Sprachen

Informationen zum Sicherheitsinhalt von iOS 7

In diesem Dokument wird der Sicherheitsinhalt von iOS 7 beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.

iOS 7

  • Richtlinie für vertrauenswürdige Zertifikate

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Root-Zertifikate wurden aktualisiert.

    Beschreibung: Bestimmte Zertifikate wurden zur Liste der System-Roots hinzugefügt oder daraus entfernt.

  • CoreGraphics

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten PDF-Datei kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Verarbeitung von JBIG2-codierten Daten existierte ein Pufferüberlauf. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2013-1025: Felix Groebert vom Google-Sicherheitsteam

  • CoreMedia

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Die Wiedergabe einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlicher Codes führen.

    Beschreibung: Bei der Verarbeitung von mit Sorenson codierten Filmdateien existierte ein Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2013-1019: Tom Gallagher (Microsoft) und Paul Bates (Microsoft) in Zusammenarbeit mit der HP Zero Day Initiative

  • Datenschutz

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Symptom: Apps konnten Einschränkungen bei Anmeldeversuchen umgehen.

    Beschreibung: Beim Datenschutz bestand ein Problem bei der Trennung von Berechtigungen. Eine App in der Sandbox eines Drittanbieters konnte wiederholt versuchen, den Code des Benutzers zu ermitteln, unabhängig der Einstellung des Benutzers für "Daten löschen". Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.

    CVE-ID

    CVE-2013-0957: Jin Han vom Institute for Infocomm Research in Zusammenarbeit mit Qiang Yan und Su Mon Kywe der Singapore Management University

  • Datensicherheit

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Angreifer mit einer privilegierten Netzwerkposition kann Berechtigungsnachweise eines Benutzers oder andere sensible Daten abfangen.

    Beschreibung: TrustWave, eine vertrauenswürdige Root CA, hat ein Sub-CA-Zertifikat von einem ihrer Vertrauensanker ausgegeben und wieder zurückgezogen. Diese Sub-CA ermöglichte das Abfangen der mit TLS (Transport Layer Security) gesicherten Kommunikation. Dieses Update fügte das betreffende Sub-CA-Zertifikat zur OS X-Liste der nicht vertrauenswürdigen Zertifikate hinzu.

    CVE-ID

    CVE-2013-5134

  • dyld

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Symptom: Ein Angreifer, der willkürlich Code auf einem Gerät ausführt, kann möglicherweise dafür sorgen, dass Code auch nach mehreren Neustarts ausgeführt wird.

    Beschreibung: In der Dyld-Funktion openSharedCacheFile () waren mehrere Pufferüberläufe vorhanden. Diese Probleme wurden durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2013-3950: Stefan Esser

  • Dateisysteme

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Symptom: Ein Angreifer, der ein Nicht-HFS-Dateisystem aktivieren kann, kann möglicherweise einen unerwarteten Systemabbruch oder die Ausführung willkürlichen Codes mit Kernel-Berechtigungen verursachen.

    Beschreibung: Bei der Verarbeitung von AppleDouble-Dateien existierte ein Speicherfehler. Dieses Problem wurde durch das Entfernen der Unterstützung von AppleDouble-Dateien behoben.

    CVE-ID

    CVE-2013-3955: Stefan Esser

  • ImageIO

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten PDF-Datei kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Verarbeitung von JPEG2000-codierten Daten in PDF-Dateien existierte ein Pufferüberlauf. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2013-1026: Felix Groebert vom Google-Sicherheitsteam

  • IOKit

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Symptom: Hintergrundanwendungen konnten Benutzeroberflächenereignisse in Vordergrundanwendungen einfügen.

    Beschreibung: Hintergrundanwendungen konnten Benutzeroberflächenereignisse in Vordergrundanwendungen über die Aufgabenausführung oder VoIP-APIs einfügen. Das Problem wurde durch eine Verstärkung der Zugriffskontrollen bei Vordergrund- und Hintergrundprozessen, die Oberflächenereignisse verarbeiten, behoben.

    CVE-ID

    CVE-2013-5137: Mackenzie Straight bei Mobile Labs

  • IOKitUser

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Symptom: Eine bösartige lokale Anwendung konnte einen unerwarteten Systemabbruch verursachen.

    Beschreibung: In IOCatalogue gab es einen Rückverweis auf einen Nullzeiger. Das Problem wurde durch eine verbesserte Typüberprüfung behoben.

    CVE-ID

    CVE-2013-5138: Will Estes

  • IOSerialFamily

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Symptom: Das Ausführen einer bösartigen Anwendung kann im Kernel zur Ausführung willkürlichen Codes führen.

    Beschreibung: Im IOSSerialFamily-Treiber gab es einen grenzüberschreitenden Speicherzugriff. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2013-5139: @dent1zt

  • IPSec

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Angreifer ist möglicherweise in der Lage, durch IPSec Hybrid Auth geschützte Daten abzufangen.

    Beschreibung: Der DNS-Name eines IPSec Hybrid Auth-Server wurde nicht auf das Zertifikat abgestimmt, sodass ein Angreifer mit einem Zertifikat für einen Server die Identität eines anderen vortäuschen konnte. Dieses Problem wurde durch eine verbesserte Zertifikatsüberprüfung behoben.

    CVE-ID

    CVE-2013-1028: Alexander Traud von www.traud.de

  • Kernel

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Symptom: Ein entfernter Angreifer kann zu einem unerwarteten Neustart eines Geräts führen.

    Beschreibung: Das Senden eines ungültigen Paketfragments an ein Gerät kann dazu führen, dass ein Kernel-Assert ausgelöst und somit ein Neustart des Geräts verursacht wird. Das Problem wurde durch eine zusätzliche Überprüfung der Paketfragmente behoben.

    CVE-ID

    CVE-2013-5140: Joonas Kuorilehto von Codenomicon, ein anonymer Forscher, in Zusammenarbeit mit CERT-FI, Antti Levomäki und Lauri Virtanen der Vulnerability Analysis Group, Stonesoft

  • Kernel

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Symptom: Eine bösartige Anwendung konnte ein unerwartetes Aufhängen des Geräts zur Folge haben.

    Beschreibung: Eine Ganzzahlbeschneidungs-Angreifbarkeit in der Kernel-Socket-Schnittstelle konnte verwendet werden, um die CPU in eine Endlosschleife zu zwingen. Das Problem wurde durch eine größere Variable behoben.

    CVE-ID

    CVE-2013-5141: CESG

  • Kernel

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Symptom: Ein Angreifer in einem lokalen Netzwerk kann ein Denial-of-Service verursachen.

    Beschreibung: Ein Angreifer in einem lokalen Netzwerk kann speziell erstellte IPv6 ICMP-Pakete senden und zu einer hohen CPU-Auslastung führen. Das Problem wurde durch eine zeitbezogene Begrenzung der ICMP-Pakete vor der Überprüfung der Prüfsumme behoben.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kernel

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Symptom: Kernel-Stack-Speicher wird möglicherweise lokalen Benutzern offengelegt.

    Beschreibung: In den msgctl- und segctl-APIs kam es zur Offenlegung von Informationen. Dieses Problem wurde durch eine Initialisierung der vom Kernel zurückgegebenen Datenstrukturen behoben.

    CVE-ID

    CVE-2013-5142: Kenzley Alphonse von Kenx Technology, Inc

  • Kernel

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Symptom: Nicht privilegierte Prozesse konnten Zugriff auf den Inhalt des Kernel-Speichers erhalten, was zu einer Privilegieneskalation führen konnte.

    Beschreibung: In der API mach_port_space_info kam es zur Offenlegung von Informationen. Dieses Problem wurde durch eine Initialisierung des Feldes iin_collision in vom Kernel zurückgegebenen Strukturen behoben.

    CVE-ID

    CVE-2013-3953: Stefan Esser

  • Kernel

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Symptom: Nicht privilegierte Prozesse können möglicherweise einen unerwarteten Systemabbruch oder die Ausführung willkürlichen Codes im Kernel verursachen.

    Beschreibung: Bei der Verarbeitung von Argumenten an die API posix_spawn existierte ein Speicherfehler. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2013-3954: Stefan Esser

  • Kext-Management

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Symptom: Ein unberechtigter Prozess modifiziert möglicherweise den Satz geladener Kernel-Erweiterungen.

    Beschreibung: Bei der Verarbeitung von IPC-Meldungen von nicht authentifizierten Absendern durch kextd trat ein Problem auf. Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.

    CVE-ID

    CVE-2013-5145: "Rainbow PRISM"

  • libxml

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Webseite kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen

    Beschreibung: In libxml bestanden mehrere Speicherfehler. Diese Probleme wurden durch die Aktualisierung von libxml auf Version 2.9.0 behoben.

    CVE-ID

    CVE-2011-3102: Jüri Aedla

    CVE-2012-0841

    CVE-2012-2807: Jüri Aedla

    CVE-2012-5134: Google Chrome Security Team (Jüri Aedla)

  • libxslt

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Webseite kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen

    Beschreibung: In libxslt bestanden mehrere Speicherfehler. Diese Probleme wurden durch die Aktualisierung von libxslt auf Version 1.1.28 behoben.

    CVE-ID

    CVE-2012-2825: Nicolas Gregoire

    CVE-2012-2870: Nicolas Gregoire

    CVE-2012-2871: Kai Lu von Fortinet's FortiGuard Labs, Nicolas Gregoire

  • Codesperre

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine Person mit physischem Zugang zum Gerät kann die Bildschirmsperre umgehen

    Beschreibung: Bei der Verarbeitung von Anrufen und SIM-Kartenauswürfen auf dem Sperrbildschirm existierte ein Race-Bedingungsfehler. Dieses Problem wurde durch eine verbesserte Sperrstatusverwaltung behoben.

    CVE-ID

    CVE-2013-5147: videosdebarraquito

  • Persönlicher Hotspot

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Symptom: Ein Angreifer kann möglicherweise einem persönlichen Hotspot-Netzwerk beitreten.

    Beschreibung: Beim Generieren persönlicher Hotspot-Kennwörter trat ein Problem auf, das zu Kennwörtern führte, die durch einen Angreifer vorhergesagt werden konnten, der so einem persönlichen Hotspot eines Benutzers beitreten konnte. Das Problem wurde durch eine Kennwortgenerierung mit höherer Entropie behoben.

    CVE-ID

    CVE-2013-4616: Andreas Kurtz von NESO Security Labs und Daniel Metz von der Universität Erlangen - Nürnberg

  • Push-Benachrichtigungen

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Symptom: Der Token der Push-Benachrichtigung kann entgegen der Entscheidung des Benutzers für eine App offengelegt werden.

    Beschreibung: Bei der Registrierung der Push-Benachrichtigung kam es zur Offenlegung von Informationen. Apps, die Zugriff auf den Push-Benachrichtigungszugriff angefragt haben, erhielten den Token, bevor der Benutzer der Verwendung der Push-Benachrichtigungen durch die Apps zugestimmt hat. Dieses Problem wurde durch Zurückhalten des Zugriffs auf den Token bis zur Genehmigung durch den Benutzer behoben.

    CVE-ID

    CVE-2013-5149: Jack Flintermann von Grouper, Inc.

  • Safari

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Verarbeitung von XML-Dateien existierte ein Speicherfehler. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2013-1036: Kai Lu von Fortinet's FortiGuard Labs

  • Safari

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Symptom: Der Verlauf kürzlich besuchter Seiten in einer offenen Registerkarte bleibt auch nach dem Löschen des Verlaufs bestehen.

    Beschreibung: Beim Löschen des Verlaufs in Safari wurde der zugehörige Verlauf offener Registerkarten nicht gelöscht. Dieses Problem wurde durch Löschen des zugehörigen Verlaufs behoben.

    CVE-ID

    CVE-2013-5150

  • Safari

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Symptom: Das Betrachten von Dateien auf einer Website kann zu einer Ausführung von Skript führen, auch wenn der Server den Header "Content-Type: text/plain" sendet.

    Beschreibung: Mobile Safari hat Dateien manchmal als HTML-Dateien behandelt, auch wenn der Server den Header "Content-Type: text/plain" gesendet hat. Dies kann bei Websites, die Benutzern das Hochladen von Dateien erlauben, zu Cross-Site-Scripting führen. Das Problem wurde durch eine verbesserte Verarbeitung der Dateien bei gesetztem "Content-Type: text/plain" behoben.

    CVE-ID

    CVE-2013-5151: Ben Toews von Github

  • Safari

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Symptom: Der Besuch einer böswilligen Website kann zur Anzeige einer willkürlichen URL führen.

    Beschreibung: In Mobile Safari bestand ein Spoofing-Problem mit der URL-Leiste. Das Problem wurde durch ein verbessertes URL-Tracking behoben.

    CVE-ID

    CVE-2013-5152: Keita Haga von keitahaga.com, Łukasz Pilorz von RBS

  • Sandbox

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Symptom: Für Anwendungen, bei denen es sich um Skripte handelt, wurde kein Sandboxing durchgeführt.

    Beschreibung: Bei Drittanbieteranwendungen, die die Syntax #! verwendeten, um ein Skript auszuführen, wurde ein Sandboxing basierend auf der Identität des Skript-Interpreters und nicht des Skripts durchgeführt. Für den Interpreter wurde möglicherweise keine Sandbox definiert, sodass die Anwendung ohne Sandboxing ausgeführt wurde. Dieses Problem wurde durch das Erstellen der Sandbox basierend auf der Identität des Skripts behoben.

    CVE-ID

    CVE-2013-5154: evad3rs

  • Sandbox

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Symptom: Anwendungen können zu einem Aufhängen des Geräts führen.

    Beschreibung: Bösartige Anwendungen von Drittanbietern, die bestimmte Werte in das /dev/random-Gerät geschrieben haben, konnten die CPU in eine Endlosschleife zwingen. Dieses Problem wurde behoben, indem verhindert wird, dass Anwendungen von Drittanbietern in /dev/random schreiben.

    CVE-ID

    CVE-2013-5155: CESG

  • Sozial

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Symptom: Die kürzlich erfolgten Twitter-Aktivitäten eines Benutzers konnten auf Geräten ohne Code offengelegt werden.

    Beschreibung: Es bestand das Problem, dass ermittelt werden konnte, welche Twitter-Accounts ein User kürzlich verwendet hatte. Dieses Problem wurde durch Einschränkung des Zugriffs auf den Twitter-Symbol-Cache behoben.

    CVE-ID

    CVE-2013-5158: Jonathan Zdziarski

  • Springboard

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Symptom: Eine Person mit physischem Zugriff auf ein Gerät im Modus "Verloren" kann möglicherweise Benachrichtigungen sehen.

    Beschreibung: Ein Problem bestand beim Umgang mit Benachrichtigungen bei Geräten im Modus "Verloren". Diese Aktualisierung behebt das Problem durch eine verbesserte Sperrstatusverwaltung.

    CVE-ID

    CVE-2013-5153: Daniel Stangroom

  • Telefonie

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Symptom: Bösartige Apps konnten die Telefonfunktion beeinträchtigen oder steuern.

    Beschreibung: Im Telefonie-Subsystem kam es zu einem Problem mit der Zugriffssteuerung. Durch das Umgehen unterstützter APIs konnten Apps, für die ein Sandboxing durchgeführt wurde, direkt Anfragen an einen System-Daemon stellen, der die Telefonfunktion beeinträchtigt oder steuert. Das Problem wurde durch eine Verstärkung der Zugriffskontrollen auf Schnittstellen behoben, die durch den Telefonie-Daemon offengelegt wurden.

    CVE-ID

    CVE-2013-5156: Jin Han vom Institute for Infocomm Research in Zusammenarbeit mit Qiang Yan und Su Mon Kywe der Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung, und Wenke Lee vom Georgia Institute of Technology

  • Twitter

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Symptom: Apps, für die ein Sandboxing durchgeführt wurde, konnten ohne Interaktion oder Erlaubnis des Benutzers Tweets senden.

    Beschreibung: Im Twitter-Subsystem kam es zu einem Problem mit der Zugriffssteuerung. Durch das Umgehen unterstützter APIs konnten Apps, für die ein Sandboxing durchgeführt wurde, direkt Anfragen an einen System-Daemon stellen, der die Twitter-Funktion beeinträchtigt oder steuert. Das Problem wurde durch eine Verstärkung der Zugriffskontrollen auf Schnittstellen behoben, die durch den Twitter-Daemon offengelegt wurden.

    CVE-ID

    CVE-2013-5157: Jin Han vom Institute for Infocomm Research in Zusammenarbeit mit Qiang Yan und Su Mon Kywe der Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung, und Wenke Lee vom Georgia Institute of Technology

  • WebKit

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: In WebKit bestanden mehrere Speicherfehler. Diese Probleme wurden durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2013-0879: Atte Kettunen von OUSPG

    CVE-2013-0991: Jay Civelli von der Chromium-Entwicklergemeinde

    CVE-2013-0992: Google Chrome-Sicherheitsteam (Martin Barbella)

    CVE-2013-0993: Google Chrome-Sicherheitsteam (Inferno)

    CVE-2013-0994: David German von Google

    CVE-2013-0995: Google Chrome-Sicherheitsteam (Inferno)

    CVE-2013-0996: Google Chrome-Sicherheitsteam (Inferno)

    CVE-2013-0997: Vitaliy Toropov in Zusammenarbeit mit der HP Zero Day Initiative

    CVE-2013-0998: pa_kt in Zusammenarbeit mit der Zero Day Initiative von HP

    CVE-2013-0999: pa_kt in Zusammenarbeit mit der Zero Day Initiative von HP

    CVE-2013-1000: Fermin J. Serna vom Google-Sicherheitsteam

    CVE-2013-1001: Ryan Humenick

    CVE-2013-1002: Sergey Glazunov

    CVE-2013-1003: Google Chrome-Sicherheitsteam (Inferno)

    CVE-2013-1004: Google Chrome-Sicherheitsteam (Martin Barbella)

    CVE-2013-1005: Google Chrome-Sicherheitsteam (Martin Barbella)

    CVE-2013-1006: Google Chrome-Sicherheitsteam (Martin Barbella)

    CVE-2013-1007: Google Chrome-Sicherheitsteam (Inferno)

    CVE-2013-1008: Sergey Glazunov

    CVE-2013-1010: miaubiz

    CVE-2013-1037: Google Chrome-Sicherheitsteam

    CVE-2013-1038: Google Chrome-Sicherheitsteam

    CVE-2013-1039: own-hero Research in Zusammenarbeit mit iDefense VCP

    CVE-2013-1040: Google Chrome-Sicherheitsteam

    CVE-2013-1041: Google Chrome-Sicherheitsteam

    CVE-2013-1042: Google Chrome-Sicherheitsteam

    CVE-2013-1043: Google Chrome-Sicherheitsteam

    CVE-2013-1044: Apple

    CVE-2013-1045: Google Chrome-Sicherheitsteam

    CVE-2013-1046: Google Chrome-Sicherheitsteam

    CVE-2013-1047: miaubiz

    CVE-2013-2842: Cyril Cattiaux

    CVE-2013-5125: Google Chrome-Sicherheitsteam

    CVE-2013-5126: Apple

    CVE-2013-5127: Google Chrome-Sicherheitsteam

    CVE-2013-5128: Apple

  • WebKit

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Symptom: Der Besuch einer böswilligen Website kann zur ungewollten Preisgabe von Informationen führen.

    Beschreibung: Bei der Verarbeitung der API window.webkitRequestAnimationFrame() kam es zur Offenlegung von Informationen. Eine in böswilliger Absicht erstellte Website konnte mithilfe eines iframes ermitteln, ob eine andere Website window.webkitRequestAnimationFrame() verwendet hat. Dieses Problem wurde durch eine verbesserte Verarbeitung von window.webkitRequestAnimationFrame() behoben.

    CVE-ID

    CVE-2013-5159
  • WebKit

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Kopieren und Einfügen eines schädlichen HTML-Ausschnitts kann zu Cross-Site-Scripting-Angriffen führen.

    Beschreibung: Bei der Verarbeitung von kopierten und eingefügten Daten in HTML-Dokumenten bestand ein Cross-Site-Scripting-Problem. Dieses Problem wurde durch Ausführen einer zusätzlichen Validierung der eingefügten Inhalte behoben.

    CVE-ID

    CVE-2013-0926: Aditya Gupta, Subho Halder und Dev Kar von xys3c (xysec.com)

  • WebKit

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen.

    Beschreibung: Bei der Verarbeitung von iframes lag ein Cross-Site-Scripting-Problem vor. Das Problem wurde durch ein verbessertes Origin-Tracking behoben.

    CVE-ID

    CVE-2013-1012: Subodh Iyengar und Erling Ellingsen von Facebook

  • WebKit

    Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zur ungewollten Preisgabe von Daten führen.

    Beschreibung: In XSSAuditor kam es zur Offenlegung von Informationen. Dieses Problem wurde durch eine verbesserte Verarbeitung von URLs behoben.

    CVE-ID

    CVE-2013-2848: Egor Homakov

  • WebKit

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Symptom: Das Ziehen oder Einfügen einer Auswahl kann zu einem Cross-site-scripting-Angriff führen.

    Beschreibung: Beim Ziehen oder Einfügen einer Auswahl von einer Site in eine andere können in dieser Auswahl enthaltene Skripte im Umfeld der neuen Site ausgeführt werden. Dieses Problem wird durch eine zusätzliche Validierung des Inhalts vor einer Operation zum Ziehen oder Einfügen behoben.

    CVE-ID

    CVE-2013-5129: Mario Heiderich

  • WebKit

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen.

    Beschreibung: Bei der Verarbeitung von URLs gab es ein Cross-Site-Scripting-Problem. Das Problem wurde durch ein verbessertes Origin-Tracking behoben.

    CVE-ID

    CVE-2013-5131: Erling A Ellingsen

Wichtig: Der Hinweis auf Websites und Produkte Dritter dient ausschließlich informativen Zwecken und ist weder als Billigung noch als Empfehlung zu verstehen Apple übernimmt keine Verantwortung in Bezug auf die Auswahl, Leistung oder Verwendung von Informationen oder Produkten, die auf Websites Dritter angeboten werden. Apple stellt seinen Kunden diese Informationen nur als Serviceleistung zur Verfügung. Apple hat die Informationen, die auf diesen Sites angeboten werden, nicht geprüft und macht keine Angaben in Bezug auf deren Korrektheit und Zuverlässigkeit. Die Verwendung aller Informationen und Produkte, die im Internet angeboten werden, unterliegt bestimmten Risiken; Apple übernimmt diesbezüglich keine Verantwortung. Bitte haben Sie Verständnis dafür, dass Websites Dritter von Apple unabhängig sind und dass Apple keine Kontrolle über den Inhalt dieser Websites hat. Für weitere Informationen wenden Sie sich bitte an den Hersteller.

Zuletzt geändert: 27.09.2013
Hilfreich?
Ja
Nein
  • Last Modified: 27.09.2013
  • Article: HT5934
  • Views:

    1963
  • Rating:
    • 100.0

    (1 Antworten)

Zusätzliche Supportinformationen zum Produkt