Apple iOS 11.0.1 wydany i powinieneś zaktualizować teraz

Bluetooth

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Wpływ: Aplikacja może mieć dostęp do plików zastrzeżonych

Opis: podczas obsługi kart kontaktów występował problem z prywatnością. Rozwiązano ten problem dzięki ulepszonemu zarządzaniu stanem.

CVE-2017-7131: anonimowy badacz, Elvis (@elvisimprsntr), Dominik Conrads z Federalnego Urzędu ds. Bezpieczeństwa Informacji, anonimowy badacz

Wpis dodano 25 września 2017 r

CFNetwork Proxy

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Zagrożenie: osoba atakująca w uprzywilejowanej pozycji sieciowej może spowodować odmowę usługi

Opis: Rozwiązano wiele problemów związanych z odmową usługi poprzez lepszą obsługę pamięci.

CVE-2017-7083: Abhinav Bansal z Zscaler Inc.

Wpis dodano 25 września 2017 r

CoreAudio

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Wpływ: Aplikacja może być w stanie odczytać ograniczoną pamięć

Opis: usunięto błąd odczytu poza aktualizacją do wersji Opus 1.1.4.

CVE-2017-0381: V.E.O (@VYSEa) zespołu Mobile Threat Research Team, Trend Micro

Wpis dodano 25 września 2017 r

Exchange ActiveSync

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Zagrożenie: osoba atakująca w uprzywilejowanej pozycji sieciowej może usunąć urządzenie podczas konfiguracji konta Exchange

Opis: w programie AutoDiscover V1 występował błąd sprawdzania poprawności. Rozwiązano ten problem, wymagając TLS dla AutoDiscover V1. AutoDiscover V2 jest teraz obsługiwany.

CVE-2017-7088: Ilya Nesterov, Maxim Goncharov

Heimdal

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Wpływ: osoba atakująca w uprzywilejowanej pozycji sieciowej może podszyć się pod usługę

Opis: Wystąpił problem z weryfikacją podczas obsługi nazwy usługi KDC-REP. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni i Nico Williams

Wpis dodano 25 września 2017 r

iBooks

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Zagrożenie: analizowanie złośliwie spreparowanego pliku iBooks może prowadzić do trwałego odmowy usługi

Opis: Rozwiązano wiele problemów związanych z odmową usługi poprzez lepszą obsługę pamięci.

CVE-2017-7072: Jędrzej Krysztofiak

Jądro

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Wpływ: Aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra

Opis: Rozwiązano problem uszkodzenia pamięci, poprawiając obsługę pamięci.

CVE-2017-7114: Alex Plaskett z MWR InfoSecurity

Wpis dodano 25 września 2017 r

Sugestie dotyczące klawiatury

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Wpływ: Autokorekty klawiatury mogą ujawniać poufne informacje

Opis: klawiatura iOS nieumyślnie buforuje poufne informacje. Ten problem rozwiązano za pomocą ulepszonej heurystyki.

CVE-2017-7140: anonimowy badacz

Wpis dodano 25 września 2017 r

libc

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Wpływ: zdalny atakujący może spowodować odmowę usługi

Opis: Rozwiązano problem wyczerpania zasobów w glob () poprzez ulepszony algorytm.

CVE-2017-7086: Russ Cox z Google

Wpis dodano 25 września 2017 r

libc

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Wpływ: aplikacja może spowodować odmowę usługi

Opis: Rozwiązano problem z zużyciem pamięci, poprawiając obsługę pamięci.

CVE-2017-1000373

Wpis dodano 25 września 2017 r

libexpat

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Wpływ: Wiele problemów w ekspatriantów

Opis: Rozwiązano wiele problemów poprzez aktualizację do wersji 2.2.1

CVE-2016-9063

CVE-2017-9233

Wpis dodano 25 września 2017 r

Struktura lokalizacji

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Wpływ: aplikacja może odczytać poufne informacje o lokalizacji

Opis: w procedurze obsługi zmiennej lokalizacji występował problem z uprawnieniami. Rozwiązano to poprzez dodatkowe kontrole własności.

CVE-2017-7148: anonimowy badacz, anonimowy badacz

Wpis dodano 25 września 2017 r

Wersje robocze poczty

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Zagrożenie: osoba atakująca z uprzywilejowaną pozycją sieciową może przechwycić zawartość poczty

Opis: Wystąpił problem z szyfrowaniem podczas obsługi wersji roboczych wiadomości. Rozwiązano ten problem, poprawiając obsługę kopii roboczych wiadomości przeznaczonych do wysłania w postaci zaszyfrowanej.

CVE-2017-7078: anonimowy badacz, anonimowy badacz, anonimowy badacz

Wpis dodano 25 września 2017 r

Mail MessageUI

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do odmowy usługi

Opis: Rozwiązano problem uszkodzenia pamięci przy ulepszonej weryfikacji.

CVE-2017-7097: Xinshu Dong i Jun Hao Tan z Anquan Capital

Wiadomości

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do odmowy usługi

Opis: naprawiono problem odmowy usługi.

CVE-2017-7118: Kiki Jiang i Jason Tokoph

MobileBackup

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Zagrożenie: kopia zapasowa może wykonać niezaszyfrowaną kopię zapasową, mimo że wymagane jest wykonywanie tylko zaszyfrowanych kopii zapasowych

Opis: Wystąpił problem z uprawnieniami. Ten problem rozwiązano przez poprawienie sprawdzania poprawności uprawnień.

CVE-2017-7133: Don Sparks of HackediOS.com

Telefon

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Wpływ: Podczas blokowania urządzenia z systemem iOS może zostać wykonany zrzut ekranu z bezpieczną zawartością

Opis: w obsłudze blokowania występował problem z synchronizacją. Ten problem rozwiązano przez wyłączenie zrzutów ekranu podczas blokowania.

CVE-2017-7139: anonimowy badacz

Wpis dodano 25 września 2017 r

Safari

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Zagrożenie: odwiedzenie złośliwej witryny może doprowadzić do fałszowania paska adresu

Opis: Rozwiązano problem niespójnego interfejsu użytkownika dzięki ulepszonemu zarządzaniu stanem.

CVE-2017-7085: xisigr z Tenuan's Xuanwu Lab (tencent.com)

Bezpieczeństwo

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Zagrożenie: unieważniony certyfikat może być zaufany

Opis: Wystąpił problem z weryfikacją certyfikatu podczas obsługi danych odwołania. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności.

CVE-2017-7080: anonimowy badacz, anonimowy badacz, Sven Driemecker z adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) z Bærum kommune

Wpis dodano 25 września 2017 r

Bezpieczeństwo

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Zagrożenie: złośliwa aplikacja może być w stanie śledzić użytkowników między instalacjami

Opis: podczas obsługi danych pęku kluczy aplikacji występował błąd sprawdzania uprawnień. Ten problem rozwiązano przez poprawienie sprawdzania uprawnień.

CVE-2017-7146: anonimowy badacz

Wpis dodano 25 września 2017 r

SQLite

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Wpływ: wiele problemów w SQLite

Opis: Rozwiązano wiele problemów poprzez aktualizację do wersji 3.19.3.

CVE-2017-10989: znaleziono przez OSS-Fuzz

CVE-2017-7128: znaleziono przez OSS-Fuzz

CVE-2017-7129: znaleziono przez OSS-Fuzz

CVE-2017-7130: znaleziono przez OSS-Fuzz

Wpis dodano 25 września 2017 r

SQLite

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Wpływ: Aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi

Opis: Rozwiązano problem uszkodzenia pamięci, poprawiając obsługę pamięci.

CVE-2017-7127: anonimowy badacz

Wpis dodano 25 września 2017 r

Czas

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Wpływ: „Ustawienie strefy czasowej” może niepoprawnie wskazywać, że używa lokalizacji

Opis: w procesie, który obsługuje informacje o strefie czasowej, wystąpił problem z uprawnieniami. Problem został rozwiązany przez zmianę uprawnień.

CVE-2017-7145: anonimowy badacz

Wpis dodano 25 września 2017 r

WebKit

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Zagrożenie: przetwarzanie złośliwie spreparowanej treści internetowej może spowodować wykonanie dowolnego kodu

Opis: Rozwiązano problem uszkodzenia pamięci, poprawiając sprawdzanie poprawności danych wejściowych.

CVE-2017-7081: Apple

Wpis dodano 25 września 2017 r

WebKit

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Zagrożenie: przetwarzanie złośliwie spreparowanej treści internetowej może spowodować wykonanie dowolnego kodu

Opis: naprawiono wiele problemów związanych z uszkodzeniem pamięci.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan z Baidu Security Lab współpracuje z Zero Day Initiative firmy Trend Micro

CVE-2017-7092: Samuel Gro i Niklas Baumstark współpracujący z Zero Day Initiative firmy Trend Micro, Qixun Zhao (@ S0rryMybad) z zespołu Qihoo 360 Vulcan Team

CVE-2017-7093: Samuel Gro i Niklas Baumstark współpracują z inicjatywą Zero Day Initiative firmy Trend Micro

CVE-2017-7094: Tim Michaud (@TimGMichaud) z Leviathan Security Group

CVE-2017-7095: Wang Junjie, Wei Lei i Liu Yang z Uniwersytetu Technologicznego Nanyang współpracują z inicjatywą Zero Day Initiative firmy Trend Micro

CVE-2017-7096: Wei Yuan z Baidu Security Lab

CVE-2017-7098: Felipe Freitas z Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa i Mario Heiderich z Cure53

CVE-2017-7102: Wang Junjie, Wei Lei i Liu Yang z Nanyang Technological University

CVE-2017-7104: likemeng Baidu Secutity Lab

CVE-2017-7107: Wang Junjie, Wei Lei i Liu Yang z Nanyang Technological University

CVE-2017-7111: likemeng z Baidu Security Lab (xlab.baidu.com) współpracujący z Zero Day Initiative firmy Trend Micro

CVE-2017-7117: lokihardt z Google Project Zero

CVE-2017-7120: chenqin (陈钦) Ant-finansowego Light-Year Security Lab

Wpis dodano 25 września 2017 r

WebKit

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Zagrożenie: przetwarzanie złośliwie spreparowanej treści internetowej może doprowadzić do uniwersalnego skryptu między witrynami

Opis: Wystąpił problem logiczny podczas obsługi karty nadrzędnej. Ten problem rozwiązano dzięki ulepszonemu zarządzaniu stanem.

CVE-2017-7089: Anton Lopanitsyn z ONSEC, Frans Rosén z Detectify

WebKit

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Wpływ: Pliki cookie należące do jednego źródła mogą być wysyłane do innego źródła

Opis: podczas obsługi plików cookie przeglądarki internetowej występował problem z uprawnieniami. Rozwiązano ten problem, nie zwracając już plików cookie dla niestandardowych schematów adresów URL.

CVE-2017-7090: Apple

Wpis dodano 25 września 2017 r

WebKit

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Zagrożenie: odwiedzenie złośliwej witryny może doprowadzić do fałszowania paska adresu

Opis: Rozwiązano problem niespójnego interfejsu użytkownika dzięki ulepszonemu zarządzaniu stanem.

CVE-2017-7106: Oliver Paukstadt z Thinking Objects GmbH (to.com)

WebKit

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Zagrożenie: przetwarzanie złośliwie spreparowanej treści internetowej może doprowadzić do ataku typu cross site scripting

Opis: zasada pamięci podręcznej aplikacji może zostać nieoczekiwanie zastosowana.

CVE-2017-7109: avlidienbrunn

Wpis dodano 25 września 2017 r

WebKit

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Zagrożenie: złośliwa witryna może być w stanie śledzić użytkowników w trybie prywatnego przeglądania Safari

Opis: podczas obsługi plików cookie przeglądarki internetowej występował problem z uprawnieniami. Ten problem rozwiązano przez poprawienie ograniczeń.

CVE-2017-7144: anonimowy badacz

Wpis dodano 25 września 2017 r

Wi-Fi

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Wpływ: atakujący w zasięgu może być w stanie wykonać dowolny kod na chipie Wi-Fi

Opis: Rozwiązano problem uszkodzenia pamięci, poprawiając obsługę pamięci.

CVE-2017-11120: Gal Beniamini z Google Project Zero

CVE-2017-11121: Gal Beniamini z Google Project Zero

Wpis dodano 25 września 2017 r

Wi-Fi

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Zagrożenie: złośliwy kod wykonywany na chipie Wi-Fi może być w stanie wykonać dowolny kod z uprawnieniami jądra w procesorze aplikacji

Opis: Rozwiązano problem uszkodzenia pamięci, poprawiając obsługę pamięci.

CVE-2017-7103: Gal Beniamini z Google Project Zero

CVE-2017-7105: Gal Beniamini z Google Project Zero

CVE-2017-7108: Gal Beniamini z Google Project Zero

CVE-2017-7110: Gal Beniamini z Google Project Zero

CVE-2017-7112: Gal Beniamini z Google Project Zero

Wi-Fi

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Zagrożenie: złośliwy kod wykonywany na chipie Wi-Fi może być w stanie wykonać dowolny kod z uprawnieniami jądra w procesorze aplikacji

Opis: Rozwiązano wiele warunków wyścigu poprzez ulepszoną walidację.

CVE-2017-7115: Gal Beniamini z Google Project Zero

Wi-Fi

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Zagrożenie: złośliwy kod wykonywany w układzie Wi-Fi może być w stanie odczytać ograniczoną pamięć jądra

Opis: Rozwiązano problem z sprawdzaniem poprawności, poprawiając czyszczenie danych wejściowych.

CVE-2017-7116: Gal Beniamini z Google Project Zero

zlib

Dostępne dla: iPhone'a 5s i nowszego, iPada Air i nowszego oraz iPoda touch 6. generacji

Zagrożenie: wiele problemów w zlib

Opis: wiele problemów rozwiązano przez aktualizację do wersji 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Źródło