Tietoja iOS 7:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 7:n turvallisuussisällöstä.

Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

iOS 7

  • Certificate Trust Policy

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: juurivarmenteet on päivitetty.

    Kuvaus: järjestelmän juurivarmennelistaan on lisätty useita varmenteita tai siitä on poistettu useita varmenteita.

  • FontParser

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: haitallisen PDF-tiedoston katsominen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: PDF-tiedostojen JBIG2-koodattujen tietojen käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu lisäämällä rajojen tarkistuksia.

    CVE-ID

    CVE-2013-1025: Felix Groebert (Google Security Team)

  • CoreMedia

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: haitallisen elokuvatiedoston toistaminen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: Sorenson-koodattujen elokuvatiedostojen käsittelyssä oli puskurin ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2013-1019: HP:n Zero Day Initiativen parissa työskentelevät Tom Gallagher (Microsoft) ja Paul Bates (Microsoft)

  • Data Protection

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: apit saattoivat ohittaa pääsykoodiyrityksiä koskevat rajoitukset.

    Kuvaus: Tietojen suojauksessa oli käyttöoikeuksien erottamisongelma. Kolmannen osapuolen eristyksessä oleva appi saattoi yrittää toistuvasti määrittää käyttäjän pääsykoodin riippumatta käyttäjän Poista tiedot ‑asetuksesta. Ongelma on ratkaistu vaatimalla ylimääräisiä oikeustarkistuksia.

    CVE-ID

    CVE-2013-0957: Jin Han (Institute for Infocomm Research) yhteistyössä Qiang Yanin ja Su Mon Kywen (Singapore Management University) kanssa

  • Data Security

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi kaapata käyttäjän tunnistetiedot tai muita arkaluonteisia tietoja.

    Kuvaus: Luotettu juurivarmenteiden myöntäjä TrustWave on myöntänyt ja myöhemmin kumonnut alivarmenteen yhdestä sen luotetuista ankkureista. Alivarmenne mahdollisti TLS (Transport Layer Security) -suojatun tietoliikenteen kaappaamisen. Tässä päivityksessä kyseinen alivarmenne lisättiin OS X:n ei-luotettujen varmenteiden luetteloon.

    CVE-ID

    CVE-2013-5134

  • dyld

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: mielivaltaisen koodin suorituksen laitteeseen asentanut hyökkääjä saattoi pystyä jatkamaan koodin suorittamista uudelleenkäynnistyksestä toiseen.

    Kuvaus: dyldin openSharedCacheFile()-funktiossa oli useita puskurin ylivuotoja. Ongelmat on ratkaistu parannetulla rajojen tarkistamisella.

    CVE-ID

    CVE-2013-3950: Stefan Esser

  • FontParser

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: hyökkääjä, joka pystyi asentamaan muun kuin HFS-tiedostojärjestelmän, saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernel-käyttöoikeuksilla.

    Kuvaus: AppleDouble-tiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu poistamalla AppleDouble-tiedostojen tuki.

    CVE-ID

    CVE-2013-3955: Stefan Esser

  • ImageIO

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: haitallisen PDF-tiedoston katsominen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: PDF-tiedostojen JPEG2000-koodattujen tietojen käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu lisäämällä rajojen tarkistuksia.

    CVE-ID

    CVE-2013-1026: Felix Groebert (Google Security Team)

  • IOKit

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: taustalla toimivat apit saattoivat lisätä käyttöliittymätapahtumia etualalla olevaan appiin.

    Kuvaus: Taustalla olleet apit pystyivät lisäämään käyttöliittymätapahtumia etualalla olevaan appiin käyttämällä tehtävän suoritusta tai VoIP-APIa. Ongelma on ratkaistu ottamalla käyttöön pääsynvalvonta-asetuksia sellaisissa etualalla ja taustalla toimivissa prosesseissa, jotka käsittelevät käyttöliittymätapahtumia.

    CVE-ID

    CVE-2013-5137: Mackenzie Straight (Mobile Labs)

  • IOKitUser

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: haitallinen paikallinen appi saattoi aiheuttaa järjestelmän odottamattoman sulkeutumisen.

    Kuvaus: IOCataloguessa oli nollaosoittimen epäviittaus. Ongelma on ratkaistu lisäämällä tyyppien tarkistuksia.

    CVE-ID

    CVE-2013-5138: Will Estes

  • IOSerialFamily

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: haitallisen apin suorittaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen kernel-käyttöoikeuksilla.

    Kuvaus: IOSerialFamilyssa oli pääsy rajojen ulkopuoliseen taulukkoon. Ongelma on ratkaistu lisäämällä rajojen tarkistuksia.

    CVE-ID

    CVE-2013-5139: @dent1zt

  • IPSec

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: hyökkääjä saattoi kaapata IPSec Hybrid Auth ‑suojattuja tietoja.

    Kuvaus: IPSec Hybrid Auth ‑palvelimen DNS-nimeä ei verrattu varmenteessa olevaan nimeen, jonka takia hyökkääjä, jolla oli minkä tahansa palvelimen varmenne, pystyi tekeytymään miksi tahansa muuksi palvelimeksi. Ongelma on ratkaistu parantamalla varmenteiden tarkistusta.

    CVE-ID

    CVE-2013-1028: Alexander Traud (www.traud.de)

  • Kernel

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: etähyökkääjä saattoi saada laitteen käynnistymään uudelleen odottamatta.

    Kuvaus: Virheellisen paketin osan lähettäminen laitteeseen saattoi aloittaa kernel-vahvistuksen, mikä johti laitteen käynnistymiseen uudelleen. Ongelma on ratkaistu lisäämällä paketin osien validointia.

    CVE-ID

    CVE-2013-5140: Joonas Kuorilehto (Codenomicon), CERT-FI:n parissa työskentelevä nimetön tutkija, Antti Levomäki ja Lauri Virtanen (Vulnerability Analysis Group, Stonesoft)

  • Kernel

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: haitallinen paikallinen appi saattoi aiheuttaa laitteen jumiutumisen.

    Kuvaus: Kernel-vastakeliittymässä ollutta kokonaisluvun lyhentämiseen liittyvää haavoittuvuutta saatettiin käyttää suorittimen pakottamiseen päättymättömään silmukkaan. Ongelma on ratkaistu käyttämällä suurempaa muuttujaa.

    CVE-ID

    CVE-2013-5141: CESG

  • Kernel

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: paikallisessa verkossa ollut hyökkääjä saattoi aiheuttaa palveluneston.

    Kuvaus: Paikallisessa verkossa ollut hyökkääjä pystyi lähettämään varta vasten luotuja IPv6 ICMP ‑paketteja ja kuormittaa suoritinta. Ongelma on ratkaistu rajoittamalla ICMP-pakettien nopeutta ennen niiden tarkistussumman vahvistamista.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kernel

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: Kernel-pinomuisti saattoi paljastua paikallisille käyttäjille.

    Kuvaus: msgctl- ja segctl-ohjelmistorajapinnoissa oli tietojen paljastumiseen liittyvä ongelma. Ongelma on ratkaistu alustamalla kernelistä palautetut tietorakenteet.

    CVE-ID

    CVE-2013-5142: Kenzley Alphonse (Kenx Technology, Inc)

  • Kernel

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: käyttöoikeudettomat prosessit saattoivat saada pääsyn kernel-muistin sisältöön, mikä saattoi johtaa käyttöoikeuksien lisäämiseen.

    Kuvaus: mach_port_space_info-APIssa oli tietojen paljastumiseen liittyvä ongelma. Ongelma on ratkaistu alustamalla iin_collision-kenttä kernelistä palautetuissa rakenteissa.

    CVE-ID

    CVE-2013-3953: Stefan Esser

  • Kernel

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: käyttöoikeudettomat prosessit saattoivat pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä.

    Kuvaus: posix_spawn-APIin tulevien argumenttien käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu lisäämällä rajojen tarkistuksia.

    CVE-ID

    CVE-2013-3954: Stefan Esser

  • Kext Management

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: luvaton prosessi saattoi muokata ladattuja kernel-laajennusia.

    Kuvaus: kextdin tavassa käsitellä todentamattomien lähettäjien IPC-viestejä oli ongelma. Ongelma on ratkaistu lisäämällä valtuutustarkistuksia.

    CVE-ID

    CVE-2013-5145: "Rainbow PRISM"

  • libxml

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: haitallisen verkkosivun katsominen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: libxml:ssä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu päivittämällä libxml versioksi 2.9.0.

    CVE-ID

    CVE-2011-3102: Jüri Aedla

    CVE-2012-0841

    CVE-2012-2807: Jüri Aedla

    CVE-2012-5134: Google Chrome Security Team (Jüri Aedla)

  • libxslt

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: haitallisen verkkosivun katsominen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: libxslt:ssä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu päivittämällä libxslt versioksi 1.1.28.

    CVE-ID

    CVE-2012-2825: Nicolas Gregoire

    CVE-2012-2870: Nicolas Gregoire

    CVE-2012-2871: Kai Lu (Fortinet's FortiGuard Labs), Nicolas Gregoire

  • Passcode Lock

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi pystyä ohittamaan näytön lukituksen.

    Kuvaus: Puheluiden ja SIM-kortin poiston käsittelyssä lukitussa näytössä oli kilpailutilanneongelma. Ongelma on ratkaistu parantamalla lukitustilan hallintaa.

    CVE-ID

    CVE-2013-5147: videosdebarraquito

  • Personal Hotspot

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: hyökkääjä saattoi pystyä liittymään Oma hotspot ‑verkkoon

    Kuvaus: Oman hotspotin salasanojen luomisessa oli ongelma, jonka vuoksi hyökkääjä saattoi arvata salasanoja ja liittyä käyttäjän omaan hotspotiin. Ongelma on ratkaistu luomalla salasanoja, joilla on suurempi entropia.

    CVE-ID

    CVE-2013-4616: Andreas Kurtz (NESO Security Labs) ja Daniel Metz (University Erlangen-Nuremberg)

  • Push Notifications

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: push-ilmoituksen tunnus saatettiin paljastaa apille, vaikka käyttäjä olisi valinnut toisin.

    Kuvaus: Push-ilmoituksen rekisteröinnissä oli tietojen paljastumiseen liittyvä ongelma. Push-ilmoituksen käyttöoikeutta pyytäneet apit saivat tunnuksen ennen kuin käyttäjä salli apin käyttää push-ilmoituksia. Ongelma on ratkaistu pidättämällä pääsy tunnukseen siihen asti, kun käyttäjä sallii sen.

    CVE-ID

    CVE-2013-5149: Jack Flintermann (Grouper, Inc.)

  • Safari

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: käynti haitallisessa verkkosivustossa saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: XML-tiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu lisäämällä rajojen tarkistuksia.

    CVE-ID

    CVE-2013-1036: Kai Lu (Fortinet's FortiGuard Labs)

  • Safari

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: Äskettäin vierailtujen sivujen historia saattoi säilyä avoimessa välilehdessä, vaikka historia tyhjennettiin.

    Kuvaus: Safarin historiatietojen tyhjentäminen ei poistanut avoimien välilehtien takaisin-/eteenpäin-historiaa. Ongelma on ratkaistu tyhjentämällä taaksepäin-/eteenpäin-historia.

    CVE-ID

    CVE-2013-5150

  • Safari

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: tiedostojen katsominen verkkosivustossa saattoi johtaa komentosarjan suorittamiseen, vaikka palvelin lähetti Content-Type: text/plain ‑otsakkeen.

    Kuvaus: Safarin mobiiliversio käsitteli joskus tiedostoja HTML-tiedostoina, vaikka palvelin lähetti Content-Type: text/plain ‑otsakkeen. Tämä saattoi johtaa sivustojen välisten komentosarjojen suorittamiseen sivustoilla, joilla käyttäjät voivat ladata tiedostoja. Ongelma on ratkaistu parantamalla tiedostojen käsittelyä, kun Content-Type: text/plain ‑otsake on asetettu.

    CVE-ID

    CVE-2013-5151: Ben Toews (Github)

  • Safari

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: käynti haitallisessa verkkosivustossa saattoi sallia mielivaltaisen URL-osoitteen näkymisen.

    Kuvaus: Safarin mobiiliversiossa oli URL-osoitteen väärentämisongelma. Ongelma on ratkaistu parantamalla URL-osoitteen seurantaa.

    CVE-ID

    CVE-2013-5152: Keita Haga (keitahaga.com), Łukasz Pilorz (RBS)

  • Sandbox

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: komentosarja-appeja ei eristetty.

    Kuvaus: Muun valmistajan apit, jotka käyttivät #!-syntaksia komentosarjan suorittamiseen, eristettiin komentosarjan sijasta komentosarjatulkin identiteetin perusteella. Tulkilla ei ehkä ollut eristystä määritettynä, jolloin appi suoritettiin ilman eristystä. Ongelma on ratkaistu luomalla eristys komentosarjan identiteetin perusteella.

    CVE-ID

    CVE-2013-5154: evad3rs

  • Sandbox

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: apit saattoivat aiheuttaa järjestelmän jumiutumisen.

    Kuvaus: Haitalliset muun valmistajan apit, jotka kirjoittivat tiettyjä arvoja /dev/random-laitteeseen, saattoivat pakottaa suorittimen siirtymään päättymättömään silmukkaan. Ongelma on ratkaistu estämällä muun valmistajan appeja kirjoittamasta /dev/random-laitteeseen.

    CVE-ID

    CVE-2013-5155: CESG

  • Social

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: käyttäjän viimeaikaisin Twitter-toiminta saattoi paljastua laitteissa, joissa ei ollut pääsykoodia.

    Kuvaus: Järjestelmässä oli ongelma, jonka takia voitiin selvittää, mitä Twitter-tilejä käyttäjä oli käyttänyt äskettäin. Ongelma on ratkaistu rajoittamalla pääsyä Twitter-kuvakkeen välimuistiin.

    CVE-ID

    CVE-2013-5158: Jonathan Zdziarski

  • Springboard

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: henkilö, jolla oli fyysinen pääsy Kadonnut-tilassa olevaan laitteeseen, saattoi pystyä katsomaan ilmoituksia.

    Kuvaus: Ilmoitusten käsittelyssä oli ongelmia, kun laite oli Kadonnut-tilassa. Tämä päivitys ratkaisee ongelman parantamalla lukitustilan hallintaa.

    CVE-ID

    CVE-2013-5153: Daniel Stangroom

  • Telephony

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: haitalliset apit saattoivat häiritä puhelinliikennetoimintoa tai hallita sitä.

    Kuvaus: Puhelinliikenteen alijärjestelmässä oli käytönvalvontaan liittyvä ongelma. Tuettuja ohjelmistorajapintoja ohittamalla eristetyt apit saattoivat tehdä pyyntöjä suoraan järjestelmädaemoniin häiriten puhelinliikennetoimintoa tai halliten sitä. Ongelma on ratkaistu ottamalla käyttöön pääsynvalvonta-asetuksia käyttöliittymissä, jotka puhelinliikennedaemon paljasti.

    CVE-ID

    CVE-2013-5156: Jin Han (Institute for Infocomm Research) yhteistyössä Qiang Yanin ja Su Mon Kywen (Singapore Management University) kanssa, Tielei Wang, Kangjie Lu, Long Lu, Simon Chung ja Wenke Lee (Georgia Institute of Technology)

  • Twitter

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: eristetyt apit saattoivat lähettää twiittejä ilman käyttäjän toimenpiteitä tai lupaa.

    Kuvaus: Twitterin alijärjestelmässä oli käytönvalvontaan liittyvä ongelma. Tuettuja ohjelmistorajapintoja ohittamalla eristetyt apit saattoivat tehdä pyyntöjä suoraan järjestelmädaemoniin häiriten Twitter-toimintoa tai halliten sitä. Ongelma on ratkaistu ottamalla käyttöön pääsynvalvonta-asetuksia käyttöliittymissä, jotka Twitter-daemon paljasti.

    CVE-ID

    CVE-2013-5157: Jin Han (Institute for Infocomm Research) yhteistyössä Qiang Yanin ja Su Mon Kywen (Singapore Management University) kanssa, Tielei Wang, Kangjie Lu, Long Lu, Simon Chung ja Wenke Lee (Georgia Institute of Technology)

  • WebKit

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: käynti haitallisessa verkkosivustossa saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: WebKitissä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2013-0879: Atte Kettunen (OUSPG)

    CVE-2013-0991: Jay Civelli (Chromium development community)

    CVE-2013-0992: Google Chrome Security Team (Martin Barbella)

    CVE-2013-0993: Google Chrome Security Team (Inferno)

    CVE-2013-0994: David German (Google)

    CVE-2013-0995: Google Chrome Security Team (Inferno)

    CVE-2013-0996: Google Chrome Security Team (Inferno)

    CVE-2013-0997: HP:n Zero Day Initiativen parissa työskentelevä Vitaliy Toropov

    CVE-2013-0998: HP:n Zero Day Initiativen parissa työskentelevä pa_kt working

    CVE-2013-0999: HP:n Zero Day Initiativen parissa työskentelevä pa_kt

    CVE-2013-1000: Fermin J. Serna (Google Security Team)

    CVE-2013-1001: Ryan Humenick

    CVE-2013-1002: Sergey Glazunov

    CVE-2013-1003: Google Chrome Security Team (Inferno)

    CVE-2013-1004: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1005: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1006: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1007: Google Chrome Security Team (Inferno)

    CVE-2013-1008: Sergey Glazunov

    CVE-2013-1010: miaubiz

    CVE-2013-1037: Google Chrome Security Team

    CVE-2013-1038: Google Chrome Security Team

    CVE-2013-1039: iDefense VCP:n parissa työskentelevä own-hero Research

    CVE-2013-1040: Google Chrome Security Team

    CVE-2013-1041: Google Chrome Security Team

    CVE-2013-1042: Google Chrome Security Team

    CVE-2013-1043: Google Chrome Security Team

    CVE-2013-1044: Apple

    CVE-2013-1045: Google Chrome Security Team

    CVE-2013-1046: Google Chrome Security Team

    CVE-2013-1047: miaubiz

    CVE-2013-2842: Cyril Cattiaux

    CVE-2013-5125: Google Chrome Security Team

    CVE-2013-5126: Apple

    CVE-2013-5127: Google Chrome Security Team

    CVE-2013-5128: Apple

  • Webkit

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: käynti haitallisessa verkkosivustossa saattoi johtaa tietojen paljastumiseen.

    Kuvaus: window.webkitRequestAnimationFrame()-APIn käsittelyssä oli tietojen paljastumiseen liittyvä ongelma. Haitallinen verkkosivusto saattoi käyttää iframea selvittääkseen, käyttikö toinen sivusto window.webkitRequestAnimationFrame()-APIa. Ongelma on ratkaistu parantamalla window.webkitRequestAnimationFrame()-APIn käsittelyä.

    CVE-ID

    CVE-2013-5159

  • Webkit

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: haitallisen HTML-pätkän kopiointi ja sijoittaminen saattoi johtaa sivustojen väliseen komentosarjahyökkäykseen.

    Kuvaus: HTML-dokumenteissa olevien kopioitujen ja sijoitettujen tietojen käsittelyssä oli sivustojen välisten komentosarjojen suorittamiseen liittyvä ongelma. Ongelma on ratkaistu sijoitettujen sisältöjen lisätarkistuksella.

    CVE-ID

    CVE-2013-0926: Aditya Gupta, Subho Halder ja Dev Kar (xys3c, xysec.com)

  • Webkit

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: käynti haitallisessa sivustossa saattoi aiheuttaa sivustojen välisen komentosarjahyökkäyksen.

    Kuvaus: iframien käsittelyssä oli sivustojen välisten komentosarjojen suorittamiseen liittyvä ongelma. Ongelma on ratkaistu parantamalla alkuperän seurantaa.

    CVE-ID

    CVE-2013-1012: Subodh Iyengar ja Erling Ellingsen (Facebook)

  • Webkit

    Saatavuus: iPhone 3GS ja sitä uudemmat, iPod touch (4. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: käynti haitallisessa verkkosivustossa saattoi johtaa tietojen paljastumiseen.

    Kuvaus: XSSAuditorissa oli tietojen paljastumiseen liittyvä ongelma. Ongelma on ratkaistu parantamalla URL-osoitteiden käsittelyä.

    CVE-ID

    CVE-2013-2848: Egor Homakov

  • Webkit

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: valinnan vetäminen tai sijoittaminen saattoi aiheuttaa sivustojen välisen komentosarjahyökkäyksen.

    Kuvaus: Valinnan vetäminen tai sijoittaminen sivustolta toiselle saattoi mahdollistaa valinnan sisältävien komentosarjojen suorittamisen uuden sivuston yhteydessä. Ongelma on ratkaistu sisällön lisätarkastuksella ennen liittämistä tai vedä ja pudota ‑toimintoa.

    CVE-ID

    CVE-2013-5129: Mario Heiderich

  • Webkit

    Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: käynti haitallisessa sivustossa saattoi aiheuttaa sivustojen välisen komentosarjahyökkäyksen.

    Kuvaus: URL-osoitteiden käsittelyssä oli sivustojen välisten komentosarjojen suorittamiseen liittyvä ongelma. Ongelma on ratkaistu parantamalla alkuperän seurantaa.

    CVE-ID

    CVE-2013-5131: Erling A Ellingsen

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: