Tietoja iOS 7.1:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan iOS 7.1:n turvallisuussisällöstä.
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
iOS 7.1
Varmuuskopiointi
Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallinen varmuuskopio saattoi muuttaa tiedostojärjestelmää.
Kuvaus: Varmuuskopiossa ollut symbolinen linkki palautettiin, jolloin seuraavat palautuksen aikaiset toiminnot pystyivät kirjoittamaan tiedostojärjestelmän muihin osiin. Ongelma on ratkaistu tarkistamalla symboliset linkit palautuksen aikana.
CVE-ID
CVE-2013-5133: evad3rs
Varmenteiden luottamuskäytäntö
Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Juurivarmenteet on päivitetty.
Vaikutus: Useita varmenteita lisättiin järjestelmäjuurten luetteloon tai poistettiin siitä.
Määrittelyprofiilit
Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Profiilien vanhentumispäiviä ei noudatettu.
Kuvaus: Mobiilimäärittelyprofiilien vanhentumispäiviä ei laskettu oikein. Ongelma on ratkaistu parantamalla määrittelyprofiilien käsittelyä.
CVE-ID
CVE-2014-1267
CoreCapture
Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallinen ohjelma saattoi saada järjestelmän sulkeutumaan odottamatta.
Kuvaus: CoreCapturen tavassa käsitellä IOKitin API-kutsuja oli tavoitettavan vahvistuksen ongelma. Ongelma on ratkaistu IOKitin syötteen lisätarkistuksella.
CVE-ID
CVE-2014-1271: Filippo Bigarella
Virheraportointi
Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Paikallinen käyttäjä saattoi pystyä muuttamaan mielivaltaisten tiedostojen käyttöoikeuksia.
Kuvaus: CrashHouseKeeping seurasi symbolisia linkkejä, kun tiedostojen käyttöoikeuksia muutettiin. Ongelma on ratkaistu olemalla noudattamatta symbolisia linkkejä, kun tiedostojen käyttöoikeuksia muutetaan.
CVE-ID
CVE-2014-1272: evad3rs
dyld
Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Koodien allekirjoitusvaatimukset saatettiin ohittaa.
Kuvaus: dyld saattoi ladata dynaamisten kirjastojen tekstinsiirtämisohjeet ilman koodin allekirjoituksen tarkistusta. Ongelma on ratkaistu jättämällä tekstin siirtämisohjeet huomioimatta.
CVE-ID
CVE-2014-1273: evad3rs
FaceTime
Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi päästä FaceTime-yhteystietoihin lukitulta näytöltä.
Kuvaus: Epäonnistunut FaceTime-puhelu lukitulta näytöltä saattoi paljastaa lukitun laitteen FaceTime-yhteystiedot. Ongelma on ratkaistu parantamalla FaceTime-puheluiden käsittelyä.
CVE-ID
CVE-2014-1274
ImageIO
Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallisen PDF-tiedoston tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: PDF-tiedostojen JPEG2000-kuvien käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-1275: Google Security Teamin Felix Groebert
ImageIO
Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallisen TIFF-tiedoston katsominen voi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: libtiffin tavassa käsitellä TIFF-kuvia oli puskurin ylivuoto. Ongelma on korjattu TIFF-kuvien lisätarkistuksella.
CVE-ID
CVE-2012-2088
ImageIO
Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallisen JPEG-tiedoston katselu saattoi aiheuttaa muistin sisällön paljastumisen.
Kuvaus: libjpeg:n tavassa käsitellä JPEG-merkkejä oli alustamattoman muistin käyttöongelma, mikä johti muistin sisällön paljastumiseen. Ongelma on ratkaistu JPEG-tiedostojen lisätarkistuksella.
CVE-ID
CVE-2013-6629: Michal Zalewski
IOKit HID Event
Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallinen ohjelma saattoi tarkkailla käyttäjän toimia muissa ohjelmissa.
Kuvaus: IOKit-sovelluskehyksen liittymä salli haittaohjelmien tarkkailla käyttäjän toimia muissa ohjelmissa. Ongelma on ratkaistu parantamalla sovelluskehyksen käytönhallintakäytäntöjä.
CVE-ID
CVE-2014-1276: FireEyen Min Zheng, Hui Xue ja Dr. Tao (Lenx) Wei
iTunes Store
Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Välimieshyökkääjä saattoi houkutella käyttäjän lataamaan haittaohjelman Enterprise App Downloadin kautta.
Kuvaus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi väärentää verkossa siirrettyjä tietoja ja houkutella käyttäjän lataamaan haittaohjelman. Ongelmaa on lievennetty käyttämällä SSL:ää ja näyttämällä käyttäjälle kehotteita URL-uudelleenohjausten aikana.
CVE-ID
CVE-2013-3948: Stefan Esser
Kernel
Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä.
Kuvaus: ARM:n ptmx_get_ioctl-funktiossa oli rajojen ylittämiseen liittyvä muistin käyttöongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-1278: evad3rs
Office Viewer
Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallisen Microsoft Word -dokumentin avaaminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: Microsoft Word -dokumenttien käsittelyssä oli double free -ongelma. Ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-ID
CVE-2014-1252: Google Security Teamin Felix Groebert
Kuvat-taustasovellus
Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Kuvat-ohjelmassa saattoi näkyä poistettuja kuvia läpinäkyvien kuvien alla.
Kuvaus: Kuvan poistaminen resurssikirjastosta ei poistanut sen välimuistissa olleita versioita. Ongelma on ratkaistu parantamalla välimuistin hallintaa.
CVE-ID
CVE-2014-1281: Hoelblinger.comin Walter Hoelblinger sekä Morgan Adams ja Tom Pennington
Profiilit
Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Käyttäjä ei ehkä nähnyt määrittelyprofiilia.
Kuvaus: Pitkällä nimellä varustettu määrittelyprofiili voitiin ladata laitteeseen, mutta sitä ei näkynyt profiilin käyttöliittymässä. Ongelma on ratkaistu parantamalla profiilinimien käsittelyä.
CVE-ID
CVE-2014-1282: Skycuren Assaf Hefetz, Yair Amit ja Adi Sharabani
Safari
Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Käyttäjän kirjautumistiedot voidaan luovuttaa odottamattomalle sivustolle automaattisen täytön avulla.
Kuvaus: Safari saattoi automaattisesti täyttää käyttäjätunnuksia ja salasanoja alikehykseen domainista, joka ei ole sama kuin pääkehyksessä. Ongelma on ratkaistu parantamalla alkuperän seurantaa.
CVE-ID
CVE-2013-5227: Klarna AB:n Niklas Malmgren
Asetukset – Tilit
Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi pystyä poistamaan Etsi iPhoneni -palvelun käytöstä antamatta iCloudin salasanaa.
Kuvaus: Etsi iPhoneni -tilan käsittelyssä oli tilanhallintaongelma. Ongelma on ratkaistu parantamalla Etsi iPhoneni -tilan käsittelyä.
CVE-ID
CVE-2014-2019
Springboard
Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi nähdä laitteen Koti-valikon, vaikka laitetta ei oltu aktivoitu.
Kuvaus: Ohjelman odottamaton sulkeutuminen aktivoinnin aikana saattoi saada puhelimen näyttämään Koti-valikon. Ongelma on ratkaistu parantamalla virheiden käsittelyä aktivoinnin aikana.
CVE-ID
CVE-2014-1285: Roboboi99
Lukittu SpringBoard-näyttö
Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Lukittu näyttö saattoi lakata vastaamasta etähyökkääjän toimien vuoksi.
Kuvaus: Lukitussa näytössä oli tilanhallintaongelma. Ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-ID
CVE-2014-1286: M-sec.netin Bogdan Alecu
TelephonyUI-sovelluskehys
Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Verkkosivu saattoi käynnistää FaceTime-äänipuhelun ilman käyttäjän toimia.
Kuvaus: Safari ei kysynyt lupaa käyttäjältä ennen facetime-audio://-URL-osoitteiden avaamista. Ongelma on ratkaistu lisäämällä vahvistuskehote.
CVE-ID
CVE-2013-6835: Guillaume Ross
USB-isäntä
Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen kernel-tilassa.
Kuvaus: USB-viestien käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu USB-viestien lisätarkistuksella.
CVE-ID
CVE-2014-1287: NCC Groupin Andy Davis
Näytönohjain
Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallisen videon toistaminen saattoi saada laitteen lakkaamaan vastaamasta.
Kuvaus: MPEG-4-koodattujen tiedostojen käsittelyssä oli tyhjän epäviittauksen ongelma. Ongelma on korjattu parantamalla muistin hallintaa.
CVE-ID
CVE-2014-1280: rg0rd
WebKit
Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: WebKitissä oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2013-2909: OUSPG:n Atte Kettunen
CVE-2013-2926: cloudfuzzer
CVE-2013-2928: Google Chrome Security Team
CVE-2013-5196: Google Chrome Security Team
CVE-2013-5197: Google Chrome Security Team
CVE-2013-5198: Apple
CVE-2013-5199: Apple
CVE-2013-5225: Google Chrome Security Team
CVE-2013-5228: HP:n Zero Day Initiativen parissa työskentelevä Keen Team (@K33nTeam)
CVE-2013-6625: cloudfuzzer
CVE-2013-6635: cloudfuzzer
CVE-2014-1269: Apple
CVE-2014-1270: Apple
CVE-2014-1289: Apple
CVE-2014-1290: HP:n Zero Day Initiativen parissa työskentelevä ant4g0nist (SegFault), Google Chrome Security Team sekä Lee Wang Hao yhteistyössä Institute for Infocomm Researchin Infocomm Security Departmentin S.P.T. Krishnanin kanssa
CVE-2014-1291: Google Chrome Security Team
CVE-2014-1292: Google Chrome Security Team
CVE-2014-1293: Google Chrome Security Team
CVE-2014-1294: Google Chrome Security Team
FaceTime ei ole saatavilla kaikissa maissa tai alueilla.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.