Tietoja iOS 7.1.2:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan iOS 7.1.2:n turvallisuussisällöstä.
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
iOS 7.1.2
Varmenteiden luottamuskäytäntö
Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Varmenteiden luottamuskäytäntö on päivitetty.
Kuvaus: Varmenteiden luottamuskäytäntö on päivitetty. Luettelo varmenteista on osoitteessa http://support.apple.com/kb/HT5012?viewlocale=fi_FI.
CoreGraphics
Saatavilla seuraaviin: iPhone 4 ja uudemmat, iPod touch (5. sukupolvi) ja uudemmat, iPad 2 ja uudemmat
Vaikutus: Haitallisen XBM-tiedoston tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: XBM-tiedostojen käsittelyssä oli rajattoman pinon allokointiongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-1354: codedigging.comin Dima Kovalenko
Kernel
Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Ohjelma saattoi saada laitteen käynnistymään uudelleen odottamatta.
Kuvaus: IOKit API-argumenttien käsittelyssä oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu IOKit API-argumenttien lisätarkistuksella.
CVE-ID
CVE-2014-1355: Venustech Adlabin cunzhang
launchd
Saatavuus: iPhone 4 ja uudemmat, iPod touch (5. sukupolvi) ja uudemmat, iPad 2 ja uudemmat
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: launchd:n tavassa käsitellä IPC-viestejä oli kekopuskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-1356: Google Project Zeron Ian Beer
launchd
Saatavuus: iPhone 4 ja uudemmat, iPod touch (5. sukupolvi) ja uudemmat, iPad 2 ja uudemmat
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: launchd:n tavassa käsitellä lokiviestejä oli kekopuskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-1357: Google Project Zeron Ian Beer
launchd
Saatavuus: iPhone 4 ja uudemmat, iPod touch (5. sukupolvi) ja uudemmat, iPad 2 ja uudemmat
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: launchd:ssä oli kokonaisluvun ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-1358: Google Project Zeron Ian Beer
launchd
Saatavuus: iPhone 4 ja uudemmat, iPod touch (5. sukupolvi) ja uudemmat, iPad 2 ja uudemmat
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: launchd:ssä oli kokonaisluvun alivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-1359: Google Project Zeron Ian Beer
Lockdown
Saatavuus: iPhone 4 ja uudemmat, iPod touch (5. sukupolvi) ja uudemmat, iPad 2 ja uudemmat
Vaikutus: iOS-laitetta hallussaan pitävä hyökkääjä saattoi ohittaa aktivointilukituksen.
Kuvaus: Laitteet suorittivat puutteellisia tarkistuksia laitteen aktivoinnin aikana, minkä vuoksi aktivointilukitus saatettiin vilpillisesti osittain ohittaa. Ongelma on ratkaistu aktivointipalvelimilta vastaanotettujen tietojen asiakaspuolen lisätarkistuksella.
CVE-ID
CVE-2014-1360
Lukittu näyttö
Saatavuus: iPhone 4 ja uudemmat, iPod touch (5. sukupolvi) ja uudemmat, iPad 2 ja uudemmat
Vaikutus: Laitetta hallussaan pitävä hyökkääjä saattoi ylittää epäonnistuneiden pääsykoodin antamisyritysten sallitun ylärajan.
Kuvaus: Pääsykoodin epäonnistuneiden antamisyritysten sallittua ylärajaa ei valvottu joissakin olosuhteissa. Ongelma on ratkaistu parantamalla kyseisen rajan valvontaa.
CVE-ID
CVE-2014-1352: mblsec
Lukittu näyttö
Saatavuus: iPhone 4 ja uudemmat, iPod touch (5. sukupolvi) ja uudemmat, iPad 2 ja uudemmat
Vaikutus: Lukittua laitetta hallussaan pitävä hyökkääjä saattoi pystyä käyttämään ohjelmaa, joka oli etualalla ennen lukitsemista.
Kuvaus: Puhelintilan käsittelyssä lentokonetilassa oli tilanhallintaongelma. Ongelma on ratkaistu parantamalla tilanhallintaa lentokonetilassa.
CVE-ID
CVE-2014-1353
Mail
Saatavuus: iPhone 4 ja uudemmat, iPod touch (5. sukupolvi) ja uudemmat, iPad 2 ja uudemmat
Vaikutus: Sähköpostin liitetiedostoja pystyttiin noutamaan iPhone 4:stä.
Kuvaus: Tietojen suojaus ei ollut käytössä sähköpostin liitetiedostojen osalta, joten laitetta hallussaan pitävä hyökkääjä pystyi lukemaan niitä. Ongelma on ratkaistu muuttamalla sähköpostin liitetiedostojen salausluokkaa.
CVE-ID
CVE-2014-1348: NESO Security Labsin Andreas Kurtz
Safari
Saatavilla seuraaviin: iPhone 4 ja uudemmat, iPod touch (5. sukupolvi) ja uudemmat, iPad 2 ja uudemmat
Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: Safarin tavassa käsitellä virheellisiä URL-osoitteita oli use-after-free-ongelma. Ongelma on korjattu parantamalla muistin hallintaa.
CVE-ID
CVE-2014-1349: Reno Robert ja Dhanesh Kizhakkinan
Asetukset
Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi pystyä poistamaan Etsi iPhoneni -palvelun käytöstä antamatta iCloudin salasanaa.
Kuvaus: Etsi iPhoneni -tilan käsittelyssä oli tilanhallintaongelma. Ongelma on ratkaistu parantamalla Etsi iPhoneni -tilan käsittelyä.
CVE-ID
CVE-2014-1350
Secure Transport
Saatavuus: iPhone 4 ja uudemmat, iPod touch (5. sukupolvi) ja uudemmat, iPad 2 ja uudemmat
Vaikutus: Kaksi tavua alustamatonta muistia saattoi paljastua etähyökkääjälle.
Kuvaus: DTLS-viestien käsittelyssä TLS-yhteydessä oli alustamattoman muistin käyttöongelma. Ongelma on ratkaistu hyväksymällä DTLS-yhteydessä ainoastaan DTLS-viestejä.
CVE-ID
CVE-2014-1361: The Adium Projectin Thijs Alkemade
Siri
Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad (3. sukupolvi tai uudempi).
Vaikutus: Laitetta hallussaan pitävä henkilö saattoi pystyä tarkastelemaan kaikkia yhteystietoja.
Kuvaus: Jos Sirille annettu pyyntö saattaa viitata moneen eri yhteyshenkilöön, Siri näyttää mahdolliset vaihtoehdot sekä Lisää...-valinnan, josta saa näkyviin kaikki yhteyshenkilöt. Lukitulla näytöllä käytettäessä Siri ei vaatinut pääsykoodia ennen kaikkien yhteyshenkilöiden näyttämistä. Ongelma on ratkaistu vaatimalla pääsykoodi.
CVE-ID
CVE-2014-1351: Sherif Hashim
WebKit
Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: WebKitissä oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2013-2875: miaubiz
CVE-2013-2927: cloudfuzzer
CVE-2014-1323: banty
CVE-2014-1325: Apple
CVE-2014-1326: Apple
CVE-2014-1327: Google Chrome Security Team ja Apple
CVE-2014-1329: Google Chrome Security Team
CVE-2014-1330: Google Chrome Security Team
CVE-2014-1331: cloudfuzzer
CVE-2014-1333: Google Chrome Security Team
CVE-2014-1334: Apple
CVE-2014-1335: Google Chrome Security Team
CVE-2014-1336: Apple
CVE-2014-1337: Apple
CVE-2014-1338: Google Chrome Security Team
CVE-2014-1339: OUSPG:n Atte Kettunen
CVE-2014-1341: Google Chrome Security Team
CVE-2014-1342: Apple
CVE-2014-1343: Google Chrome Security Team
CVE-2014-1362: Apple ja miaubiz
CVE-2014-1363: Apple
CVE-2014-1364: Apple
CVE-2014-1365: Apple ja Google Chrome Security Team
CVE-2014-1366: Apple
CVE-2014-1367: Apple
CVE-2014-1368: Keen Teamin (Keen Cloud Techin tutkimustiimin) Wushi
CVE-2014-1382: Szegedin yliopiston / Samsung Electronicsin Renata Hodovan
CVE-2014-1731: Blink-kehitysyhteisön nimettömänä pysyvä jäsen
WebKit
Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haittasivusto pystyi lähettämään viestejä yhdistettyyn kehykseen tai ikkunaan tavalla, joka saattoi kiertää vastaanottajan alkuperätarkastuksen.
Kuvaus: Unicode-merkkien käsittelyssä URL-osoitteissa oli koodausongelma. Haitallinen URL-osoite olisi saattanut johtaa virheellisen postMessage-alkuperän lähettämiseen. Ongelma on ratkaistu parantamalla koodausta ja koodauksen purkamista.
CVE-ID
CVE-2014-1346: Facebookin Erling Ellingsen
WebKit
Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallinen verkkosivusto saattoi pystyä väärentämään domain-nimensä osoiterivillä.
Kuvaus: URL-osoitteiden käsittelyssä oli väärennysongelma. Ongelma on ratkaistu parantamalla URL-osoitteiden koodausta.
CVE-ID
CVE-2014-1345: Facebookin Erling Ellingsen
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.