Apple iOS 11.0.1 rilasciato e dovresti eseguire l'aggiornamento adesso

Bluetooth

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: un'applicazione potrebbe essere in grado di accedere ai file con restrizioni

Descrizione: si è verificato un problema di privacy nella gestione delle schede dei contatti. Ciò è stato affrontato con una migliore gestione statale.

CVE-2017-7131: un ricercatore anonimo, Elvis (@elvisimprsntr), Dominik Conrads of Federal Office for Information Security, un ricercatore anonimo

Voce aggiunta il 25 settembre 2017

Proxy CFNetwork

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: un utente malintenzionato in una posizione di rete privilegiata potrebbe essere in grado di causare una negazione del servizio

Descrizione: numerosi problemi di negazione del servizio sono stati risolti attraverso una migliore gestione della memoria.

CVE-2017-7083: Abhinav Bansal di Zscaler Inc.

Voce aggiunta il 25 settembre 2017

CoreAudio

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: un'applicazione potrebbe essere in grado di leggere la memoria limitata

Descrizione: una lettura fuori limite è stata risolta aggiornando la versione 1.1.4 di Opus.

CVE-2017-0381: V.E.O (@VYSEa) del Mobile Research Research Team, Trend Micro

Voce aggiunta il 25 settembre 2017

Scambia Activesync

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: un utente malintenzionato in una posizione di rete privilegiata potrebbe essere in grado di cancellare un dispositivo durante la configurazione dell'account Exchange

Descrizione: si è verificato un problema di convalida in AutoDiscover V1. Ciò è stato risolto richiedendo TLS per AutoDiscover V1. AutoDiscover V2 è ora supportato.

CVE-2017-7088: Ilya Nesterov, Maxim Goncharov

Heimdal

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: un utente malintenzionato in una posizione di rete privilegiata potrebbe essere in grado di rappresentare un servizio

Descrizione: si è verificato un problema di convalida nella gestione del nome del servizio KDC-REP. Questo problema è stato risolto attraverso una migliore convalida.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni e Nico Williams

Voce aggiunta il 25 settembre 2017

iBook

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: l'analisi di un file iBooks pericoloso può causare una negazione del servizio persistente

Descrizione: numerosi problemi di negazione del servizio sono stati risolti attraverso una migliore gestione della memoria.

CVE-2017-7072: Jędrzej Krysztofiak

nocciolo

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: un'applicazione potrebbe essere in grado di eseguire codice arbitrario con privilegi del kernel

Descrizione: è stato risolto un problema di danneggiamento della memoria con una migliore gestione della memoria.

CVE-2017-7114: Alex Plaskett di MWR InfoSecurity

Voce aggiunta il 25 settembre 2017

Suggerimenti da tastiera

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: i suggerimenti di correzione automatica della tastiera possono rivelare informazioni riservate

Descrizione: la tastiera iOS stava inavvertitamente memorizzando nella cache informazioni riservate. Questo problema è stato risolto con l'euristica migliorata.

CVE-2017-7140: un ricercatore anonimo

Voce aggiunta il 25 settembre 2017

libc

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: un utente malintenzionato remoto può essere in grado di causare una negazione del servizio

Descrizione: un problema di esaurimento delle risorse in glob () è stato risolto attraverso un algoritmo migliorato.

CVE-2017-7086: Russ Cox di Google

Voce aggiunta il 25 settembre 2017

libc

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: un'applicazione potrebbe essere in grado di causare una negazione del servizio

Descrizione: un problema di consumo di memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-1000373

Voce aggiunta il 25 settembre 2017

libexpat

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: molteplici problemi in espatriato

Descrizione: più problemi sono stati risolti aggiornando alla versione 2.2.1

CVE-2016-9063

CVE-2017-9233

Voce aggiunta il 25 settembre 2017

Quadro di localizzazione

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: un'applicazione potrebbe essere in grado di leggere informazioni sulla posizione sensibile

Descrizione: si è verificato un problema di autorizzazioni nella gestione della variabile di posizione. Questo è stato risolto con ulteriori controlli di proprietà.

CVE-2017-7148: un ricercatore anonimo, un ricercatore anonimo

Voce aggiunta il 25 settembre 2017

Bozze di posta

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: un utente malintenzionato con una posizione di rete privilegiata potrebbe essere in grado di intercettare il contenuto della posta

Descrizione: si è verificato un problema di crittografia nella gestione delle bozze di posta. Questo problema è stato risolto con una migliore gestione delle bozze di posta destinate a essere inviate crittografate.

CVE-2017-7078: un ricercatore anonimo, un ricercatore anonimo, un ricercatore anonimo

Voce aggiunta il 25 settembre 2017

UI messaggio di posta

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: l'elaborazione di un'immagine pericolosa può provocare una negazione del servizio

Descrizione: un problema di corruzione della memoria è stato risolto con una migliore convalida.

CVE-2017-7097: Xinshu Dong e Jun Hao Tan di Anquan Capital

messaggi

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: l'elaborazione di un'immagine pericolosa può provocare una negazione del servizio

Descrizione: un problema di negazione del servizio è stato risolto attraverso una migliore convalida.

CVE-2017-7118: Kiki Jiang e Jason Tokoph

MobileBackup

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: il backup può eseguire un backup non crittografato nonostante sia necessario eseguire solo backup crittografati

Descrizione: si è verificato un problema con le autorizzazioni. Questo problema è stato risolto con una migliore convalida delle autorizzazioni.

CVE-2017-7133: Don Sparks di HackediOS.com

Telefono

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: quando si blocca un dispositivo iOS è possibile acquisire uno screenshot di contenuto sicuro

Descrizione: si è verificato un problema di temporizzazione nella gestione del blocco. Questo problema è stato risolto disabilitando gli screenshot durante il blocco.

CVE-2017-7139: un ricercatore anonimo

Voce aggiunta il 25 settembre 2017

Safari

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: la visita di un sito Web dannoso può comportare lo spoofing della barra degli indirizzi

Descrizione: è stato risolto un problema incoerente dell'interfaccia utente con una migliore gestione dello stato.

CVE-2017-7085: xisigr del Xuanwu Lab di Tencent (tencent.com)

Sicurezza

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: un certificato revocato può essere considerato attendibile

Descrizione: si è verificato un problema di convalida del certificato nella gestione dei dati di revoca. Questo problema è stato risolto attraverso una migliore convalida.

CVE-2017-7080: un ricercatore anonimo, un ricercatore anonimo, Sven Driemecker di adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) di Bærum kommune

Voce aggiunta il 25 settembre 2017

Sicurezza

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: un'app dannosa potrebbe essere in grado di tracciare gli utenti tra le installazioni

Descrizione: si è verificato un problema di controllo delle autorizzazioni nella gestione dei dati del portachiavi di un'app. Questo problema è stato risolto con un controllo delle autorizzazioni migliorato.

CVE-2017-7146: un ricercatore anonimo

Voce aggiunta il 25 settembre 2017

SQLite

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: molteplici problemi in SQLite

Descrizione: più problemi sono stati risolti aggiornando alla versione 3.19.3.

CVE-2017-10989: trovato da OSS-Fuzz

CVE-2017-7128: trovato da OSS-Fuzz

CVE-2017-7129: trovato da OSS-Fuzz

CVE-2017-7130: trovato da OSS-Fuzz

Voce aggiunta il 25 settembre 2017

SQLite

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: un'applicazione potrebbe essere in grado di eseguire codice arbitrario con privilegi di sistema

Descrizione: è stato risolto un problema di danneggiamento della memoria con una migliore gestione della memoria.

CVE-2017-7127: un ricercatore anonimo

Voce aggiunta il 25 settembre 2017

Tempo

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: "Impostazione del fuso orario" potrebbe indicare erroneamente che sta utilizzando la posizione

Descrizione: si è verificato un problema con le autorizzazioni nel processo che gestisce le informazioni sul fuso orario. Il problema è stato risolto modificando le autorizzazioni.

CVE-2017-7145: un ricercatore anonimo

Voce aggiunta il 25 settembre 2017

WebKit

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: l'elaborazione di contenuto Web pericoloso può provocare l'esecuzione di codice arbitrario

Descrizione: un problema di corruzione della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-7081: Apple

Voce aggiunta il 25 settembre 2017

WebKit

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: l'elaborazione di contenuto Web pericoloso può provocare l'esecuzione di codice arbitrario

Descrizione: più problemi di corruzione della memoria sono stati risolti con una migliore gestione della memoria.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan del Baidu Security Lab collabora con Zero Day Initiative di Trend Micro

CVE-2017-7092: Samuel Gro e Niklas Baumstark in collaborazione con Zero Day Initiative di Trend Micro, Qixun Zhao (@ S0rryMybad) del team Vulcan di Qihoo 360

CVE-2017-7093: Samuel Gro e Niklas Baumstark in collaborazione con Zero Day Initiative di Trend Micro

CVE-2017-7094: Tim Michaud (@TimGMichaud) del Leviathan Security Group

CVE-2017-7095: Wang Junjie, Wei Lei e Liu Yang dell'Università tecnologica di Nanyang in collaborazione con Zero Day Initiative di Trend Micro

CVE-2017-7096: Wei Yuan del Baidu Security Lab

CVE-2017-7098: Felipe Freitas dell'Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa e Mario Heiderich di Cure53

CVE-2017-7102: Wang Junjie, Wei Lei e Liu Yang dell'Università tecnologica di Nanyang

CVE-2017-7104: simile a Baidu Secutity Lab

CVE-2017-7107: Wang Junjie, Wei Lei e Liu Yang dell'Università tecnologica di Nanyang

CVE-2017-7111: simile a Baidu Security Lab (xlab.baidu.com) in collaborazione con Zero Day Initiative di Trend Micro

CVE-2017-7117: lokihardt di Google Project Zero

CVE-2017-7120: chenqin (陈钦) di Ant-financial Light-Year Security Lab

Voce aggiunta il 25 settembre 2017

WebKit

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: l'elaborazione di contenuti Web creati in modo pericoloso può portare a scripting cross site universali

Descrizione: si è verificato un problema logico nella gestione della scheda padre. Questo problema è stato risolto con una migliore gestione statale.

CVE-2017-7089: Anton Lopanitsyn di ONSEC, Frans Rosén di Detectify

WebKit

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: i cookie appartenenti a un'origine possono essere inviati a un'altra origine

Descrizione: si verificava un problema di autorizzazioni nella gestione dei cookie del browser Web. Questo problema è stato risolto non restituendo più cookie per schemi URL personalizzati.

CVE-2017-7090: Apple

Voce aggiunta il 25 settembre 2017

WebKit

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: la visita di un sito Web dannoso può comportare lo spoofing della barra degli indirizzi

Descrizione: è stato risolto un problema incoerente dell'interfaccia utente con una migliore gestione dello stato.

CVE-2017-7106: Oliver Paukstadt di Thinking Objects GmbH (to.com)

WebKit

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: l'elaborazione di contenuto Web pericoloso può causare un attacco di scripting tra siti

Descrizione: i criteri della cache dell'applicazione potrebbero essere applicati in modo imprevisto.

CVE-2017-7109: avlidienbrunn

Voce aggiunta il 25 settembre 2017

WebKit

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: un sito Web dannoso potrebbe essere in grado di tracciare gli utenti nella modalità di navigazione privata di Safari

Descrizione: si verificava un problema di autorizzazioni nella gestione dei cookie del browser Web. Questo problema è stato risolto con restrizioni migliorate.

CVE-2017-7144: un ricercatore anonimo

Voce aggiunta il 25 settembre 2017

Wi-Fi

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: un attaccante nel raggio di azione potrebbe essere in grado di eseguire codice arbitrario sul chip Wi-Fi

Descrizione: è stato risolto un problema di danneggiamento della memoria con una migliore gestione della memoria.

CVE-2017-11120: Gal Beniamini di Google Project Zero

CVE-2017-11121: Gal Beniamini di Google Project Zero

Voce aggiunta il 25 settembre 2017

Wi-Fi

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: l'esecuzione di codice dannoso sul chip Wi-Fi potrebbe essere in grado di eseguire codice arbitrario con privilegi del kernel sul processore dell'applicazione

Descrizione: è stato risolto un problema di danneggiamento della memoria con una migliore gestione della memoria.

CVE-2017-7103: Gal Beniamini di Google Project Zero

CVE-2017-7105: Gal Beniamini di Google Project Zero

CVE-2017-7108: Gal Beniamini di Google Project Zero

CVE-2017-7110: Gal Beniamini di Google Project Zero

CVE-2017-7112: Gal Beniamini di Google Project Zero

Wi-Fi

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: l'esecuzione di codice dannoso sul chip Wi-Fi potrebbe essere in grado di eseguire codice arbitrario con privilegi del kernel sul processore dell'applicazione

Descrizione: più condizioni di gara sono state risolte attraverso una migliore validazione.

CVE-2017-7115: Gal Beniamini di Google Project Zero

Wi-Fi

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: l'esecuzione di codice dannoso sul chip Wi-Fi potrebbe essere in grado di leggere la memoria del kernel con restrizioni

Descrizione: è stato risolto un problema di convalida con una migliore sanificazione dell'input.

CVE-2017-7116: Gal Beniamini di Google Project Zero

zlib

Disponibile per: iPhone 5s e versioni successive, iPad Air e versioni successive e iPod touch di sesta generazione

Impatto: molteplici problemi in zlib

Descrizione: più problemi sono stati risolti aggiornando alla versione 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

fonte