Apple iOS 11.0.1 uitgebracht en u moet nu upgraden

Bluetooth

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een applicatie heeft mogelijk toegang tot beperkte bestanden

Beschrijving: er was een privacyprobleem bij de verwerking van contactkaarten. Dit is verholpen door een verbeterd statusbeheer.

CVE-2017-7131: een anonieme onderzoeker, Elvis (@elvisimprsntr), Dominik Conrads van Federal Office for Information Security, een anonieme onderzoeker

Toegevoegd op 25 september 2017

CFNetwork Proxies

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk een denial of service veroorzaken

Beschrijving: meerdere denial of service-problemen zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-7083: Abhinav Bansal van Zscaler Inc.

Toegevoegd op 25 september 2017

CoreAudio

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een programma kan mogelijk beperkt geheugen lezen

Beschrijving: een probleem met lezen buiten het bereik is verholpen door bij te werken naar Opus-versie 1.1.4.

CVE-2017-0381: V.E.O (@VYSEa) van het Mobile Threat Research Team, Trend Micro

Toegevoegd op 25 september 2017

Exchange ActiveSync

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk een apparaat wissen tijdens het instellen van een Exchange-account

Beschrijving: er was een validatieprobleem in AutoDiscover V1. Dit is verholpen door TLS te vereisen voor AutoDiscover V1. AutoDiscover V2 wordt nu ondersteund.

CVE-2017-7088: Ilya Nesterov, Maxim Goncharov

Heimdal

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan zich mogelijk voordoen als een service

Beschrijving: er was een validatieprobleem bij de verwerking van de KDC-REP-servicenaam. Dit probleem is verholpen door een verbeterde validatie.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni en Nico Williams

Toegevoegd op 25 september 2017

iBooks

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: het parseren van een kwaadwillig vervaardigd iBooks-bestand kan leiden tot een blijvende denial-of-service

Beschrijving: meerdere denial of service-problemen zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-7072: Jędrzej Krysztofiak

Kernel

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een programma kan mogelijk willekeurige code uitvoeren met kernelprivileges

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-7114: Alex Plaskett van MWR InfoSecurity

Toegevoegd op 25 september 2017

Toetsenbordsuggesties

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: suggesties voor autocorrectie via het toetsenbord kunnen gevoelige informatie onthullen

Beschrijving: het iOS-toetsenbord heeft per ongeluk gevoelige informatie in de cache opgeslagen. Dit probleem is verholpen door een verbeterde heuristiek.

CVE-2017-7140: een anonieme onderzoeker

Toegevoegd op 25 september 2017

libc

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een externe aanvaller kan mogelijk een denial-of-service veroorzaken

Beschrijving: een probleem met de uitputting van bronnen in glob () is verholpen door een verbeterd algoritme.

CVE-2017-7086: Russ Cox van Google

Toegevoegd op 25 september 2017

libc

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een toepassing kan een denial of service veroorzaken

Beschrijving: een probleem met geheugengebruik is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-1000373

Toegevoegd op 25 september 2017

libexpat

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: meerdere problemen in expat

Beschrijving: meerdere problemen zijn verholpen door bij te werken naar versie 2.2.1

CVE-2016-9063

CVE-2017-9233

Toegevoegd op 25 september 2017

Locatie Framework

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een applicatie kan mogelijk gevoelige locatiegegevens lezen

Beschrijving: er was een probleem met rechten bij de verwerking van de locatievariabele. Dit is verholpen met aanvullende eigendomscontroles.

CVE-2017-7148: een anonieme onderzoeker, een anonieme onderzoeker

Toegevoegd op 25 september 2017

Mail Concepten

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een aanvaller met een geprivilegieerde netwerkpositie kan mogelijk e-mailinhoud onderscheppen

Beschrijving: er was een coderingsprobleem bij de verwerking van e-mailconcepten. Dit probleem is verholpen door een verbeterde verwerking van e-mailconcepten die bedoeld waren om versleuteld te worden verzonden.

CVE-2017-7078: een anonieme onderzoeker, een anonieme onderzoeker, een anonieme onderzoeker

Toegevoegd op 25 september 2017

Mail MessageUI

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot denial of service

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde validatie.

CVE-2017-7097: Xinshu Dong en Jun Hao Tan van Anquan Capital

Berichten

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot denial of service

Beschrijving: een denial of service-probleem is verholpen door een verbeterde validatie.

CVE-2017-7118: Kiki Jiang en Jason Tokoph

MobileBackup

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: back-up kan een niet-versleutelde back-up uitvoeren ondanks de vereiste om alleen versleutelde back-ups te maken

Beschrijving: er was een probleem met toestemmingen. Dit probleem is verholpen door een verbeterde validatie van toestemmingen.

CVE-2017-7133: Don Sparks van HackediOS.com

Telefoon

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: er kan een screenshot van beveiligde inhoud worden gemaakt bij het vergrendelen van een iOS-apparaat

Beschrijving: er was een timingprobleem bij de verwerking van vergrendeling. Dit probleem is verholpen door schermafbeeldingen uit te schakelen tijdens het vergrendelen.

CVE-2017-7139: een anonieme onderzoeker

Toegevoegd op 25 september 2017

Safari

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een bezoek aan een kwaadaardige website kan leiden tot spoofing van de adresbalk

Beschrijving: een inconsistent probleem met de gebruikersinterface is verholpen door verbeterd statusbeheer.

CVE-2017-7085: xisigr van Tencent's Xuanwu Lab (tencent.com)

Veiligheid

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een ingetrokken certificaat kan worden vertrouwd

Beschrijving: er was een probleem met de validatie van een certificaat bij de verwerking van intrekkingsgegevens. Dit probleem is verholpen door een verbeterde validatie.

CVE-2017-7080: een anonieme onderzoeker, een anonieme onderzoeker, Sven Driemecker van adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) van Bærum kommune

Toegevoegd op 25 september 2017

Veiligheid

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een kwaadaardige app kan mogelijk gebruikers volgen tussen installaties

Beschrijving: er was een probleem met het controleren van toestemming bij de verwerking van de sleutelhanger-gegevens van een app. Dit probleem is verholpen door een verbeterde controle van de rechten.

CVE-2017-7146: een anonieme onderzoeker

Toegevoegd op 25 september 2017

SQLite

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: meerdere problemen in SQLite

Beschrijving: meerdere problemen zijn verholpen door bij te werken naar versie 3.19.3.

CVE-2017-10989: gevonden door OSS-Fuzz

CVE-2017-7128: gevonden door OSS-Fuzz

CVE-2017-7129: gevonden door OSS-Fuzz

CVE-2017-7130: gevonden door OSS-Fuzz

Toegevoegd op 25 september 2017

SQLite

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een programma kan mogelijk willekeurige code uitvoeren met systeemrechten

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-7127: een anonieme onderzoeker

Toegevoegd op 25 september 2017

Tijd

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: "Tijdzone instellen" geeft mogelijk ten onrechte aan dat de locatie wordt gebruikt

Beschrijving: er was een probleem met toestemmingen in het proces dat tijdzone-informatie verwerkt. Het probleem is opgelost door de rechten te wijzigen.

CVE-2017-7145: een anonieme onderzoeker

Toegevoegd op 25 september 2017

WebKit

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-7081: Apple

Toegevoegd op 25 september 2017

WebKit

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan van Baidu Security Lab in samenwerking met het Zero Day Initiative van Trend Micro

CVE-2017-7092: Samuel Gro en Niklas Baumstark in samenwerking met het Zero Day Initiative van Trend Micro, Qixun Zhao (@ S0rryMybad) van het Qihoo 360 Vulcan Team

CVE-2017-7093: Samuel Gro en Niklas Baumstark in samenwerking met het Zero Day Initiative van Trend Micro

CVE-2017-7094: Tim Michaud (@TimGMichaud) van Leviathan Security Group

CVE-2017-7095: Wang Junjie, Wei Lei en Liu Yang van de Nanyang Technological University in samenwerking met het Zero Day Initiative van Trend Micro

CVE-2017-7096: Wei Yuan van Baidu Security Lab

CVE-2017-7098: Felipe Freitas van Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa en Mario Heiderich van Cure53

CVE-2017-7102: Wang Junjie, Wei Lei en Liu Yang van de Nanyang Technological University

CVE-2017-7104: likemeng van Baidu Secutity Lab

CVE-2017-7107: Wang Junjie, Wei Lei en Liu Yang van de Nanyang Technological University

CVE-2017-7111: likemeng van Baidu Security Lab (xlab.baidu.com) in samenwerking met het Zero Day Initiative van Trend Micro

CVE-2017-7117: lokihardt van Google Project Zero

CVE-2017-7120: chenqin (陈钦) van Ant-financial Light-Year Security Lab

Toegevoegd op 25 september 2017

WebKit

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot universele cross-site scripting

Beschrijving: er was een logisch probleem bij de verwerking van het bovenliggende tabblad. Dit probleem is verholpen door een verbeterd statusbeheer.

CVE-2017-7089: Anton Lopanitsyn van ONSEC, Frans Rosén van Detectify

WebKit

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: cookies die tot een bepaalde oorsprong behoren, kunnen naar een andere oorsprong worden gestuurd

Beschrijving: er was een probleem met toestemmingen bij de verwerking van webbrowser-cookies. Dit probleem is verholpen door geen cookies meer terug te sturen voor aangepaste URL-schema's.

CVE-2017-7090: Apple

Toegevoegd op 25 september 2017

WebKit

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een bezoek aan een kwaadaardige website kan leiden tot spoofing van de adresbalk

Beschrijving: een inconsistent probleem met de gebruikersinterface is verholpen door verbeterd statusbeheer.

CVE-2017-7106: Oliver Paukstadt van Thinking Objects GmbH (to.com)

WebKit

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot een cross-site scripting-aanval

Beschrijving: Application Cache-beleid kan onverwachts worden toegepast.

CVE-2017-7109: avlidienbrunn

Toegevoegd op 25 september 2017

WebKit

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een kwaadwillende website kan mogelijk gebruikers volgen in de modus voor privé browsen in Safari

Beschrijving: er was een probleem met toestemmingen bij de verwerking van webbrowser-cookies. Dit probleem is verholpen door verbeterde beperkingen.

CVE-2017-7144: een anonieme onderzoeker

Toegevoegd op 25 september 2017

Wifi

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: een aanvaller binnen het bereik kan mogelijk willekeurige code uitvoeren op de wifi-chip

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-11120: Gal Beniamini van Google Project Zero

CVE-2017-11121: Gal Beniamini van Google Project Zero

Toegevoegd op 25 september 2017

Wifi

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: schadelijke code die wordt uitgevoerd op de wifi-chip, kan mogelijk willekeurige code uitvoeren met kernelrechten op de toepassingsprocessor

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-7103: Gal Beniamini van Google Project Zero

CVE-2017-7105: Gal Beniamini van Google Project Zero

CVE-2017-7108: Gal Beniamini van Google Project Zero

CVE-2017-7110: Gal Beniamini van Google Project Zero

CVE-2017-7112: Gal Beniamini van Google Project Zero

Wifi

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: schadelijke code die wordt uitgevoerd op de wifi-chip, kan mogelijk willekeurige code uitvoeren met kernelrechten op de toepassingsprocessor

Beschrijving: meerdere race-omstandigheden zijn verholpen door verbeterde validatie.

CVE-2017-7115: Gal Beniamini van Google Project Zero

Wifi

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: schadelijke code die wordt uitgevoerd op de wifi-chip, kan mogelijk beperkt kernelgeheugen lezen

Beschrijving: een validatieprobleem is verholpen door een verbeterde invoeropschoning.

CVE-2017-7116: Gal Beniamini van Google Project Zero

zlib

Beschikbaar voor: iPhone 5s en hoger, iPad Air en hoger en iPod touch 6e generatie

Impact: meerdere problemen in zlib

Beschrijving: meerdere problemen zijn verholpen door bij te werken naar versie 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Bron