Apple iOS 11.0.1 julkaistiin, ja sinun pitäisi päivittää nyt

Bluetooth

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Sovellus voi päästä käyttämään rajoitettuja tiedostoja

Kuvaus: Yhteyskorttien käsittelyssä oli yksityisyysongelma. Tähän pyrittiin parantamalla valtionhallintoa.

CVE-2017-7131: tuntematon tutkija, Elvis (@elvisimprsntr), liittovaltion tietoturvaviraston Dominik Conrads, tuntematon tutkija

Merkintä lisätty 25. syyskuuta 2017

CFNetwork-välityspalvelimet

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Hyödyllisessä verkkoasemassa oleva hyökkääjä saattaa pystyä aiheuttamaan palvelun epäämisen

Kuvaus: Useita palveluiden epäämistä koskevia kysymyksiä hoidettiin parantamalla muistin käsittelyä.

CVE-2017-7083: Abhinav Bansal, Zscaler Inc.

Merkintä lisätty 25. syyskuuta 2017

CoreAudio

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Sovellus voi pystyä lukemaan rajoitetun muistin

Kuvaus: Rajatut raja-arvot korjattiin päivittämällä Opus-versioon 1.1.4.

CVE-2017-0381: V.E.O (@VYSEa), Mobile Threat Research Team, Trend Micro

Merkintä lisätty 25. syyskuuta 2017

Exchange ActiveSync

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Hyödyllisessä verkkoasemassa oleva hyökkääjä voi ehkä poistaa laitteen Exchange-tilin asennuksen aikana

Kuvaus: AutoDiscover V1: ssä oli vahvistusongelma. Tämä ratkaistiin vaatimalla TLS: tä AutoDiscover V1: lle. AutoDiscover V2 on nyt tuettu.

CVE-2017-7088: Ilja Nesterov, Maxim Goncharov

Heimdal

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Hyödyllisessä verkkoasemassa oleva hyökkääjä voi pystyä jäljittelemään palvelua

Kuvaus: KDC-REP-palvelunimen käsittelyssä oli vahvistusongelma. Tämä ongelma ratkaistiin parantamalla validointia.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni ja Nico Williams

Merkintä lisätty 25. syyskuuta 2017

iBooks

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Haitallisen iBooks-tiedoston jäsentäminen voi johtaa jatkuvaan palvelun epäämiseen

Kuvaus: Useita palveluiden epäämistä koskevia kysymyksiä hoidettiin parantamalla muistin käsittelyä.

CVE-2017-7072: Jędrzej Krysztofiak

Ydin

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Sovellus voi pystyä suorittamaan mielivaltaisen koodin ytimen oikeuksilla

Kuvaus: Muistin vioittumisongelmaa käsiteltiin parannetulla muistin käsittelyllä.

CVE-2017-7114: Alex Plaskett, MWR InfoSecurity

Merkintä lisätty 25. syyskuuta 2017

Näppäimistöehdotukset

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Näppäimistön automaattisen oikaisun ehdotukset saattavat paljastaa arkaluontoisia tietoja

Kuvaus: iOS-näppäimistö välimuistiin tallensi vahingossa arkaluontoisia tietoja. Tätä asiaa käsiteltiin parannetulla heuristiikalla.

CVE-2017-7140: tuntematon tutkija

Merkintä lisätty 25. syyskuuta 2017

libc

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Etähyökkääjä saattaa pystyä aiheuttamaan palvelunestohyökkäyksen

Kuvaus: Resurssien tyhjennysongelmaa glo () -kohdassa käsiteltiin parannetulla algoritmilla.

CVE-2017-7086: Russ Cox, Google

Merkintä lisätty 25. syyskuuta 2017

libc

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Sovellus voi aiheuttaa palvelun epäämisen

Kuvaus: Muistinkulutusongelma ratkaistiin parannetulla muistin käsittelyllä.

CVE-2017-1000373

Merkintä lisätty 25. syyskuuta 2017

libexpat

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Useita aiheita ulkomailta

Kuvaus: Useita ongelmia käsiteltiin päivittämällä versioon 2.2.1

CVE-2016-9063

CVE-2017-9233

Merkintä lisätty 25. syyskuuta 2017

Sijaintikehys

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Sovellus voi pystyä lukemaan arkaluonteisia sijaintitietoja

Kuvaus: Sijaintimuuttujan käsittelyssä oli käyttöoikeusongelma. Tätä käsiteltiin ylimääräisillä omistajuustarkastuksilla.

CVE-2017-7148: tuntematon tutkija, tuntematon tutkija

Merkintä lisätty 25. syyskuuta 2017

Postiluonnokset

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Hyökkääjä, jolla on etuoikeutettu verkkoasema, voi pystyä sieppaamaan postin sisällön

Kuvaus: Salausongelma oli olemassa postitusluonnosten käsittelyssä. Tätä ongelmaa käsiteltiin parantamalla salattujen postitusluonnosten käsittelyä.

CVE-2017-7078: tuntematon tutkija, tuntematon tutkija, tuntematon tutkija

Merkintä lisätty 25. syyskuuta 2017

Mail MessageUI

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Haitallisen kuvan käsittely voi johtaa palvelun epäämiseen

Kuvaus: Muistivirheongelmaa käsiteltiin parannetulla validoinnilla.

CVE-2017-7097: Xinshu Dong ja Jun Hao Tan, Anquan Capital

viestien

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Haitallisen kuvan käsittely voi johtaa palvelun epäämiseen

Kuvaus: Palvelun epäämisongelma käsiteltiin parannetulla validoinnilla.

CVE-2017-7118: Kiki Jiang ja Jason Tokoph

MobileBackup

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Varmuuskopiointi voi tehdä salaamattoman varmuuskopion huolimatta vaatimuksesta suorittaa vain salattuja varmuuskopioita

Kuvaus: Käyttöoikeusongelma oli olemassa. Tätä ongelmaa käsiteltiin parannetulla luvan validoinnilla.

CVE-2017-7133: Don Sparks, HackediOS.com

Puhelin

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Suojatun sisällön kuvakaappaus voidaan tehdä lukittaessa iOS-laitetta

Kuvaus: Lukituksen käsittelyssä oli ajoitusongelma. Tämä ongelma ratkaistiin poistamalla kuvakaappaukset lukitsemisen aikana.

CVE-2017-7139: tuntematon tutkija

Merkintä lisätty 25. syyskuuta 2017

Safari

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Haitallisen verkkosivuston käyminen voi johtaa osoiterivien väärentämiseen

Kuvaus: Epäjohdonmukainen käyttöliittymäongelma korjattiin parannetulla tilanhallinnalla.

CVE-2017-7085: Tencent's Xuanwu Lab -yrityksen xisigr (tencent.com)

turvallisuus

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Peruutettuun varmenteeseen voidaan luottaa

Kuvaus: Todistuksen validointiongelma oli peruutustietojen käsittelyssä. Tämä ongelma ratkaistiin parantamalla validointia.

CVE-2017-7080: tuntematon tutkija, tuntematon tutkija, adesson mobiiliratkaisujen gmbh Sven Driemecker, Rune Darrud (@theflyingcorpse) Bærum kommunesta

Merkintä lisätty 25. syyskuuta 2017

turvallisuus

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Haittaohjelma voi pystyä seuraamaan käyttäjiä asennusten välillä

Kuvaus: Sovelluksen avainniputietojen käsittelyssä oli luvan tarkistusongelma. Tätä ongelmaa käsiteltiin parannetulla lupatarkinnalla.

CVE-2017-7146: tuntematon tutkija

Merkintä lisätty 25. syyskuuta 2017

SQLite

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Useita ongelmia SQLitessa

Kuvaus: Useita ongelmia käsiteltiin päivittämällä versioon 3.19.3.

CVE-2017-10989: löytänyt OSS-Fuzz

CVE-2017-7128: löytänyt OSS-Fuzz

CVE-2017-7129: löytänyt OSS-Fuzz

CVE-2017-7130: löytänyt OSS-Fuzz

Merkintä lisätty 25. syyskuuta 2017

SQLite

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Sovellus voi pystyä suorittamaan mielivaltaisen koodin järjestelmän käyttöoikeuksilla

Kuvaus: Muistin vioittumisongelmaa käsiteltiin parannetulla muistin käsittelyllä.

CVE-2017-7127: tuntematon tutkija

Merkintä lisätty 25. syyskuuta 2017

Aika

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: ”Aikavyöhykkeen asettaminen” saattaa ilmoittaa väärin, että se käyttää sijaintia

Kuvaus: Aikavyöhykkeitä käsittelevässä prosessissa oli käyttöoikeusongelma. Ongelma ratkaistiin muuttamalla käyttöoikeuksia.

CVE-2017-7145: tuntematon tutkija

Merkintä lisätty 25. syyskuuta 2017

WebKit

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Haitallisen web-sisällön käsittely voi johtaa mielivaltaisen koodin suorittamiseen

Kuvaus: Muistin vioittumisongelma hoidettiin parantamalla tulojen validointia.

CVE-2017-7081: Apple

Merkintä lisätty 25. syyskuuta 2017

WebKit

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Haitallisen web-sisällön käsittely voi johtaa mielivaltaisen koodin suorittamiseen

Kuvaus: Useita muistin vioittumiskysymyksiä käsiteltiin parannetulla muistin käsittelyllä.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan, Baidu Security Lab, työskentelee yhdessä Trend Micro: n Zero Day Initiative -aloitteen kanssa

CVE-2017-7092: Samuel Gro ja Niklas Baumstark työskentelevät yhdessä Trend Micro: n Zero Day Initiativen kanssa, Qixhoo Zhao (@ S0rryMybad) Qihoo 360 Vulcan -tiimistä

CVE-2017-7093: Samuel Gro ja Niklas Baumstark työskentelevät yhdessä Trend Micro -yhtiön Zero Day Initiativen kanssa

CVE-2017-7094: Tim Michaud (@TimGMichaud), Leviathan Security Group

CVE-2017-7095: Wang Junjie, Wei Lei ja Liu Yang Nanyangin teknillisestä yliopistosta työskentelevät yhdessä Trend Micro: n Zero Day Initiative -aloitteen kanssa

CVE-2017-7096: Wei Yuan, Baidu Security Lab

CVE-2017-7098: Felipe Freitas, Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa ja Mario Heiderich, Cure53

CVE-2017-7102: Wang Junjie, Wei Lei ja Liu Yang Nanyangin teknillisestä yliopistosta

CVE-2017-7104: kuten Baidu Secutity Lab

CVE-2017-7107: Wang Junjie, Wei Lei ja Liu Yang Nanyangin teknillisestä yliopistosta

CVE-2017-7111: likemeng Baidu Security Labista (xlab.baidu.com), joka työskentelee Trend Mikron Zero Day Initiativen kanssa

CVE-2017-7117: lokihardt, Google Project Zero

CVE-2017-7120: chenqin (陈钦) Ant-Financial Light Year Security Lab -yrityksestä

Merkintä lisätty 25. syyskuuta 2017

WebKit

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Haitallisen verkkosivustosisällön käsittely voi johtaa yleiseen verkkosivustojen komentosarjoihin

Kuvaus: Vanhempi-välilehden käsittelyssä oli logiikkaongelma. Tätä asiaa käsiteltiin parannetulla valtionhallinnolla.

CVE-2017-7089: Anton Lopanitsyn ONSECistä, Frans Rosén Detectifystä

WebKit

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Yhdessä alkuperässä olevat evästeet voidaan lähettää toiseen alkuperään

Kuvaus: Selaimen evästeiden käsittelyssä oli käyttöoikeusongelma. Tämä ongelma ratkaistiin estämällä enää evästeiden palauttamista mukautettuihin URL-järjestelmiin.

CVE-2017-7090: Apple

Merkintä lisätty 25. syyskuuta 2017

WebKit

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Haitallisen verkkosivuston käyminen voi johtaa osoiterivien väärentämiseen

Kuvaus: Epäjohdonmukainen käyttöliittymäongelma korjattiin parannetulla tilanhallinnalla.

CVE-2017-7106: Oliver Paukstadt, Thinking Objects GmbH (to.com)

WebKit

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Haitallisen verkkosivustosisällön käsittely voi johtaa sivustonväliseen komentosarjahyökkäykseen

Kuvaus: Sovellusvälimuistikäytäntöä voidaan käyttää odottamatta.

CVE-2017-7109: avlidienbrunn

Merkintä lisätty 25. syyskuuta 2017

WebKit

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Haitallinen verkkosivusto voi pystyä seuraamaan käyttäjiä Safarin yksityisessä selaustilassa

Kuvaus: Selaimen evästeiden käsittelyssä oli käyttöoikeusongelma. Tätä asiaa käsiteltiin parannetuin rajoituksin.

CVE-2017-7144: tuntematon tutkija

Merkintä lisätty 25. syyskuuta 2017

Wi-Fi

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Toimialueella oleva hyökkääjä voi pystyä suorittamaan mielivaltaisen koodin Wi-Fi-sirulla

Kuvaus: Muistin vioittumisongelmaa käsiteltiin parannetulla muistin käsittelyllä.

CVE-2017-11120: Gal Beniamini Google Zero -projektista

CVE-2017-11121: Gal Beniamini Google Zero -projektista

Merkintä lisätty 25. syyskuuta 2017

Wi-Fi

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Wi-Fi-sirulla suorittava haitallinen koodi saattaa pystyä suorittamaan mielivaltaisen koodin ytimen oikeuksilla sovellusprosessorissa

Kuvaus: Muistin vioittumisongelmaa käsiteltiin parannetulla muistin käsittelyllä.

CVE-2017-7103: Gal Beniamini Google Zero -projektista

CVE-2017-7105: Gal Beniamini Google Zero -projektista

CVE-2017-7108: Gal Beniamini Google Zero -projektista

CVE-2017-7110: Gal Beniamini Google Zero -projektista

CVE-2017-7112: Gal Beniamini Google Zero -projektista

Wi-Fi

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Wi-Fi-sirulla suorittava haitallinen koodi saattaa pystyä suorittamaan mielivaltaisen koodin ytimen oikeuksilla sovellusprosessorissa

Kuvaus: Useita rotuolosuhteita käsiteltiin parannetulla validoinnilla.

CVE-2017-7115: Gal Beniamini Google Zero -projektista

Wi-Fi

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Wi-Fi-sirulla suorittava haitallinen koodi saattaa pystyä lukemaan rajoitetun ytimen muistin

Kuvaus: Validointikysymys on käsitelty parannetulla tulojen puhdistuksella.

CVE-2017-7116: Gal Beniamini Google Zero -projektista

zlib

Saatavana: iPhone 5: lle ja uudemmalle, iPad Airille ja uudemmille sekä iPod touchin 6. sukupolvelle

Vaikutus: Useita ongelmia zlibissä

Kuvaus: Useita ongelmia käsiteltiin päivittämällä versioon 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Lähde