Om sikkerhetsinnholdet i iOS 7

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 7.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.

For å finne ut mer om PGP-nøkkelen fra Apple Produktsikkerhet går du til Slik bruker du PGP-nøkkelen fra Apple Produktsikkerhet.

Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.

Hvis du vil vite mer om andre sikkerhetsoppdateringer, kan du se Apples sikkerhetsutgivelser.

iOS 7

  • Certificate Trust Policy

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Rotsertifikater er oppdatert

    Beskrivelse: Flere sertifikater ble lagt til eller fjernet fra listen over rotsertifikater.

  • CoreGraphics

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Åpning av en skadelig PDF-fil kan føre til uventet avslutning av en app eller kjøring av vilkårlig kode

    Beskrivelse: Det var bufferoverflyt i håndteringen av JBIG2-kodede data i PDF-filer. Problemet ble løst gjennom ytterligere grenseverdikontroll.

    CVE-ID

    CVE-2013-1025: Felix Groebert fra Google Security Team{

  • CoreMedia

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Avspilling av en skadelig filmfil kan føre til uventet appavslutning eller kjøring av vilkårlig kode

    Beskrivelse: Det var bufferoverflyt i håndteringen av Sorenson-kodede filmfiler. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2013-1019: Tom Gallagher (Microsoft) og Paul Bates (Microsoft) i samarbeid med HPs Zero Day Initiative

  • Data Protection

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Apper kan omgå begrensninger for passordforsøk

    Beskrivelse: Det var et problem med rettighetsseparasjon i Data Protection. En app som befinner seg i tredjepartssandkassen kan gjentatte ganger forsøke å finne frem til brukerens passord, selv om brukeren har valgt «Slett data»-innstillingen. Problemet ble løst ved å kreve ytterligere rettighetskontroller.

    CVE-ID

    CVE-2013-0957 : Jin Han fra Institute for Infocomm Research i samarbeid med Qiang Yan og Su Mon Kywe fra Singapore Management University

  • Data Security

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper med en privilegert nettverksposisjon kan innhente brukerlegitimasjon eller annen sensitiv informasjon

    Beskrivelse: TrustWave, en klarert rot-CA, har utstedt, og senere tilbakekalt, et under-CA-sertifikat fra en av sine klarerte ankere. Dette under-CA-et gjorde det mulig å avlytte kommunikasjon som var sikret med TLS (Transport Layer Security). Denne oppdateringen la det involverte sub-CA-sertifikatet til i OS X-listen over sertifikater som ikke er godkjente.

    CVE-ID

    CVE-2013-5134

  • dyld

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper som kan utføre vilkårlig kodekjøring på en enhet, kan være i stand til å fortsette å kjøre kode selv om enheten startes på nytt

    Beskrivelse: Det var flere bufferoverflyter i openSharedCacheFile()-funksjonen i dyld. Problemene ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2013-3950 : Stefan Esser

  • File Systems

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper som kan aktivere et filsystem som ikke er HFS kan kanskje forårsake en uventet systemavslutning eller vilkårlig kodekjøring med kjernetillatelser

    Beskrivelse: Et problem med skadet minne eksisterte i håndteringen av AppleDouble-filer. Problemet ble løst ved å fjerne støtte for AppleDouble-filer.

    CVE-ID

    CVE-2013-3955 : Stefan Esser

  • ImageIO

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Åpning av en skadelig PDF-fil kan føre til uventet appavslutning eller kjøring av vilkårlig kode

    Beskrivelse: Det var bufferoverflyt i håndteringen av JPEG2000-kodet data i PDF-filer. Problemet ble løst gjennom ytterligere grenseverdikontroll.

    CVE-ID

    CVE-2013-1026: Felix Groebert fra Google Security Team

  • IOKit

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Bakgrunnsapper kunne sette inn brukergrensesnitthendelser i appen som ble brukt

    Beskrivelse: Bakgrunnsapper kunne sette inn brukergrensesnitthendelser i den aktive appen som brukte oppgavefullføringen eller VoIP API-er. Problemet ble løst ved å fremtvinge tilgangskontroller på forgrunn- og bakgrunnsprosesser som håndterer grensesnitthendelser.

    CVE-ID

    CVE-2013-5137: Mackenzie Straight fra Mobile Labs

  • IOKitUser

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En skadelig lokal app kunne forårsake uventet systemavslutning

    Beskrivelse: En «null pointer dereference» eksisterte i IOCatalogue. Problemet ble løst gjennom ytterligere typekontroll.

    CVE-ID

    CVE-2013-5138: Will Estes

  • IOSerialFamily

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Kjøring av en skadelig app kan føre til vilkårlig kodekjøring i kjernen

    Beskrivelse: Matrisetilgang utenfor grensene eksisterte i IOSerialFamily-driveren. Problemet ble løst gjennom ytterligere grenseverdikontroll.

    CVE-ID

    CVE-2013-5139: @dent1zt

  • IPSec

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper kan kanskje innhente data beskyttet med IPSec Hybrid Auth

    Beskrivelse: DNS-navnet til en IPSec Hybrid Auth-server ble ikke matchet mot sertifikatet, noe som gjorde at en angriper med et sertifikat for hvilken som helst server kunne utgi seg for et annet. Dette problemet ble løst gjennom forbedret sertifikatkontroll.

    CVE-ID

    CVE-2013-1028: Alexander Traud fra www.traud.de

  • Kernel

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En ekstern angriper kan forårsake uventet omstart av en enhet

    Beskrivelse: Sending av et ugyldig pakkefragment til en enhet kan gjøre at en kjerneressurs utløses, noe som fører til omstart av enheten. Problemet ble løst gjennom ytterligere validering av pakkefragmenter.

    CVE-ID

    CVE-2013-5140 : Joonas Kuorilehto fra Codenomicon, en anonym forsker i samarbeid med CERT-FI, Antti Levomäki og Lauri Virtanen fra Vulnerability Analysis Group, Stonesoft

  • Kernel

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En skadelig lokal app kunne forårsake frysing av enheten

    Beskrivelse: En svakhet tilknyttet avkutting av heltall i kjernekontaktgrensesnittet kunne utnyttes for å fremtvinge en uendelig loop i CPU-en. Problemet ble løst ved å bruke en større variabel.

    CVE-ID

    CVE-2013-5141 : CESG

  • Kernel

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper på et lokalt nettverk kan forårsake tjenestenekt

    Beskrivelse: En angriper på et lokalt nettverk kan sende tilpassede IPv6 ICMP-pakker og forårsake høy CPU-belastning. Problemet ble løst gjennom å begrense hyppigheten av ICMP-pakker før sjekksummen er verifisert.

    CVE-ID

    CVE-2011-2391 : Marc Heuse

  • Kernel

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Kjernestabelminnet kan deles med lokale brukere

    Beskrivelse: Et problem med deling av informasjon eksisterte i API-ene for msgctl og segctl. Problemet ble løst ved å initialisere datastrukturer som returneres fra kjernen.

    CVE-ID

    CVE-2013-5142 : Kenzley Alphonse fra Kenx Technology, Inc

  • Kernel

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Prosesser uten tillatelser kunne få tilgang til innholdet i kjerneminnet, noe som kunne føre til utvidelse av lokale rettigheter

    Beskrivelse: Et problem med deling av informasjon eksisterte i mach_port_space_info API-et. Problemet ble løst ved å initialisere feltet iin_collision i strukturer som ble returnert fra kjernen.

    CVE-ID

    CVE-2013-3953 : Stefan Esser

  • Kernel

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Prosesser uten tillatelse kunne forårsake uventet systemavslutning eller kjøring av vilkårlig kode i kjernen

    Beskrivelse: Et problem med skadet minne eksisterte i håndteringen av argumenter til API-et posix_spawn. Problemet ble løst gjennom ytterligere grenseverdikontroll.

    CVE-ID

    CVE-2013-3954 : Stefan Esser

  • Kext Management

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En uautorisert prosess kan endre settet av innlastede kjerneutvidelser

    Beskrivelse: Et problem eksisterte i kextd-håndteringen av IPC-meldinger fra avsendere uten autentisering. Problemet ble løst ved å legge til ekstra autorisasjonskontroller.

    CVE-ID

    CVE-2013-5145 : «Rainbow PRISM»

  • libxml

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Åpning av en skadelig nettside kan føre til uventet appavslutning eller kjøring av vilkårlig kode

    Beskrivelse: Flere problemer med skadet minne eksisterte i libxml. Problemene ble løst ved å oppdatere libxml til versjon 2.9.0.

    CVE-ID

    CVE-2011-3102 : Jüri Aedla

    CVE-2012-0841

    CVE-2012-2807 : Jüri Aedla

    CVE-2012-5134 : Google Chrome Security Team (Jüri Aedla)

  • libxslt

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Åpning av en skadelig nettside kan føre til uventet appavslutning eller kjøring av vilkårlig kode

    Beskrivelse: Flere problemer med skadet minne eksisterte i libxml. Problemene ble løst ved å oppdatere libxslt til versjon 1.1.28.

    CVE-ID

    CVE-2012-2825 : Nicolas Gregoire

    CVE-2012-2870 : Nicolas Gregoire

    CVE-2012-2871 : Kai Lu fra Fortinet's FortiGuard Labs, Nicolas Gregoire

  • Passcode Lock

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En person med fysisk tilgang til enheten kan omgå skjermlåsen

    Beskrivelse: Et problem med kappløpstilstand eksisterte i håndteringen av telefonsamtaler og uttak av SIM-kortet på låseskjermen. Problemet ble løst ved forbedret låsetilstandshåndtering.

    CVE-ID

    CVE-2013-5147 : videosdebarraquito

  • Personal Hotspot

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper kan kanskje koble til et delt internett-nettverk

    Beskrivelse: Det eksisterte et problem med generering av passord for delt internett, som resulterte i passord som kunne forutsies av en angriper for å koble til en brukers delte internett. Problemet ble løst ved å generere passord som er vanskeligere å gjette.

    CVE-ID

    CVE-2013-4616 : Andreas Kurtz fra NESO Security Labs og Daniel Metz fra University Erlangen-Nuremberg

  • Push Notifications

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Push-varseltokenet kan deles med en app i strid med brukerens avgjørelse

    Beskrivelse: Et problem med informasjonsdeling eksisterte i push-varslingsregistreringen. Apper som ba om tilgang til push-varslinger mottok tokenet før brukere hadde godkjent appens bruk av push-varslinger. Problemet ble løst ved å holde tilbake tilgang til tokenet inntil brukeren har godkjent tilgangen.

    CVE-ID

    CVE-2013-5149 : Jack Flintermann fra Grouper, Inc.

  • Safari

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Åpning av et skadelig nettsted kan føre til uventet avslutning av en app eller vilkårlig kodekjøring

    Beskrivelse: Et problem med skadet minne eksisterte i håndteringen av XML-filer. Problemet ble løst gjennom ytterligere grenseverdikontroll.

    CVE-ID

    CVE-2013-1036 : Kai Lu fra Fortinet's FortiGuard Labs

  • Safari

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Historikken for sider som nylig ble besøkt i en åpen fane fjernes kanskje ikke når du tømmer historikken

    Beskrivelse: Tømming av historikken i Safari fjernet ikke tilbake-/fremover-historikken for åpne faner. Problemet ble løst ved å tømme tilbake-/fremover-historikken.

    CVE-ID

    CVE-2013-5150

  • Safari

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Filer på et åpent nettsted kan føre til skriptkjøring selv når serveren sender «Content-Type: text/plain»-headeren

    Beskrivelse: Mobile Safari behandlet noen ganger filer som HTML-filer selv når serveren sendte «Content-Type: text/plain»-headeren. Dette kan føre til skripting på tvers av nettsteder som lar brukere laste opp filer. Problemet ble løst gjennom forbedret håndtering av filer når «Content-Type: text/plain» er angitt.

    CVE-ID

    CVE-2013-5151 : Ben Toews fra Github

  • Safari

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Åpning av et skadelig nettsted kan føre til at en vilkårlig nettadresse vises

    Beskrivelse: Et problem med forfalsket nettadresselinje eksisterte i Mobile Safari. Problemet ble løst gjennom forbedret sporing av nettadresser.

    CVE-ID

    CVE-2013-5152 : Keita Haga fra keitahaga.com, Łukasz Pilorz fra RBS

  • Sandbox

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Apper med skripter ble ikke kjørt i sandkasse

    Beskrivelse: Tredjepartsapper som brukte #!- syntaksen for å kjøre et skript ble satt i sandkasse basert på identiteten til skripttolkeren, ikke skriptet. Tolken har kanskje ikke en sandkasse definert, noe som fører til at appen kjøres utenfor sandkasse. Dette problemet ble løst ved å opprette sandkassen basert på identiteten til skriptet.

    CVE-ID

    CVE-2013-5154 : evad3rs

  • Sandbox

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Apper kan føre til at systemet låser seg

    Beskrivelse: Skadelige tredjepartsapper som skrev spesifikke verdier til /dev/random device kunne fremtvinge en uendelig loop i CPU-en. Problemet ble løst ved å forhindre at tredjepartsapper skriver til /dev/random.

    CVE-ID

    CVE-2013-5155 : CESG

  • Social

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Brukernes nylige Twitter-aktivitet kunne deles på enheter uten kode.

    Beskrivelse: Det eksisterte et problem der man kunne se hvilke Twitter-kontoer en bruker nylig hadde samhandlet med. Problemet ble løst ved å begrense tilgangen til Twitter-symbolbufferen.

    CVE-ID

    CVE-2013-5158 : Jonathan Zdziarski

  • Springboard

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En person med fysisk tilgang til en enhet i Mistet-modus kan kanskje se varslinger

    Beskrivelse: Et problem eksisterte i håndteringen av varslinger når enheten er i Mistet-modus. Denne oppdateringen retter opp i problemet med forbedret håndtering av låsetilstand.

    CVE-ID

    CVE-2013-5153 : Daniel Stangroom

  • Telephony

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Skadelige apper kunne påvirke eller kontrollere telefonifunksjonalitet

    Beskrivelse: Et tilgangskontroll-problem eksisterte i telefoni-undersystemet. Ved å omgå støttede API-er kunne apper som ble kjørt i sandkasse sende forespørsler til en system-demon for å påvirke eller kontrollere telefonifunksjonalitet. Problemet ble løst ved å aktivere tilgangskontroller på grensesnitt som er tilgjengelige via telefoni-demonen.

    CVE-ID

    CVE-2013-5156 : Jin Han fra Institute for Infocomm Research i samarbeid med Qiang Yan og Su Mon Kywe fra Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung og Wenke Lee fra Georgia Institute of Technology

  • Twitter

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Apper som ble kjørt i sandkasse kunne sende twitter-innlegg uten brukerinteraksjon eller tillatelser

    Beskrivelse: Et tilgangskontroll-problem eksisterte i Twitter-subsystemet. Ved å omgå støttede API-er kunne apper som ble kjørt i sandkasse sende forespørsler til en system-demon som påvirket eller kontrollerte Twitter-funksjonalitet. Problemet ble løst ved å aktivere tilgangskontroller på grensesnitt som er tilgjengelige via Twitter-demonen.

    CVE-ID

    CVE-2013-5157 : Jin Han fra Institute for Infocomm Research i samarbeid med Qiang Yan og Su Mon Kywe fra Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung og Wenke Lee fra Georgia Institute of Technology

  • WebKit

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Åpning av et skadelig nettsted kan føre til uventet appavslutning eller kjøring av vilkårlig kode

    Beskrivelse: Flere problemer med skadet minne eksisterte i WebKit. Problemene ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2013-0879 : Atte Kettunen fra OUSPG

    CVE-2013-0991 : Jay Civelli fra Chromium development community

    CVE-2013-0992 : Google Chrome Security Team (Martin Barbella)

    CVE-2013-0993 : Google Chrome Security Team (Inferno)

    CVE-2013-0994 : David German fra Google

    CVE-2013-0995 : Google Chrome Security Team (Inferno)

    CVE-2013-0996 : Google Chrome Security Team (Inferno)

    CVE-2013-0997 : Vitaliy Toropov i samarbeid med HPs Zero Day Initiative

    CVE-2013-0998 : pa_kt i samarbeid med HPs Zero Day Initiative

    CVE-2013-0999 : pa_kt i samarbeid med HPs Zero Day Initiative

    CVE-2013-1000 : Fermin J. Serna fra Google Security Team

    CVE-2013-1001 : Ryan Humenick

    CVE-2013-1002 : Sergey Glazunov

    CVE-2013-1003 : Google Chrome Security Team (Inferno)

    CVE-2013-1004 : Google Chrome Security Team (Martin Barbella)

    CVE-2013-1005 : Google Chrome Security Team (Martin Barbella)

    CVE-2013-1006 : Google Chrome Security Team (Martin Barbella)

    CVE-2013-1007 : Google Chrome Security Team (Inferno)

    CVE-2013-1008 : Sergey Glazunov

    CVE-2013-1010 : miaubiz

    CVE-2013-1037 : Google Chrome Security Team

    CVE-2013-1038 : Google Chrome Security Team

    CVE-2013-1039 : own-hero Research i samarbeid med iDefense VCP

    CVE-2013-1040 : Google Chrome Security Team

    CVE-2013-1041 : Google Chrome Security Team

    CVE-2013-1042 : Google Chrome Security Team

    CVE-2013-1043 : Google Chrome Security Team

    CVE-2013-1044 : Apple

    CVE-2013-1045 : Google Chrome Security Team

    CVE-2013-1046 : Google Chrome Security Team

    CVE-2013-1047 : miaubiz

    CVE-2013-2842 : Cyril Cattiaux

    CVE-2013-5125 : Google Chrome Security Team

    CVE-2013-5126 : Apple

    CVE-2013-5127 : Google Chrome Security Team

    CVE-2013-5128 : Apple

  • WebKit

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Åpning av et skadelig nettsted kan føre til deling av informasjon

    Beskrivelse: Et problem med informasjonsdeling eksisterte i håndteringen av API-et window.webkitRequestAnimationFrame(). Et skadelig nettsted kunne bruke en iframe for å finne ut om et annet nettsted brukte window.webkitRequestAnimationFrame(). Problemet ble løst gjennom forbedret håndtering av window.webkitRequestAnimationFrame().

    CVE-ID

    CVE-2013-5159

  • WebKit

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Kopiering og innliming av et skadelig HTML-utdrag kan føre til et skriptangrep på tvers av nettsteder

    Beskrivelse: Et problem med skripting på tvers av nettsteder eksisterte i håndteringen av kopierte og innlimte data i HTML-dokumenter. Dette problemet ble adressert gjennom ytterligere validering av innhold som limes inn.

    CVE-ID

    CVE-2013-0926 : Aditya Gupta, Subho Halder og Dev Kar fra xys3c (xysec.com)

  • WebKit

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Åpning at et skadelig nettsted kan føre til et skriptangrep på tvers av nettsteder

    Beskrivelse: Et problem med skripting på tvers av nettsteder eksisterte i håndteringen av iframes. Problemet ble løst gjennom forbedret sporing av opprinnelsessteder.

    CVE-ID

    CVE-2013-1012 : Subodh Iyengar og Erling Ellingsen fra Facebook

  • WebKit

    Tilgjengelig for: iPhone 3GS og nyere, iPod touch (4. generasjon) og nyere, iPad 2 og nyere

    Virkning: Åpning av et skadelig nettsted kan føre til deling av informasjon

    Beskrivelse: Et problem med deling av informasjon eksisterte i XSSAuditor. Problemet ble løst gjennom forbedret håndtering av nettadresser.

    CVE-ID

    CVE-2013-2848 : Egor Homakov

  • WebKit

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Dragning eller innliming av et utvalg kan føre til skriptangrep på tvers av nettsteder

    Beskrivelse: Dragning eller innliming av et utvalg fra et nettsted til et annet kan gjøre det mulig å kjøre skript som er inkludert i utvalget på det nye nettstedet. Dette problemet løses gjennom ytterligere validering av innholdet før en innliming- eller dra og slipp-operasjon.

    CVE-ID

    CVE-2013-5129 : Mario Heiderich

  • WebKit

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Åpning av et skadelig nettsted kan føre til skriptangrep på tvers av nettsteder

    Beskrivelse: Et problem med skripting på tvers av nettsteder eksisterte i håndteringen av nettadresser. Problemet ble løst gjennom forbedret sporing av opprinnelsessteder.

    CVE-ID

    CVE-2013-5131 : Erling A Ellingsen

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: