Informacije o sigurnosnom sadržaju ažuriranja softvera iOS 6.1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 6.1.

Da bi zaštitio korisnike, Apple ne otkriva, ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i javno ne ponudi zakrpe ili nova izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite u članku Upotreba PGP ključa za sigurnost Appleovih proizvoda.

Kada je to moguće, CVE ID-ovi služe kao referenca za dodatne informacije o slabim točkama.

Da biste saznali više o sigurnosnim ažuriranjima, posjetite web-mjesto Appleova sigurnosna ažuriranja.

iOS 6.1

  • Usluge utvrđivanja identiteta

    Dostupno za: iPhone 3GS i novije verzije, iPod touch (četvrte generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: provjera autentičnosti koja se oslanja na provjeru autentičnosti Apple ID-a na temelju certifikata može se zaobići

    Opis: u uslugama utvrđivanja identiteta postojao je problem s upravljanjem pogreškama. Ako korisnikov AppleID certifikat nije uspio provesti provjeru, pretpostavljeno je da je korisnikov AppleID prazan niz. Ako više sustava koji pripadaju različitim korisnicima uđu u ovo stanje, aplikacije koje se oslanjaju na ovo utvrđivanje identiteta mogu pogrešno proširiti pouzdanost. Ovaj je problem riješen osiguravanjem vraćanja vrijednosti NULL umjesto praznog niza.

    CVE-ID

    CVE-2013-0963

  • Međunarodne komponente za Unicode

    Dostupno za: iPhone 3GS i novije verzije, iPod touch (četvrte generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: posjet zlonamjernom web-mjestu moglo je uzrokovati napad unakrsnim skriptiranjem na više web-mjesta

    Opis: u rukovanju EUC-JP kodiranjem otkriven je problem s kanonikalizacijom što bi moglo dovesti do napada unakrsnim skriptiranjem na više-mjesta na web-stranicama kodiranim EUC-JP. Ovaj je problem riješen ažuriranjem tablice mapiranja EUC-JP.

    CVE-ID

    CVE-2011-3058: Masato Kinugawa

  • Kernel

    Dostupno za: iPhone 3GS i novije verzije, iPod touch (četvrte generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: proces korisničkog načina može pristupiti prvoj stranici memorije kernela

    Opis: iOS kernel sadrži provjere da potvrdi da pokazivač i dužina korisničkog načina koji su proslijeđeni funkcijama copyin i copyout ne bi doveli do izravnog pristupa postupka korisničkog načina memoriji kernela. Provjere se ne koriste ako je dužina bila manja od jedne stranice. Ovaj je problem riješen dodatnom potvrdom argumenata za funkcije copyin i copyout.

    CVE-ID

    CVE-2013-0964 : Mark Dowd iz tvrtke Azimuth Security

  • Sigurnost

    Dostupno za: iPhone 3GS i novije verzije, iPod touch (četvrte generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač s mrežnim ovlastima mogao je presresti korisničke vjerodajnice ili druge povjerljive podatke

    Opis: TURKTRUST je pogrešno izdao nekoliko posrednih CA certifikata. Na taj način "napadač posrednik" može preusmjeriti veze i presresti korisničke vjerodajnice ili druge povjerljive podatke. Ovaj je problem riješen tako da nisu dopušteni pogrešni SSL certifikati.

  • StoreKit

    Dostupno za: iPhone 3GS i novije verzije, iPod touch (četvrte generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: JavaScript može biti omogućen u programu Mobile Safari bez interakcije korisnika

    Opis: ako je korisnik onemogućio JavaScript u Postavkama programa Safari, posjetom web-mjestu na kojem se prikazuje Smart App Banner ponovno bi se omogućio JavaScript bez upozoravanja korisnika. Ovaj je problem riješen tako što JavaScript nije omogućen prilikom posjeta web-mjestu sa značajkom Smart App Banner.

    CVE-ID

    CVE-2013-0974: Andrew Plotkin iz tvrtke Zarfhome Software Consulting, Ben Madison iz tvrtke BitCloud, Marek Durcek

  • WebKit

    Dostupno za: iPhone 3GS i novije verzije, iPod touch (četvrte generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: u WebKitu je otkriven veći broj problema s oštećenom memorijom. Ti su problemi riješeni poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2012-2857: Arthur Gerkis

    CVE-2012-3606: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome

    CVE-2012-3607: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome

    CVE-2012-3621: Skylined iz tima za sigurnost preglednika Google Chrome

    CVE-2012-3632: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome

    CVE-2012-3687: kuzzcc

    CVE-2012-3701: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome

    CVE-2013-0948: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome

    CVE-2013-0949: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome

    CVE-2013-0950: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome

    CVE-2013-0951: Apple

    CVE-2013-0952: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome

    CVE-2013-0953: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome

    CVE-2013-0954: Dominic Cooney iz tvrtke Google i Martin Barbella iz sigurnosnog tima preglednika Google Chrome

    CVE-2013-0955: Apple

    CVE-2013-0956: Sigurnost Appleovih proizvoda

    CVE-2012-2824: miaubiz

    CVE-2013-0958: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome

    CVE-2013-0959: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome

    CVE-2013-0968: Aaron Nelson

  • WebKit

    Dostupno za: iPhone 3GS i novije verzije, iPod touch (četvrte generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: kopiranje i lijepljenje sadržaja na zlonamjerno web-mjesto može dovesti do napada unakrsnim skriptiranjem na više web-mjesta

    Opis: pri upravljanju sadržajem zalijepljenim s različitog izvora postojao je problem sa skriptiranjem na više web-mjesta. Taj je problem riješen dodatnom provjerom valjanosti zalijepljenog sadržaja.

    CVE-ID

    CVE-2013-0962: Mario Heiderich iz tvrtke Cure53

  • WebKit

    Dostupno za: iPhone 3GS i novije verzije, iPod touch (četvrte generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: posjet zlonamjernom web-mjestu mogao je uzrokovati napad unakrsnim skriptiranjem

    Opis: pri upravljanju elementima okvira postojao je problem sa skriptiranjem na više web-mjesta. Taj je problem riješen poboljšanim praćenjem izvora.

    CVE-ID

    CVE-2012-2889: Sergey Glazunov

  • Wi-Fi

    Dostupno za: iPhone 3GS, iPhone 4, iPod touch (četvrte generacije), iPad 2

    Učinak: udaljeni napadač na istoj Wi-Fi mreži može privremeno onemogućiti Wi-Fi

    Opis: pri upravljanju elementima informacija BCM4325 i BCM4329 s 802.11i firmvera tvrtke Broadcom otkriven je problem s prekoračenjem čitanja. Ovaj je problem riješen dodatnom provjerom valjanosti elemenata informacija 802.11i.

    CVE-ID

    CVE-2012-2619: Andres Blanco i Matias Eissler iz tvrtke Core Security

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: