit

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot een cross-site scripting-aanval

Beschrijving: Application Cache-beleid kan onverwacht worden toegepast.

CVE-2017-7109: avlidienbrunn

Inschrijving toegevoegd 25 september 2017

WebKit

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een kwaadwillende website kan mogelijk gebruikers volgen in de privémodus van Safari

Beschrijving: er was een probleem met de machtiging bij de verwerking van webbrowsercookies. Dit probleem is verholpen met verbeterde beperkingen.

CVE-2017-7144: een anonieme onderzoeker

Inschrijving toegevoegd 25 september 2017

Wifi

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een aanvaller die binnen bereik is, kan mogelijk willekeurige code op de wifi-chip uitvoeren

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde geheugenverwerking.

CVE-2017-11120: Gal Beniamini van Google Project Zero

CVE-2017-11121: Gal Beniamini van Google Project Zero

Inschrijving toegevoegd 25 september 2017

Wifi

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: schadelijke code die op de wifi-chip wordt uitgevoerd, kan mogelijk willekeurige code met kernelrechten uitvoeren op de toepassingsprocessor

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde geheugenverwerking.

CVE-2017-7103: Gal Beniamini van Google Project Zero

CVE-2017-7105: Gal Beniamini van Google Project Zero

CVE-2017-7108: Gal Beniamini van Google Project Zero

CVE-2017-7110: Gal Beniamini van Google Project Zero

CVE-2017-7112: Gal Beniamini van Google Project Zero

Wifi

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: schadelijke code die op de wifi-chip wordt uitgevoerd, kan mogelijk willekeurige code met kernelrechten uitvoeren op de toepassingsprocessor

Beschrijving: Meerdere race-omstandigheden werden aangepakt door verbeterde validatie.

CVE-2017-7115: Gal Beniamini van Google Project Zero

Wifi

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: schadelijke code die op de wifi-chip wordt uitgevoerd, kan mogelijk beperkt kernelgeheugen lezen

Beschrijving: een validatieprobleem is verholpen met verbeterde input sanitization.

CVE-2017-7116: Gal Beniamini van Google Project Zero

zlib

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: meerdere problemen in zlib

Beschrijving: meerdere problemen zijn verholpen door bij te werken naar versie 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Bron