Megjelent az Apple iOS 11.0.1 verzió, és frissítenie kell most

Bluetooth

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: Egy alkalmazás hozzáférhet korlátozott fájlokhoz

Leírás: A névjegykártyák kezelésekor adatvédelmi kérdés merült fel. Erre a jobb állami irányítás révén került sor.

CVE-2017-7131: névtelen kutató, Elvis (@elvisimprsntr), Dominik Conrads, a Szövetségi Információbiztonsági Hivatal névtelen kutatója

A bejegyzés hozzáadva 2017. szeptember 25

CFNetwork proxyk

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: A privilegizált hálózati helyzetben lévő támadó szolgáltatásmegtagadást okozhat

Leírás: A szolgáltatás megtagadásával kapcsolatos problémák javított memóriakezelés révén foglalkoztak.

CVE-2017-7083: Abhinav Bansal, a Zscaler Inc.

A bejegyzés hozzáadva 2017. szeptember 25

CoreAudio

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: Lehet, hogy egy alkalmazás képes korlátozott memóriát olvasni

Leírás: A leolvasott határokon kívül esik az Opus 1.1.4 verziójának frissítése.

CVE-2017-0381: V.E.O (@VYSEa), a Trend Micro mobil fenyegetéskutató csoportja

A bejegyzés hozzáadva 2017. szeptember 25

Exchange ActiveSync

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: A privilegizált hálózati helyzetben lévő támadó az Exchange-fiók beállításakor törölheti az eszközt

Leírás: Érvényesítési probléma létezett az AutoDiscover V1 verzióban. Ennek megoldására a TLS megkövetelte az AutoDiscover V1 verziót. Az AutoDiscover V2 mostantól támogatott.

CVE-2017-7088: Ilya Nesterov, Maxim Goncharov

Heimdal

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: A privilegizált hálózati pozícióban lévő támadó képes megszemélyesíteni egy szolgáltatást

Leírás: Érvényesítési probléma létezett a KDC-REP szolgáltatásnév kezelésében. Ezt a kérdést javított érvényesítés révén oldottuk meg.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni és Nico Williams

A bejegyzés hozzáadva 2017. szeptember 25

iBooks

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: A rosszindulatúan kialakított iBooks fájl elemzése folyamatos szolgáltatásmegtagadást eredményezhet.

Leírás: A szolgáltatás megtagadásával kapcsolatos problémák javított memóriakezelés révén foglalkoztak.

CVE-2017-7072: Jędrzej Krysztofiak

mag

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: Egy alkalmazás tetszőleges kódot képes végrehajtani kerneljogosultságokkal

Leírás: A memória-megsérüléssel kapcsolatos problémát a memória javításának javításával kezelték.

CVE-2017-7114: Alex Plaskett, az MWR InfoSecurity

A bejegyzés hozzáadva 2017. szeptember 25

Billentyűzet-javaslatok

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: A billentyűzet automatikus javításával kapcsolatos javaslatok érzékeny információkat fedhetnek fel

Leírás: Az iOS billentyűzet véletlenül gyorsítótárazott érzékeny információkat. Ezt a kérdést javított heurisztikával kezelték.

CVE-2017-7140: névtelen kutató

A bejegyzés hozzáadva 2017. szeptember 25

libc

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: A távoli támadó szolgáltatásmegtagadást okozhat

Leírás: A glob () erőforrás-kimerülési problémáját egy továbbfejlesztett algoritmus segítségével oldottuk meg.

CVE-2017-7086: Russ Cox, a Google

A bejegyzés hozzáadva 2017. szeptember 25

libc

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: Egy alkalmazás okozhat szolgáltatásmegtagadást

Leírás: A memóriafogyasztással kapcsolatos problémát a memória jobb kezelése révén oldottuk meg.

CVE-2017-1000373

A bejegyzés hozzáadva 2017. szeptember 25

libexpat

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: Több kérdés az emigrációban

Leírás: A 2.2.1-es verzióra történő frissítéssel több kérdéssel foglalkoztak

CVE-2016-9063

CVE-2017-9233

A bejegyzés hozzáadva 2017. szeptember 25

Helymeghatározási keret

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: Lehet, hogy egy alkalmazás képes érzékeny helyinformációkat olvasni

Leírás: Jogosultsági probléma létezett a helyváltoztató kezelésekor. Erre további tulajdonosi ellenőrzésekkel került sor.

CVE-2017-7148: névtelen kutató, névtelen kutató

A bejegyzés hozzáadva 2017. szeptember 25

Levélvázlatok

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: Egy kiváltságos hálózati pozícióval rendelkező támadó képes elfogni a levél tartalmát

Leírás: Titkosítási probléma létezett a levélvázlatok kezelésében. Ezt a kérdést a titkosított küldésre szánt levéltervezetek jobb kezelésével kezelték.

CVE-2017-7078: névtelen kutató, névtelen kutató, névtelen kutató

A bejegyzés hozzáadva 2017. szeptember 25

Mail MessageUI

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: A rosszindulatúan elkészített kép feldolgozása szolgáltatásmegtagadást eredményezhet

Leírás: A memória-megsérüléssel kapcsolatos problémát javított érvényesítéssel kezelték.

CVE-2017-7097: Xinshu Dong és Jun Hao Tan, az Anquan Capital

üzenetek

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: A rosszindulatúan elkészített kép feldolgozása szolgáltatásmegtagadást eredményezhet

Leírás: A szolgáltatásmegtagadással kapcsolatos kérdés javított érvényesítés révén oldódott meg.

CVE-2017-7118: Kiki Jiang és Jason Tokoph

MobileBackup

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: A biztonsági mentés titkosítatlan biztonsági másolatot készíthet annak ellenére, hogy csak titkosított biztonsági másolatokat kell végrehajtani

Leírás: Jogosultsági probléma létezett. Ezt a problémát az engedély javításával javították.

CVE-2017-7133: Don Sparks, a HackediOS.com

Telefon

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: iOS-eszközök zárolásakor a biztonságos tartalom képernyőképe készíthető

Leírás: Időzítési probléma merült fel a reteszelés kezelésében. Ezt a problémát azzal oldotta meg, hogy zárolása közben letiltotta a képernyőképeket.

CVE-2017-7139: névtelen kutató

A bejegyzés hozzáadva 2017. szeptember 25

Szafari

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: Egy rosszindulatú webhely látogatása a címsor hamisítását eredményezheti

Leírás: Az inkonzisztens felhasználói felület kérdésével javult állapotkezelés.

CVE-2017-7085: a Tencent Xuanwu Lab xisigr (tencent.com)

Biztonság

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: A visszavont tanúsítvány megbízható lehet

Leírás: A visszavonási adatok kezelése során tanúsítvány-érvényesítési kérdés létezett. Ezt a kérdést javított érvényesítés révén oldottuk meg.

CVE-2017-7080: névtelen kutató, névtelen kutató, Sven Driemecker, az Assso mobil megoldások gmbh-je, Rune Darrud (@theflyingcorpse), a Bærum kommune

A bejegyzés hozzáadva 2017. szeptember 25

Biztonság

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: Egy rosszindulatú alkalmazás nyomon tudja követni a felhasználókat a telepítések között

Leírás: Az alkalmazás kulcstartó-adatainak kezelése során felmerült az engedélyek ellenőrzésével kapcsolatos probléma. Ezt a problémát javított engedély-ellenőrzéssel kezelték.

CVE-2017-7146: névtelen kutató

A bejegyzés hozzáadva 2017. szeptember 25

SQLite

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: Több probléma az SQLite-ben

Leírás: A 3.19.3 verzióra történő frissítéssel több kérdéssel foglalkoztak.

CVE-2017-10989: megtalálta az OSS-Fuzz

CVE-2017-7128: megtalálja az OSS-Fuzz

CVE-2017-7129: az OSS-Fuzz megtalálja

CVE-2017-7130: megtalálja az OSS-Fuzz

A bejegyzés hozzáadva 2017. szeptember 25

SQLite

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: Egy alkalmazás tetszőleges kódot képes végrehajtani rendszerjogosultságokkal

Leírás: A memória-megsérüléssel kapcsolatos problémát a memória javításának javításával kezelték.

CVE-2017-7127: névtelen kutató

A bejegyzés hozzáadva 2017. szeptember 25

Idő

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: A „Időzóna beállítása” helytelenül jelezheti, hogy helyét használja

Leírás: Az engedélyezési probléma létezett az időzóna-információkat kezelő folyamatban. A problémát az engedélyek módosításával oldottuk meg.

CVE-2017-7145: névtelen kutató

A bejegyzés hozzáadva 2017. szeptember 25

WebKit

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: A rosszindulatúan kialakított webtartalom feldolgozása önkényes kódfuttatáshoz vezethet

Leírás: A memória-meghibásodással kapcsolatos problémát a jobb bemeneti validálás révén oldották meg.

CVE-2017-7081: Apple

A bejegyzés hozzáadva 2017. szeptember 25

WebKit

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: A rosszindulatúan kialakított webtartalom feldolgozása önkényes kódfuttatáshoz vezethet

Leírás: A memória sérüléseivel kapcsolatos több problémát a jobb memóriakezeléssel kezelték.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan, a Baidu Security Lab, a Trend Micro Zero Day Initiative programjával együttműködve

CVE-2017-7092: Samuel Gro és Niklas Baumstark együtt dolgoznak a Trend Micro Zero Day Initiative-vel, Qixun Zhao-val (@ S0rryMybad) a Qihoo 360 Vulcan Team-ről

CVE-2017-7093: Samuel Gro és Niklas Baumstark a Trend Micro Zero Day Initiative programjával együttműködve

CVE-2017-7094: Tim Michaud (@TimGMichaud), a Leviathan Biztonsági Csoport tagja

CVE-2017-7095: Wang Junjie, Wei Lei és Liu Yang, a Nanyang Műszaki Egyetem, a Trend Micro Zero Day Initiative programjával együttműködve

CVE-2017-7096: Wei Yuan, a Baidu Security Lab

CVE-2017-7098: Felipe Freitas, az Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa és Mario Heiderich, a Cure53

CVE-2017-7102: Wang Junjie, Wei Lei és Liu Yang, a Nanyang Műszaki Egyetem

CVE-2017-7104: a Baidu Secutity Lab munkatársa

CVE-2017-7107: Wang Junjie, Wei Lei és Liu Yang, a Nanyang Műszaki Egyetem

CVE-2017-7111: a Baidu Security Lab (xlab.baidu.com) likemengje, a Trend Micro Zero Day Initiative programjával együttműködve

CVE-2017-7117: a Google Project Zero lokihardt

CVE-2017-7120: chenqin (陈钦), a Pénzügyi Világév Biztonsági Lab

A bejegyzés hozzáadva 2017. szeptember 25

WebKit

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: A rosszindulatúan kialakított webtartalom feldolgozása általános webhelyközi szkriptekhez vezethet

Leírás: Logikai probléma létezett a szülő-lap kezelésekor. Ezt a kérdést az állam jobb irányításával kezelték.

CVE-2017-7089: Anton Lopanitsyn, az ONSEC, Frans Rosén, a Detectify

WebKit

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: Az egyik származási helyhez tartozó sütik elküldhetők egy másik származási helyre

Leírás: Engedélyekkel kapcsolatos probléma létezett a webböngésző cookie-jainak kezelésében. Ezt a problémát azzal oldották meg, hogy az egyedi URL-sémákhoz már nem adtak vissza cookie-kat.

CVE-2017-7090: Apple

A bejegyzés hozzáadva 2017. szeptember 25

WebKit

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: Egy rosszindulatú webhely látogatása a címsor hamisítását eredményezheti

Leírás: Az inkonzisztens felhasználói felület kérdésével javult állapotkezelés.

CVE-2017-7106: Oliver Paukstadt, a Thinking Objects GmbH (to.com)

WebKit

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: A rosszindulatúan kialakított webtartalom feldolgozása webhelyek közötti szkriptek támadását eredményezheti

Leírás: Az alkalmazás gyorsítótár-házirendje váratlanul alkalmazható.

CVE-2017-7109: avlidienbrunn

A bejegyzés hozzáadva 2017. szeptember 25

WebKit

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: Egy rosszindulatú webhely nyomon tudja követni a felhasználókat Safari privát böngészési módjában

Leírás: Engedélyekkel kapcsolatos probléma létezett a webböngésző cookie-jainak kezelésében. Ezt a kérdést javított korlátozásokkal kezelték.

CVE-2017-7144: névtelen kutató

A bejegyzés hozzáadva 2017. szeptember 25

Wi-Fi

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: A hatótávolságon belüli támadó tetszőleges kódot hajthat végre a Wi-Fi chipen

Leírás: A memória-megsérüléssel kapcsolatos problémát a memória javításának javításával kezelték.

CVE-2017-11120: Gal Beniamini, a Google Zero Project

CVE-2017-11121: Gal Beniamini, a Google Zero Project

A bejegyzés hozzáadva 2017. szeptember 25

Wi-Fi

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: A rosszindulatú kód végrehajtása a Wi-Fi chipen képes lehet önkényes kód végrehajtására kerneljogosultságokkal az alkalmazásprocesszoron

Leírás: A memória-megsérüléssel kapcsolatos problémát a memória javításának javításával kezelték.

CVE-2017-7103: Gal Beniamini, a Google Zero Project

CVE-2017-7105: Gal Beniamini, a Google Zero Project

CVE-2017-7108: Gal Beniamini, a Google Zero Project

CVE-2017-7110: Gal Beniamini, a Google Zero Project

CVE-2017-7112: Gal Beniamini, a Google Zero Project

Wi-Fi

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: A rosszindulatú kód végrehajtása a Wi-Fi chipen képes lehet önkényes kód végrehajtására kerneljogosultságokkal az alkalmazásprocesszoron

Leírás: A több versenyfeltételeket javított validálás útján kezelték.

CVE-2017-7115: Gal Beniamini, a Google Zero Project

Wi-Fi

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: A Wi-Fi chipen végrehajtott rosszindulatú kódok képesek lehetnek a korlátozott kernelmemória olvasására

Leírás: Az érvényesítési kérdés javult a bemeneti szennyvízkezeléssel.

CVE-2017-7116: Gal Beniamini, a Google Zero Project

zlib

Elérhető: iPhone 5 és újabb, iPad Air és újabb, valamint a 6. generációs iPod touch számára

Hatás: Több probléma a zlib-ben

Leírás: Több kérdéssel foglalkoztak az 1.2.11-es verzióra történő frissítéssel.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Forrás