Apple iOS 11.0.1 est sorti et vous devriez mettre à niveau maintenant

Bluetooth

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Conséquences: une application peut accéder à des fichiers restreints

Description: un problème de confidentialité existait dans la gestion des cartes de contact. Ce problème a été résolu par une meilleure gestion de l'État.

CVE-2017-7131: un chercheur anonyme, Elvis (@elvisimprsntr), Dominik Conrads de l'Office fédéral de la sécurité de l'information, un chercheur anonyme

Entrée ajoutée le 25 septembre 2017

Proxy CFNetwork

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Conséquences: un attaquant se trouvant dans une position privilégiée sur le réseau peut être en mesure de provoquer un déni de service

Description: plusieurs problèmes de déni de service ont été résolus grâce à une meilleure gestion de la mémoire.

CVE-2017-7083: Abhinav Bansal de Zscaler Inc.

Entrée ajoutée le 25 septembre 2017

CoreAudio

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Conséquences: une application peut lire la mémoire restreinte

Description: une lecture hors limites a été corrigée par la mise à jour vers la version 1.1.4 d'Opus.

CVE-2017-0381: V.E.O (@VYSEa) de Mobile Threat Research Team, Trend Micro

Entrée ajoutée le 25 septembre 2017

Exchange Activesync

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Conséquences: un attaquant se trouvant dans une position privilégiée sur le réseau peut être en mesure d'effacer un appareil pendant la configuration du compte Exchange

Description: un problème de validation existait dans AutoDiscover V1. Ce problème a été résolu en exigeant TLS pour AutoDiscover V1. AutoDiscover V2 est désormais pris en charge.

CVE-2017-7088: Ilya Nesterov, Maxim Goncharov

Heimdal

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Conséquences: un attaquant se trouvant dans une position privilégiée sur le réseau peut être en mesure d'usurper l'identité d'un service

Description: un problème de validation existait dans la gestion du nom du service KDC-REP. Ce problème a été résolu par une meilleure validation.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni et Nico Williams

Entrée ajoutée le 25 septembre 2017

iBooks

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Conséquences: l'analyse d'un fichier iBooks conçu de manière malveillante peut entraîner un déni de service persistant

Description: plusieurs problèmes de déni de service ont été résolus grâce à une meilleure gestion de la mémoire.

CVE-2017-7072: Jędrzej Krysztofiak

Noyau

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Conséquences: une application peut exécuter du code arbitraire avec les privilèges du noyau

Description: un problème de corruption de mémoire a été résolu grâce à une meilleure gestion de la mémoire.

CVE-2017-7114: Alex Plaskett de MWR InfoSecurity

Entrée ajoutée le 25 septembre 2017

Suggestions de clavier

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Conséquences: les suggestions de correction automatique du clavier peuvent révéler des informations sensibles

Description: le clavier iOS mettait en cache par inadvertance des informations sensibles. Ce problème a été résolu avec une heuristique améliorée.

CVE-2017-7140: un chercheur anonyme

Entrée ajoutée le 25 septembre 2017

libc

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Conséquences: un attaquant distant peut provoquer un déni de service

Description: un problème d'épuisement des ressources dans glob () a été résolu grâce à un algorithme amélioré.

CVE-2017-7086: Russ Cox de Google

Entrée ajoutée le 25 septembre 2017

libc

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Conséquence: une application peut provoquer un déni de service

Description: un problème de consommation de mémoire a été résolu par une meilleure gestion de la mémoire.

CVE-2017-1000373

Entrée ajoutée le 25 septembre 2017

libexpat

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Impact: plusieurs problèmes dans l'expatrié

Description: plusieurs problèmes ont été résolus par la mise à jour vers la version 2.2.1

CVE-2016-9063

CVE-2017-9233

Entrée ajoutée le 25 septembre 2017

Cadre de localisation

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Conséquences: une application peut lire des informations de localisation sensibles

Description: un problème d'autorisations existait dans la gestion de la variable d'emplacement. Ce problème a été résolu par des contrôles de propriété supplémentaires.

CVE-2017-7148: un chercheur anonyme, un chercheur anonyme

Entrée ajoutée le 25 septembre 2017

Brouillons de courrier

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Conséquences: un attaquant disposant d'une position privilégiée sur le réseau peut être en mesure d'intercepter le contenu du courrier

Description: un problème de chiffrement existait dans la gestion des brouillons de courrier. Ce problème a été résolu par une meilleure gestion des brouillons de courrier destinés à être envoyés cryptés.

CVE-2017-7078: un chercheur anonyme, un chercheur anonyme, un chercheur anonyme

Entrée ajoutée le 25 septembre 2017

Mail MessageUI

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Conséquences: le traitement d'une image conçue de manière malveillante peut entraîner un déni de service

Description: un problème de corruption de mémoire a été résolu grâce à une validation améliorée.

CVE-2017-7097: Xinshu Dong et Jun Hao Tan d'Anquan Capital

messages

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Conséquences: le traitement d'une image conçue de manière malveillante peut entraîner un déni de service

Description: un problème de déni de service a été résolu grâce à une validation améliorée.

CVE-2017-7118: Kiki Jiang et Jason Tokoph

MobileBackup

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Conséquences: la sauvegarde peut effectuer une sauvegarde non chiffrée malgré l'obligation de n'effectuer que des sauvegardes chiffrées

Description: un problème d'autorisations existait. Ce problème a été résolu par une meilleure validation des autorisations.

CVE-2017-7133: Don Sparks de HackediOS.com

Téléphone

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Conséquences: une capture d'écran du contenu sécurisé peut être prise lors du verrouillage d'un appareil iOS

Description: un problème de synchronisation existait dans la gestion du verrouillage. Ce problème a été résolu en désactivant les captures d'écran lors du verrouillage.

CVE-2017-7139: un chercheur anonyme

Entrée ajoutée le 25 septembre 2017

Safari

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Conséquences: la visite d'un site Web malveillant peut entraîner une usurpation de la barre d'adresse

Description: un problème d'interface utilisateur incohérent a été résolu grâce à une meilleure gestion des états.

CVE-2017-7085: xisigr du laboratoire Xuanwu de Tencent (tencent.com)

Sécurité

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Conséquences: un certificat révoqué peut être approuvé

Description: un problème de validation de certificat existait dans la gestion des données de révocation. Ce problème a été résolu par une meilleure validation.

CVE-2017-7080: un chercheur anonyme, un chercheur anonyme, Sven Driemecker de adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) de Bærum kommune

Entrée ajoutée le 25 septembre 2017

Sécurité

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Conséquences: une application malveillante peut être en mesure de suivre les utilisateurs entre les installations

Description: un problème de vérification des autorisations existait dans la gestion des données du trousseau d'une application. Ce problème a été résolu par une meilleure vérification des autorisations.

CVE-2017-7146: un chercheur anonyme

Entrée ajoutée le 25 septembre 2017

SQLite

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Impact: plusieurs problèmes dans SQLite

Description: plusieurs problèmes ont été résolus par la mise à jour vers la version 3.19.3.

CVE-2017-10989: trouvé par OSS-Fuzz

CVE-2017-7128: trouvé par OSS-Fuzz

CVE-2017-7129: trouvé par OSS-Fuzz

CVE-2017-7130: trouvé par OSS-Fuzz

Entrée ajoutée le 25 septembre 2017

SQLite

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Conséquences: une application peut être en mesure d'exécuter du code arbitraire avec des privilèges système

Description: un problème de corruption de mémoire a été résolu grâce à une meilleure gestion de la mémoire.

CVE-2017-7127: un chercheur anonyme

Entrée ajoutée le 25 septembre 2017

Temps

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Impact: «Définition du fuseau horaire» peut indiquer à tort qu'il utilise l'emplacement

Description: un problème d'autorisations existait dans le processus de traitement des informations de fuseau horaire. Le problème a été résolu en modifiant les autorisations.

CVE-2017-7145: un chercheur anonyme

Entrée ajoutée le 25 septembre 2017

WebKit

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Conséquences: le traitement de contenu Web conçu de manière malveillante peut entraîner l'exécution de code arbitraire

Description: un problème de corruption de mémoire a été résolu par une meilleure validation des entrées.

CVE-2017-7081: Apple

Entrée ajoutée le 25 septembre 2017

WebKit

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Conséquences: le traitement de contenu Web conçu de manière malveillante peut entraîner l'exécution de code arbitraire

Description: plusieurs problèmes de corruption de mémoire ont été résolus grâce à une meilleure gestion de la mémoire.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan du Baidu Security Lab travaille avec Zero Day Initiative de Trend Micro

CVE-2017-7092: Samuel Gro et Niklas Baumstark travaillant avec Zero Day Initiative de Trend Micro, Qixun Zhao (@ S0rryMybad) de Qihoo 360 Vulcan Team

CVE-2017-7093: Samuel Gro et Niklas Baumstark travaillant avec Zero Day Initiative de Trend Micro

CVE-2017-7094: Tim Michaud (@TimGMichaud) de Leviathan Security Group

CVE-2017-7095: Wang Junjie, Wei Lei et Liu Yang de l'Université technologique de Nanyang travaillant avec Zero Day Initiative de Trend Micro

CVE-2017-7096: Wei Yuan du laboratoire de sécurité de Baidu

CVE-2017-7098: Felipe Freitas de l'Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa et Mario Heiderich de Cure53

CVE-2017-7102: Wang Junjie, Wei Lei et Liu Yang de l'Université technologique de Nanyang

CVE-2017-7104: likemeng de Baidu Secutity Lab

CVE-2017-7107: Wang Junjie, Wei Lei et Liu Yang de l'Université technologique de Nanyang

CVE-2017-7111: likemeng de Baidu Security Lab (xlab.baidu.com) travaillant avec Zero Day Initiative de Trend Micro

CVE-2017-7117: lokihardt de Google Project Zero

CVE-2017-7120: chenqin (陈钦) de Ant-financial Light-Year Security Lab

Entrée ajoutée le 25 septembre 2017

WebKit

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Conséquences: le traitement de contenu Web conçu de manière malveillante peut conduire à un scriptage intersite universel

Description: un problème de logique existait dans la gestion de l'onglet parent. Ce problème a été résolu par une meilleure gestion de l'État.

CVE-2017-7089: Anton Lopanitsyn de l'ONSEC, Frans Rosén de Detectify

WebKit

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Conséquences: les cookies appartenant à une origine peuvent être envoyés à une autre origine

Description: un problème d'autorisations existait dans la gestion des cookies du navigateur Web. Ce problème a été résolu en ne renvoyant plus de cookies pour les schémas d'URL personnalisés.

CVE-2017-7090: Apple

Entrée ajoutée le 25 septembre 2017

WebKit

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Conséquences: la visite d'un site Web malveillant peut entraîner une usurpation de la barre d'adresse

Description: un problème d'interface utilisateur incohérent a été résolu grâce à une meilleure gestion des états.

CVE-2017-7106: Oliver Paukstadt de Thinking Objects GmbH (to.com)

WebKit

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Conséquences: le traitement de contenu Web conçu de manière malveillante peut entraîner une attaque de script intersite

Description: la stratégie de cache d'application peut être appliquée de manière inattendue.

CVE-2017-7109: avlidienbrunn

Entrée ajoutée le 25 septembre 2017

WebKit

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Conséquences: un site Web malveillant peut être en mesure de suivre les utilisateurs en mode de navigation privée Safari

Description: un problème d'autorisations existait dans la gestion des cookies du navigateur Web. Ce problème a été résolu par des restrictions améliorées.

CVE-2017-7144: un chercheur anonyme

Entrée ajoutée le 25 septembre 2017

Wifi

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Impact: un attaquant à portée peut exécuter du code arbitraire sur la puce Wi-Fi

Description: un problème de corruption de mémoire a été résolu grâce à une meilleure gestion de la mémoire.

CVE-2017-11120: Gal Beniamini de Google Project Zero

CVE-2017-11121: Gal Beniamini de Google Project Zero

Entrée ajoutée le 25 septembre 2017

Wifi

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Conséquences: un code malveillant exécuté sur la puce Wi-Fi peut être en mesure d'exécuter du code arbitraire avec des privilèges de noyau sur le processeur d'application

Description: un problème de corruption de mémoire a été résolu grâce à une meilleure gestion de la mémoire.

CVE-2017-7103: Gal Beniamini de Google Project Zero

CVE-2017-7105: Gal Beniamini de Google Project Zero

CVE-2017-7108: Gal Beniamini de Google Project Zero

CVE-2017-7110: Gal Beniamini de Google Project Zero

CVE-2017-7112: Gal Beniamini de Google Project Zero

Wifi

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Conséquences: un code malveillant exécuté sur la puce Wi-Fi peut être en mesure d'exécuter du code arbitraire avec des privilèges de noyau sur le processeur d'application

Description: plusieurs conditions de concurrence ont été traitées grâce à une validation améliorée.

CVE-2017-7115: Gal Beniamini de Google Project Zero

Wifi

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Conséquences: un code malveillant exécuté sur la puce Wi-Fi peut lire la mémoire du noyau restreinte

Description: un problème de validation a été résolu par une amélioration du nettoyage des entrées.

CVE-2017-7116: Gal Beniamini de Google Project Zero

zlib

Disponible pour: iPhone 5s et versions ultérieures, iPad Air et versions ultérieures et iPod touch 6e génération

Impact: plusieurs problèmes dans zlib

Description: plusieurs problèmes ont été résolus par la mise à jour vers la version 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

La source