Lançamento do Apple iOS 11.0.1 e você deve atualizar agora

Bluetooth

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: um aplicativo pode acessar arquivos restritos

Descrição: existia um problema de privacidade no manuseio de cartões de contato. Isso foi resolvido com o gerenciamento aprimorado do estado.

CVE-2017-7131: um pesquisador anônimo, Elvis (@elvisimprsntr), Dominik Conrads do Escritório Federal de Segurança da Informação, um pesquisador anônimo

Entrada adicionada em 25 de setembro de 2017

Proxies da CFNetwork

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: um invasor em uma posição de rede privilegiada pode causar uma negação de serviço

Descrição: vários problemas de negação de serviço foram solucionados por meio de um aprimoramento do processamento da memória.

CVE-2017-7083: Abhinav Bansal da Zscaler Inc.

Entrada adicionada em 25 de setembro de 2017

CoreAudio

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: um aplicativo pode ler memória restrita

Descrição: Uma leitura fora dos limites foi corrigida com a atualização para o Opus versão 1.1.4.

CVE-2017-0381: V.E.O (@VYSEa) da equipe de pesquisa de ameaças móveis, Trend Micro

Entrada adicionada em 25 de setembro de 2017

Exchange ActiveSync

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: um invasor em uma posição de rede privilegiada pode apagar um dispositivo durante a configuração da conta do Exchange

Descrição: havia um problema de validação no AutoDiscover V1. Isso foi resolvido exigindo o TLS para o AutoDiscover V1. O AutoDiscover V2 agora é suportado.

CVE-2017-7088: Ilya Nesterov, Maxim Goncharov

Heimdal

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: um invasor em uma posição de rede privilegiada pode ser capaz de representar um serviço

Descrição: existia um problema de validação na manipulação do nome do serviço KDC-REP. Esse problema foi solucionado através de uma validação aprimorada.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni e Nico Williams

Entrada adicionada em 25 de setembro de 2017

iBooks

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: a análise de um arquivo iBooks criado com códigos maliciosos pode levar a uma negação de serviço persistente

Descrição: vários problemas de negação de serviço foram solucionados por meio de um aprimoramento do processamento da memória.

CVE-2017-7072: Jędrzej Krysztofiak

Núcleo

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: um aplicativo pode executar código arbitrário com privilégios de kernel

Descrição: foi solucionado um problema de corrupção de memória com o aprimoramento do tratamento da memória.

CVE-2017-7114: Alex Plaskett, da MWR InfoSecurity

Entrada adicionada em 25 de setembro de 2017

Sugestões de teclado

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: as sugestões de correção automática do teclado podem revelar informações confidenciais

Descrição: o teclado do iOS estava armazenando em cache informações confidenciais inadvertidamente. Esse problema foi solucionado com heurísticas aprimoradas.

CVE-2017-7140: um pesquisador anônimo

Entrada adicionada em 25 de setembro de 2017

libc

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: um invasor remoto pode causar uma negação de serviço

Descrição: um problema de exaustão de recursos no glob () foi resolvido por meio de um algoritmo aprimorado.

CVE-2017-7086: Russ Cox do Google

Entrada adicionada em 25 de setembro de 2017

libc

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: um aplicativo pode causar uma negação de serviço

Descrição: um problema de consumo de memória foi solucionado através de um tratamento de memória aprimorado.

CVE-2017-1000373

Entrada adicionada em 25 de setembro de 2017

libexpat

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: vários problemas no expat

Descrição: vários problemas foram solucionados com a atualização para a versão 2.2.1

CVE-2016-9063

CVE-2017-9233

Entrada adicionada em 25 de setembro de 2017

Estrutura de Localização

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: um aplicativo pode ler informações de localização confidenciais

Descrição: existia um problema de permissões no tratamento da variável de local. Isso foi resolvido com verificações adicionais de propriedade.

CVE-2017-7148: pesquisador anônimo, pesquisador anônimo

Entrada adicionada em 25 de setembro de 2017

Rascunhos de Correio

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: um invasor com uma posição de rede privilegiada pode interceptar o conteúdo do correio

Descrição: existia um problema de criptografia no tratamento de rascunhos de correio. Esse problema foi solucionado com o aprimoramento do tratamento de rascunhos de correio que deveriam ser enviados criptografados.

CVE-2017-7078: pesquisador anônimo, pesquisador anônimo, pesquisador anônimo

Entrada adicionada em 25 de setembro de 2017

Mail MessageUI

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: o processamento de uma imagem criada com códigos maliciosos pode levar a uma negação de serviço

Descrição: foi solucionado um problema de corrupção de memória com validação aprimorada.

CVE-2017-7097: Xinshu Dong e Jun Hao Tan, da Anquan Capital

Mensagens

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: o processamento de uma imagem criada com códigos maliciosos pode levar a uma negação de serviço

Descrição: um problema de negação de serviço foi solucionado através de uma validação aprimorada.

CVE-2017-7118: Kiki Jiang e Jason Tokoph

MobileBackup

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: o backup pode executar um backup não criptografado, apesar da exigência de executar apenas backups criptografados

Descrição: existia um problema de permissões. Esse problema foi solucionado com uma validação aprimorada de permissão.

CVE-2017-7133: Don Sparks do HackediOS.com

telefone

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: uma captura de tela do conteúdo seguro pode ser obtida ao bloquear um dispositivo iOS

Descrição: existia um problema de temporização na manipulação do bloqueio. Esse problema foi solucionado através da desativação de capturas de tela durante o bloqueio.

CVE-2017-7139: pesquisador anônimo

Entrada adicionada em 25 de setembro de 2017

Safári

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: visitar um site mal-intencionado pode causar falsificação na barra de endereço

Descrição: foi resolvido um problema inconsistente na interface do usuário com o gerenciamento aprimorado do estado.

CVE-2017-7085: xisigr do Xuanwu Lab da Tencent (tencent.com)

Segurança

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: um certificado revogado pode ser confiável

Descrição: havia um problema de validação de certificado no tratamento de dados de revogação. Esse problema foi solucionado através de uma validação aprimorada.

CVE-2017-7080: pesquisador anônimo, pesquisador anônimo, Sven Driemecker, da adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) de Bærum kommune

Entrada adicionada em 25 de setembro de 2017

Segurança

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: um aplicativo mal-intencionado pode rastrear usuários entre instalações

Descrição: existia um problema de verificação de permissão no tratamento dos dados de chaveiro de um aplicativo. Esse problema foi solucionado com uma verificação de permissão aprimorada.

CVE-2017-7146: pesquisador anônimo

Entrada adicionada em 25 de setembro de 2017

SQLite

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: vários problemas no SQLite

Descrição: vários problemas foram solucionados com a atualização para a versão 3.19.3.

CVE-2017-10989: encontrado pelo OSS-Fuzz

CVE-2017-7128: encontrado pelo OSS-Fuzz

CVE-2017-7129: encontrado pelo OSS-Fuzz

CVE-2017-7130: encontrado pelo OSS-Fuzz

Entrada adicionada em 25 de setembro de 2017

SQLite

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: um aplicativo pode executar código arbitrário com privilégios de sistema

Descrição: foi solucionado um problema de corrupção de memória com o aprimoramento do tratamento da memória.

CVE-2017-7127: pesquisador anônimo

Entrada adicionada em 25 de setembro de 2017

Tempo

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: "Definir fuso horário" pode indicar incorretamente que está usando o local

Descrição: existia um problema de permissões no processo que lida com informações de fuso horário. O problema foi resolvido através da modificação de permissões.

CVE-2017-7145: pesquisador anônimo

Entrada adicionada em 25 de setembro de 2017

WebKit

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: o processamento de conteúdo da Web criado com códigos maliciosos pode levar à execução arbitrária de códigos

Descrição: um problema de corrupção de memória foi solucionado através de uma validação de entrada aprimorada.

CVE-2017-7081: Apple

Entrada adicionada em 25 de setembro de 2017

WebKit

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: o processamento de conteúdo da Web criado com códigos maliciosos pode levar à execução arbitrária de códigos

Descrição: vários problemas de corrupção de memória foram resolvidos com o aprimoramento do tratamento da memória.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan, do Baidu Security Lab, trabalhando com a Zero Day Initiative da Trend Micro

CVE-2017-7092: Samuel Gro e Niklas Baumstark trabalhando com a Zero Day Initiative da Trend Micro, Qixun Zhao (@ S0rryMybad) da Qihoo 360 Vulcan Team

CVE-2017-7093: Samuel Gro e Niklas Baumstark trabalhando com a Zero Day Initiative da Trend Micro

CVE-2017-7094: Tim Michaud (@TimGMichaud) do Leviathan Security Group

CVE-2017-7095: Wang Junjie, Wei Lei e Liu Yang, da Universidade Tecnológica de Nanyang, trabalhando com a Zero Day Initiative da Trend Micro

CVE-2017-7096: Wei Yuan do Baidu Security Lab

CVE-2017-7098: Felipe Freitas, do Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa e Mario Heiderich de Cure53

CVE-2017-7102: Wang Junjie, Wei Lei e Liu Yang da Universidade Tecnológica de Nanyang

CVE-2017-7104: semelhança com o Baidu Secutity Lab

CVE-2017-7107: Wang Junjie, Wei Lei e Liu Yang da Universidade Tecnológica de Nanyang

CVE-2017-7111: demonstração do Baidu Security Lab (xlab.baidu.com) trabalhando com a Zero Day Initiative da Trend Micro

CVE-2017-7117: lokihardt do Google Project Zero

CVE-2017-7120: chenqin (陈钦) do Laboratório de segurança do ano-luz da formiga financeira

Entrada adicionada em 25 de setembro de 2017

WebKit

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: o processamento de conteúdo da Web criado com códigos maliciosos pode levar a scripts entre sites universais

Descrição: existia um problema de lógica no tratamento da guia pai. Esse problema foi solucionado com um gerenciamento de estado aprimorado.

CVE-2017-7089: Anton Lopanitsyn, do ONSEC, Frans Rosén, do Detectify

WebKit

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: os cookies pertencentes a uma origem podem ser enviados para outra origem

Descrição: existia um problema de permissão no processamento de cookies do navegador da web. Esse problema foi solucionado ao não retornar mais cookies para esquemas de URL personalizados.

CVE-2017-7090: Apple

Entrada adicionada em 25 de setembro de 2017

WebKit

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: visitar um site mal-intencionado pode causar falsificação na barra de endereço

Descrição: foi resolvido um problema inconsistente na interface do usuário com o gerenciamento aprimorado do estado.

CVE-2017-7106: Oliver Paukstadt, da Thinking Objects GmbH (to.com)

WebKit

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: o processamento de conteúdo da Web criado com códigos maliciosos pode levar a um ataque de script entre sites

Descrição: a política de cache do aplicativo pode ser aplicada inesperadamente.

CVE-2017-7109: avlidienbrunn

Entrada adicionada em 25 de setembro de 2017

WebKit

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: um site mal-intencionado pode rastrear usuários no modo de navegação privada do Safari

Descrição: existia um problema de permissão no processamento de cookies do navegador da web. Esse problema foi solucionado com restrições aprimoradas.

CVE-2017-7144: pesquisador anônimo

Entrada adicionada em 25 de setembro de 2017

Wi-fi

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: um invasor dentro do alcance pode executar código arbitrário no chip Wi-Fi

Descrição: foi solucionado um problema de corrupção de memória com o aprimoramento do tratamento da memória.

CVE-2017-11120: Gal Beniamini do Google Project Zero

CVE-2017-11121: Gal Beniamini do Google Project Zero

Entrada adicionada em 25 de setembro de 2017

Wi-fi

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: o código malicioso em execução no chip Wi-Fi pode ser capaz de executar código arbitrário com privilégios de kernel no processador de aplicativos

Descrição: foi solucionado um problema de corrupção de memória com o aprimoramento do tratamento da memória.

CVE-2017-7103: Gal Beniamini do Google Project Zero

CVE-2017-7105: Gal Beniamini do Google Project Zero

CVE-2017-7108: Gal Beniamini do Google Project Zero

CVE-2017-7110: Gal Beniamini do Google Project Zero

CVE-2017-7112: Gal Beniamini do Google Project Zero

Wi-fi

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: o código malicioso em execução no chip Wi-Fi pode ser capaz de executar código arbitrário com privilégios de kernel no processador de aplicativos

Descrição: várias condições de corrida foram abordadas através de uma validação aprimorada.

CVE-2017-7115: Gal Beniamini do Google Project Zero

Wi-fi

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: o código malicioso em execução no chip Wi-Fi pode ler a memória restrita do kernel

Descrição: foi solucionado um problema de validação com a limpeza de entradas aprimorada.

CVE-2017-7116: Gal Beniamini do Google Project Zero

zlib

Disponível para: iPhone 5s e posterior, iPad Air e posterior e iPod touch de 6ª geração

Impacto: vários problemas no zlib

Descrição: vários problemas foram solucionados com a atualização para a versão 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Fonte