Om sikkerhetsinnholdet i iOS 7.1
Dette dokumentet beskriver sikkerhetsinnholdet i iOS 7.1.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.
Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Product Security.
Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.
Hvis du vil ha mer informasjon om sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.
iOS 7.1
Sikkerhetskopiering
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En skadelig sikkerhetskopi kan endre filsystemet
Beskrivelse: En symbolsk kobling i en sikkerhetskopi ville blitt gjenopprettet, slik at påfølgende operasjoner under gjenopprettingen kunne skrive til resten av filsystemet. Problemet ble løst ved å sjekke for symbolske koblinger under gjenopprettingsprosessen.
CVE-ID
CVE-2013-5133: evad3rs
Retningslinjer for sertifikatgodkjenning
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Rotsertifikater har blitt oppdatert
Beskrivelse: Flere sertifikater ble lagt til eller fjernet fra listen over system-roots.
Konfigurasjonsprofiler
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Profilers utløpsdato ble ikke overholdt
Beskrivelse: Utløpsdatoen til mobilkonfigurasjonsprofiler ble ikke vurdert riktig. Problemet ble løst ved å forbedre håndteringen av konfigurasjonsprofiler.
CVE-ID
CVE-2014-1267
CoreCapture
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan forårsake at systemet avsluttes uventet
Beskrivelse: Et oppnåelig påstandsproblem fantes i CoreCaptures håndtering av IOKit API-kall. Problemet ble løst gjennom ekstra validering av inndata fra IOKit.
CVE-ID
CVE-2014-1271: Filippo Bigarella
Crash-rapportering
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En lokal bruker kan kanskje endre rettigheter til vilkårlige filer
Beskrivelse: CrashHouseKeeping fulgte symbolske koblinger samtidig som rettigheter til filer ble endret. Dette problemet ble løst ved ikke å følge symbolske koblinger ved endring av rettigheter til filer.
CVE-ID
CVE-2014-1272: evad3rs
dyld
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Kodesigneringskrav kan ha blitt omgått
Beskrivelse: Instruksjoner for omplassering av tekst i dynamiske biblioteker kan ha blitt lastet av dyld uten validering av kodesignering. Dette problemet ble løst ved å ignorere instruksjoner for omplassering av tekst.
CVE-ID
CVE-2014-1273: evad3rs
FaceTime
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En person med fysisk tilgang til enheten kan få tilgang til FaceTime-kontakter fra en låst skjerm
Beskrivelse: FaceTime-kontakter på en låst enhet kunne eksponeres ved å gjøre mislykkede FaceTime-anrop fra den låste skjermen. Dette problemet ble løst gjennom forbedret håndtering av FaceTime-anrop.
CVE-ID
CVE-2014-1274
ImageIO
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Det var en bufferoverflyt i håndteringen av JPEG2000-bilder i PDF-filer. Dette problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-1275: Felix Groebert i Google Security Team
ImageIO
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Visning av en skadelig TIFF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Det foreligger bufferoverflyt i libtiffs håndtering av TIFF-bilder. Problemet ble løst med ekstra validering av TIFF-bilder.
CVE-ID
CVE-2012-2088
ImageIO
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Visning av en skadelig JPEG-fil kan føre til avsløring av hukommelsesinnhold
Beskrivelse: Det var et problem med tilgang til uinitialisert hukommelse i libjpegs håndtering av JPEG-markører, som førte til avsløring av hukommelsesinnhold. Dette problemet ble løst med ekstra validering av JPEG-filer.
CVE-ID
CVE-2013-6629: Michal Zalewski
IOKit HID-hendelse
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan overvåke brukerhandlinger i andre apper
Beskrivelse: Et grensesnitt i IOKit-rammeverk log skadelige apper overvåke brukerhandlinger i andre apper. Dette problemet ble løst ved forbedrede policyer for tilgangskontroll i rammeverket.
CVE-ID
CVE-2014-1276: Min Zheng, Hui Xue og Dr. Tao (Lenx) Wei i FireEye
iTunes Store
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En mellommann-angriper kan lokke en bruker til å laste ned en skadelig app via Enterprise App Download
Beskrivelse: En angriper med en privilegert nettverksplassering kan etterlikne nettverkskommunikasjon for å lokke en bruker til å laste ned en skadelig app. Dette problemet ble redusert ved å bruke SSL og stille brukeren kontrollspørsmål ved URL-omdirigering.
CVE-ID
CVE-2013-3948: Stefan Esser
Kjerne
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En lokal bruker kan forårsake at et system avsluttes uventet eller at vilkårlig kode utføres i kjernen
Beskrivelse: En problem med tilgang til hukommelse utenfor grensene fantes i ARM ptmx_get_ioctl-funksjonen. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-1278: evad3rs
Office Viewer
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Åpning av et skadelig Microsoft Word-dokument kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Det var et problem med dobbel frigivelse i håndteringen av Microsoft Word-dokumenter. Problemet ble løst ved forbedret håndtering av hukommelsen.
CVE-ID
CVE-2014-1252: Felix Groebert fra Google Security Team
Bilder-bakside
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Slettede bilder kan fremdeles bli vist i Bilder-appen under gjennomsiktige bilder
Beskrivelse: Sletting av et bilde fra et ressursbibliotek slettet ikke bufrede versjoner av bildet. Dette problemet ble løst ved forbedret bufferhåndtering.
CVE-ID
CVE-2014-1281: Walter Hoelblinger i Hoelblinger.com, Morgan Adams, Tom Pennington
Profiler
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En konfigurasjonsprofil kan være skjult for brukeren
Beskrivelse: En konfigurasjonsprofil med langt navn kan være lastet inn på enheten, men vises ikke i profilgrensesnittet. Dette problemet ble løst ved forbedret håndtering av profilnavn.
CVE-ID
CVE-2014-1282: Assaf Hefetz, Yair Amit og Adi Sharabani i Skycure
Safari
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Brukerlegitimasjon kan bli avslørt på et uventet sted via auto-utfylling
Beskrivelse: Safari kan ha fylt ut brukernavn og passord automatisk i en underramme fra et annet domene enn hovedrammen. Dette problemet ble løst ved forbedret sporing av opprinnelsessteder.
CVE-ID
CVE-2013-5227 : Niklas Malmgren fra Klarna AB
Innstillinger - Kontoer
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En person med fysisk tilgang til enheten, kan være i stand til å deaktivere Finn iPhone uten å oppgi iCloud-passord
Beskrivelse: Det var et problem med håndteringen av Finn iPhone-tilstanden. Dette problemet ble løst ved forbedret håndtering av Finn iPhone-tilstanden.
CVE-ID
CVE-2014-2019
Springboard
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En person med fysisk tilgang til enheten, kan være i stand til å se Hjem-skjermen på enheten selv om enheten ikke har blitt aktivert
Beskrivelse: En uventet avslutning av et program under aktivering kan føre til at telefonen viser Hjem-skjermen. Dette problemet ble løst ved forbedret feilhåndtering under aktivering.
CVE-ID
CVE-2014-1285: Roboboi99
Låst SpringBoard-skjerm
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En ekstern angriper kan være i stand til å få en låst skjerm til å slutte å reagere
Beskrivelse: Det var et problem med håndteringen av Låst skjerm-tilstanden. Dette problemet ble løst ved forbedret tilstandshåndtering.
CVE-ID
CVE-2014-1286: Bogdan Alecu i M-sec.net
TelephonyUI-rammeverk
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En nettside kunne utløse et FaceTime-lydanrop uten inngripen fra bruker
Beskrivelse: Safari rådførte seg ikke med brukeren før facetime-audio://-URLer ble åpnet. Dette problemet ble løst ved å legge inn et kontrollspørsmål.
CVE-ID
CVE-2013-6835: Guillaume Ross
USB-vert
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En person med fysisk tilgang til enheten, kan få vilkårlig kode til å bli utført i kjernemodus
Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av USB-meldinger. Dette problemet ble løst med ekstra validering av USB-meldinger.
CVE-ID
CVE-2014-1287: Andy Davis i NCC Group
Videodriver
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Avspilling av en skadelig video kan føre til at enheten slutter å reagere
Beskrivelse: Det var et problem med null-dereferanse i håndteringen av MPEG-4-kodete filer. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2014-1280: rg0rd
WebKit
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det er flere problemer med ødelagt hukommelse i WebKit. Problemene ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2013-2909: Atte Kettunen fra OUSPG
CVE-2013-2926: cloudfuzzer
CVE-2013-2928: Google Chrome Security Team
CVE-2013-5196 : Google Chrome Security Team
CVE-2013-5197 : Google Chrome Security Team
CVE-2013-5198: Apple
CVE-2013-5199: Apple
CVE-2013-5225 : Google Chrome Security Team
CVE-2013-5228: Keen Team (@K33nTeam) som arbeider ved HPs Zero Day Initiative
CVE-2013-6625: cloudfuzzer
CVE-2013-6635: cloudfuzzer
CVE-2014-1269: Apple
CVE-2014-1270: Apple
CVE-2014-1289: Apple
CVE-2014-1290 : ant4g0nist (SegFault) som arbeider ved HPs Zero Day Initiative, Google Chrome Security Team, Lee Wang Hao som arbeider hos S.P.T. Krishnan of Infocomm Security Department, Institute for Infocomm Research
CVE-2014-1291: Google Chrome Security Team
CVE-2014-1292: Google Chrome Security Team
CVE-2014-1293: Google Chrome Security Team
CVE-2014-1294: Google Chrome Security Team
FaceTime er ikke tilgjengelig i alle land eller regioner.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.