IOS 10.3.2 Ufficialmente rilasciato con 23 correzioni di bug
Fix di sicurezza di iOS 10.3.2 ecco cosa cambia in iOS 10.3.2
Disponibile per: iPhone 5 e versioni successive, iPad 4 e successive, e iPod touch 6a generazione
Impatto: un’applicazione potrebbe essere in grado di ottenere privilegi di kernel
Descrizione: Un problema di corruzione della memoria è stato affrontato con una migliore gestione della memoria.
CVE-2017-6989: Adam Donenfeld (@doadam) del team Zimperium zLabs
CoreAudio
Disponibile per: iPhone 5 e versioni successive, iPad 4 e successive, e iPod touch 6a generazione
Impatto: un’applicazione potrebbe essere in grado di leggere la memoria limitata
Descrizione: Un problema di convalida è stato affrontato con una migliorata sanificazione dell’input.
CVE-2017-2502: Yangkang (@dnpushme) di Qihoo360 Qex Team
iBook
Disponibile per: iPhone 5 e versioni successive, iPad 4 e successive, e iPod touch 6a generazione
Impatto: un libro maligno può aprire siti web arbitrari senza l’autorizzazione dell’utente
Descrizione: Un problema di gestione di URL è stato affrontato tramite una migliore gestione dello stato.
CVE-2017-2497: Jun Kokatsu (@shhnjk)
iBook
Disponibile per: iPhone 5 e versioni successive, iPad 4 e successive, e iPod touch 6a generazione
Impatto: un’applicazione potrebbe essere in grado di eseguire codice arbitrario con privilegi di root
Descrizione: Un problema esisteva all’interno della logica di convalida del percorso per i collegamenti. Questo problema è stato affrontato attraverso una migliore sanificazione del percorso.
CVE-2017-6981: evi1m0 di YSRC (sec.ly.com)
IOSurface
Disponibile per: iPhone 5 e versioni successive, iPad 4 e successive, e iPod touch 6a generazione
Impatto: un’applicazione potrebbe essere in grado di ottenere privilegi di kernel
Descrizione: Un problema di corruzione della memoria è stato affrontato con una migliore gestione della memoria.
CVE-2017-6979: Adam Donenfeld di Zimperium zLabs
nocciolo
Disponibile per: iPhone 5 e versioni successive, iPad 4 e successive, e iPod touch 6a generazione
Impatto: un’applicazione potrebbe essere in grado di eseguire codice arbitrario con privilegi di kernel
Descrizione: Una condizione di corsa è stata affrontata grazie a un blocco migliore.
CVE-2017-2501: Ian Beer di Google Project Zero
nocciolo
Disponibile per: iPhone 5 e versioni successive, iPad 4 e successive, e iPod touch 6a generazione
Impatto: un’applicazione potrebbe essere in grado di leggere la memoria limitata
Descrizione: Un problema di convalida è stato affrontato con una migliorata sanificazione dell’input.
CVE-2017-2507: Ian Beer di Google Project Zero
CVE-2017-6987: Patrick Wardle di Synack
notifiche
Disponibile per: iPhone 5 e versioni successive, iPad 4 e successive, e iPod touch 6a generazione
Impatto: un’applicazione potrebbe essere in grado di causare una negazione del servizio
Descrizione: Un problema di diniego del servizio è stato affrontato attraverso una migliore gestione della memoria.
CVE-2017-6982: Vincent Desmurs (vincedes3), Sem Voigtlander (OxFEEDFACE) e Joseph Shenton di CoffeeBreakers
Safari
Disponibile per: iPhone 5 e versioni successive, iPad 4 e successive, e iPod touch 6a generazione
Impatto: la visita a una pagina web con disguidi pericolosi può portare ad una domanda di diniego del servizio
Descrizione: Un problema nel menu della cronologia di Safari è stato risolto tramite una migliore gestione della memoria.
CVE-2017-2495: Tubasa Iinuma (@llamakko_cafe) di Gehirn Inc.
Sicurezza
Disponibile per: iPhone 5 e versioni successive, iPad 4 e successive, e iPod touch 6a generazione
Impatto: Aggiorna la politica di trust del certificato
Descrizione: Un problema di convalida del certificato esisteva nella gestione di certificati non attendibili. Questo problema è stato affrontato attraverso una migliore gestione degli utenti dell’accettazione della fiducia.
CVE-2017-2498: Andrew Jerman
SQLite
Disponibile per: iPhone 5 e versioni successive, iPad 4 e successive, e iPod touch 6a generazione
Impatto: una query SQL malevolmente creata può portare all’esecuzione di codice arbitrario
Descrizione: Un uso dopo il rilascio gratuito è stato affrontato attraverso una migliore gestione della memoria.
CVE-2017-2513: trovato da OSS-Fuzz
SQLite
Disponibile per: iPhone 5 e versioni successive, iPad 4 e successive, e iPod touch 6a generazione
Impatto: una query SQL malevolmente creata può portare all’esecuzione di codice arbitrario
Descrizione: Un problema di overflow di buffer è stato risolto tramite una migliore gestione della memoria.
CVE-2017-2518: trovato da OSS-Fuzz
CVE-2017-2520: trovato da OSS-Fuzz
SQLite
Disponibile per: iPhone 5 e versioni successive, iPad 4 e successive, e iPod touch 6a generazione
Impatto: una query SQL malevolmente creata può portare all’esecuzione di codice arbitrario
Descrizione: Un problema di corruzione della memoria è stato affrontato con una migliore gestione della memoria.
CVE-2017-2519: trovato da OSS-Fuzz
SQLite
Disponibile per: iPhone 5 e versioni successive, iPad 4 e successive, e iPod touch 6a generazione
Impatto: l’elaborazione di contenuti web pericolosi può causare l’esecuzione di codice arbitrario
Descrizione: Sono stati affrontati più problemi di corruzione della memoria con una migliore convalida degli input.
CVE-2017-6983: Chaitin Security Research Lab (@ChaitinTech) in collaborazione con l’iniziativa Zero Day di Trend Micro
CVE-2017-6991: Chaitin Security Research Lab (@ChaitinTech) in collaborazione con l’iniziativa Zero Day di Trend Micro
L’immissione di testo
Disponibile per: iPhone 5 e versioni successive, iPad 4 e successive, e iPod touch 6a generazione
Impatto: l’analisi di dati danneggiati può portare all’esecuzione arbitraria di un codice
Descrizione: Un problema di corruzione della memoria è stato affrontato con una migliore gestione della memoria.
CVE-2017-2524: Ian Beer di Google Project Zero
WebKit
Disponibile per: iPhone 5 e versioni successive, iPad 4 e successive, e iPod touch 6a generazione
Impatto: l’elaborazione di contenuti web pericolosi può causare l’esecuzione di codice arbitrario
Descrizione: Sono stati affrontati più problemi di corruzione della memoria con una migliore gestione della memoria.
CVE-2017-2496: Apple
CVE-2017-2505: loghi di Google Project Zero
CVE-2017-2506: Zheng Huang del Baidu Security Lab che lavora con l’iniziativa Zero Day di Trend Micro
CVE-2017-2514: loghi di Google Project Zero
CVE-2017-2515: loghi di Google Project Zero
CVE-2017-2521: loghi di Google Project Zero
CVE-2017-2525: Kai Kang (4B5F5F4B) del laboratorio Xuanwu di Tencent (tencent.com) che lavora con l’iniziativa Zero Day di Trend Micro
CVE-2017-2526: Kai Kang (4B5F5F4B) del laboratorio Xuanwu di Tencent (tencent.com) che lavora con l’iniziativa Zero Day di Trend Micro
CVE-2017-2530: un ricercatore anonimo
CVE-2017-2531: loghi di Google Project Zero
CVE-2017-2538: Richard Zhu (fluorescenza) che lavora con la Zero Day Initiative di Trend Micro
CVE-2017-2539: Richard Zhu (fluorescenza) che lavora con l’iniziativa Zero Day di Trend Micro
CVE-2017-2544: 360 Security (@ mj0011sec) che lavora con l’iniziativa Zero Day di Trend Micro
CVE-2017-2547: progetto di Google Project Zero, Team Sniper (Keen Lab e PC Mgr) che lavora con l’iniziativa Zero Day di Trend Micro
CVE-2017-6980: loghi di Google Project Zero
CVE-2017-6984: loghi di Google Project Zero
WebKit
Disponibile per: iPhone 5 e versioni successive, iPad 4 e successive, e iPod touch 6a generazione
Impatto: l’elaborazione di contenuti web malintenzionati può portare a un script universale di siti cross
Descrizione: Un problema di logica esisteva nella gestione dei comandi di WebKit Editor. Questo problema è stato affrontato con una migliore gestione dello Stato.
CVE-2017-2504: loghi di Google Project Zero
WebKit
Disponibile per: iPhone 5 e versioni successive, iPad 4 e successive, e iPod touch 6a generazione
Impatto: l’elaborazione di contenuti web malintenzionati può portare a un script universale di siti cross
Descrizione: Un problema di logica esisteva nella gestione dei nodi di contenitore WebKit. Questo problema è stato affrontato con una migliore gestione dello Stato.
CVE-2017-2508: loghi di Google Project Zero
WebKit
Disponibile per: iPhone 5 e versioni successive, iPad 4 e successive, e iPod touch 6a generazione
Impatto: l’elaborazione di contenuti web malintenzionati può portare a un script universale di siti cross
Descrizione: Un problema logico esisteva nella gestione di eventi di pagine. Questo problema è stato affrontato con una migliore gestione dello Stato.
CVE-2017-2510: loghi di Google Project Zero
WebKit
Disponibile per: iPhone 5 e versioni successive, iPad 4 e successive, e iPod touch 6a generazione
Impatto: l’elaborazione di contenuti web malintenzionati può portare a un script universale di siti cross
Descrizione: Un problema di logica esisteva nella gestione dei fotogrammi in cache WebKit. Questo problema è stato affrontato con una migliore gestione dello Stato.
CVE-2017-2528: loghi di Google Project Zero
WebKit
Disponibile per: iPhone 5 e versioni successive, iPad 4 e successive, e iPod touch 6a generazione
Impatto: l’elaborazione di contenuti web pericolosi può causare l’esecuzione di codice arbitrario
Descrizione: Problemi di corruzione più memoria con indirizzi tramite miglioramento della gestione della memoria.
CVE-2017-2536: Samuel Groß e Niklas Baumstark che lavorano con la Zero Day Initiative di Trend Micro
WebKit
Disponibile per: iPhone 5 e versioni successive, iPad 4 e successive, e iPod touch 6a generazione
Impatto: l’elaborazione di contenuti web malintenzionati può portare a un script universale di siti cross
Descrizione: Un problema di logica esisteva nel caricamento del fotogramma. Questo problema è stato affrontato con una migliore gestione dello Stato.
CVE-2017-2549: loghi di Google Project Zero
WebKit Web Inspector
Disponibile per: iPhone 5 e versioni successive, iPad 4 e successive, e iPod touch 6a generazione
Impatto: un’applicazione potrebbe essere in grado di eseguire un codice non firmato
Descrizione: Un problema di corruzione della memoria è stato affrontato con una migliore gestione della memoria.
