Випущено Apple iOS 11.0.1 і вам слід оновити зараз

Bluetooth

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Програма може мати доступ до файлів з обмеженим доступом

Опис: Проблема конфіденційності існувала при обробці контактних карток. Це було вирішено з покращенням державного управління.

CVE-2017-7131: анонімний дослідник, Елвіс (@elvisimprsntr), Домінік Конрад з Федерального бюро з інформаційної безпеки, анонімний дослідник

Запис додано 25 вересня 2017 року

Проксі-сервери CFNetwork

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Зловмисник у привілейованій мережевій позиції може спричинити відмову в службі

Опис: Багаторазові відмови в обслуговуванні були вирішені шляхом поліпшення роботи з пам'яттю.

CVE-2017-7083: Abhinav Bansal від Zscaler Inc.

Запис додано 25 вересня 2017 року

CoreAudio

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Програма може читати пам'ять з обмеженим доступом

Опис: Прочитане поза межами межі було вирішено шляхом оновлення до версії 1.1.4.

CVE-2017-0381: V.E.O (@VYSEa) Мобільної дослідницької групи погроз, Trend Micro

Запис додано 25 вересня 2017 року

Обмін ActiveSync

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Зловмисник у привілейованому положенні мережі може мати змогу стерти пристрій під час налаштування облікового запису Exchange

Опис: Проблема перевірки існувала в AutoDiscover V1. Це було вирішено, вимагаючи TLS для AutoDiscover V1. Автовідкриття V2 тепер підтримується.

CVE-2017-7088: Ілля Нестеров, Максим Гончаров

Хеймдал

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Зловмисник у привілейованій мережевій позиції може виявити себе за послугу

Опис: Проблема перевірки існувала при обробці імені служби KDC-REP. Це питання було вирішено шляхом покращення перевірки.

CVE-2017-11103: Джеффрі Альтман, Віктор Духовни та Ніко Вільямс

Запис додано 25 вересня 2017 року

iBooks

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Розбір шкідливо створеного файлу iBooks може призвести до постійного відмови в обслуговуванні

Опис: Багаторазові відмови в обслуговуванні були вирішені шляхом поліпшення роботи з пам'яттю.

CVE-2017-7072: Jędrzej Krysztofiak

Ядро

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Програма може мати змогу виконувати довільний код з правами ядра

Опис: Проблема з пошкодженням пам’яті була вирішена з покращенням оперативної пам’яті.

CVE-2017-7114: Алекс Пласкетт з MWR InfoSecurity

Запис додано 25 вересня 2017 року

Пропозиції з клавіатури

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Пропозиції щодо автоматичного виправлення клавіатури можуть виявити конфіденційну інформацію

Опис: Клавіатура iOS ненавмисно кешувала конфіденційну інформацію. Це питання вирішувалося з покращеною евристикою.

CVE-2017-7140: анонімний дослідник

Запис додано 25 вересня 2017 року

libc

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Віддалений зловмисник може призвести до відмови у наданні послуги

Опис: Проблема вичерпання ресурсів у глобальній () була вирішена за допомогою вдосконаленого алгоритму.

CVE-2017-7086: Russ Cox з Google

Запис додано 25 вересня 2017 року

libc

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Програма може призвести до відмови в наданні послуги

Опис: Проблема споживання пам’яті була вирішена завдяки покращенню роботи з пам’яттю.

CVE-2017-1000373

Запис додано 25 вересня 2017 року

libexpat

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Кілька питань в еміграції

Опис: Кілька питань були вирішені шляхом оновлення до версії 2.2.1

CVE-2016-9063

CVE-2017-9233

Запис додано 25 вересня 2017 року

Рамка розташування

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Програма може прочитати конфіденційну інформацію про місцеположення

Опис: Проблема дозволів існувала при обробці змінної місцеположення. На це вирішили додаткові перевірки власності.

CVE-2017-7148: анонімний дослідник, анонімний дослідник

Запис додано 25 вересня 2017 року

Чернетки пошти

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Зловмисник з привілейованою мережевою позицією може перехопити вміст пошти

Опис: Проблема шифрування існувала під час обробки чернетки пошти. Цю проблему вирішили з покращенням роботи з чернетками пошти, які мали бути надіслані зашифрованими.

CVE-2017-7078: анонімний дослідник, анонімний дослідник, анонімний дослідник

Запис додано 25 вересня 2017 року

ПовідомленняUI

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Обробка шкідливо створеного зображення може призвести до відмови в наданні послуги

Опис: Проблема з пошкодженням пам'яті була вирішена з покращеною валідацією.

CVE-2017-7097: Сіньшу Донг та Джун Хао Тан з столиці Анкіану

Повідомлення

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Обробка шкідливо створеного зображення може призвести до відмови в наданні послуги

Опис: Проблему відмови у наданні послуг було вирішено шляхом покращення перевірки.

CVE-2017-7118: Кікі Цзян та Джейсон Токоф

MobileBackup

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Резервне копіювання може виконувати незашифровані резервні копії, незважаючи на вимогу виконувати тільки зашифровані резервні копії

Опис: Існувала проблема дозволів. Цю проблему було вирішено з покращеним підтвердженням дозволу.

CVE-2017-7133: Дон Іскри з HackediOS.com

Телефон

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: під час блокування пристрою iOS може бути зроблений знімок екрана захищеного вмісту

Опис: Проблема з терміном існувала при обробці блокування. Цю проблему вирішили, вимкнувши скріншоти під час блокування.

CVE-2017-7139: анонімний дослідник

Запис додано 25 вересня 2017 року

Сафарі

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Відвідування шкідливого веб-сайту може призвести до підробку адресного рядка

Опис: Невзгоджена проблема користувальницького інтерфейсу була вирішена з покращеним управлінням державою.

CVE-2017-7085: xisigr Лабораторії Сюанву у Tencent (tencent.com)

Безпека

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Відкликаному сертифікату можна довіряти

Опис: Проблема перевірки сертифікату існувала при обробці даних про скасування. Це питання було вирішено шляхом покращення перевірки.

CVE-2017-7080: анонімний дослідник, анонімний дослідник, Sven Driemecker з мобільних рішень adesso gmbh, Rune Darrud (@theflyingcorpse) Bærum kommune

Запис додано 25 вересня 2017 року

Безпека

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: шкідливий додаток може відстежувати користувачів між установками

Опис: Проблема перевірки дозволів існувала при обробці даних брелока програми. Цю проблему було вирішено за допомогою покращеної перевірки дозволів.

CVE-2017-7146: анонімний дослідник

Запис додано 25 вересня 2017 року

SQLite

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Кілька проблем у SQLite

Опис: Кілька питань були вирішені шляхом оновлення до версії 3.19.3.

CVE-2017-10989: знайдено OSS-Fuzz

CVE-2017-7128: знайдено OSS-Fuzz

CVE-2017-7129: знайдено OSS-Fuzz

CVE-2017-7130: знайдено OSS-Fuzz

Запис додано 25 вересня 2017 року

SQLite

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Програма може мати можливість виконувати довільний код із системними привілеями

Опис: Проблема з пошкодженням пам’яті була вирішена з покращенням оперативної пам’яті.

CVE-2017-7127: анонімний дослідник

Запис додано 25 вересня 2017 року

Час

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: "Встановлення часової зони" може неправильно вказати, що він використовує місцезнаходження

Опис: Проблема дозволів існувала в процесі, який обробляє інформацію про часовий пояс. Проблему було вирішено шляхом зміни дозволів.

CVE-2017-7145: анонімний дослідник

Запис додано 25 вересня 2017 року

WebKit

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Обробка шкідливо створеного веб-вмісту може призвести до довільного виконання коду

Опис: Проблема з пошкодженням пам’яті була вирішена шляхом покращення перевірки вводу.

CVE-2017-7081: Apple

Запис додано 25 вересня 2017 року

WebKit

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Обробка шкідливо створеного веб-вмісту може призвести до довільного виконання коду

Опис: Кілька проблем із пошкодженням пам’яті були вирішені з покращенням оперативної пам'яті.

CVE-2017-7087: Apple

CVE-2017-7091: Вей Юань із лабораторії безпеки Baidu, що працює з ініціативою Zero Day Trend Micro

CVE-2017-7092: Семюел Гро та Ніклас Баумстарк працюють з ініціативою Zero Day Trend Micro, Qixun Zhao (@ S0rryMybad) з Qihoo 360 Vulcan Team

CVE-2017-7093: Семюел Гро та Ніклас Баумстарк працюють з ініціативою Zero Day Trend Micro

CVE-2017-7094: Тім Мішо (@TimGMichaud) з групи безпеки Leviathan

CVE-2017-7095: Ван Джунджі, Вей Лей та Лю Ян з Наньянського технологічного університету, що працюють з ініціативою Zero Day Trend Micro

CVE-2017-7096: Вей Юань із лабораторії безпеки Baidu

CVE-2017-7098: Феліпе Фрейтас Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Масато Кінугава та Маріо Хайдерих із Cure53

CVE-2017-7102: Ван Джунджі, Вей Лей та Лю Ян з Наньянського технологічного університету

CVE-2017-7104: лікемінг лабораторії Baidu Secutity

CVE-2017-7107: Ван Джунджі, Вей Лей та Лю Ян з Наньянського технологічного університету

CVE-2017-7111: ліцензія Baidu Security Lab (xlab.baidu.com), яка працює з ініціативою Zero Day Trend Micro

CVE-2017-7117: lokihardt від Google Project Zero

CVE-2017-7120: chenqin (陈钦) лабораторії захисту фінансового періоду на світ

Запис додано 25 вересня 2017 року

WebKit

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Обробка шкідливим чином створеного веб-вмісту може призвести до універсального сценарію веб-сайтів

Опис: Логічна проблема існувала при обробці батьківської вкладки. Це питання вирішувалось із покращеним управлінням державою.

CVE-2017-7089: Антон Лопаницин з ONSEC, Франс Росен з Detectify

WebKit

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Файли cookie, що належать до одного походження, можуть бути надіслані іншому

Опис: Проблема дозволів існувала під час обробки файлів cookie веб-браузера. Цю проблему було вирішено тим, що більше не повертаються файли cookie для користувацьких схем URL-адрес.

CVE-2017-7090: Apple

Запис додано 25 вересня 2017 року

WebKit

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Відвідування шкідливого веб-сайту може призвести до підробку адресного рядка

Опис: Невзгоджена проблема користувальницького інтерфейсу була вирішена з покращеним управлінням державою.

CVE-2017-7106: Олівер Паукштадт з об'єктів мислення (to.com)

WebKit

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Обробка шкідливим чином створеного веб-вмісту може призвести до міжсайтової атаки сценаріїв

Опис: Політика кешування програм може бути несподівано застосована.

CVE-2017-7109: avlidienbrunn

Запис додано 25 вересня 2017 року

WebKit

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Зловмисний веб-сайт може відслідковувати користувачів у режимі приватного перегляду Safari

Опис: Проблема дозволів існувала під час обробки файлів cookie веб-браузера. Це питання було вирішено з покращеними обмеженнями.

CVE-2017-7144: анонімний дослідник

Запис додано 25 вересня 2017 року

Wi-Fi

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Зловмисник, що знаходиться в зоні дії, може мати можливість виконувати довільний код на чіпі Wi-Fi

Опис: Проблема з пошкодженням пам’яті була вирішена з покращенням оперативної пам’яті.

CVE-2017-11120: Гал Беніаміні з Google Project Zero

CVE-2017-11121: Гал Беніаміні з Google Project Zero

Запис додано 25 вересня 2017 року

Wi-Fi

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Зловмисний код, виконаний на чіпі Wi-Fi, може мати змогу виконувати довільний код з привілеями ядра на процесорі програми

Опис: Проблема з пошкодженням пам’яті була вирішена з покращенням оперативної пам’яті.

CVE-2017-7103: Gal Beniamini з Google Project Zero

CVE-2017-7105: Gal Beniamini з Google Project Zero

CVE-2017-7108: Gal Beniamini з Google Project Zero

CVE-2017-7110: Gal Beniamini з Google Project Zero

CVE-2017-7112: Гал Беніаміні з Google Project Zero

Wi-Fi

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Зловмисний код, виконаний на чіпі Wi-Fi, може мати змогу виконувати довільний код з привілеями ядра на процесорі програми

Опис: Умови багаторазової гонки були вирішені шляхом покращення перевірки.

CVE-2017-7115: Гал Беніаміні з Google Project Zero

Wi-Fi

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Зловмисний код, виконаний на чіпі Wi-Fi, може прочитати пам'ять ядра з обмеженим доступом

Опис: Проблема перевірки була вирішена з покращенням санітарії вхідних даних.

CVE-2017-7116: Гал Беніаміні з Google Project Zero

зліб

Доступно для: iPhone 5s та новіших версій, iPad Air та новіших версій та iPod touch шостого покоління

Вплив: Кілька питань у zlib

Опис: Кілька питань були вирішені шляхом оновлення до версії 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Джерело