Despre conținutul de securitate din iOS 7

Acest document descrie conținutul de securitate din iOS 7.

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.

Pentru informații despre cheia PGP pentru securitatea produselor Apple, consultă Utilizarea cheii PGP pentru securitatea produselor Apple.

Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.

Pentru a afla mai multe despre alte actualizări de securitate, consultă Actualizările de securitate Apple.

iOS 7

  • Certificate Trust Policy

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: certificatele rădăcină au fost actualizate

    Descriere: câteva certificate au fost adăugate sau eliminate din lista de rădăcini ale sistemului.

  • CoreGraphics

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: vizualizarea unui fișier PDF creat cu rea intenție poate duce la o închidere neașteptată a aplicației sau la executarea unui cod arbitrar

    Descriere: a existat o depășire a memoriei tampon la tratarea datelor codificate JBIG2 în fișierele PDF. Această problemă a fost rezolvată printr-un control suplimentar al limitelor.

    CVE-ID

    CVE-2013-1025 : Felix Groebert de la Google Security Team

  • CoreMedia

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: redarea unui fișier de tip film creat cu rea intenție poate duce la o închidere neașteptată a aplicației sau la executarea unui cod arbitrar

    Descriere: a existat o depășire a memoriei tampon la gestionarea fișierelor de tip film cu codificare Sorenson. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.

    CVE-ID

    CVE-2013-1019: Tom Gallagher (Microsoft) și Paul Bates (Microsoft) în colaborare cu Zero Day Initiative de la HP

  • Data Protection

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: aplicațiile pot ocoli restricțiile de încercare a codului de acces

    Descriere: a existat o problemă de separare a privilegiilor în Protecția datelor. O aplicație din sandboxul terță parte poate încerca, în mod repetat, să determine codul de acces al utilizatorului, indiferent de configurarea „Ștergere date" a acestuia. Această problemă a fost rezolvată prin solicitarea unor verificări suplimentare privind autorizarea.

    CVE-ID

    CVE-2013-0957 : Jin Han de la Institute for Infocomm Research în colaborare cu Qiang Yan și Su Mon Kywe de la Singapore Management University

  • Data Security

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator cu o poziție privilegiată în rețea poate intercepta datele de autentificare ale utilizatorului sau alte informații confidențiale

    Descriere: TrustWave, o rădăcină CA de încredere a emis și ulterior a revocat un certificat de sub-CA de la una dintre ancorele sale de încredere. Acest sub-CA a facilitat interceptarea comunicațiilor securizate prin Transport Layer Security (TLS). Această actualizare a adăugat certificatul sub-CA implicat la lista OS X de certificate care nu sunt de încredere.

    CVE-ID

    CVE-2013-5134

  • dyld

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator care realizează o executare de cod arbitrar pe un dispozitiv poate reuși să mențină executarea codului după reinițializări

    Descriere: au existat mai multe depășiri ale memoriei-tampon în funcția dyld openSharedCacheFile(). Aceste probleme au fost rezolvate printr-o verificare îmbunătățită a limitelor.

    CVE-ID

    CVE-2013-3950 : Stefan Esser

  • File Systems

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator care poate instala un sistem de fișiere non-HFS poate provoca o închidere neașteptată a sistemului sau executarea de cod arbitrar cu privilegii de kernel

    Descriere: a existat o problemă de corupere a memoriei în gestionarea fișierelor AppleDouble. Această problemă a fost rezolvată prin eliminarea compatibilității pentru fișierele AppleDouble.

    CVE-ID

    CVE-2013-3955 : Stefan Esser

  • ImageIO

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: vizualizarea unui fișier PDF creat cu rea intenție poate duce la o închidere neașteptată a aplicației sau la executarea unui cod arbitrar

    Descriere: a existat o depășire a memoriei tampon la gestionarea datelor codificate JPEG2000 în fișierele PDF. Această problemă a fost rezolvată printr-un control suplimentar al limitelor.

    CVE-ID

    CVE-2013-1026 : Felix Groebert de la Google Security Team

  • IOKit

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: Aplicațiile de fundal ar putea intercala evenimente de interfață cu utilizatorul în aplicația din prim-plan

    Descriere: a fost posibil ca aplicațiile de fundal să intercaleze evenimente de interfață cu utilizatorul în aplicația din prim-plan folosind API-urile de finalizare a activității sau VoIP. Această problemă a fost rezolvată prin aplicarea controalelor de acces la procesele din prim-plan și din fundal care gestionează evenimentele de interfață.

    CVE-ID

    CVE-2013-5137 : Mackenzie Straight la Mobile Labs

  • IOKitUser

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație locală rău intenționată ar putea cauza o închidere neașteptată a sistemului

    Descriere: a existat o accesare a datelor pointerului nul în IOCatalogue. Problema a fost rezolvată printr-un control suplimentar al tipului.

    CVE-ID

    CVE-2013-5138 : Will Estes

  • IOSerialFamily

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: executarea unei aplicații rău intenționate poate duce la executarea de cod arbitrar în kernel

    Descriere: a existat un acces de matrice independentă în driverul IOSerialFamily. Această problemă a fost rezolvată printr-un control suplimentar al limitelor.

    CVE-ID

    CVE-2013-5139 : @dent1zt

  • IPSec

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator poate intercepta date protejate cu IPSec Hybrid Auth

    Descriere: numele DNS al unui server IPSec cu autentificare hibridă nu s-a potrivit cu certificatul, permițând unui atacator cu un certificat pentru orice server să simuleze identitatea oricărui altuia. Această problemă a fost rezolvată prin îmbunătățirea verificării certificatelor.

    CVE-ID

    CVE-2013-1028 : Alexander Traud de la www.traud.de

  • Kernel

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator de la distanță poate face ca un dispozitiv să repornească în mod neașteptat

    Descriere: trimiterea unui fragment de pachet nevalid către un dispozitiv poate provoca declanșarea unei aserțiuni a kernelului, ducând la repornirea dispozitivului. Această problemă a fost rezolvată prin validarea suplimentară a fragmentelor de pachete.

    CVE-ID

    CVE-2013-5140: Joonas Kuorilehto de la Codenomicon, un cercetător anonim, în colaborare cu CERT-FI, Antti Levomã¤ki și Lauri Virtanen de la Vulnerability Analysis Group, Stonesoft Group

  • Kernel

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație locală rău intenționată poate provoca blocarea dispozitivului

    Descriere: o vulnerabilitate de trunchiere a unui întreg în interfața de socket al kernelului poate fi utilizată pentru a forța procesorul într-o buclă infinită. Problema a fost rezolvată prin utilizarea unei variabile cu o dimensiune mai mare.

    CVE-ID

    CVE-2013-5141 : CESG

  • Kernel

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator dintr-o rețea locală poate provoca un refuz al serviciului

    Descriere: un atacator dintr-o rețea locală poate să trimită pachete ICMP IPv6 create special și să provoace un nivel ridicat de încărcare a procesorului. Problema a fost rezolvată prin pachete ICMP cu limitare a ratei înainte de verificarea sumei de control a acestora.

    CVE-ID

    CVE-2011-2391 : Marc Heuse

  • Kernel

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: memoria de tip stivă a kernelului poate fi divulgată utilizatorilor locali

    Descriere: a existat o problemă de divulgare a informațiilor în API-urile msgctl și segctl. Această problemă a fost rezolvată prin inițializarea structurilor de date returnate de la kernel.

    CVE-ID

    CVE-2013-5142 : Kenzley Alphonse de la Kenx Technology, Inc

  • Kernel

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: anumite procese fără privilegii pot obține acces la conținutul memoriei kernelului, ceea ce poate duce la o implementare de privilegii

    Descriere: a existat o problemă de divulgare a informațiilor în API-ul mach_port_space_info. Această problemă a fost rezolvată prin inițializarea câmpului iin_collision în structurile returnate de la kernel.

    CVE-ID

    CVE-2013-3953 : Stefan Esser

  • Kernel

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: este posibil ca anumite procese fără privilegii să reușească să provoace închiderea neașteptată a sistemului sau executarea unui cod arbitrar în kernel

    Descriere: a existat o problemă de corupere a memoriei în tratarea argumentelor pentru API-ul posix_spawn. Această problemă a fost rezolvată printr-un control suplimentar al limitelor.

    CVE-ID

    CVE-2013-3954 : Stefan Esser

  • Kext Management

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un proces neautorizat poate modifica setul extensiilor de kernel încărcate

    Descriere: a existat o problemă la gestionarea de către extensia de kernel a mesajelor IPC din partea expeditorilor neautentificați. Această problemă a fost rezolvată prin adăugarea unor verificări suplimentare privind autorizarea.

    CVE-ID

    CVE-2013-5145 : „Rainbow PRISM"

  • libxml

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: vizualizarea unei pagini web create cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

    Descriere: au existat mai multe probleme de corupere a memoriei în libxml. Aceste probleme au fost rezolvate prin actualizarea libxml la versiunea 2.9.0.

    CVE-ID

    CVE-2011-3102 : Jüri Aedla

    CVE-2012-0841

    CVE-2012-2807 : Jüri Aedla

    CVE-2012-5134 : Google Chrome Security Team (Jüri Aedla)

  • libxslt

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: vizualizarea unei pagini web create cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

    Descriere: au existat mai multe probleme de corupere a memoriei în libxslt. Aceste probleme au fost rezolvate prin actualizarea libxslt la versiunea 1.1.28.

    CVE-ID

    CVE-2012-2825 : Nicolas Gregoire

    CVE-2012-2870 : Nicolas Gregoire

    CVE-2012-2871 : Kai Lu de la Fortinet's FortiGuard Labs, Nicolas Gregoire

  • Passcode Lock

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o persoană cu acces fizic la dispozitiv poate ocoli blocarea ecranului

    Descriere: a existat o problemă privind condiția de rulare la gestionarea apelurilor telefonice și a scoaterii cartelei SIM pe ecranul de blocare. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării de blocare.

    CVE-ID

    CVE-2013-5147 : videosdebarraquito

  • Personal Hotspot

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: este posibil ca un atacator să reușească să se conecteze la o rețea de tip hotspot personal

    Descriere: a existat o problemă la generarea parolelor pentru hotspotul personal, având drept rezultat parole care pot fi anticipate de un atacator pentru a se conecta la hotspotul personal al unui utilizator. Problema a fost rezolvată prin generarea de parole cu un nivel mai ridicat de entropie.

    CVE-ID

    CVE-2013-4616 : Andreas Kurtz de la NESO Security Labs și Daniel Metz de la University Erlangen-Nuremberg

  • Push Notifications

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: este posibil ca tokenul de notificări push să fie divulgat unei aplicații, contrar deciziei utilizatorului

    Descriere: a existat o problemă de divulgare a informațiilor la înregistrarea notificărilor push. Aplicațiile care au solicitat acces la notificările push au primit tokenul înainte ca utilizatorul să aprobe utilizarea notificărilor push de către aplicație. Această problemă a fost rezolvată prin refuzarea accesului la token până la aprobarea accesului de către utilizator.

    CVE-ID

    CVE-2013-5149 : Jack Flintermann de la Grouper, Inc.

  • Safari

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site rău intenționat poate duce la închiderea neașteptată a aplicației sau la executarea unui cod arbitrar

    Descriere: a existat o problemă de corupere a memoriei la tratarea fișierelor XML. Această problemă a fost rezolvată printr-un control suplimentar al limitelor.

    CVE-ID

    CVE-2013-1036 : Kai Lu de la Fortinet's FortiGuard Labs

  • Safari

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: istoricul paginilor vizitate recent într-o filă deschisă poate rămâne după ștergerea istoricului

    Descriere: prin ștergerea istoricului Safari nu s-a șters istoricul înapoi/înainte pentru filele deschise. Această problemă a fost rezolvată prin ștergerea istoricului înapoi/înainte.

    CVE-ID

    CVE-2013-5150

  • Safari

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: vizualizarea fișierelor pe un site web poate duce la executarea scriptului chiar dacă serverul trimite un antet 'Content-Type: text/plain'

    Descriere: uneori, Mobile Safari a tratat fișierele drept fișiere HTML chiar dacă serverul a trimis un antet 'Content-Type: text/plain'. Aceasta poate duce la scripturi de pe mai multe site-uri pe site-urile care permit utilizatorilor să încarce fișiere. Această problemă a fost rezolvată prin gestionarea îmbunătățită a fișierelor când este setat 'Content-Type: text/plain'.

    CVE-ID

    CVE-2013-5151 : Ben Toews de la Github

  • Safari

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site web rău intenționat poate permite afișarea unui URL aleatoriu

    Descriere: a existat o problemă de falsificare a barei de adrese URL în Mobile Safari. Această problemă a fost rezolvată printr-o urmărire îmbunătățită a URL-urilor.

    CVE-ID

    CVE-2013-5152 : Keita Haga de la keitahaga.com, Łukasz Pilorz de la RBS

  • Sandbox

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: aplicațiile care sunt scripturi nu au fost incluse în sandbox

    Descriere: aplicații terță parte care au utilizat sintaxa #! pentru a executa un script au fost puse în sandbox pe baza identității interpretorului de script și nu a scriptului. Este posibil ca interpretorul să nu aibă un sandbox definit, ceea ce duce la executarea aplicației fără sandbox. Această problemă a fost rezolvată prin crearea unui sandbox pe baza identității scriptului.

    CVE-ID

    CVE-2013-5154 : evad3rs

  • Sandbox

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: aplicațiile pot provoca blocarea sistemului

    Descriere: aplicațiile terțe rău intenționate care au scris valori specifice în dispozitivul /dev/random pot forța procesorul să intre într-o buclă infinită. Această problemă a fost rezolvată prin împiedicarea aplicațiilor terțe să scrie în /dev/random.

    CVE-ID

    CVE-2013-5155 : CESG

  • Social

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: activitatea recentă pe Twitter a utilizatorilor poate fi divulgată pe dispozitive fără cod de acces.

    Descriere: a existat o problemă prin care s-au putut determina conturile Twitter cu care a interacționat recent un utilizator. Această problemă a fost rezolvată prin restricționarea accesului la memoria cache a pictogramelor Twitter.

    CVE-ID

    CVE-2013-5158 : Jonathan Zdziarski

  • Springboard

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o persoană cu acces fizic la un dispozitiv în Modul Pierdut poate reuși să vizualizeze notificări

    Descriere: a existat o problemă la gestionarea notificărilor când un dispozitiv se află în Modul Pierdut. Această actualizare rezolvă problema printr-o gestionare îmbunătățită a stării de blocare.

    CVE-ID

    CVE-2013-5153 : Daniel Stangroom

  • Telephony

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: aplicații rău intenționate pot să interfereze cu sau să controleze funcționalitatea de telefonie

    Descriere: a existat o problemă de control al accesului în subsistemul de telefonie. Ocolind API-urile acceptate, aplicațiile puse în sandbox pot face solicitări direct la un daemon de sistem care interferează cu sau controlează funcționalitatea de telefonie. Această problemă a fost rezolvată prin impunerea controalelor de acces pe interfețele expuse de daemonul de telefonie.

    CVE-ID

    CVE-2013-5156 : Jin Han de la Institute for Infocomm Research în colaborare cu Qiang Yan și Su Mon Kywe de la Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung și Wenke Lee de la Georgia Institute of Technology

  • Twitter

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: aplicațiile puse în sandbox pot trimite tweeturi fără interacțiunea sau permisiunea utilizatorului

    Descriere: a existat o problemă de control al accesului în subsistemul Twitter. Ocolind API-urile acceptate, aplicațiile puse în sandbox pot face solicitări direct la un daemon de sistem care interferează cu sau controlează funcționalitatea Twitter. Această problemă a fost rezolvată prin impunerea controalelor de acces pe interfețele expuse de daemonul Twitter.

    CVE-ID

    CVE-2013-5157 : Jin Han de la Institute for Infocomm Research în colaborare cu Qiang Yan și Su Mon Kywe de la Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung și Wenke Lee de la Georgia Institute of Technology

  • WebKit

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site rău intenționat poate duce la închiderea neașteptată a aplicației sau la executarea unui cod arbitrar

    Descriere: au existat mai multe probleme de corupere a memoriei în WebKit. Pentru rezolvarea acestor probleme s-a implementat o mai bună gestionare a memoriei.

    CVE-ID

    CVE-2013-0879 : Atte Kettunen de la OUSPG

    CVE-2013-0991 : Jay Civelli de la Chromium development community

    CVE-2013-0992 : Google Chrome Security Team (Martin Barbella)

    CVE-2013-0993 : Google Chrome Security Team (Inferno)

    CVE-2013-0994 : David German de la Google

    CVE-2013-0995 : Google Chrome Security Team (Inferno)

    CVE-2013-0996 : Google Chrome Security Team (Inferno)

    CVE-2013-0997 : Vitaliy Toropov în colaborare cu HP's Zero Day Initiative

    CVE-2013-0998 : pa_kt în colaborare cu HP's Zero Day Initiative

    CVE-2013-0999 : pa_kt în colaborare cu HP's Zero Day Initiative

    CVE-2013-1000 : Fermin J. Serna de la Google Security Team

    CVE-2013-1001 : Ryan Humenick

    CVE-2013-1002 : Sergey Glazunov

    CVE-2013-1003 : Google Chrome Security Team (Inferno)

    CVE-2013-1004 : Google Chrome Security Team (Martin Barbella)

    CVE-2013-1005 : Google Chrome Security Team (Martin Barbella)

    CVE-2013-1006 : Google Chrome Security Team (Martin Barbella)

    CVE-2013-1007 : Google Chrome Security Team (Inferno)

    CVE-2013-1008 : Sergey Glazunov

    CVE-2013-1010 : miaubiz

    CVE-2013-1037 : Google Chrome Security Team

    CVE-2013-1038 : Google Chrome Security Team

    CVE-2013-1039 : own-hero Research în colaborare cu iDefense VCP

    CVE-2013-1040 : Google Chrome Security Team

    CVE-2013-1041 : Google Chrome Security Team

    CVE-2013-1042 : Google Chrome Security Team

    CVE-2013-1043 : Google Chrome Security Team

    CVE-2013-1044 : Apple

    CVE-2013-1045 : Google Chrome Security Team

    CVE-2013-1046 : Google Chrome Security Team

    CVE-2013-1047 : miaubiz

    CVE-2013-2842 : Cyril Cattiaux

    CVE-2013-5125 : Google Chrome Security Team

    CVE-2013-5126 : Apple

    CVE-2013-5127 : Google Chrome Security Team

    CVE-2013-5128 : Apple

  • WebKit

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: vizitarea unui site web rău intenționat poate duce la divulgarea de informații

    Descriere: a existat o problemă de divulgare a informațiilor la gestionarea API-ului window.webkitRequestAnimationFrame(). Un site web creat cu rea intenție poate utiliza un iframe pentru a determina dacă un alt site utilizează window.webkitRequestAnimationFrame(). Această problemă a fost rezolvată prin gestionarea îmbunătățită a window.webkitRequestAnimationFrame().

    CVE-ID

    CVE-2013-5159

  • WebKit

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: copierea și lipirea unui extras HTML rău intenționat pot duce la un atac asupra scripturilor de pe mai multe site-uri

    Descriere: a existat o problemă privind scripturile de pe mai multe site-uri la gestionarea datelor copiate și lipite în documente HTML. Pentru rezolvarea acestei probleme, s-au implementat metode suplimentare de validare a conținutului validat.

    CVE-ID

    CVE-2013-0926 : Aditya Gupta, Subho Halder și Dev Kar de la xys3c (xysec.com)

  • WebKit

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site web rău intenționat poate declanșa un atac asupra scripturilor de pe mai multe site-uri

    Descriere: a existat o problemă privind scripturile de pe mai multe site-uri la gestionarea elementelor iframe. Pentru rezolvarea acestei probleme, s-au îmbunătățit metodele de identificare a sursei.

    CVE-ID

    CVE-2013-1012 : Subodh Iyengar și Erling Ellingsen de la Facebook

  • WebKit

    Disponibilitate pentru: iPhone 3GS și modele ulterioare, iPod touch (a 4-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site web creat cu rea intenție poate duce la divulgarea de informații

    Descriere: a existat o problemă de divulgare a informațiilor în XSSAuditor. Această problemă a fost rezolvată prin gestionarea îmbunătățită a URL-urilor.

    CVE-ID

    CVE-2013-2848 : Egor Homakov

  • WebKit

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: glisarea sau lipirea unei selecții poate duce la un atac asupra scripturilor de pe mai multe site-uri

    Descriere: glisarea sau lipirea unei selecții de pe un site pe altul poate permite scripturilor conținute în selecție să se execute în contextul noului site. Această problemă este rezolvată prin validarea suplimentară a conținutului înainte de o operațiune de lipire sau de glisare și fixare.

    CVE-ID

    CVE-2013-5129 : Mario Heiderich

  • WebKit

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site web rău intenționat poate declanșa un atac asupra scripturilor de pe mai multe site-uri

    Descriere: a existat o problemă privind scripturile de pe mai multe site-uri la gestionarea URL-urilor. Pentru rezolvarea acestei probleme, s-au îmbunătățit metodele de identificare a sursei.

    CVE-ID

    CVE-2013-5131 : Erling A Ellingsen

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: