Iphone
Уязвимости
23
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.12988
Распределение по критичности
Критический
3
Высокий
3
Средний
15
Низкий
2
Затронутые диапазоны версий
< 15.3
Также сопоставлено как (исходные строки): iphone,safari,javascriptcore,tvos,mobile_safari,ipod_touch,iphone_os,ipados,macos,watchos
Топ уязвимостей
CVE-2008-2303Ошибка знаковости целого числа в Safari на Apple iPhone до 2.0 и iPod touch до 2.0 позволяет удаленным злоумышленникам выполнять произвольный код или вызывать отказ в обслуживании (сбой приложения) через векторы, связанные с индексами массивов JavaScript, которые вызывают выход за границы, что является другой уязвимостью, чем CVE-2008-2307.
CVE-2008-3632Уязвимость use-after-free в WebKit в Apple iPod touch 1.1 до 2.0.2 и iPhone 1.0 до 2.0.2 позволяет удаленным злоумышленникам выполнять произвольный код или вызывать отказ в обслуживании (сбой приложения) через веб-страницу со специально созданными операторами импорта Cascading Style Sheets (CSS).
CVE-2008-2317WebCore в Apple Safari неправильно выполняет сборку мусора элементов документа JavaScript, что позволяет удаленным злоумышленникам выполнять произвольный код или вызывать отказ в обслуживании (повреждение кучи и сбой приложения) через ссылку на свойство ownerNode скопированного объекта CSSStyleSheet элемента STYLE, как первоначально было продемонстрировано на Apple iPhone до 2.0 и iPod touch до 2.0, что является другой уязвимостью, чем CVE-2008-1590.
CVE-2022-22592Проблема логики была решена путем улучшения управления состоянием. Эта проблема устранена в iOS 15.3 и iPadOS 15.3, watchOS 8.4, tvOS 15.3, Safari 15.3, macOS Monterey 12.2. Обработка вредоносного веб-контента может помешать применению политики безопасности контента.
CVE-2007-3753Apple iPhone 1.1.1 с включенным Bluetooth позволяет физически близким злоумышленникам вызывать отказ в обслуживании (завершение приложения) и выполнять произвольный код через специально созданные пакеты Service Discovery Protocol (SDP), связанные с недостаточной проверкой ввода.
CVE-2008-0729Mobile Safari на Apple iPhone 1.1.2 и 1.1.3 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (исчерпание памяти и сбой устройства) через определенный код JavaScript, который создает длинную строку и массив, содержащий элементы длинной строки, возможно, связанный с проблемой CVE-2006-3677. ПРИМЕЧАНИЕ: некоторые из этих сведений получены из информации третьих сторон.
CVE-2011-1344Уязвимость использования после освобождения в WebKit, используемом в Apple Safari до версии 5.0.5; iOS до версии 4.3.2 для iPhone, iPod и iPad; iOS до версии 4.2.7 для iPhone 4 (CDMA); и, возможно, в других продуктах, позволяет удаленным злоумышленникам выполнять произвольный код, добавляя дочерние элементы в тег WBR, а затем удаляя тег, связанный с текстовыми узлами, как продемонстрировал Chaouki Bekrar во время конкурса Pwn2Own на CanSecWest 2011.
CVE-2008-1590JavaScriptCore в WebKit на Apple iPhone до версии 2.0 и iPod touch до версии 2.0 неправильно выполняет сборку мусора во время выполнения, что позволяет удаленным злоумышленникам выполнять произвольный код или вызывать отказ в обслуживании (сбой приложения) через неуказанные векторы, которые вызывают повреждение памяти, уязвимость, отличная от CVE-2008-2317.
CVE-2008-0035Неуказанная уязвимость в Foundation, используемая в Apple iPhone 1.0 - 1.1.2, iPod touch 1.1 - 1.1.2 и Mac OS X 10.5 - 10.5.1, позволяет удаленным злоумышленникам вызывать отказ в обслуживании (завершение приложения) или выполнять произвольный код через специально созданный URL-адрес, который вызывает повреждение памяти в Safari.
CVE-2007-3759Safari в Apple iPhone 1.1.1, при запросе на отключение Javascript, не отключает его до перезапуска Safari, что может оставить Safari открытым для атак, которых пользователь не ожидает.
CVE-2010-1226Функциональность HTTP-клиента в Apple iPhone OS 3.1 на iPhone 2G и 3.1.3 на iPhone 3GS позволяет удаленным злоумышленникам вызвать отказ в обслуживании (сбой Safari, Mail или Springboard) через поддельное свойство innerHTML элемента DIV, связанное с проблемой "неправильного символа".
CVE-2008-3950Ошибка off-by-one в функции _web_drawInRect:withFont:ellipsis:alignment:measureOnly в WebKit в Safari в Apple iPhone 1.1.4 и 2.0 и iPod touch 1.1.4 и 2.0 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой браузера) через вызов JavaScript alert с аргументом, в котором отсутствуют разрываемые символы и длина которого кратна размеру страницы памяти, что приводит к чтению за пределами границ.
CVE-2008-0034Неуказанная уязвимость в Passcode Lock в Apple iPhone 1.0 - 1.1.2 позволяет пользователям с физическим доступом выполнять приложения без ввода пароля через векторы, связанные с экстренными вызовами.
CVE-2008-1589Safari на Apple iPhone до версии 2.0 и iPod touch до версии 2.0 неправильно интерпретирует нажатие кнопки меню как подтверждение пользователя для посещения веб-сайта с (1) самоподписанным или (2) недействительным сертификатом, что облегчает удаленным злоумышленникам подделку веб-сайтов.
CVE-2008-1588Safari на Apple iPhone до версии 2.0 и iPod touch до версии 2.0 позволяет удаленным злоумышленникам подделывать адресную строку через идеографические пробелы Unicode в URL.
CVE-2007-5858WebKit в Safari в Apple Mac OS X 10.4.11 и 10.5.1, iPhone 1.0 через 1.1.2 и iPod touch 1.1 через 1.1.2 позволяет удаленным злоумышленникам "перемещаться по подкадрам любой другой страницы", что можно использовать для проведения межсайтовых скриптовых атак (XSS) и получения конфиденциальной информации.
CVE-2007-3761Уязвимость межсайтового скриптинга (XSS) в Safari в Apple iPhone 1.1.1 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML, вызывая применение событий Javascript к фрейму в другом домене.
CVE-2007-3757Safari в Apple iPhone 1.1.1 позволяет удаленным злоумышленникам, действующим при помощи пользователя, обманом заставлять пользователя iPhone совершать звонки на произвольные телефонные номера через специально созданную ссылку "tel:", которая заставляет iPhone отображать номер, отличный от набираемого номера.
CVE-2007-3755Mail в Apple iPhone 1.1.1 позволяет удаленным злоумышленникам, действующим при помощи пользователя, заставлять пользователя iPhone совершать звонки на произвольные телефонные номера через ссылку "tel:", которая не запрашивает подтверждение у пользователя перед набором номера.
CVE-2007-3754Mail в Apple iPhone 1.1.1 при использовании SSL не предупреждает пользователя, когда почтовый сервер изменяется или не является доверенным, что может позволить удаленным злоумышленникам украсть учетные данные и прочитать электронную почту через атаку "человек посередине" (MITM).
CVE-2007-3742WebKit в Apple Safari 3 Beta до Update 3.0.3 и iPhone до версии 1.0.1 неправильно обрабатывает взаимодействие между поддержкой интернационализированных доменных имен (IDN) и шрифтами Unicode, что позволяет удаленным злоумышленникам создавать URL-адреса, содержащие "похожие символы" (омографы), и, возможно, осуществлять фишинговые атаки.
CVE-2008-3876Apple iPhone 2.0.2 в некоторых конфигурациях позволяет физически находящимся рядом злоумышленникам обходить предполагаемые ограничения доступа и получать конфиденциальную информацию или произвольно использовать устройство с помощью нажатия кнопки экстренного вызова и двойного нажатия кнопки "Домой", а затем нажатия синей стрелки любого контакта.
CVE-2008-4593Apple iPhone 2.1 с прошивкой 5F136, когда включена функция Require Passcode и отключена функция Show SMS Preview, позволяет физически близким злоумышленникам получать конфиденциальную информацию, выполнив касание Emergency Call, а затем прочитав SMS-сообщения на экране устройства, также известная как ошибка Apple номер 6267416.