Objavljen Apple iOS 11.0.1 i sada biste ga trebali nadograditi

Bluetooth

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Utjecaj: Aplikacija može pristupiti datotekama s ograničenjima

Opis: Pitanje privatnosti postojalo je pri rukovanju kontaktnim karticama. Ovo je riješeno poboljšanim upravljanjem državom.

CVE-2017-7131: anonimni istraživač, Elvis (@elvisimprsntr), Dominik Conrads iz Federalnog ureda za sigurnost informacija, anonimni istraživač

Upis je dodan 25. rujna 2017

CFNetwork proksi

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Učinak: Napadač na povlaštenom mrežnom položaju možda može izazvati uskraćivanje usluge

Opis: Višestruko uskraćivanje problema s uslugama riješeno je poboljšanim postupanjem s memorijom.

CVE-2017-7083: Abhinav Bansal iz tvrtke Zscaler Inc.

Upis je dodan 25. rujna 2017

CoreAudio

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Utjecaj: Aplikacija možda može čitati ograničenu memoriju

Opis: Čitanje izvan granica riješeno je nadogradnjom na Opus verziju 1.1.4.

CVE-2017-0381: V.E.O (@VYSEa) tima za istraživanje mobilnih prijetnji, Trend Micro

Upis je dodan 25. rujna 2017

Exchange ActiveSync

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Utjecaj: Napadač na povlaštenom mrežnom položaju možda će moći izbrisati uređaj tijekom postavljanja Exchange računa

Opis: Problem provjere valjanosti postojao je u programu AutoDiscover V1. Ovo je riješeno zahtjevom TLS-a za automatsko otkrivanje V1. Automatsko otkrivanje V2 sada je podržano.

CVE-2017-7088: Ilya Nesterov, Maxim Goncharov

heimdal

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Utjecaj: Napadač na povlaštenom mrežnom položaju možda će se moći lažno predstavljati

Opis: Došlo je do problema s potvrdom prilikom rukovanja imenom usluge KDC-REP. Ovo je pitanje riješeno poboljšanom validacijom.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni i Nico Williams

Upis je dodan 25. rujna 2017

iBooks

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Učinak: Analiza zlonamjerno izrađene iBooks datoteke može dovesti do trajnog odbijanja usluge

Opis: Višestruko uskraćivanje problema s uslugama riješeno je poboljšanim postupanjem s memorijom.

CVE-2017-7072: Jędrzej Krysztofiak

Zrno

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Učinak: Aplikacija možda može izvršiti proizvoljni kôd s povlasticama kernela

Opis: Riješen je problem oštećenja memorije poboljšanim postupkom s memorijom.

CVE-2017-7114: Alex Plaskett iz MWR InfoSecurity

Upis je dodan 25. rujna 2017

Prijedlozi na tipkovnici

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Utjecaj: Automatski ispravni prijedlozi na tipkovnici mogu otkriti osjetljive podatke

Opis: Tipkovnica za iOS nehotice je spremala osjetljive podatke. Ovo je pitanje riješeno poboljšanom heuristikom.

CVE-2017-7140: anonimni istraživač

Upis je dodan 25. rujna 2017

libc

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Utjecaj: Udaljeni napadač možda će moći izazvati odbijanje usluge

Opis: Pitanje iscrpljenosti resursa u glob () riješeno je kroz poboljšani algoritam.

CVE-2017-7086: Google Russ Cox

Upis je dodan 25. rujna 2017

libc

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Utjecaj: Aplikacija može izazvati uskraćivanje usluge

Opis: Problem s potrošnjom memorije riješen je poboljšanim postupkom s memorijom.

CVE-2017-1000373

Upis je dodan 25. rujna 2017

libexpat

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Učinak: Višestruki problemi u emigraciji

Opis: Ažuriranjem na verziju 2.2.1 riješena su više pitanja

CVE-2016-9063

CVE-2017-9233

Upis je dodan 25. rujna 2017

Location Framework

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Utjecaj: Aplikacija možda može čitati osjetljive podatke o lokaciji

Opis: U postupanju s varijabli lokacije postojalo je pitanje dozvola. Ovo je riješeno dodatnim provjerama vlasništva.

CVE-2017-7148: anonimni istraživač, anonimni istraživač

Upis je dodan 25. rujna 2017

Skice pošte

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Učinak: Napadač s povlaštenim mrežnim položajem možda će moći presresti sadržaj pošte

Opis: Pitanje šifriranja postojalo je za rukovanje nacrtima pošte. Ovaj je problem riješen poboljšanim postupkom s nacrtima pošte koji su trebali biti poslati šifrirani.

CVE-2017-7078: anonimni istraživač, anonimni istraživač, anonimni istraživač

Upis je dodan 25. rujna 2017

Poruka e-pošteUI

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Učinak: Obrada zlonamjerno izrađene slike može dovesti do uskraćivanja usluge

Opis: Pitanje korupcije pamćenja riješeno je s poboljšanom validacijom.

CVE-2017-7097: Xinshu Dong i Jun Hao Tan iz prijestolnice Anquan

poruke

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Učinak: Obrada zlonamjerno izrađene slike može dovesti do uskraćivanja usluge

Opis: Pitanje uskraćivanja usluge riješeno je poboljšanom validacijom.

CVE-2017-7118: Kiki Jiang i Jason Tokoph

MobileBackup

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Utjecaj: sigurnosna kopija može izvesti nešifriranu sigurnosnu kopiju unatoč zahtjevu za obavljanje samo šifriranih sigurnosnih kopija

Opis: Postojalo je izdavanje dozvola. Ovaj je problem riješen s poboljšanom validacijom odobrenja.

CVE-2017-7133: Don iskre od HackediOS.com

Telefon

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Učinak: Snimka zaslona sigurnog sadržaja može se napraviti kad zaključavate iOS uređaj

Opis: Pitanje vremenskih ograničenja postojalo je u postupanju s bravom. Ovaj je problem riješen onemogućavanjem zaslona prilikom zaključavanja.

CVE-2017-7139: anonimni istraživač

Upis je dodan 25. rujna 2017

Safari

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Utjecaj: Posjeta zlonamernoj web stranici može dovesti do podmetanja trake adrese

Opis: Riješeno je nedosljedno pitanje korisničkog sučelja s poboljšanim upravljanjem državom.

CVE-2017-7085: xisigr iz Tencentovog laboratorija Xuanwu (tencent.com)

sigurnosti

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Utjecaj: Oduženoj potvrdi može se vjerovati

Opis: U postupanju s podacima o opozivu postojalo je pitanje validacije certifikata. Ovo je pitanje riješeno poboljšanom validacijom.

CVE-2017-7080: anonimni istraživač, anonimni istraživač, Sven Driemecker iz adesso mobile rješenja gmbh, Rune Darrud (@theflyingcorpse) tvrtke Bærum kommune

Upis je dodan 25. rujna 2017

sigurnosti

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Utjecaj: zlonamjerna aplikacija možda će moći pratiti korisnike između instalacija

Opis: Problem s provjerom dozvola postojao je za rukovanje podacima Keychain aplikacije. Ovaj je problem riješen sa poboljšanom provjerom dozvola.

CVE-2017-7146: anonimni istraživač

Upis je dodan 25. rujna 2017

SQLite

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Utjecaj: Više problema u SQLiteu

Opis: Ažuriranjem na verziju 3.19.3 riješeno je više problema.

CVE-2017-10989: pronašao OSS-Fuzz

CVE-2017-7128: pronašao OSS-Fuzz

CVE-2017-7129: pronašao OSS-Fuzz

CVE-2017-7130: pronašao OSS-Fuzz

Upis je dodan 25. rujna 2017

SQLite

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Učinak: Aplikacija možda može izvršiti proizvoljni kôd s povlasticama sustava

Opis: Riješen je problem oštećenja memorije poboljšanim postupkom s memorijom.

CVE-2017-7127: anonimni istraživač

Upis je dodan 25. rujna 2017

Vrijeme

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Utjecaj: "Postavljanje vremenske zone" može pogrešno naznačiti da koristi lokaciju

Opis: Pitanje dozvola postojalo je u postupku koji obrađuje podatke o vremenskoj zoni. Problem je riješen izmjenom dozvola.

CVE-2017-7145: anonimni istraživač

Upis je dodan 25. rujna 2017

WebKit

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Utjecaj: Obrada zlonamjerno izrađenog web sadržaja može dovesti do proizvoljnog izvršavanja koda

Opis: Problemi s oštećenjem memorije riješeni su poboljšanom validacijom ulaza.

CVE-2017-7081: Apple

Upis je dodan 25. rujna 2017

WebKit

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Utjecaj: Obrada zlonamjerno izrađenog web sadržaja može dovesti do proizvoljnog izvršavanja koda

Opis: Višestruka pitanja oštećenja memorije riješena su poboljšanim postupanjem s memorijom.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan iz Baidu Security Lab-a koji radi s Inicijativom Zero Day Trend Micro-a

CVE-2017-7092: Samuel Gro i Niklas Baumstark surađuju s inicijativom Zero Day Trend Micro-a, Qixun Zhao (@ S0rryMybad) iz Qihoo 360 Vulcan Team-a

CVE-2017-7093: Samuel Gro i Niklas Baumstark rade s Inicijativom Zero Day Trend Micro-a

CVE-2017-7094: Tim Michaud (@TimGMichaud) iz Leviathan Security Group

CVE-2017-7095: Wang Junjie, Wei Lei i Liu Yang s tehnološkog sveučilišta Nanyang koji rade s Inicijativom Zero Day Trend Micro-a

CVE-2017-7096: Wei Yuan iz sigurnosnog laboratorija Baidu

CVE-2017-7098: Felipe Freitas s Instituta Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa i Mario Heiderich iz Cure53

CVE-2017-7102: Wang Junjie, Wei Lei i Liu Yang sa Tehnološkog sveučilišta Nanyang

CVE-2017-7104: likemeng Baidu Secutity Lab

CVE-2017-7107: Wang Junjie, Wei Lei i Liu Yang sa Tehnološkog sveučilišta Nanyang

CVE-2017-7111: Likemeng Baidu Security Lab (xlab.baidu.com) koji radi s Inicijativom Zero Day Trend Micro-a

CVE-2017-7117: lokihardt iz Google Projekta Zero

CVE-2017-7120: chenqin (陈钦) sigurnosnog laboratorija za financijsku svjetlost godine

Upis je dodan 25. rujna 2017

WebKit

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Utjecaj: Obrada zlonamjerno izrađenog web sadržaja može dovesti do univerzalnog skriptiranja na više stranica

Opis: U rukovanju roditeljskom karticom postojao je logički problem. Ovo je pitanje riješeno poboljšanim državnim upravljanjem.

CVE-2017-7089: Anton Lopanitsyn iz ONSEC-a, Frans Rosén iz Detectify

WebKit

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Utjecaj: Kolačići koji pripadaju jednom podrijetlu mogu se poslati drugom podrijetlu

Opis: Pitanje dozvola postojalo je za rukovanje kolačićima web preglednika. Taj je problem riješen tako što više ne vraća kolačiće za prilagođene sheme URL-ova.

CVE-2017-7090: Apple

Upis je dodan 25. rujna 2017

WebKit

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Utjecaj: Posjeta zlonamernoj web stranici može dovesti do podmetanja trake adrese

Opis: Riješeno je nedosljedno pitanje korisničkog sučelja s poboljšanim upravljanjem državom.

CVE-2017-7106: Oliver Paukstadt od Thinking Objects GmbH (to.com)

WebKit

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Utjecaj: Obrada zlonamjerno izrađenog web sadržaja može dovesti do napada skriptiranja križnog mjesta

Opis: Pravila predmemorije aplikacije mogu se neočekivano primijeniti.

CVE-2017-7109: avlidienbrunn

Upis je dodan 25. rujna 2017

WebKit

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Utjecaj: Zlonamjerna web stranica može pratiti korisnike u načinu privatnog pregledavanja Safari

Opis: Pitanje dozvola postojalo je za rukovanje kolačićima web preglednika. Ovo je pitanje riješeno poboljšanim ograničenjima.

CVE-2017-7144: anonimni istraživač

Upis je dodan 25. rujna 2017

Wi-Fi

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Učinak: Napadač u dometu možda će moći izvršiti proizvoljni kod na Wi-Fi čipu

Opis: Riješen je problem oštećenja memorije poboljšanim postupkom s memorijom.

CVE-2017-11120: Gal Beniamini iz Google Projekta Zero

CVE-2017-11121: Gal Beniamini iz Google Projekta Zero

Upis je dodan 25. rujna 2017

Wi-Fi

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Utjecaj: Zlonamjerni kôd koji se izvršava na Wi-Fi čipu može biti u mogućnosti pokrenuti proizvoljni kôd s povlasticama kernela na aplikacijskom procesoru

Opis: Riješen je problem oštećenja memorije poboljšanim postupkom s memorijom.

CVE-2017-7103: Gal Beniamini iz Google Projekta Zero

CVE-2017-7105: Gal Beniamini iz Google Projekta Zero

CVE-2017-7108: Gal Beniamini iz Google Project Zero-a

CVE-2017-7110: Gal Beniamini iz Google Projekta Zero

CVE-2017-7112: Gal Beniamini iz Google Projekta Zero

Wi-Fi

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Utjecaj: Zlonamjerni kôd koji se izvršava na Wi-Fi čipu može biti u mogućnosti pokrenuti proizvoljni kôd s povlasticama kernela na aplikacijskom procesoru

Opis: Višestruki uvjeti utrke riješeni su poboljšanom validacijom.

CVE-2017-7115: Gal Beniamini iz Google Projekta Zero

Wi-Fi

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Učinak: Zlonamjerni kôd koji se izvršava na Wi-Fi čipu možda će moći čitati ograničenu memoriju kernela

Opis: Riješeno je pitanje validacije s poboljšanom sanitacijom ulaza.

CVE-2017-7116: Gal Beniamini iz Google Projekta Zero

zlib

Dostupno za: iPhone 5s i novije, iPad Air i novije, te iPod touch 6. generacije

Utjecaj: Višestruki problemi u zlibu

Opis: Ažuriranjem na verziju 1.2.11 riješeno je više problema.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Izvor