Om sikkerhetsinnholdet i iOS 7
Dette dokumentet beskriver sikkerhetsinnholdet i iOS 7.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.
For å finne ut mer om PGP-nøkkelen fra Apple Produktsikkerhet går du til Slik bruker du PGP-nøkkelen fra Apple Produktsikkerhet.
Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.
Hvis du vil vite mer om andre sikkerhetsoppdateringer, kan du se Apples sikkerhetsutgivelser.
iOS 7
Certificate Trust Policy
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Rotsertifikater er oppdatert
Beskrivelse: Flere sertifikater ble lagt til eller fjernet fra listen over rotsertifikater.
CoreGraphics
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Åpning av en skadelig PDF-fil kan føre til uventet avslutning av en app eller kjøring av vilkårlig kode
Beskrivelse: Det var bufferoverflyt i håndteringen av JBIG2-kodede data i PDF-filer. Problemet ble løst gjennom ytterligere grenseverdikontroll.
CVE-ID
CVE-2013-1025: Felix Groebert fra Google Security Team{
CoreMedia
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Avspilling av en skadelig filmfil kan føre til uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Det var bufferoverflyt i håndteringen av Sorenson-kodede filmfiler. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2013-1019: Tom Gallagher (Microsoft) og Paul Bates (Microsoft) i samarbeid med HPs Zero Day Initiative
Data Protection
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Apper kan omgå begrensninger for passordforsøk
Beskrivelse: Det var et problem med rettighetsseparasjon i Data Protection. En app som befinner seg i tredjepartssandkassen kan gjentatte ganger forsøke å finne frem til brukerens passord, selv om brukeren har valgt «Slett data»-innstillingen. Problemet ble løst ved å kreve ytterligere rettighetskontroller.
CVE-ID
CVE-2013-0957 : Jin Han fra Institute for Infocomm Research i samarbeid med Qiang Yan og Su Mon Kywe fra Singapore Management University
Data Security
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper med en privilegert nettverksposisjon kan innhente brukerlegitimasjon eller annen sensitiv informasjon
Beskrivelse: TrustWave, en klarert rot-CA, har utstedt, og senere tilbakekalt, et under-CA-sertifikat fra en av sine klarerte ankere. Dette under-CA-et gjorde det mulig å avlytte kommunikasjon som var sikret med TLS (Transport Layer Security). Denne oppdateringen la det involverte sub-CA-sertifikatet til i OS X-listen over sertifikater som ikke er godkjente.
CVE-ID
CVE-2013-5134
dyld
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper som kan utføre vilkårlig kodekjøring på en enhet, kan være i stand til å fortsette å kjøre kode selv om enheten startes på nytt
Beskrivelse: Det var flere bufferoverflyter i openSharedCacheFile()-funksjonen i dyld. Problemene ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2013-3950 : Stefan Esser
File Systems
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper som kan aktivere et filsystem som ikke er HFS kan kanskje forårsake en uventet systemavslutning eller vilkårlig kodekjøring med kjernetillatelser
Beskrivelse: Et problem med skadet minne eksisterte i håndteringen av AppleDouble-filer. Problemet ble løst ved å fjerne støtte for AppleDouble-filer.
CVE-ID
CVE-2013-3955 : Stefan Esser
ImageIO
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Åpning av en skadelig PDF-fil kan føre til uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Det var bufferoverflyt i håndteringen av JPEG2000-kodet data i PDF-filer. Problemet ble løst gjennom ytterligere grenseverdikontroll.
CVE-ID
CVE-2013-1026: Felix Groebert fra Google Security Team
IOKit
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Bakgrunnsapper kunne sette inn brukergrensesnitthendelser i appen som ble brukt
Beskrivelse: Bakgrunnsapper kunne sette inn brukergrensesnitthendelser i den aktive appen som brukte oppgavefullføringen eller VoIP API-er. Problemet ble løst ved å fremtvinge tilgangskontroller på forgrunn- og bakgrunnsprosesser som håndterer grensesnitthendelser.
CVE-ID
CVE-2013-5137: Mackenzie Straight fra Mobile Labs
IOKitUser
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En skadelig lokal app kunne forårsake uventet systemavslutning
Beskrivelse: En «null pointer dereference» eksisterte i IOCatalogue. Problemet ble løst gjennom ytterligere typekontroll.
CVE-ID
CVE-2013-5138: Will Estes
IOSerialFamily
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Kjøring av en skadelig app kan føre til vilkårlig kodekjøring i kjernen
Beskrivelse: Matrisetilgang utenfor grensene eksisterte i IOSerialFamily-driveren. Problemet ble løst gjennom ytterligere grenseverdikontroll.
CVE-ID
CVE-2013-5139: @dent1zt
IPSec
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper kan kanskje innhente data beskyttet med IPSec Hybrid Auth
Beskrivelse: DNS-navnet til en IPSec Hybrid Auth-server ble ikke matchet mot sertifikatet, noe som gjorde at en angriper med et sertifikat for hvilken som helst server kunne utgi seg for et annet. Dette problemet ble løst gjennom forbedret sertifikatkontroll.
CVE-ID
CVE-2013-1028: Alexander Traud fra www.traud.de
Kernel
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En ekstern angriper kan forårsake uventet omstart av en enhet
Beskrivelse: Sending av et ugyldig pakkefragment til en enhet kan gjøre at en kjerneressurs utløses, noe som fører til omstart av enheten. Problemet ble løst gjennom ytterligere validering av pakkefragmenter.
CVE-ID
CVE-2013-5140 : Joonas Kuorilehto fra Codenomicon, en anonym forsker i samarbeid med CERT-FI, Antti Levomäki og Lauri Virtanen fra Vulnerability Analysis Group, Stonesoft
Kernel
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En skadelig lokal app kunne forårsake frysing av enheten
Beskrivelse: En svakhet tilknyttet avkutting av heltall i kjernekontaktgrensesnittet kunne utnyttes for å fremtvinge en uendelig loop i CPU-en. Problemet ble løst ved å bruke en større variabel.
CVE-ID
CVE-2013-5141 : CESG
Kernel
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper på et lokalt nettverk kan forårsake tjenestenekt
Beskrivelse: En angriper på et lokalt nettverk kan sende tilpassede IPv6 ICMP-pakker og forårsake høy CPU-belastning. Problemet ble løst gjennom å begrense hyppigheten av ICMP-pakker før sjekksummen er verifisert.
CVE-ID
CVE-2011-2391 : Marc Heuse
Kernel
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Kjernestabelminnet kan deles med lokale brukere
Beskrivelse: Et problem med deling av informasjon eksisterte i API-ene for msgctl og segctl. Problemet ble løst ved å initialisere datastrukturer som returneres fra kjernen.
CVE-ID
CVE-2013-5142 : Kenzley Alphonse fra Kenx Technology, Inc
Kernel
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Prosesser uten tillatelser kunne få tilgang til innholdet i kjerneminnet, noe som kunne føre til utvidelse av lokale rettigheter
Beskrivelse: Et problem med deling av informasjon eksisterte i mach_port_space_info API-et. Problemet ble løst ved å initialisere feltet iin_collision i strukturer som ble returnert fra kjernen.
CVE-ID
CVE-2013-3953 : Stefan Esser
Kernel
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Prosesser uten tillatelse kunne forårsake uventet systemavslutning eller kjøring av vilkårlig kode i kjernen
Beskrivelse: Et problem med skadet minne eksisterte i håndteringen av argumenter til API-et posix_spawn. Problemet ble løst gjennom ytterligere grenseverdikontroll.
CVE-ID
CVE-2013-3954 : Stefan Esser
Kext Management
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En uautorisert prosess kan endre settet av innlastede kjerneutvidelser
Beskrivelse: Et problem eksisterte i kextd-håndteringen av IPC-meldinger fra avsendere uten autentisering. Problemet ble løst ved å legge til ekstra autorisasjonskontroller.
CVE-ID
CVE-2013-5145 : «Rainbow PRISM»
libxml
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Åpning av en skadelig nettside kan føre til uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne eksisterte i libxml. Problemene ble løst ved å oppdatere libxml til versjon 2.9.0.
CVE-ID
CVE-2011-3102 : Jüri Aedla
CVE-2012-0841
CVE-2012-2807 : Jüri Aedla
CVE-2012-5134 : Google Chrome Security Team (Jüri Aedla)
libxslt
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Åpning av en skadelig nettside kan føre til uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne eksisterte i libxml. Problemene ble løst ved å oppdatere libxslt til versjon 1.1.28.
CVE-ID
CVE-2012-2825 : Nicolas Gregoire
CVE-2012-2870 : Nicolas Gregoire
CVE-2012-2871 : Kai Lu fra Fortinet's FortiGuard Labs, Nicolas Gregoire
Passcode Lock
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En person med fysisk tilgang til enheten kan omgå skjermlåsen
Beskrivelse: Et problem med kappløpstilstand eksisterte i håndteringen av telefonsamtaler og uttak av SIM-kortet på låseskjermen. Problemet ble løst ved forbedret låsetilstandshåndtering.
CVE-ID
CVE-2013-5147 : videosdebarraquito
Personal Hotspot
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper kan kanskje koble til et delt internett-nettverk
Beskrivelse: Det eksisterte et problem med generering av passord for delt internett, som resulterte i passord som kunne forutsies av en angriper for å koble til en brukers delte internett. Problemet ble løst ved å generere passord som er vanskeligere å gjette.
CVE-ID
CVE-2013-4616 : Andreas Kurtz fra NESO Security Labs og Daniel Metz fra University Erlangen-Nuremberg
Push Notifications
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Push-varseltokenet kan deles med en app i strid med brukerens avgjørelse
Beskrivelse: Et problem med informasjonsdeling eksisterte i push-varslingsregistreringen. Apper som ba om tilgang til push-varslinger mottok tokenet før brukere hadde godkjent appens bruk av push-varslinger. Problemet ble løst ved å holde tilbake tilgang til tokenet inntil brukeren har godkjent tilgangen.
CVE-ID
CVE-2013-5149 : Jack Flintermann fra Grouper, Inc.
Safari
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Åpning av et skadelig nettsted kan føre til uventet avslutning av en app eller vilkårlig kodekjøring
Beskrivelse: Et problem med skadet minne eksisterte i håndteringen av XML-filer. Problemet ble løst gjennom ytterligere grenseverdikontroll.
CVE-ID
CVE-2013-1036 : Kai Lu fra Fortinet's FortiGuard Labs
Safari
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Historikken for sider som nylig ble besøkt i en åpen fane fjernes kanskje ikke når du tømmer historikken
Beskrivelse: Tømming av historikken i Safari fjernet ikke tilbake-/fremover-historikken for åpne faner. Problemet ble løst ved å tømme tilbake-/fremover-historikken.
CVE-ID
CVE-2013-5150
Safari
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Filer på et åpent nettsted kan føre til skriptkjøring selv når serveren sender «Content-Type: text/plain»-headeren
Beskrivelse: Mobile Safari behandlet noen ganger filer som HTML-filer selv når serveren sendte «Content-Type: text/plain»-headeren. Dette kan føre til skripting på tvers av nettsteder som lar brukere laste opp filer. Problemet ble løst gjennom forbedret håndtering av filer når «Content-Type: text/plain» er angitt.
CVE-ID
CVE-2013-5151 : Ben Toews fra Github
Safari
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Åpning av et skadelig nettsted kan føre til at en vilkårlig nettadresse vises
Beskrivelse: Et problem med forfalsket nettadresselinje eksisterte i Mobile Safari. Problemet ble løst gjennom forbedret sporing av nettadresser.
CVE-ID
CVE-2013-5152 : Keita Haga fra keitahaga.com, Łukasz Pilorz fra RBS
Sandbox
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Apper med skripter ble ikke kjørt i sandkasse
Beskrivelse: Tredjepartsapper som brukte #!- syntaksen for å kjøre et skript ble satt i sandkasse basert på identiteten til skripttolkeren, ikke skriptet. Tolken har kanskje ikke en sandkasse definert, noe som fører til at appen kjøres utenfor sandkasse. Dette problemet ble løst ved å opprette sandkassen basert på identiteten til skriptet.
CVE-ID
CVE-2013-5154 : evad3rs
Sandbox
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Apper kan føre til at systemet låser seg
Beskrivelse: Skadelige tredjepartsapper som skrev spesifikke verdier til /dev/random device kunne fremtvinge en uendelig loop i CPU-en. Problemet ble løst ved å forhindre at tredjepartsapper skriver til /dev/random.
CVE-ID
CVE-2013-5155 : CESG
Social
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Brukernes nylige Twitter-aktivitet kunne deles på enheter uten kode.
Beskrivelse: Det eksisterte et problem der man kunne se hvilke Twitter-kontoer en bruker nylig hadde samhandlet med. Problemet ble løst ved å begrense tilgangen til Twitter-symbolbufferen.
CVE-ID
CVE-2013-5158 : Jonathan Zdziarski
Springboard
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En person med fysisk tilgang til en enhet i Mistet-modus kan kanskje se varslinger
Beskrivelse: Et problem eksisterte i håndteringen av varslinger når enheten er i Mistet-modus. Denne oppdateringen retter opp i problemet med forbedret håndtering av låsetilstand.
CVE-ID
CVE-2013-5153 : Daniel Stangroom
Telephony
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Skadelige apper kunne påvirke eller kontrollere telefonifunksjonalitet
Beskrivelse: Et tilgangskontroll-problem eksisterte i telefoni-undersystemet. Ved å omgå støttede API-er kunne apper som ble kjørt i sandkasse sende forespørsler til en system-demon for å påvirke eller kontrollere telefonifunksjonalitet. Problemet ble løst ved å aktivere tilgangskontroller på grensesnitt som er tilgjengelige via telefoni-demonen.
CVE-ID
CVE-2013-5156 : Jin Han fra Institute for Infocomm Research i samarbeid med Qiang Yan og Su Mon Kywe fra Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung og Wenke Lee fra Georgia Institute of Technology
Twitter
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Apper som ble kjørt i sandkasse kunne sende twitter-innlegg uten brukerinteraksjon eller tillatelser
Beskrivelse: Et tilgangskontroll-problem eksisterte i Twitter-subsystemet. Ved å omgå støttede API-er kunne apper som ble kjørt i sandkasse sende forespørsler til en system-demon som påvirket eller kontrollerte Twitter-funksjonalitet. Problemet ble løst ved å aktivere tilgangskontroller på grensesnitt som er tilgjengelige via Twitter-demonen.
CVE-ID
CVE-2013-5157 : Jin Han fra Institute for Infocomm Research i samarbeid med Qiang Yan og Su Mon Kywe fra Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung og Wenke Lee fra Georgia Institute of Technology
WebKit
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Åpning av et skadelig nettsted kan føre til uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne eksisterte i WebKit. Problemene ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2013-0879 : Atte Kettunen fra OUSPG
CVE-2013-0991 : Jay Civelli fra Chromium development community
CVE-2013-0992 : Google Chrome Security Team (Martin Barbella)
CVE-2013-0993 : Google Chrome Security Team (Inferno)
CVE-2013-0994 : David German fra Google
CVE-2013-0995 : Google Chrome Security Team (Inferno)
CVE-2013-0996 : Google Chrome Security Team (Inferno)
CVE-2013-0997 : Vitaliy Toropov i samarbeid med HPs Zero Day Initiative
CVE-2013-0998 : pa_kt i samarbeid med HPs Zero Day Initiative
CVE-2013-0999 : pa_kt i samarbeid med HPs Zero Day Initiative
CVE-2013-1000 : Fermin J. Serna fra Google Security Team
CVE-2013-1001 : Ryan Humenick
CVE-2013-1002 : Sergey Glazunov
CVE-2013-1003 : Google Chrome Security Team (Inferno)
CVE-2013-1004 : Google Chrome Security Team (Martin Barbella)
CVE-2013-1005 : Google Chrome Security Team (Martin Barbella)
CVE-2013-1006 : Google Chrome Security Team (Martin Barbella)
CVE-2013-1007 : Google Chrome Security Team (Inferno)
CVE-2013-1008 : Sergey Glazunov
CVE-2013-1010 : miaubiz
CVE-2013-1037 : Google Chrome Security Team
CVE-2013-1038 : Google Chrome Security Team
CVE-2013-1039 : own-hero Research i samarbeid med iDefense VCP
CVE-2013-1040 : Google Chrome Security Team
CVE-2013-1041 : Google Chrome Security Team
CVE-2013-1042 : Google Chrome Security Team
CVE-2013-1043 : Google Chrome Security Team
CVE-2013-1044 : Apple
CVE-2013-1045 : Google Chrome Security Team
CVE-2013-1046 : Google Chrome Security Team
CVE-2013-1047 : miaubiz
CVE-2013-2842 : Cyril Cattiaux
CVE-2013-5125 : Google Chrome Security Team
CVE-2013-5126 : Apple
CVE-2013-5127 : Google Chrome Security Team
CVE-2013-5128 : Apple
WebKit
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Åpning av et skadelig nettsted kan føre til deling av informasjon
Beskrivelse: Et problem med informasjonsdeling eksisterte i håndteringen av API-et window.webkitRequestAnimationFrame(). Et skadelig nettsted kunne bruke en iframe for å finne ut om et annet nettsted brukte window.webkitRequestAnimationFrame(). Problemet ble løst gjennom forbedret håndtering av window.webkitRequestAnimationFrame().
CVE-ID
CVE-2013-5159
WebKit
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Kopiering og innliming av et skadelig HTML-utdrag kan føre til et skriptangrep på tvers av nettsteder
Beskrivelse: Et problem med skripting på tvers av nettsteder eksisterte i håndteringen av kopierte og innlimte data i HTML-dokumenter. Dette problemet ble adressert gjennom ytterligere validering av innhold som limes inn.
CVE-ID
CVE-2013-0926 : Aditya Gupta, Subho Halder og Dev Kar fra xys3c (xysec.com)
WebKit
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Åpning at et skadelig nettsted kan føre til et skriptangrep på tvers av nettsteder
Beskrivelse: Et problem med skripting på tvers av nettsteder eksisterte i håndteringen av iframes. Problemet ble løst gjennom forbedret sporing av opprinnelsessteder.
CVE-ID
CVE-2013-1012 : Subodh Iyengar og Erling Ellingsen fra Facebook
WebKit
Tilgjengelig for: iPhone 3GS og nyere, iPod touch (4. generasjon) og nyere, iPad 2 og nyere
Virkning: Åpning av et skadelig nettsted kan føre til deling av informasjon
Beskrivelse: Et problem med deling av informasjon eksisterte i XSSAuditor. Problemet ble løst gjennom forbedret håndtering av nettadresser.
CVE-ID
CVE-2013-2848 : Egor Homakov
WebKit
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Dragning eller innliming av et utvalg kan føre til skriptangrep på tvers av nettsteder
Beskrivelse: Dragning eller innliming av et utvalg fra et nettsted til et annet kan gjøre det mulig å kjøre skript som er inkludert i utvalget på det nye nettstedet. Dette problemet løses gjennom ytterligere validering av innholdet før en innliming- eller dra og slipp-operasjon.
CVE-ID
CVE-2013-5129 : Mario Heiderich
WebKit
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Åpning av et skadelig nettsted kan føre til skriptangrep på tvers av nettsteder
Beskrivelse: Et problem med skripting på tvers av nettsteder eksisterte i håndteringen av nettadresser. Problemet ble løst gjennom forbedret sporing av opprinnelsessteder.
CVE-ID
CVE-2013-5131 : Erling A Ellingsen
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.