Apple iOS 11.0.1 je izdan in zdaj bi ga morali nadgraditi

Bluetooth

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Aplikacija morda lahko dostopa do datotek z omejenimi možnostmi

Opis: Pri ravnanju s kontaktnimi karticami je obstajala težava z zasebnostjo. To so rešili z izboljšanim upravljanjem države.

CVE-2017-7131: anonimni raziskovalec, Elvis (@elvisimprsntr), Dominik Conrads iz Zveznega urada za varnost informacij, anonimni raziskovalec

Vpis je dodan 25. septembra 2017

Proxyji CFNetwork

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Napadalec na privilegiranem položaju omrežja lahko povzroči zavrnitev storitve

Opis: Več težav z zavrnitvijo storitev je bilo rešenih z izboljšanim ravnanjem s pomnilnikom.

CVE-2017-7083: Abhinav Bansal podjetja Zscaler Inc.

Vpis je dodan 25. septembra 2017

CoreAudio

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Aplikacija lahko bere pomnilnik z omejenim pomikom

Opis: Branje zunaj meja je bilo naslovljeno s posodobitvijo na različico Opus 1.1.4.

CVE-2017-0381: V.E.O (@VYSEa) raziskovalne skupine za mobilne grožnje, Trend Micro

Vpis je dodan 25. septembra 2017

Exchange ActiveSync

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Napadalec na privilegiranem omrežnem položaju bo morda znal izbrisati napravo med namestitvijo računa Exchange

Opis: V programu AutoDiscover V1 je obstajala težava s potrjevanjem. To smo odpravili tako, da smo za samodejno odkrivanje V1 zahtevali TLS. Samodejno odkrivanje V2 je zdaj podprto.

CVE-2017-7088: Ilya Nesterov, Maxim Goncharov

Heimdal

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Napadalec na privilegiranem omrežnem položaju bo morda lažno predstavil storitev

Opis: V obravnavi imena storitve KDC-REP je obstajala težava s potrjevanjem. To vprašanje smo rešili z izboljšano validacijo.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni in Nico Williams

Vpis je dodan 25. septembra 2017

iBooks

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Razčlenjevanje zlonamerno izdelane datoteke iBooks lahko privede do trajne zavrnitve storitve

Opis: Več težav z zavrnitvijo storitev je bilo rešenih z izboljšanim ravnanjem s pomnilnikom.

CVE-2017-7072: Jędrzej Krysztofiak

Jedro

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Aplikacija morda lahko izvrši poljubno kodo s privilegiji jedra

Opis: Z izboljšano obdelavo pomnilnika so odpravili težavo s korupcijo pomnilnika.

CVE-2017-7114: Alex Plaskett iz MWR InfoSecurity

Vpis je dodan 25. septembra 2017

Predlogi za tipkovnico

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Samodejni pravilni predlogi tipkovnice lahko razkrijejo občutljive podatke

Opis: Tipkovnica iOS je nenamerno predpomnila občutljive informacije. To vprašanje je bilo obravnavano z izboljšano hevristiko.

CVE-2017-7140: anonimni raziskovalec

Vpis je dodan 25. septembra 2017

libc

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Oddaljeni napadalec lahko povzroči zavrnitev storitve

Opis: Vprašanje izčrpanosti virov v glob () se je rešilo z izboljšanim algoritmom.

CVE-2017-7086: Google Russ Cox

Vpis je dodan 25. septembra 2017

libc

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Aplikacija lahko povzroči zavrnitev storitve

Opis: Vprašanje porabe pomnilnika je bilo odpravljeno z izboljšanim ravnanjem s pomnilnikom.

CVE-2017-1000373

Vpis je dodan 25. septembra 2017

libexpat

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Več vprašanj v emigratu

Opis: Z posodobitvijo na različico 2.2.1 smo rešili več vprašanj

CVE-2016-9063

CVE-2017-9233

Vpis je dodan 25. septembra 2017

Location Framework

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Aplikacija lahko bere občutljive informacije o lokaciji

Opis: Obstajala je težava z dovoljenji pri ravnanju s spremenljivko lokacije. To so rešili z dodatnimi preverjanji lastništva.

CVE-2017-7148: anonimni raziskovalec, anonimni raziskovalec

Vpis je dodan 25. septembra 2017

Osnutki po pošti

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Napadalec s privilegiranim položajem v omrežju bo morda prestregel vsebino pošte

Opis: Pri obravnavi osnutkov pošte je obstajala težava s šifriranjem. To vprašanje je bilo obravnavano z boljšim ravnanjem s prepisi osnutkov pošte, ki naj bi bili poslani šifrirano.

CVE-2017-7078: anonimni raziskovalec, anonimni raziskovalec, anonimni raziskovalec

Vpis je dodan 25. septembra 2017

Poštno sporočiloUI

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Obdelava zlonamerno izdelane slike lahko privede do zavrnitve storitve

Opis: Vprašanje korupcijskega spomina je bilo obravnavano z izboljšano veljavnostjo.

CVE-2017-7097: Xinshu Dong in Jun Hao Tan iz prestolnice Anquan

Sporočila

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Obdelava zlonamerno izdelane slike lahko privede do zavrnitve storitve

Opis: Vprašanje zavrnitve storitve je bilo odpravljeno z izboljšano validacijo.

CVE-2017-7118: Kiki Jiang in Jason Tokoph

MobileBackup

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Varnostno kopiranje lahko izvede šifrirano varnostno kopijo kljub zahtevi, da izvede samo šifrirane varnostne kopije

Opis: Obstajala je izdaja dovoljenj. To težavo smo rešili z izboljšano potrditvijo dovoljenja.

CVE-2017-7133: Don Isarks of HackediOS.com

Telefon

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Ko zaklenete napravo iOS, lahko posnamete posnetek zaslona z varno vsebino

Opis: Pri ravnanju z zaklepanjem je obstajala težava s časom. To težavo so rešili tako, da so med zaklepanjem onemogočili posnetke zaslona.

CVE-2017-7139: anonimni raziskovalec

Vpis je dodan 25. septembra 2017

Safari

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Obisk zlonamernega spletnega mesta lahko privede do ponarejanja naslovne vrstice

Opis: Neskladna težava z uporabniškim vmesnikom je bila odpravljena z izboljšanim upravljanjem države.

CVE-2017-7085: xisigr iz Tencentovega laboratorija Xuanwu (tencent.com)

Varnost

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: preklicanemu certifikatu je mogoče zaupati

Opis: Pri obdelavi podatkov o preklicu je obstajala težava s potrjevanjem potrdila. To vprašanje smo rešili z izboljšano validacijo.

CVE-2017-7080: anonimni raziskovalec, anonimni raziskovalec, Sven Driemecker iz mobilnih rešitev adesso gmbh, Rune Darrud (@theflyingcorpse) podjetja Bærum kommune

Vpis je dodan 25. septembra 2017

Varnost

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: zlonamerna aplikacija bo morda lahko zasledila uporabnike med namestitvami

Opis: Pri obdelavi podatkov Keychain aplikacije je obstajala težava s preverjanjem dovoljenja. To težavo smo rešili z izboljšanim preverjanjem dovoljenj.

CVE-2017-7146: anonimni raziskovalec

Vpis je dodan 25. septembra 2017

SQLite

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Več težav v SQLite

Opis: Z posodobitvijo na različico 3.19.3 je bilo rešenih več vprašanj.

CVE-2017-10989: našel OSS-Fuzz

CVE-2017-7128: našel OSS-Fuzz

CVE-2017-7129: našel OSS-Fuzz

CVE-2017-7130: našel OSS-Fuzz

Vpis je dodan 25. septembra 2017

SQLite

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Aplikacija morda lahko izvrši poljubno kodo s sistemskimi privilegiji

Opis: Z izboljšano obdelavo pomnilnika so odpravili težavo s korupcijo pomnilnika.

CVE-2017-7127: anonimni raziskovalec

Vpis je dodan 25. septembra 2017

Čas

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: »Nastavitev časovne cone« lahko napačno kaže, da uporablja lokacijo

Opis: V postopku, ki obravnava informacije o časovnem pasu, je obstajala izdaja dovoljenj. Težavo smo odpravili s spreminjanjem dovoljenj.

CVE-2017-7145: anonimni raziskovalec

Vpis je dodan 25. septembra 2017

WebKit

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Obdelava zlonamerno izdelane spletne vsebine lahko privede do samovoljnega izvrševanja kode

Opis: Vprašanje korupcije pomnilnika je bilo odpravljeno z izboljšanim preverjanjem vnosa.

CVE-2017-7081: Apple

Vpis je dodan 25. septembra 2017

WebKit

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Obdelava zlonamerno izdelane spletne vsebine lahko privede do samovoljnega izvrševanja kode

Opis: Več težav s korupcijo pomnilnika je bilo rešenih z izboljšanim delovanjem pomnilnika.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan iz varnostnega laboratorija Baidu, ki sodeluje s pobudo Zero Day Trend Micro

CVE-2017-7092: Samuel Gro in Niklas Baumstark sodelujeta z Zero Day Initiative Trend Micro, Qixun Zhao (@ S0rryMybad) iz Qihoo 360 Vulcan Team

CVE-2017-7093: Samuel Gro in Niklas Baumstark sodelujeta z Zero Day Initiative Trend Micro

CVE-2017-7094: Tim Michaud (@TimGMichaud) iz Leviathan Security Group

CVE-2017-7095: Wang Junjie, Wei Lei in Liu Yang iz tehnološke univerze Nanyang, ki sodelujejo s pobudo Zero Day Trend Micro

CVE-2017-7096: Wei Yuan iz varnostnega laboratorija Baidu

CVE-2017-7098: Felipe Freitas z Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa in Mario Heiderich iz Cure53

CVE-2017-7102: Wang Junjie, Wei Lei in Liu Yang z tehnološke univerze Nanyang

CVE-2017-7104: likemeng Baidu Secutity Lab

CVE-2017-7107: Wang Junjie, Wei Lei in Liu Yang z tehnološke univerze Nanyang

CVE-2017-7111: Likemeng Baidu Security Lab (xlab.baidu.com), ki sodeluje z Zero Day Initiative Trend Micro

CVE-2017-7117: lokihardt Googlovega projekta Zero

CVE-2017-7120: chenqin (陈钦) varnostnega laboratorija pred finančnimi sredstvi

Vpis je dodan 25. septembra 2017

WebKit

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Obdelava zlonamerno izdelane spletne vsebine lahko privede do univerzalnega skriptnega skripta

Opis: Pri ravnanju z nadrejenim jezičkom je obstajala logična težava. To vprašanje je bilo obravnavano z izboljšanim upravljanjem države.

CVE-2017-7089: Anton Lopanitsyn z ONSEC, Frans Rosén iz Detectify

WebKit

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Piškotki enega izvora lahko pošljejo drugemu izvoru

Opis: Pri ravnanju s piškotki spletnega brskalnika je obstajala težava z dovoljenji. To težavo so rešili tako, da se piškotki ne vračajo več za sheme URL po meri.

CVE-2017-7090: Apple

Vpis je dodan 25. septembra 2017

WebKit

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Obisk zlonamernega spletnega mesta lahko privede do ponarejanja naslovne vrstice

Opis: Neskladna težava z uporabniškim vmesnikom je bila odpravljena z izboljšanim upravljanjem države.

CVE-2017-7106: Oliver Paukstadt podjetja Thinking Objects GmbH (to.com)

WebKit

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Obdelava zlonamerno izdelane spletne vsebine lahko povzroči napad skriptnih skript

Opis: Politika predpomnilnika aplikacij je morda nepričakovano uporabljena.

CVE-2017-7109: avlidienbrunn

Vpis je dodan 25. septembra 2017

WebKit

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Zlonamerno spletno mesto bo morda lahko spremljalo uporabnike v načinu zasebnega brskanja Safari

Opis: Pri ravnanju s piškotki spletnega brskalnika je obstajala težava z dovoljenji. To vprašanje je bilo obravnavano z izboljšanimi omejitvami.

CVE-2017-7144: anonimni raziskovalec

Vpis je dodan 25. septembra 2017

Wifi

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Napadalec v dosegu morda lahko izvrši poljubno kodo na čipu Wi-Fi

Opis: Z izboljšano obdelavo pomnilnika so odpravili težavo s korupcijo pomnilnika.

CVE-2017-11120: Gal Beniamini iz Google Project Zero

CVE-2017-11121: Gal Beniamini iz Google Project Zero

Vpis je dodan 25. septembra 2017

Wifi

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Zlonamerna koda, ki se izvaja na čipu Wi-Fi, bo morda izvajala poljubno kodo s privilegiji jedra na aplikacijskem procesorju

Opis: Z izboljšano obdelavo pomnilnika so odpravili težavo s korupcijo pomnilnika.

CVE-2017-7103: Gal Beniamini iz Google Project Zero

CVE-2017-7105: Gal Beniamini iz Google Project Zero

CVE-2017-7108: Gal Beniamini iz Google Project Zero

CVE-2017-7110: Gal Beniamini iz Google Project Zero

CVE-2017-7112: Gal Beniamini iz Google Project Zero

Wifi

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Zlonamerna koda, ki se izvaja na čipu Wi-Fi, bo morda izvajala poljubno kodo s privilegiji jedra na aplikacijskem procesorju

Opis: Pogoji za več dirk so bili obravnavani z izboljšano validacijo.

CVE-2017-7115: Gal Beniamini iz Google Project Zero

Wifi

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Zlonamerna koda, ki se izvaja na čipu Wi-Fi, bo morda prebrala pomnilnik jedra z omejenim dostopom

Opis: Vprašanje validacije je bilo obravnavano z izboljšano sanitarno zaščito.

CVE-2017-7116: Gal Beniamini iz Google Project Zero

zlib

Na voljo za: iPhone 5s in novejše, iPad Air in novejše ter iPod touch 6. generacije

Vpliv: Več težav v zlibu

Opis: Z posodobitvijo na različico 1.2.11 smo rešili več vprašanj.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Vir