Tietoja iOS 8.1.3:n turvallisuussisällöstä.

Tässä asiakirjassa kerrotaan iOS 8.1.3:n turvallisuussisällöstä

Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

iOS 8.1.3

  • AppleFileConduit

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: haitallinen afc-komento saattoi käyttää tiedostojärjestelmän suojattuja osia.

    Kuvaus: Afc-komennon symbolisten linkkien mekanismissa oli haavoittuvuus. Ongelma on ratkaistu lisäämällä polun lisätarkistuksia.

    CVE-ID

    CVE-2014-4480: TaiG Jailbreak Team

  • CoreGraphics

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: haitallisen PDF-tiedoston avaaminen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: PDF-tiedostojen käsittelyssä oli kokonaisluvun ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4481: Felipe Andres Manzano (Binamuse VRT), iSIGHT Partners GVP Programin kautta

  • dyld

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: paikallinen käyttäjä saattoi pystyä suorittamaan allekirjoittamattoman koodin.

    Kuvaus: päällekkäisiä segmenttejä sisältävän suoritettavan Mach-O-tiedoston käsittelyssä oli tilanhallintaongelma. Ongelma on ratkaistu parantamalla eri segmenttikokojen validointia.

    CVE-ID

    CVE-2014-4455: TaiG Jailbreak Team

  • FontParser

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: haitallisen PDF-tiedoston avaaminen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: Fonttitiedostojen käsittelyssä oli puskurin ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4483: Apple

  • FontParser

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: haitallisen .dfont-tiedoston käsitteleminen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: .dfont-tiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4484: Gaurav Baruah yhteistyössä HP:n Zero Day Initiativen kanssa

  • Foundation

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: haitallisen XML-tiedoston katsominen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: XML-jäsentimen käsittelyssä oli puskurin ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4485: Apple

  • IOAcceleratorFamily

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: haitallinen appi saattoi pystyä suorittamaan mielivaltaisen koodin järjestelmän käyttöoikeuksilla.

    Kuvaus: IOAcceleratorFamilyn tavassa käsitellä resurssilistoja oli nollaosoittimen epäviittaus. Ongelma on ratkaistu poistamalla tarpeeton koodi.

    CVE-ID

    CVE-2014-4486: Ian Beer (Google Project Zero)

  • IOHIDFamily

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: haitallinen appi saattoi pystyä suorittamaan mielivaltaisen koodin järjestelmän käyttöoikeuksilla.

    Kuvaus: IOHIDFamilyssa oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla koon tarkistusta.

    CVE-ID

    CVE-2014-4487: TaiG Jailbreak Team

  • IOHIDFamily

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: haitallinen appi saattoi pystyä suorittamaan mielivaltaisen koodin järjestelmän käyttöoikeuksilla.

    Kuvaus: IOHIDFamilyn tavassa käsitellä resurssijonon metatietoja oli validointiongelma. Ongelma on ratkaistu parantamalla metadatan tarkistamista.

    CVE-ID

    CVE-2014-4488: Apple

  • IOHIDFamily

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: haitallinen appi saattoi pystyä suorittamaan mielivaltaisen koodin järjestelmän käyttöoikeuksilla.

    Kuvaus: IOHIDFamilyn tavassa käsitellä tapahtumajonoja oli nollaosoittimen epäviittaus. Ongelma on ratkaistu parantamalla validointia.

    CVE-ID

    CVE-2014-4489: @beist

  • iTunes Store

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: verkkosivusto saattoi pystyä ohittamaan eristysrajoitukset käyttämällä iTunes Storea.

    Kuvaus: Safarista iTunes Storeen uudelleenohjattujen URL-osoitteiden käsittelyssä oli ongelma, jonka takia haitallinen verkkosivusto saattoi pystyä ohittamaan Safarin eristysrajoitukset. Ongelma on ratkaistu parantamalla iTunes Storen avaamien URL-osoitteiden suodatusta.

    CVE-ID

    CVE-2014-8840: HP:n Zero Day Initiativen parissa työskentelevä lokihardt@ASRT

  • Kerberos

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: haitallinen appi saattoi pystyä suorittamaan mielivaltaisen koodin järjestelmän käyttöoikeuksilla.

    Kuvaus: Kerberoksen libgssapi-kirjasto palautti kontekstitunnuksen irrallisen osoittimen ohella. Ongelma on ratkaistu parantamalla tilanhallintaa.

    CVE-ID

    CVE-2014-5352

  • Kernel

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: haitalliset tai vaarantuneet iOS-apit saattoivat pystyä selvittämään kernelissä olevat osoitteet.

    Kuvaus: Kernel-laajennuksiin liittyvien APIen käsittelyssä oli tietojen paljastumiseen liittyvä ongelma. OSBundleMachOHeaders-avaimen sisältävät vastaukset saattoivat sisältää kernel-osoitteita ja näin auttaa ohittamaan osoitteiden tila-asettelun satunnaistamissuojauksen. Ongelma on ratkaistu vapauttamalla osoitteet ennen niiden palauttamista.

    CVE-ID

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Kernel

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: haitallinen appi saattoi pystyä suorittamaan mielivaltaisen koodin järjestelmän käyttöoikeuksilla.

    Kuvaus: Kernelin jaetun muistin alijärjestelmässä oli ongelma, jonka takia hyökkääjä pystyi kirjoittamaan vain luku ‑tyyppiseksi tarkoitettuun muistiin. Ongelma on ratkaistu tarkemmilla jaetun muistin oikeustarkistuksilla.

    CVE-ID

    CVE-2014-4495: Ian Beer (Google Project Zero)

  • Kernel

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: haitalliset tai vaarantuneet iOS-apit saattoivat pystyä selvittämään kernelissä olevat osoitteet.

    Kuvaus: mach_port_kobject-kernel-liitäntä vuosi kernel-osoitteita ja kekopermutaation arvon, mikä saattoi auttaa ohittamaan osoitetilan asettelun satunnaistamissuojauksen. Ongelma on ratkaistu poistamalla mach_port_kobject-käyttöliittymä käytöstä tuotantokokoonpanoissa.

    CVE-ID

    CVE-2014-4496: TaiG Jailbreak Team

  • libnetcore

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: haitallinen eristetty appi pystyi vaarantamaan networkd-daemonin.

    Kuvaus: Networkdin tavassa käsitellä prosessien välistä tiedonsiirtoa oli useita tyyppisekaannusongelmia. Haitallisesti muotoillun viestin lähettäminen networkdiin saattoi mahdollistaa mielivaltaisen koodin suorittamisen networkd-prosessina. Ongelma on ratkaistu tyypin lisätarkistuksilla.

    CVE-ID

    CVE-2014-4492: Ian Beer (Google Project Zero)

  • MobileInstallation

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: haitallinen yrityksen allekirjoittama appi saattoi saada hallintaansa laitteessa jo olevien appien paikallisen säilön.

    Kuvaus: Apin asennusprosessissa oli haavoittuvuus. Ongelma on ratkaistu estämällä yritysappeja ohittamasta olemassa olevia appeja tietyissä tilanteissa.

    CVE-ID

    CVE-2014-4493: Hui Xue ja Tao Wei (FireEye, Inc.)

  • Springboard

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: yrityksen allekirjoittamat apit saatettiin avata luottamuksesta kysymättä.

    Kuvaus: Kun yrityksen allekirjoittama appi avattiin ensimmäistä kertaa, sen selvittämisessä, milloin luottamusta kysytään, oli ongelma. Ongelma on ratkaistu parantamalla koodin allekirjoitusten validointia.

    CVE-ID

    CVE-2014-4494: Song Jin, Hui Xue ja Tao Wei (FireEye, Inc.)

  • WebKit

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: haitallista sisältöä kehyksissä näyttävän sivuston avaaminen saattoi aiheuttaa käyttöliittymän väärentämisen.

    Kuvaus: Vierityspalkin rajojen käsittelyssä oli käyttöliittymän väärentämisongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4467: Jordan Milne

  • WebKit

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: tyylisivut ladattiin eri alkuperistä, mikä saattoi aiheuttaa tietojen vuotamisen.

    Kuvaus: Img-elementissä ladattu SVG saattoi ladata CSS-tiedoston eri alkuperistä. Ongelma on ratkaistu parantamalla ulkoisten CSS-viitteiden estämistä SVG:eissä.

    CVE-ID

    CVE-2014-4465: Rennie deGraaf (iSEC Partners)

  • WebKit

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: käynti haitallisessa verkkosivustossa saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: WebKitissä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2014-3192: cloudfuzzer

    CVE-2014-4459

    CVE-2014-4466: Apple

    CVE-2014-4468: Apple

    CVE-2014-4469: Apple

    CVE-2014-4470: Apple

    CVE-2014-4471: Apple

    CVE-2014-4472: Apple

    CVE-2014-4473: Apple

    CVE-2014-4474: Apple

    CVE-2014-4475: Apple

    CVE-2014-4476: Apple

    CVE-2014-4477: lokihardt@ASRT yhteistyössä HP:n Zero Day Initiativen kanssa

    CVE-2014-4479: Apple

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: