O sigurnosnom sadržaju sustava iOS 6.1.3

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 6.1.3.

Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste doznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za zaštitu Appleovih proizvoda potražite u članku "Korištenje PGP ključa za zaštitu Appleovih proizvoda".

Kada je moguće, slabe točke označene su CVE ID-ovima, pomoću kojih je moguće pronaći dodatne informacije.

Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak "Appleova sigurnosna ažuriranja".

iOS 6.1.3

• dyld

  Dostupno za: iPhone 3GS i novije verzije, iPod touch (četvrte generacije) i novije verzije, iPad 2 i novije verzije

  Učinak: lokalni korisnik mogao je izvršiti nepotpisani kod

  Opis: otkriven je problem upravljanja stanjem pri rukovanju izvršnim datotekama Mach-O s preklapajućim segmentima. Taj je problem riješen onemogućivanjem učitavanja izvršne datoteke s preklapajućim segmentima.

  CVE-ID

  CVE-2013-0977: evad3rs

• Kernel

  Dostupno za: iPhone 3GS i novije verzije, iPod touch (četvrte generacije) i novije verzije, iPad 2 i novije verzije

  Učinak: lokalni korisnik mogao je utvrditi adresu struktura u jezgri

  Opis: postojao je problem otkrivanja informacija u rukovatelju prekida ARM pretpreuzimanja. Taj je problem riješen upozoravanjem korisnika ako rukovatelj prekida pretpreuzimanja nije pozvan iz konteksta prekida.

  CVE-ID

  CVE-2013-0978: evad3rs

• Zaključavanje

  Dostupno za: iPhone 3GS i novije verzije, iPod touch (četvrte generacije) i novije verzije, iPad 2 i novije verzije

  Učinak: lokalni korisnik mogao je promijeniti dozvole proizvoljnih datoteka

  Opis: zaključavanjem su se prilikom vraćanja iz sigurnosne kopije mijenjale dozvole nekih datoteka, čak i ako je putanja do datoteke obuhvaćala simboličnu vezu. Taj je problem riješen tako da se ne mijenjaju dozvole datoteka sa simboličnom vezom u putanji.

  CVE-ID

  CVE-2013-0979: evad3rs

• Zaključavanje lozinkom

  Dostupno za: iPhone 3GS i novije verzije, iPod touch (četvrte generacije) i novije verzije, iPad 2 i novije verzije

  Učinak: osoba s fizičkim pristupom uređaju mogla je zaobići zaključavanje zaslona

  Opis: postojao je logički problem u rukovanju hitnim pozivima sa zaključanog zaslona. Taj je problem riješen poboljšanim upravljanjem zaključavanjem.

  CVE-ID

  CVE-2013-0980: Christopher Heffley, Medium.ca, videosdebarraquito

• USB

  Dostupno za: iPhone 3GS i novije verzije, iPod touch (četvrte generacije) i novije verzije, iPad 2 i novije verzije

  Učinak: lokalni korisnik mogao je izvršiti proizvoljni kod u jezgri

  Opis: upravljački program IOUSBDeviceFamily koristio je pokazivače PIPE objekata iz korisničkog prostora. Taj je problem riješen izvršavanjem dodatne provjere valjanosti pokazivača PIPE objekata.

  CVE-ID

  CVE-2013-0981: evad3rs

• WebKit

  Dostupno za: iPhone 3GS i novije verzije, iPod touch (četvrte generacije) i novije verzije, iPad 2 i novije verzije

  Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

  Opis: postojao je problem nevažeće promjene vrste pri rukovanju SVG datotekama. Taj je problem riješen poboljšanom provjerom vrsta.

  CVE-ID

  CVE-2013-0912: Nils i Jon iz tvrtke MWR Labs za Zero Day Initiative odjela HP TippingPoint