Despre conţinutul de securitate din iOS 7.1
Acest document descrie conţinutul de securitate din iOS 7.1.
Pentru protecţia clienţilor noştri, Apple nu divulgă, nu discută şi nu confirmă problemele de securitate înainte de a face o investigaţie completă şi de a pune la dispoziţie corecţiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.
Pentru informaţii despre cheia PGP pentru securitatea produselor Apple, consultă „Utilizarea cheii PGP pentru securitatea produselor Apple”.
Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilităţi pentru mai multe informaţii.
Pentru a afla mai multe despre alte actualizări de securitate, consultă „Actualizările de securitate Apple”.
iOS 7.1
Backup
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: un backup modificat rău intenţionat poate altera sistemul de fişiere
Descriere: va fi restaurat un link simbolic din backup, care va permite operaţiilor ulterioare din timpul restaurării să scrie în restul sistemului de fişiere. Această problemă a fost rezolvată prin verificarea linkurilor simbolice în timpul procesului de restaurare.
CVE-ID
CVE-2013-5133: evad3rs
Politica de încredere în certificate
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: certificatele rădăcină au fost actualizate
Descriere: S-au adăugat ori s-au eliminat câteva certificate din lista de rădăcini ale sistemului.
Profiluri de configurare
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: datele de expirare a profilurilor nu au fost respectate
Descriere: datele de expirare a profilurilor de configurare mobile nu au fost evaluate corect. Problema a fost rezolvată prin tratarea îmbunătăţită a profilurilor de configurare.
CVE-ID
CVE-2014-1267
CoreCapture
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: o aplicație rău intenționată poate provoca închiderea neașteptată a sistemului
Descriere: a existat o problemă de declaraţie accesibilă în tratarea de către CoreCapture a apelurilor API IOKit. Problema a fost rezolvată prin validarea suplimentară a intrărilor de la IOKit.
CVE-ID
CVE-2014-1271 : Filippo Bigarella
Raportare de căderi de sistem
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: se poate ca un utilizator local să aibă posibilitatea modifica permisiuni pentru fişiere arbitrare
Descriere: CrashHouseKeeping a urmat linkuri simbolice în timpul modificării permisiunilor pentru fişiere. Această problemă a fost rezolvată prin neurmarea linkurilor simbolice în timpul modificării permisiunilor pentru fişiere.
CVE-ID
CVE-2014-1272: evad3rs
dyld
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: pot fi ocolite cerinţele de semnare a codurilor
Descriere: instrucţiunile de relocare de text din bibliotecile dinamice pot fi încărcate de dyld fără validarea semnăturilor codurilor. Această problemă a fost rezolvată prin ignorarea instrucţiunilor de relocare de text.
CVE-ID
CVE-2014-1273: evad3rs
FaceTime
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: o persoană cu acces fizic la dispozitiv poate accesa contacte FaceTime din ecranul de blocare
Descriere: contactele FaceTime de pe un dispozitiv blocat pot fi expuse prin efectuarea unui apel FaceTime eşuat din ecranul de blocare. Această problemă a fost rezolvată prin tratarea îmbunătățită a apelurilor FaceTime.
CVE-ID
CVE-2014-1274
ImageIO
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: vizualizarea unui fișier PDF creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu
Descriere: s-a produs o depășire a memoriei tampon la tratarea imaginilor JPEG2000 din fișiere PDF. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor.
CVE-ID
CVE-2014-1275: Felix Groebert de la Echipa de securitate Google
ImageIO
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: vizualizarea unui fișier TIFF creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu
Descriere: s-a produs o depășire a memoriei tampon la tratarea de către libtiff a imaginilor TIFF. Problema a fost rezolvată prin validarea suplimentară a imaginilor TIFF.
CVE-ID
CVE-2012-2088
ImageIO
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: vizualizarea unui fişier JPEG creat cu rea intenţie poate cauza divulgarea conţinutului memoriei
Descriere: a existat o problemă de acces neiniţializat la memorie în tratarea de către libjpeg a marcajelor JPEG, având drept consecinţă divulgarea conţinutului memoriei. Problema a fost rezolvată prin validarea suplimentară a fişierelor JPEG.
CVE-ID
CVE-2013-6629 : Michal Zalewski
Eveniment HID IOKit
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: o aplicaţie rău intenţionată poate monitoriza acţiunile utilizatorului în alte aplicaţie
Descriere: o interfaţă din cadrul IOKit a permis unor aplicaţii rău intenţionate să monitorizeze acţiunile utilizatorului în alte aplicaţii. Problema a fot rezolvată prin îmbunătăţirea politicilor de control al accesului în cadru.
CVE-ID
CVE-2014-1276 : Min Zheng, Hui Xue şi Dr. Tao (Lenx) Wei de la FireEye
iTunes Store
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: un atacator de tipul "man-in-the-middle" poate ademeni un utilizator să descarce o aplicaţie malware prin intermediul Enterprise App Download
Descriere: un atacator cu o poziţie privilegiată în rețea poate falsifica comunicaţiile în reţea pentru a ademeni un utilizator să descarce o aplicație malware. Această problemă a fost limitată prin utilizarea protocolului SSL şi informarea utilizatorului la redirecţionările URL-urilor.
CVE-ID
CVE-2013-3948: Stefan Esser
Nucleu
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: se poate ca un utilizator local să aibă posibilitatea să provoace închiderea neaşteptată a sistemului sau executarea unui cod aleatoriu în nucleu
Descriere: a existat o problemă de accesare a memoriei în afara limitelor în funcţia ARM ptmx_get_ioctl. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor.
CVE-ID
CVE-2014-1278: evad3rs
Office Viewer
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: deschiderea unui document Microsoft Word creat cu rea intenţie poate cauza o terminare neaşteptată a aplicaţiei sau executarea arbitrară a unui cod
Descriere: a existat o prblemă de tipul "double free" la tratarea documentelor Microsoft Word. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei.
CVE-ID
CVE-2014-1252: Felix Groebert de la Echipa de securitate Google
Backend Poze
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: pot apărea fotografii şterse în aplicaţia Poze dedesubtul imaginilor transparente
Descriere: ştergerea unei imagini din biblioteca de resurse nu a şters versiunile memorate în cache ale imaginii. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei cache.
CVE-ID
CVE-2014-1281 : Walter Hoelblinger de la Hoelblinger.com, Morgan Adams, Tom Pennington
Profiluri
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: un profil de configurare poate fi ascuns pentru utilizator
Descriere: un profil de configurare cu un nume lung a fost încărcat pe dispozitiv, însă nu a fost afişat în interfaţa cu utilizatorul a profilului. Problema a fost rezolvată prin tratarea îmbunătăţită a numelor profilurilor.
CVE-ID
CVE-2014-1282 : Assaf Hefetz, Yair Amit şi Adi Sharabani de la Skycure
Safari
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: acreditările utilizatorului pot fi divulgate unui site neaşteptat prin auto-completare
Descriere: este posibil ca Safari să fi auto-completat nume de utilizator şi parole într-un subcadru din alt domeniu decât cel al cadrului principal. Pentru rezolvarea acestei probleme, s-au îmbunătăţit metodele de identificare a sursei.
CVE-ID
CVE-2013-5227: Niklas Malmgren de la Klarna AB
Configurări - Conturi
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: o persoană cu acces fizic la dispozitiv poate avea posibilitatea să dezactiveze caracteristica Găsire iPhone fără introducerea unei parole iCloud
Descriere: a existat o problemă de gestionare a stării la tratarea stării caracteristicii Găsire iPhone. Problema a fost rezolvată prin îmbunătăţirea tratării stării caracteristicii Găsire iPhone.
CVE-ID
CVE-2014-2019
Ecranul de pornire
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: o persoană cu acces fizic la dispozitiv poate avea posibilitatea să vadă ecranul principal al dispozitivului chiar dacă dispozitivul nu a fost activat
Descriere: o terminare neaşteptată a unei aplicaţii în timpul activării poate cauza afişarea ecranului principal al telefonului. Problema a fost rezolvată prin îmbunătăţirea tratării erorilor în timpul activării.
CVE-ID
CVE-2014-1285 : Roboboi99
Ecran de blocare al platformei de pornire
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: un atacator la distanţă poate determina ecranul de blocare să nu răspundă la comenzi
Descriere: a existat o problemă de gestionare a stării în ecranul de blocare. Această problemă a fost rezolvată prin îmbunătăţirea gestionării stării.
CVE-ID
CVE-2014-1286 : Bogdan Alecu de la M-sec.net
Cadrul TelephonyUI
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: o pagină Web poate declanşa un apel audio FaceTime fără interacţiunea utilizatorului
Descriere: Safari nu a consultat utilizatorul înainte de lansarea URL-urilor facetime-audio://. Problema a fost rezolvată prin adăugarea unui dialog de confirmare.
CVE-ID
CVE-2013-6835: Guillaume Ross
Gazdă USB
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: o persoană cu acces fizic la dispozitiv poate avea posibilitatea să cauzeze executarea unui cod arbitrar în modul nucleu
Descriere: a existat o problemă de alterare a memoriei la tratarea mesajelor USB. Problema a fost rezolvată prin validarea suplimentară a mesajelor USB.
CVE-ID
CVE-2014-1287 : Andy Davis de la NCC Group
Driver video
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: redarea unui fişier video creat cu rea intenţie poate face dispozitivul să nu răspundă la comenzi
Descriere: a existat o problemă de indirectare NULL la tratarea fişierelor codificate MPEG-4. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei.
CVE-ID
CVE-2014-1280 : rg0rd
WebKit
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: accesarea unui site rău intenţionat poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod aleatoriu
Descriere: în WebKit au existat mai multe probleme de alterare a memoriei. Pentru rezolvarea acestor probleme s-a implementat o mai bună gestionare a memoriei.
CVE-ID
CVE-2013-2909: Atte Kettunen de la OUSPG
CVE-2013-2926 : cloudfuzzer
CVE-2013-2928: Echipa de securitate Google Chrome
CVE-2013-5196: Echipa de securitate Google Chrome
CVE-2013-5197: Echipa de securitate Google Chrome
CVE-2013-5198: Apple
CVE-2013-5199: Apple
CVE-2013-5225: Echipa de securitate Google Chrome
CVE-2013-5228 : Keen Team (@K33nTeam) împreună cu HP's Zero Day Initiative
CVE-2013-6625 : cloudfuzzer
CVE-2013-6635 : cloudfuzzer
CVE-2014-1269: Apple
CVE-2014-1270: Apple
CVE-2014-1289: Apple
CVE-2014-1290: ant4g0nist (SegFault) în colaborare cu Zero Day Initiative (HP), Google Chrome Security Team, Lee Wang Hao în colaborare cu S.P.T. Krishnan (Infocomm Security Department, Institute for Infocomm Research)
CVE-2014-1291: Echipa de securitate Google Chrome
CVE-2014-1292: Echipa de securitate Google Chrome
CVE-2014-1293: Echipa de securitate Google Chrome
CVE-2014-1294: Echipa de securitate Google Chrome
Serviciul FaceTime nu este disponibil în toate țările sau regiunile.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.