Apple iOS 11.0.1 on välja antud ja peaksite nüüd uuemale versioonile üle minema

Bluetooth

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: rakendus võib pääseda juurde piiratud failidele

Kirjeldus: kontaktikaartide käsitlemisel esines privaatsusprobleeme. Seda käsitleti parema riikliku juhtimisega.

CVE-2017-7131: anonüümne teadur, Elvis (@elvisimprsntr), föderaalse infoturbeameti esindaja Dominik Conrads, anonüümne teadur

Sissekanne lisatud 25. septembril 2017

CFNetwork puhverserverid

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: privilegeeritud võrguasendis asuv ründaja võib põhjustada teenuse keelamise

Kirjeldus: parandatud mälukäsitluse abil lahendati mitu teenuse keelamise küsimust.

CVE-2017-7083: Abhinav Bansal, Zscaler Inc.

Sissekanne lisatud 25. septembril 2017

CoreAudio

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: rakendus võib olla võimeline lugema piiratud mälu

Kirjeldus: loetud piiride välistamiseks värskendati Opus versiooni 1.1.4.

CVE-2017-0381: Trend Micro mobiilse ohu uurimise meeskonna V.E.O (@VYSEa) esindaja

Sissekanne lisatud 25. septembril 2017

Exchange ActiveSync

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: privilegeeritud võrguasendis olev ründaja võib Exchange'i konto seadistamise ajal seadme kustutada

Kirjeldus: AutoDiscover V1-s oli valideerimise probleem. Selle lahendamiseks nõuti AutoDiscover V1 jaoks TLS-i. AutoDiscover V2 on nüüd toetatud.

CVE-2017-7088: Ilja Nesterov, Maxim Goncharov

Heimdal

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: privilegeeritud võrguasendis asuv ründaja võib olla võimeline teenust imiteerima

Kirjeldus: teenuse KDC-REP teenuse nime käsitlemisel oli valideerimise probleem. Seda küsimust käsitleti täiustatud valideerimise kaudu.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni ja Nico Williams

Sissekanne lisatud 25. septembril 2017

iBooks

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: pahatahtlikult koostatud iBooksi faili parsimine võib põhjustada püsivat teenuse keelamist

Kirjeldus: parandatud mälukäsitluse abil lahendati mitu teenuse keelamise küsimust.

CVE-2017-7072: Jędrzej Krysztofiak

Kernel

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: rakendus võib olla võimeline suvalist koodi tuuma õigustega täitma

Kirjeldus: mälu riknemise probleemiga lahendati täiustatud mälukäsitsemine.

CVE-2017-7114: Alex Plaskett ettevõttest MWR InfoSecurity

Sissekanne lisatud 25. septembril 2017

Klaviatuuri soovitused

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: klaviatuuri automaatkorrektsed soovitused võivad avaldada tundlikku teavet

Kirjeldus: iOS-i klaviatuur salvestas tahtmatult tundlikku teavet. Seda küsimust käsitleti täiustatud heuristikaga.

CVE-2017-7140: anonüümne teadur

Sissekanne lisatud 25. septembril 2017

libc

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: kaugründaja võib põhjustada teenuse keelamise

Kirjeldus: ressursi ammendumise küsimust glo () käsitleti täiustatud algoritmi abil.

CVE-2017-7086: Russ Cox Google'ist

Sissekanne lisatud 25. septembril 2017

libc

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: rakendus võib põhjustada teenuse keelamise

Kirjeldus: mälu tarbimise probleem lahendati täiustatud mälukäsitsemise kaudu.

CVE-2017-1000373

Sissekanne lisatud 25. septembril 2017

libexpat

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: emigrandis on mitu küsimust

Kirjeldus: värskendades versioonile 2.2.1, lahendati mitu probleemi

CVE-2016-9063

CVE-2017-9233

Sissekanne lisatud 25. septembril 2017

Asukoharaamistik

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: rakendus võib olla võimeline tundlikku asukohateavet lugema

Kirjeldus: asukoha muutuja käitlemisel oli õigustega seotud probleem. Sellele vastati täiendavate omandikontrollidega.

CVE-2017-7148: anonüümne uurija, anonüümne uurija

Sissekanne lisatud 25. septembril 2017

Posti mustandid

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: privilegeeritud võrguasendiga ründaja võib olla võimeline posti sisu pealtkuulama

Kirjeldus: posti mustandite käsitlemisel oli krüptimisprobleem. Selle probleemiga tegeleti krüptituna saadetavate postisaadetiste parema käsitlemisega.

CVE-2017-7078: anonüümne teadlane, anonüümne uurija, anonüümne uurija

Sissekanne lisatud 25. septembril 2017

MeilisõnumUI

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: pahatahtlikult loodud pildi töötlemine võib põhjustada teenuse keelamise

Kirjeldus: parema valideerimisega lahendati mälu riknemise probleem.

CVE-2017-7097: Xinshu Dong ja Jun Hao Tan, Anquan Capital

Sõnumid

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: pahatahtlikult loodud pildi töötlemine võib põhjustada teenuse keelamise

Kirjeldus: teenuse keeldumisega seotud küsimust käsitleti täiustatud valideerimise kaudu.

CVE-2017-7118: Kiki Jiang ja Jason Tokoph

MobileBackup

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: varundamine võib teha krüpteerimata varukoopiaid hoolimata nõudest teha ainult krüptitud varukoopiaid

Kirjeldus: õigustega seotud probleem oli olemas. Selle probleemiga tegeleti täiustatud lubade valideerimisega.

CVE-2017-7133: Don Sparks saidilt HackediOS.com

Telefon

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: iOS-seadme lukustamisel võidakse teha turvalise sisu ekraanipilt

Kirjeldus: lukustuse käsitsemisel oli ajastuse küsimus. Selle probleemiga tegeleti lukustamise ajal ekraanipiltide keelamisega.

CVE-2017-7139: anonüümne uurija

Sissekanne lisatud 25. septembril 2017

Safari

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: pahatahtliku veebisaidi külastamine võib põhjustada aadressiriba võltsimist

Kirjeldus: parandatud olekuhaldusega lahendati ebajärjekindel kasutajaliidese probleem.

CVE-2017-7085: Tencenti Xuanwu Labi (tencent.com) xigr

Turvalisus

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: tühistatud sertifikaati võib usaldada

Kirjeldus: tühistamisandmete käsitlemisel oli sertifikaadi valideerimise probleem. Seda küsimust käsitleti täiustatud valideerimise kaudu.

CVE-2017-7080: anonüümne teadlane, anonüümne uurija, adesso mobiilsidelahenduste gmbh Sven Driemecker, Bærum kommune esindaja Rune Darrud (@theflyingcorpse)

Sissekanne lisatud 25. septembril 2017

Turvalisus

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: pahatahtlik rakendus võib olla võimeline jälgima kasutajaid installimiste vahel

Kirjeldus: rakenduse võtmehoidja andmete käsitlemisel ilmnes lubade kontrollimise probleem. Selle probleemiga tegeleti täiustatud lubade kontrollimisega.

CVE-2017-7146: anonüümne teadur

Sissekanne lisatud 25. septembril 2017

SQLite

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: mitu küsimust SQLites

Kirjeldus: versioonile 3.19.3 värskendades lahendati mitu probleemi.

CVE-2017-10989: leidis OSS-Fuzz

CVE-2017-7128: leidis OSS-Fuzz

CVE-2017-7129: leidis OSS-Fuzz

CVE-2017-7130: leidis OSS-Fuzz

Sissekanne lisatud 25. septembril 2017

SQLite

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: rakendus võib olla võimeline süsteemi õigustega suvalist koodi täitma

Kirjeldus: mälu riknemise probleemiga lahendati täiustatud mälukäsitsemine.

CVE-2017-7127: anonüümne teadur

Sissekanne lisatud 25. septembril 2017

Aeg

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: „Ajavööndi seadmine” võib valesti näidata, et see kasutab asukohta

Kirjeldus: ajavöönditeabe haldamise protsessis oli lubade probleem. Probleem lahendati lubade muutmisega.

CVE-2017-7145: anonüümne uurija

Sissekanne lisatud 25. septembril 2017

WebKit

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: pahatahtlikult loodud veebisisu töötlemine võib põhjustada meelevaldse koodi täitmise

Kirjeldus: mälu riknemise probleem lahendati sisendi parema valideerimise kaudu.

CVE-2017-7081: Apple

Sissekanne lisatud 25. septembril 2017

WebKit

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: pahatahtlikult loodud veebisisu töötlemine võib põhjustada meelevaldse koodi täitmise

Kirjeldus: täiustatud mälukäsitlusega lahendati mitu mälu rikkumisega seotud probleemi.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan Baidu turvalaborist, kes töötab koos Trend Micro algatusega Zero Day

CVE-2017-7092: Samuel Gro ja Niklas Baumstark, kes töötavad koos Trend Micro algatusega Zero Day Initiative, Qihoo 360 Vulcan Team Qixun Zhao (@ S0rryMybad)

CVE-2017-7093: Samuel Gro ja Niklas Baumstark teevad koostööd Trend Micro algatusel Zero Day

CVE-2017-7094: Tim Michaud (@TimGMichaud) Leviathani turvarühmast

CVE-2017-7095: Wang Junjie, Wei Lei ja Liu Yang Nanyangi tehnikaülikoolist, kes töötavad koos Trend Micro algatusega Zero Day

CVE-2017-7096: Wei Yuan, Baidu Security Lab

CVE-2017-7098: Instituto Tecnológico de Aeronáutica Felipe Freitas

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa ja Mario Heiderich ettevõttest Cure53

CVE-2017-7102: Wang Junjie, Wei Lei ja Liu Yang Nanyangi tehnikaülikoolist

CVE-2017-7104: Baidu Secutity Labi sarnane ettevõte

CVE-2017-7107: Wang Junjie, Wei Lei ja Liu Yang Nanyangi tehnikaülikoolist

CVE-2017-7111: Baidu Security Labi (xlab.baidu.com) likemeng, kes töötab koos Trend Micro algatusega Zero Day

CVE-2017-7117: Google Project Zero lokihardt

CVE-2017-7120: chenqin (陈钦) finantssektori heleda aasta turbelaborist

Sissekanne lisatud 25. septembril 2017

WebKit

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: pahatahtlikult formuleeritud veebisisu töötlemine võib põhjustada saidiülese skriptimise universaalse skripti

Kirjeldus: vanemate vahekaardi käsitlemisel oli loogikaprobleem. Seda küsimust käsitleti parema riikliku juhtimisega.

CVE-2017-7089: Anton Lopanitsyn ONSEC-ist, Frans Rosén detektiivist

WebKit

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: ühe päritoluga küpsised võidakse saata teise päritolu

Kirjeldus: veebibrauseri küpsiste käitlemisel oli õigustega seotud probleem. Selle probleemiga lahendati kohandatud URL-i skeemide küpsiste tagastamine.

CVE-2017-7090: Apple

Sissekanne lisatud 25. septembril 2017

WebKit

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: pahatahtliku veebisaidi külastamine võib põhjustada aadressiriba võltsimist

Kirjeldus: parandatud olekuhaldusega lahendati ebajärjekindel kasutajaliidese probleem.

CVE-2017-7106: Oliver Paukstadt of Thinking Objects GmbH (to.com)

WebKit

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: pahatahtlikult loodud veebisisu töötlemine võib põhjustada saidiülese skriptimisrünnaku

Kirjeldus: rakenduse vahemälu reegleid võidakse ootamatult rakendada.

CVE-2017-7109: avlidienbrunn

Sissekanne lisatud 25. septembril 2017

WebKit

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: pahatahtlik veebisait võib olla võimeline jälgima kasutajaid Safari privaatses sirvimisrežiimis

Kirjeldus: veebibrauseri küpsiste käitlemisel oli õigustega seotud probleem. Seda küsimust käsitleti täiustatud piirangutega.

CVE-2017-7144: anonüümne teadur

Sissekanne lisatud 25. septembril 2017

WiFi

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: leviulatuses olev ründaja võib olla võimeline WiFi-kiibil suvalist koodi täitma

Kirjeldus: mälu riknemise probleemiga lahendati täiustatud mälukäsitsemine.

CVE-2017-11120: Google'i projekti Zero Gal Beniamini

CVE-2017-11121: Google'i projekti Zero Gal Beniamini

Sissekanne lisatud 25. septembril 2017

WiFi

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: Wi-Fi-kiibil täidetav pahatahtlik kood võib olla võimeline rakenduse protsessoril suvalist koodi kerneliõigustega täitma

Kirjeldus: mälu riknemise probleemiga lahendati täiustatud mälukäsitsemine.

CVE-2017-7103: Google'i projekti Zero Gal Beniamini

CVE-2017-7105: Google'i projekti Zero Gal Beniamini

CVE-2017-7108: Google'i projekti Zero Gal Beniamini

CVE-2017-7110: Google'i projekti Zero Gal Beniamini

CVE-2017-7112: Google'i projekti Zero Gal Beniamini

WiFi

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: Wi-Fi-kiibil täidetav pahatahtlik kood võib olla võimeline rakenduse protsessoril suvalist koodi kerneliõigustega täitma

Kirjeldus: täiustatud valideerimise abil käsitleti mitut võistlustingimust.

CVE-2017-7115: Google'i projekti Zero Gal Beniamini

WiFi

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: Wi-Fi-kiibil töötav pahatahtlik kood võib olla võimeline lugema kerneli piiratud mälu

Kirjeldus: valideerimisprobleem lahendati täiustatud sisendpuhastuse abil.

CVE-2017-7116: Google'i projekti Zero Gal Beniamini

zlib

Saadaval: iPhone 5 ja uuematele versioonidele, iPad Airile ja uuematele ning 6. põlvkonna iPod touchile

Mõju: mitu probleemi zlibis

Kirjeldus: versioonile 1.2.11 värskendades lahendati mitu probleemi.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Allikas