Vydané Apple iOS 11.0.1 a teraz by ste mali upgradovať

bluetooth

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dopad: Aplikácia môže mať prístup k obmedzeným súborom

Opis: Pri manipulácii s kontaktnými kartami sa vyskytol problém s ochranou súkromia. To sa riešilo zlepšením riadenia štátu.

CVE-2017-7131: anonymný výskumný pracovník, Elvis (@elvisimprsntr), Dominik Conrads Federálneho úradu pre informačnú bezpečnosť, anonymný výskumný pracovník

Položka bola pridaná 25. septembra 2017

Proxy CFNetwork

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dopad: Útočník v privilegovanej pozícii v sieti môže byť schopný spôsobiť odmietnutie služby

Opis: Viacnásobné problémy so zamietnutím služby sa riešili prostredníctvom vylepšeného spracovania pamäte.

CVE-2017-7083: Abhinav Bansal zo spoločnosti Zscaler Inc.

Položka bola pridaná 25. septembra 2017

CoreAudio

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dopad: Aplikácia môže čítať obmedzenú pamäť

Opis: Čítanie mimo hraníc bolo adresované aktualizáciou na verziu Opus 1.1.4.

CVE-2017-0381: V.E.O (@ VYSEa) tímu pre výskum mobilných hrozieb, Trend Micro

Položka bola pridaná 25. septembra 2017

Výmena ActiveSync

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dopad: Útočník v privilegovanej pozícii v sieti môže počas nastavenia účtu Exchange vymazať zariadenie

Opis: V AutoDiscover V1 sa vyskytol problém s overením. Toto sa vyriešilo vyžadovaním TLS pre AutoDiscover V1. AutoDiscover V2 je teraz podporovaný.

CVE-2017-7088: Ilya Nesterov, Maxim Goncharov

Heimdal

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dopad: Útočník v privilegovanom postavení v sieti môže byť schopný vydávať sa za službu

Opis: Pri spracovaní názvu služby KDC-REP sa vyskytol problém s overením. Tento problém sa riešil zlepšením validácie.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni a Nico Williams

Položka bola pridaná 25. septembra 2017

iBooks

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dôsledok: Analýza škodlivo vytvoreného súboru iBooks môže viesť k trvalému odmietnutiu služby

Opis: Viacnásobné problémy so zamietnutím služby sa riešili prostredníctvom vylepšeného spracovania pamäte.

CVE-2017-7072: Jędrzej Krysztofiak

jadro

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dopad: Aplikácia môže byť schopná vykonať ľubovoľný kód s oprávneniami jadra

Opis: Problém s poškodením pamäte bol vyriešený vylepšeným spracovaním pamäte.

CVE-2017-7114: Alex Plaskett z MWR InfoSecurity

Položka bola pridaná 25. septembra 2017

Návrhy klávesnice

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dopad: Návrhy automatických opráv klávesnice môžu odhaliť citlivé informácie

Opis: Klávesnica iOS neúmyselne ukladala citlivé informácie do vyrovnávacej pamäte. Tento problém bol vyriešený vylepšenou heuristikou.

CVE-2017-7140: anonymný vedecký pracovník

Položka bola pridaná 25. septembra 2017

libc

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

Opis: Problém vyčerpania zdrojov v glob () bol vyriešený prostredníctvom vylepšeného algoritmu.

CVE-2017-7086: Russ Cox zo spoločnosti Google

Položka bola pridaná 25. septembra 2017

libc

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dopad: Aplikácia môže byť schopná spôsobiť odmietnutie služby

Opis: Problém spotreby pamäte bol vyriešený vylepšeným spracovaním pamäte.

CVE-2017-1000373

Položka bola pridaná 25. septembra 2017

libexpat

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dopad: Viaceré problémy vysťahovalcov

Opis: Aktualizáciou na verziu 2.2.1 sa vyriešilo viacero problémov

CVE-2016-9063

CVE-2017-9233

Položka bola pridaná 25. septembra 2017

Rámec umiestnenia

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dopad: Aplikácia môže byť schopná prečítať citlivé informácie o polohe

Opis: Pri manipulácii s lokalizačnou premennou existoval problém s povoleniami. To sa riešilo dodatočnými kontrolami vlastníctva.

CVE-2017-7148: anonymný výskumný pracovník, anonymný výskumný pracovník

Položka bola pridaná 25. septembra 2017

Koncepty e-mailov

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dopad: Útočník s privilegovaným postavením v sieti môže zachytiť obsah pošty

Opis: Pri spracovaní konceptov pošty sa vyskytol problém so šifrovaním. Tento problém bol vyriešený zlepšeným spracovaním návrhov pošty, ktoré sa mali posielať šifrované.

CVE-2017-7078: anonymný výskumný pracovník, anonymný výskumný pracovník, anonymný výskumný pracovník

Položka bola pridaná 25. septembra 2017

Mail MessageUI

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dopad: Spracovanie nesprávne vytvoreného obrázka môže viesť k odmietnutiu služby

Opis: Problém s poškodením pamäte bol vyriešený vylepšenou validáciou.

CVE-2017-7097: Xinshu Dong a Jun Hao Tan z Anquan Capital

správy

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dopad: Spracovanie nesprávne vytvoreného obrázka môže viesť k odmietnutiu služby

Opis: Problém odmietnutia služby bol vyriešený vylepšenou validáciou.

CVE-2017-7118: Kiki Jiang a Jason Tokoph

MobileBackup

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dôsledok: Zálohovanie môže vykonávať nešifrovanú zálohu napriek požiadavke vykonávať iba šifrované zálohy

Opis: Vyskytol sa problém s povoleniami. Tento problém bol vyriešený vylepšenou validáciou povolení.

CVE-2017-7133: Don Sparks of HackediOS.com

telefón

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dopad: Pri uzamknutí zariadenia iOS sa môže vytvoriť snímka zabezpečeného obsahu

Opis: Pri manipulácii so zamykaním existoval problém s časovaním. Tento problém bol vyriešený vypnutím snímok obrazovky počas uzamykania.

CVE-2017-7139: anonymný vedecký pracovník

Položka bola pridaná 25. septembra 2017

safari

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dopad: Návšteva škodlivého webu môže viesť k spoofingu v paneli s adresou

Opis: Problémom nekonzistentného používateľského rozhrania bol vyriešený vylepšený manažment stavu.

CVE-2017-7085: xisigr laboratória Xuanwu v spoločnosti Tencent (tencent.com)

zabezpečenia

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dopad: Zrušený certifikát môže byť dôveryhodný

Opis: Pri spracovaní údajov o zrušení existoval problém s overením osvedčenia. Tento problém sa riešil zlepšením validácie.

CVE-2017-7080: anonymný výskumný pracovník, anonymný výskumný pracovník, Sven Driemecker z adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) of Bærum kommune

Položka bola pridaná 25. septembra 2017

zabezpečenia

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dopad: Škodlivá aplikácia môže sledovať používateľov medzi inštaláciami

Popis: Pri spracovaní údajov aplikácie Keychain sa vyskytol problém s kontrolou povolení. Tento problém bol vyriešený vylepšenou kontrolou povolení.

CVE-2017-7146: anonymný vedecký pracovník

Položka bola pridaná 25. septembra 2017

SQLite

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dopad: Viac problémov v SQLite

Opis: Aktualizáciou na verziu 3.19.3 sa riešilo viacero problémov.

CVE-2017-10989: nájdené spoločnosťou OSS-Fuzz

CVE-2017-7128: nájdené spoločnosťou OSS-Fuzz

CVE-2017-7129: nájdené spoločnosťou OSS-Fuzz

CVE-2017-7130: nájdené spoločnosťou OSS-Fuzz

Položka bola pridaná 25. septembra 2017

SQLite

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dopad: Aplikácia môže byť schopná vykonať ľubovoľný kód so systémovými privilégiami

Opis: Problém s poškodením pamäte bol vyriešený vylepšeným spracovaním pamäte.

CVE-2017-7127: anonymný vedecký pracovník

Položka bola pridaná 25. septembra 2017

čas

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dopad: „Nastavenie časového pásma“ môže nesprávne naznačovať, že používa polohu

Opis: V procese, ktorý spracováva informácie o časovom pásme, sa vyskytol problém s povoleniami. Problém bol vyriešený úpravou povolení.

CVE-2017-7145: anonymný vedecký pracovník

Položka bola pridaná 25. septembra 2017

WebKit

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dopad: Spracovanie nesprávne vytvoreného webového obsahu môže viesť k ľubovoľnému vykonaniu kódu

Opis: Problém s poškodením pamäte bol vyriešený vylepšenou validáciou vstupu.

CVE-2017-7081: Apple

Položka bola pridaná 25. septembra 2017

WebKit

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dopad: Spracovanie nesprávne vytvoreného webového obsahu môže viesť k ľubovoľnému vykonaniu kódu

Opis: Vylepšené spracovanie pamäte sa riešilo viacerými problémami s poškodením pamäte.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan z bezpečnostného laboratória Baidu v spolupráci s iniciatívou nulového dňa spoločnosti Trend Micro

CVE-2017-7092: Samuel Gro a Niklas Baumstark pracujúci s iniciatívou Zero Day Initiative spoločnosti Trend Micro, Qixun Zhao (@ S0rryMybad) tímu Vulcan Qihoo 360

CVE-2017-7093: Samuel Gro a Niklas Baumstark spolupracujú s iniciatívou Zero Day Zero Day Initiative spoločnosti Trend Micro

CVE-2017-7094: Tim Michaud (@ TimGMichaud) zo skupiny Leviathan Security Group

CVE-2017-7095: Wang Junjie, Wei Lei a Liu Yang z Technologickej univerzity v Nanyangu v spolupráci s iniciatívou nulového dňa spoločnosti Trend Micro

CVE-2017-7096: Wei Yuan z Baidu Security Lab

CVE-2017-7098: Felipe Freitas z Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa a Mario Heiderich z Cure53

CVE-2017-7102: Wang Junjie, Wei Lei a Liu Yang z Technologickej univerzity Nanyang

CVE-2017-7104: podobnosť spoločnosti Baidu Secutity Lab

CVE-2017-7107: Wang Junjie, Wei Lei a Liu Yang z Technologickej univerzity v Nanyangu

CVE-2017-7111: Podobnosť spoločnosti Baidu Security Lab (xlab.baidu.com) pracujúca s iniciatívou Zero Day Zero Day Initiative

CVE-2017-7117: lokihardt programu Google Project Zero

CVE-2017-7120: chenqin (陈钦) Ant-financial Light-Year Security Lab

Položka bola pridaná 25. septembra 2017

WebKit

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dopad: Spracovanie nesprávne vytvoreného webového obsahu môže viesť k univerzálnemu skriptovaniu na viacerých stránkach

Opis: Pri manipulácii s nadradenou kartou existoval logický problém. Tento problém bol vyriešený zlepšením riadenia štátu.

CVE-2017-7089: Anton Lopanitsyn z ONSEC, Frans Rosén z Detectify

WebKit

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dôsledok: Cookies patriace jednému pôvodu môžu byť zasielané inému pôvodu

Opis: Pri spracovaní súborov cookie webového prehľadávača sa vyskytol problém s povoleniami. Tento problém bol vyriešený tým, že sa už nevracajú súbory cookie pre vlastné schémy adries URL.

CVE-2017-7090: Apple

Položka bola pridaná 25. septembra 2017

WebKit

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dopad: Návšteva škodlivého webu môže viesť k spoofingu v paneli s adresou

Opis: Problémom nekonzistentného používateľského rozhrania bol vyriešený vylepšený manažment stavu.

CVE-2017-7106: Oliver Paukstadt z Thinking Objects GmbH (to.com)

WebKit

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dôsledok: Spracovanie nesprávne vytvoreného webového obsahu môže viesť k útoku na skriptovanie na viacerých stránkach

Opis: Pravidlá aplikácie Cache sa môžu neočakávane uplatniť.

CVE-2017-7109: avlidienbrunn

Položka bola pridaná 25. septembra 2017

WebKit

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dopad: Škodlivý web môže sledovať používateľov v režime súkromného prehliadania Safari

Opis: Pri spracovaní súborov cookie webového prehľadávača sa vyskytol problém s povoleniami. Tento problém bol vyriešený so zlepšenými obmedzeniami.

CVE-2017-7144: anonymný vedecký pracovník

Položka bola pridaná 25. septembra 2017

Wi-Fi

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dopad: Útočník v dosahu môže byť schopný vykonať ľubovoľný kód na čipe Wi-Fi

Opis: Problém s poškodením pamäte bol vyriešený vylepšeným spracovaním pamäte.

CVE-2017-11120: Gal Beniamini programu Google Project Zero

CVE-2017-11121: Gal Beniamini programu Google Project Zero

Položka bola pridaná 25. septembra 2017

Wi-Fi

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dôsledok: Škodlivý kód vykonávajúci čip Wi-Fi môže byť schopný vykonať ľubovoľný kód s oprávneniami jadra na procesor procesora.

Opis: Problém s poškodením pamäte bol vyriešený vylepšeným spracovaním pamäte.

CVE-2017-7103: Gal Beniamini programu Google Project Zero

CVE-2017-7105: Gal Beniamini programu Google Project Zero

CVE-2017-7108: Gal Beniamini programu Google Project Zero

CVE-2017-7110: Gal Beniamini z Projektu Google Nula

CVE-2017-7112: Gal Beniamini z Projektu Google Nula

Wi-Fi

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dôsledok: Škodlivý kód vykonávajúci čip Wi-Fi môže byť schopný vykonať ľubovoľný kód s oprávneniami jadra na procesor procesora.

Opis: Viacnásobné rasové podmienky sa riešili zlepšenou validáciou.

CVE-2017-7115: Gal Beniamini programu Google Project Zero

Wi-Fi

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dopad: Škodlivý kód vykonávajúci čip Wi-Fi môže čítať obmedzenú pamäť jadra

Opis: Problém validácie bol vyriešený zlepšenou dezinfekciou vstupu.

CVE-2017-7116: Gal Beniamini programu Google Project Zero

zlib

K dispozícii pre: iPhone 5 a novší, iPad Air a novší a iPod touch 6. generácie

Dopad: Viac problémov v zlibe

Opis: Aktualizáciou na verziu 1.2.11 sa vyriešilo viacero problémov.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

zdroj