Apple iOS < 10.1 多个漏洞

high Nessus 插件 ID 94330

语言：

简介

移动设备上运行的 iOS 版本受到多个漏洞影响。

描述

移动设备上运行的 iOS 版本低于 10.1。因此，该应用程序受到多个漏洞的影响：

- 处理中继调用时，FaceTime 组件中存在缺陷，这是用户界面不一致所致。中间人攻击者可利用此问题，使中继调用在看似终止的情况下继续传输音频。
(CVE-2016-4635)

- 处理特别构建的字体文件时，FontParser 组件中存在越界读取错误，未经身份验证的远程攻击者可利用此错误泄露敏感信息。(CVE-2016-4660)

- Sandbox Profiles 组件中存在不明缺陷，本地攻击者可利用此缺陷，通过特别构建的应用程序泄露图片目录的元数据。(CVE-2016-4664)

- Sandbox Profiles 组件中存在不明缺陷，本地攻击者可利用此缺陷，通过特别构建的应用程序泄露录音的元数据。(CVE-2016-4665)

- WebKit 中存在多个内存损坏问题，这是未正确验证用户提供的输入所致。未经身份验证的远程攻击者可利用这些问题执行任意代码。(CVE-2016-4666、CVE-2016-4677)

- MIG 生成代码内的 System Boot 组件中存在多个不明缺陷，这是未正确验证输入所致。本地攻击者可利用这些缺陷终止系统，或以提升的权限执行任意代码。(CVE-2016-4669)

- Security 组件中存在缺陷，这是程序记录密码长度所致。本地攻击者可利用此问题泄露敏感信息。(CVE-2016-4670)

- 处理特别构建的 JPEG 文件时，CoreGraphics 组件中存在内存损坏问题。未经身份验证的远程攻击者可利用此问题，通过特别构建的文件，造成拒绝服务情况或执行任意代码。
(CVE-2016-4673)

- libxpc 中存在不明逻辑问题，本地攻击者可利用此问题，以根权限执行任意代码。(CVE-2016-4675)

- 在存档提取期间，创建临时文件时，libarchive 中存在缺陷，这是未正确验证路径所致。未经身份验证的远程攻击者可利用此缺陷，通过符号链接攻击覆写任意文件。(CVE-2016-4679)

- Kernel 组件中存在不明缺陷，这是未正确清理输入所致。本地攻击者可利用此缺陷泄露内核内存内容。
(CVE-2016-4680)

- Contacts 组件中存在缺陷，这是因为在设置中移除应用程序对通讯簿的访问权限后，无法撤销其对通讯簿的访问权限。本地攻击者可利用此缺陷，使本应移除的访问权限在移除后仍然存在。(CVE-2016-4686)

- 处理代理凭据时，CFNetwork 组件中存在缺陷，中间人攻击者可利用此缺陷泄露敏感用户信息。
(CVE-2016-7579)