Obsah zabezpečenia v systéme iOS 10.3.3
V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 10.3.3.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.
Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
iOS 10.3.3
Kontakty
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením medzipamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-7062: Shashank (@cyberboyIndia)
CoreAudio
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Spracovanie súboru filmu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2017-7008: Yangkang (@dnpushme) z tímu Qihoo 360 Qex
EventKitUI
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Vzdialený útočník môže spôsobiť neočakávané ukončenie aplikácie
Popis: Dochádzalo k problému s vyčerpaním prostriedkov, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2017-7007: José Antonio Esteban (@Erratum_) zo spoločnosti Sapsi Consultores
IOUSBFamily
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-7009: shrek_wzw z tímu Qihoo 360 Nirvan
Jadro
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-7022: Anonymný výskumník
CVE-2017-7024: Anonymný výskumník
CVE-2017-7026: Anonymný výskumník
Jadro
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-7023: Anonymný výskumník
CVE-2017-7025: Anonymný výskumník
CVE-2017-7027: Anonymný výskumník
CVE-2017-7069: Proteas z tímu Qihoo 360 Nirvan
Jadro
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2017-7028: Anonymný výskumník
CVE-2017-7029: Anonymný výskumník
libarchive
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Rozbalenie archívu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením medzipamäte, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2017-7068: Nájdené programom OSS-Fuzz
libxml2
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Analýza dokumentu XML so škodlivým kódom môže viesť k odhaleniu informácií používateľa
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2017-7010: Apple
CVE-2017-7013: Nájdené programom OSS-Fuzz
libxpc
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-7047: Ian Beer z tímu Google Project Zero
Správy
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Vzdialený útočník môže spôsobiť neočakávané ukončenie aplikácie
Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-7063: Shashank (@cyberboyIndia)
Hlásenia
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Hlásenia sa môžu zobrazovať na zamknutej ploche, aj keď sú vypnuté
Popis: Dochádzalo k problému so zamknutou plochou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2017-7058: Beyza Sevinç z Univerzity Süleymana Demirela
Safari
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou
Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2017-2517: xisigr z tímu Xuanwu Lab spoločnosti Tencent (tencent.com)
Tlač zo Safari
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k otvoreniu nekonečného počtu dialógových okien tlače
Popis: Dochádzalo k problému, v rámci ktorého mohla škodlivá alebo zneužitá webová stránka zobraziť nekonečný počet dialógových okien tlače, aby sa používateľ domnieval, že má zablokovaný prehliadač. Tento problém bol vyriešený obmedzením počtu dialógových okien tlače.
CVE-2017-7060: Travis Kelley z Mishawaky v Indiane
Telefónne funkcie
K dispozícii pre: iPhone 5 a novší a modely Wi-Fi + Cellular iPadu (4. generácia a novšia)
Dopad: Útočník s oprávneniami v sieti môže byť schopný spustiť ľubovoľný kód
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-8248
WebKit
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Webová stránka so škodlivým kódom môže spôsobiť neoprávnené získanie dát s rôznym pôvodom
Popis: Spracovanie webového obsahu so škodlivým kódom môže prostredníctvom filtrov SVG umožniť získanie dát s rôznym pôvodom a vykonať tak útok bočným kanálom pomocou časovej analýzy. Tento problém bol vyriešený nevykresľovaním vyrovnávacej pamäte dát s rôznym pôvodom do filtrovaného rámca.
CVE-2017-7006: Anonymný výskumník, David Kohlbrenner z Kalifornskej univerzity v San Diegu
WebKit
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou
Popis: Dochádzalo k problému súvisiacemu so správou stavu, ktorý bol vyriešený vylepšením spracovania rámcov.
CVE-2017-7011: xisigr z tímu Xuanwu Lab spoločnosti Tencent (tencent.com)
WebKit
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2017-7018: lokihardt z tímu Google Project Zero
CVE-2017-7020: Zheng Huang z tímu Baidu Security Lab
CVE-2017-7030: chenqin z tímu Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)
CVE-2017-7034: chenqin z tímu Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)
CVE-2017-7037: lokihardt z tímu Google Project Zero
CVE-2017-7039: Ivan Fratric z tímu Google Project Zero
CVE-2017-7040: Ivan Fratric z tímu Google Project Zero
CVE-2017-7041: Ivan Fratric z tímu Google Project Zero
CVE-2017-7042: Ivan Fratric z tímu Google Project Zero
CVE-2017-7043: Ivan Fratric z tímu Google Project Zero
CVE-2017-7046: Ivan Fratric z tímu Google Project Zero
CVE-2017-7048: Ivan Fratric z tímu Google Project Zero
CVE-2017-7052: cc v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2017-7055: Národné centrum Spojeného kráľovstva pre kybernetickú bezpečnosť (NCSC)
CVE-2017-7056: lokihardt z tímu Google Project Zero
CVE-2017-7061: lokihardt z tímu Google Project Zero
WebKit
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom pomocou objektu DOMParser môže viesť k skriptovaniu medzi lokalitami
Popis: Pri spracovávaní obsahu objektom DOMParser dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2017-7038: Egor Karbutov (@ShikariSenpai) zo spoločnosti Digital Security a Egor Saltykov (@ansjdnakjdnajkd) zo spoločnosti Digital Security, Neil Jenkins zo spoločnosti FastMail Pty Ltd
CVE-2017-7059: Masato Kinugawa a Mario Heiderich zo spoločnosti Cure53
WebKit
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2017-7049: Ivan Fratric z tímu Google Project Zero
WebKit
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-7064: lokihardt z tímu Google Project Zero
Načítavanie stránok mechanizmom WebKit
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2017-7019: Zhiyang Zeng z oddelenia Tencent Security Platform Department
WebKit Web Inspector
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2017-7012: Apple
Wi-Fi
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Útočník nachádzajúci sa v dosahu môže byť schopný spustiť ľubovoľný kód vo Wi-Fi čipe
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-7065: Gal Beniamini z tímu Google Project Zero
Wi-Fi
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Útočník nachádzajúci sa v dosahu Wi-Fi siete môže byť spôsobiť útok typu DoS (odmietnutie služby) vo Wi-Fi čipe
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2017-7066: Gal Beniamini z tímu Google Project Zero
Wi-Fi
K dispozícii pre: iPhone 5 a novší, iPad (4. generácia a novšia) a iPod touch (6. generácia)
Dopad: Útočník nachádzajúci sa v dosahu môže byť schopný spustiť ľubovoľný kód vo Wi-Fi čipe
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-9417: Nitay Artenstein zo spoločnosti Exodus Intelligence
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.