Этот документ описывает содержание безопасности iOS 11.2.
Об обновлениях системы безопасности Apple
Для защиты клиентов компания Apple не сообщает, не обсуждает, или подтвердить вопросы безопасности до проведения расследования и исправления и выпуски. Последние релизы представлены на яблоко обновления страницы.
Дополнительные сведения о безопасности см. в продукции Apple, безопасности страницы. Вы можете шифровать сообщения с Apple с помощью продуктов Apple безопасности PGP ключ.
Безопасности Apple документы, справки уязвимости, уязвимость CVE-идентификаторов , когда это возможно.
в iOS 11.2
Выпущенный 2 Декабря 2017 Года
Магазин Приложений
Доступно для: iPhone 5s и новее, iPad Air и новее и iPod touch 6-го поколения
Последствия: злоумышленник в привилегированном положении сети может быть возможность подмены пароля в AppStore
Описание: проблема проверки входных данных было устранить путем улучшения проверки входных данных.
Уязвимость CVE-2017-7164: Джерри Decime
Запись добавлена 11 января 2018 года
Автоматическая Разблокировка
Доступно для: iPhone 5s и новее, iPad Air и новее и iPod touch 6-го поколения
Воздействие: приложения могут получить повышенные привилегии
Описание: состояние гонки обратился с дополнительной проверки.
Уязвимость CVE-2017-13905: Сэмюэл Гросс (@5aelo)
Запись добавлена 18 октября 2018 года
Калькулятор
Доступно для: iPhone 5s и новее, iPad Air и новее и iPod touch 6-го поколения
Последствия: злоумышленник, имеющий привилегированное положение в сети, может быть в состоянии изменять курс конвертации валют
Описание: курсы валют были извлечены из HTTP, а не https. Данный вопрос был рассмотрен включение протокола HTTPS для обмена валют.
Уязвимость CVE-2017-2411: Ричард Шупак (linkedin.com/in/rshupak), сет Варго (@sethvargo) из Google, и анонимного исследователя
Запись добавлена 2 мая 2018 года, обновлено 14 июня 2018 года
Сессии CFNetwork
Доступно для: iPhone 5s и новее, iPad Air и новее и iPod touch 6-го поколения
Воздействие: приложение может быть в состоянии выполнить произвольный код с системными привилегиями
Описание: проблема повреждения памяти выступил с улучшенной обработки памяти.
Уязвимость CVE-2017-7172: Ричард Чжу (флуоресценции) работа с тренд Майкро День Ноль инициативы
Запись добавлена 22 января 2018
CoreAnimation
Доступно для: iPhone 5s и новее, iPad Air и новее и iPod touch 6-го поколения
Воздействие: приложение может быть в состоянии выполнить произвольный код с повышенными привилегиями
Описание: проблема повреждения памяти выступил с улучшенной обработки памяти.
Уязвимость CVE-2017-7171: 360 безопасности, работающий в рамках инициативы «нулевой день» тренд Майкро, и Tencent острое безопасности Лаборатории (@keen_lab) работа с инициатива нулевого дня «тренд Майкро»
Запись добавлена 22 января 2018
CoreFoundation
Доступно для: iPhone 5s и новее, iPad Air и новее и iPod touch 6-го поколения
Воздействие: приложения могут получить повышенные привилегии
Описание: состояние гонки обратился с дополнительной проверки.
Уязвимость CVE-2017-7151: Сэмюэл Гросс (@5aelo)
Запись добавлена 18 октября 2018 года
IOKit
Доступно для: iPhone 5s и новее, iPad Air и новее и iPod touch 6-го поколения
Воздействие: приложение может быть в состоянии выполнить произвольный код с привилегиями ядра
Описание: были множественные проблемы коррупции памяти решаться на основе совершенствования государственного управления.
Уязвимость CVE-2017-13847: Иэн пиво из проекта Google нулю
Запись обновлено 10 января 2018 года
IOKit
Доступно для: iPhone 5s и новее, iPad Air и новее и iPod touch 6-го поколения
Воздействие: приложение может быть в состоянии выполнить произвольный код с привилегиями ядра
Описание: проблема повреждения памяти выступил с улучшенной обработки памяти.
Уязвимость CVE-2017-7162: компания Tencent увлекается безопасности Лаборатории (@keen_lab) работа с тренд Майкро День Ноль инициативы
Запись добавлена 21 декабря 2017 г. обновлено 10 января 2018
IOMobileFrameBuffer
Доступно для: iPhone 5s и новее, iPad Air и новее и iPod touch 6-го поколения
Воздействие: приложение может быть в состоянии выполнить произвольный код с привилегиями ядра
Описание: проблема повреждения памяти выступил с улучшенной обработки памяти.
Уязвимость CVE-2017-13879: Яблоко
Запись обновлено 24 октября 2018
IOSurface
Доступно для: iPhone 5s и новее, iPad Air и новее и iPod touch 6-го поколения
Воздействие: приложение может быть в состоянии выполнить произвольный код с привилегиями ядра
Описание: проблема повреждения памяти выступил с улучшенной обработки памяти.
Уязвимость CVE-2017-13861: Иэн пиво из проекта Google нулю
Ядра
Доступно для: iPhone 5s и новее, iPad Air и новее и iPod touch 6-го поколения
Воздействие: приложение может быть в состоянии выполнить произвольный код с привилегиями ядра
Описание: проблема повреждения памяти выступил с улучшенной обработки памяти.
Уязвимость CVE-2017-13904: Кевин Бэкхаус из Semmle Лтд.
Запись добавлена 14 февраля 2018 года,
Ядра
Доступно для: iPhone 5s и новее, iPad Air и новее и iPod touch 6-го поколения
Воздействие: приложение может быть в состоянии прочитать память ядра (расплавление)
Описание: систем на базе микропроцессоров используют спекулятивное выполнение и косвенные предсказания ветвлений может допускать несанкционированного разглашения информации, злоумышленник с локальным доступом пользователей через боковой канал анализа кэша данных.
Уязвимость CVE-2017-5754: Ян Хорн Гугла проекта Ноль; Мориц Липп Грац технологический университет; Михаил Шварц Грац технологический университет; Даниэль дресва Грац технологический университет; Томас Прешер из Cyberus технологии; Вернер Хаас Cyberus технологии; Стефан Mangard Грац технологический университет; пол Кохер; Даниэль Генкин Университета штата Пенсильвания и Университета Мэриленда; Юваль Яром из Университета Аделаиды и Data61; и Майк Гамбурга Рамбус (криптографии научно-исследовательского отдела)
Запись добавлена 4 января, 2018, обновлено 10 января 2018
Ядра
Доступно для: iPhone 5s и новее, iPad Air и новее и iPod touch 6-го поколения
Воздействие: приложение может быть в состоянии выполнить произвольный код с привилегиями ядра
Описание: проблема повреждения памяти выступил с улучшенной обработки памяти.
Уязвимость CVE-2017-13862: Яблоко
Уязвимость CVE-2017-13867: Иэн пиво из проекта Google нулю
Уязвимость CVE-2017-13876: Иэн пиво из проекта Google нулю
Запись обновлена 21 декабря 2017 года
Ядра
Доступно для: iPhone 5s и новее, iPad Air и новее и iPod touch 6-го поколения
Воздействие: приложение может быть в состоянии прочитать ограничено памяти
Описание: из-за границы читал, обратился с улучшенной проверки границ.
Уязвимость CVE-2017-7173: Брэндон Азад
Запись обновлена 1 августа 2018 года,
Ядра
Доступно для: iPhone 5s и новее, iPad Air и новее и iPod touch 6-го поколения
Воздействие: приложение может быть в состоянии прочитать ограничено памяти
Описание: проблема путаницы тип обратилась с улучшенной обработки памяти.
Уязвимость CVE-2017-13855: Ян Хорн Гугля проекта Ноль
Ядра
Доступно для: iPhone 5s и новее, iPad Air и новее и iPod touch 6-го поколения
Воздействие: приложение может быть в состоянии прочитать ограничено памяти
Описание: были множественные проблемы проверки обратился с улучшенной очистки ввода.
Уязвимость CVE-2017-13865: Иэн пиво из проекта Google нулю
Уязвимость CVE-2017-13868: Брэндон Азад
Уязвимость CVE-2017-13869: Ян Хорн Гугля проекта Ноль
Ядра
Доступно для: iPhone 5s и новее, iPad Air и новее и iPod touch 6-го поколения
Воздействия: локальный пользователь может вызвать неожиданное завершение работы системы или чтения памяти ядра
Описание: проверка входных проблемы существуют в ядре. Эта проблема была решена путем улучшения проверки входных данных.
Уязвимость CVE-2017-7154: проект Джане Рог Гугле ноль
Запись добавлена 21 декабря 2017 года
Ядра
Доступно для: iPhone 5s и новее, iPad Air и новее и iPod touch 6-го поколения
Воздействие: приложение может быть в состоянии выполнить произвольный код с привилегиями ядра
Описание: проблема повреждения памяти выступил с улучшенной обработки памяти.
Уязвимость CVE-2017-13880: Яблоко
Запись добавлена 18 октября 2018 года
Почта
Доступно для: iPhone 5s и новее, iPad Air и новее и iPod touch 6-го поколения
Последствия: неправильный сертификат используется для шифрования
Описание: существовала проблема с/MIME в обращении с шифрованной электронной почты. Эта проблема была решена путем совершенствования выбора сертификата шифрования.
Уязвимость CVE-2017-13874: Николас Devillard
Запись обновлена 9 апреля 2018 года,
Почта Черновики
Доступно для: iPhone 5s и новее, iPad Air и новее и iPod touch 6-го поколения
Последствия: злоумышленник, имеющий привилегированное положение в сети может перехватить почту
Описание: существовала проблема шифрования учетных данных с/МИМ. Данный вопрос был рассмотрен с дополнительными проверками и контролем пользователей.
Уязвимость CVE-2017-13860: Майкл Weishaar из INNEO решения ГмбХ
Рамки Сообщения
Доступно для: iPhone 5s и новее, iPad Air и новее и iPod touch 6-го поколения
Воздействие: посещение вредоносного веб-сайта может привести к адресной строке спуфинг
Описание: был несогласованном проблема пользовательского интерфейса обратился с совершенствованием государственного управления.
Уязвимость CVE-2017-7152: Оливер Paukstadt мышления объекты ГмбХ (to.com)
Запись добавлена 21 декабря 2017 года
ReplayKit
Доступно для: iPhone 5s и новее, iPad Air и новее и iPod touch 6-го поколения
Воздействие: пользователь может не иметь контроля над их экране
Описание: проблема путаницы тип обратилась с улучшенной обработки памяти.
Уязвимость CVE-2017-13888: Питер Пау (ArcanaArt.com)
Запись добавлена 21 июня 2018 года
SafariViewController
Доступно для: iPhone 5s и новее, iPad Air и новее и iPod touch 6-го поколения
Воздействие: посещение вредоносного веб-сайта может привести к адресной строке спуфинг
Описание: несогласованном проблема пользовательский интерфейс был решаться на основе совершенствования государственного управления.
Уязвимость CVE-2017-13891: Янне Raiskila (@raiskila)
Запись добавлена 21 июня 2018 года
В WebKit
Доступно для: iPhone 5s и новее, iPad Air и новее и iPod touch 6-го поколения
Воздействие: обработка вредоносного веб-контента может привести к выполнению произвольного кода
Описание: было несколько проблем с повреждением памяти, обратился с улучшенной обработки памяти.
Уязвимость CVE-2017-13885: 360 безопасности работы с тренд микро нулевой день инициатива
Запись добавлена 22 января 2018
В WebKit
Доступно для: iPhone 5s и новее, iPad Air и новее и iPod touch 6-го поколения
Воздействие: обработка вредоносного веб-контента может привести к выполнению произвольного кода
Описание: были множественные проблемы коррупции памяти решаться путем улучшенной обработки памяти.
Уязвимость CVE-2017-7165: 360 безопасности, работающий в рамках инициативы «нулевой день» тренд Майкро
Запись добавлена 22 января 2018
В WebKit
Доступно для: iPhone 5s и новее, iPad Air и новее и iPod touch 6-го поколения
Воздействие: обработка вредоносного веб-контента может привести к выполнению произвольного кода
Описание: было несколько проблем с повреждением памяти, обратился с улучшенной обработки памяти.
Уязвимость CVE-2017-13884: 360 безопасности работы с тренд микро нулевой день инициатива
Запись добавлена 22 января 2018
В WebKit
Доступно для: iPhone 5s и новее, iPad Air и новее и iPod touch 6-го поколения
Воздействие: посещение вредоносного веб-сайта может привести к пользовательскому интерфейсу спуфинг
Описание: перенаправление ответы на 401 несанкционированного может позволить вредоносный веб-сайт неправильно отображается значок блокировки смешанного контента. Эта проблема была решена путем совершенствования отображаемый url логики.
Уязвимость CVE-2017-7153: Джерри Decime
Запись добавлена 11 января 2018 года
В WebKit
Доступно для: iPhone 5s и новее, iPad Air и новее и iPod touch 6-го поколения
Воздействие: обработка вредоносного веб-контента может привести к выполнению произвольного кода
Описание: было несколько проблем с повреждением памяти, обратился с улучшенной обработки памяти.
Уязвимость CVE-2017-7156: Юань-Дэн-Муравей финансовых светового года Лаборатория безопасности
Уязвимость CVE-2017-7157: анонимный исследователь
Уязвимость CVE-2017-13856: Jeonghoon шин
Уязвимость CVE-2017-13870: компания Tencent увлекается безопасности Лаборатории (@keen_lab) работа с тренд Майкро День Ноль инициативы
Уязвимость CVE-2017-7160: Ричард Чжу (флуоресценции) работа с инициатива нулевого дня «тренд Майкро»
Уязвимость CVE-2017-13866: компания Tencent увлекается безопасности Лаборатории (@keen_lab) работа с тренд Майкро День Ноль инициативы
Запись добавлено 13 декабря 2017 года, обновлено 4 мая 2018 года
Интернет Wi-Fi Интернет
Доступно для: iPhone 6s и iPhone 6s плюс, iPhone 6, iPhone 6 плюс, iPhone SE и iPhone 5 с, 12,9-дюймовый iPad Pro с 1-го поколения, iPad воздуха 2, iPad воздуха, iPad 5-го поколения, iPad мини 4, iPad мини 3, iPad мини 2, и iPod touch 6-го поколения
Выпущен для iPhone 7, а позже и iPad Pro с 9,7-дюймовым (начало 2016 года), а затем в прошивкой 11.1.
Последствия: злоумышленник в Wi-Fi диапазона может повторно использовать код в многоадресных потоков данных WPA/ГТК (ключевые атак переустановка — KRACK)
Описание: существовала проблема логики в обработке переходов состояний. Эта проблема решается с совершенствованием государственного управления.
Уязвимость CVE-2017-13080: Vanhoef Мати из імес-DistriNet группы в Ku Левен
Дополнительная признание
В WebKit
Мы хотели бы отметить Yiğit можете Йылмаз (@yilmazcanyigit) и Abhinash Джейн (@abhinashjain) исследователь за их помощь.
Запись добавлена 14 февраля 2018 года, обновлено 9 апреля 2018 года,
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции. Apple не делает никаких заявлений относительно стороннего точность сайт или надежность. Риски, связанные с использованием Интернета. Обратитесь к поставщику за дополнительной информацией. Другие названия компаний и продуктов могут быть товарными знаками их соответствующих владельцев.