Om säkerhetsinnehållet i iOS 7.1
Det här dokumentet beskriver säkerhetsinnehållet i iOS 7.1.
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.
Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.
iOS 7.1
Säkerhetskopiering
Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En skadlig säkerhetskopia kan ändra filsystemet.
Beskrivning: En symbolisk länk i en säkerhetskopia återskapades för att det skulle gå att skriva till resten av filsystemet under återställningen. Problemet åtgärdades genom en sökning efter symboliska länkar under återställningsprocessen.
CVE-ID
CVE-2013-5133: evad3rs
Certifierad förtroendepolicy
Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Rotcertifikat har uppdaterats
Beskrivning: Flera certifikat har lagts till eller tagits bort från listan med systemrötter.
Konfigurationsprofiler
Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Profilens förfallodatum respekterades inte
Beskrivning: Förfallodatum för mobilens konfigurationsprofiler utvärderades inte korrekt. Problemet åtgärdades genom förbättrad hantering av konfigurationsprofilerna.
CVE-ID
CVE-2014-1267
CoreCapture
Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan leda till oväntad systemavslutning
Beskrivning: Ett problem med nåbar försäkran förekom i CoreCaptures hantering av IOKit API-samtal. Problemet åtgärdades genom ytterligare validering av inmatning från IOKit.
CVE-ID
CVE-2014-1271: Filippo Bigarella
Kraschrapportering
Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Det kan hända att en lokal användare kan ändra tillstånden för godtyckliga filer
Beskrivning: CrashHouseKeeping följde symboliska länkar vid ändring av behörigheter för filer. Problemet åtgärdades genom att inte följa symboliska länkar vid ändring av behörigheter för filer.
CVE-ID
CVE-2014-1272: evad3rs
dyld
Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Begäran om kodsignering kan kringgås
Beskrivning: Textförflyttningsinstruktioner i dynamiska bibliotek kan hämtas per dyld utan validering av kodsignatur. Problemet åtgärdades genom att textförflyttningsinstruktionerna ignoreras.
CVE-ID
CVE-2014-1273: evad3rs
FaceTime
Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En person med fysisk åtkomst till enheten kan komma åt FaceTime-kontakter via låsskärmen
Beskrivning: FaceTime-kontakter på en låst enhet kan exponeras genom uppringning av ett missat FaceTime-samtal från låsskärmen. Problemet åtgärdades genom förbättrad hantering av FaceTime-samtal.
CVE-ID
CVE-2014-1274
ImageIO
Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Visning av en PDF-fil som skapats med skadlig kod kan leda till oväntad programavslutning eller körning av godtycklig kod
Beskrivning: Buffertspill förekom vid hantering av JPEG2000-bilder i PDF-filer. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2014-1275: Felix Groebert i Google Security Team
ImageIO
Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Visning av en skadlig TIFF-fil kan leda till oväntad programavslutning eller körning av opålitlig kod
Beskrivning: Ett buffertspill fanns i libtiffs hantering av TIFF-bilder. Detta löstes genom ytterligare validering av TIFF-bilder.
CVE-ID
CVE-2012-2088
ImageIO
Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Visning av en skadlig JPEG-fil kan leda till spridning av minnesinnehåll
Beskrivning: Ett oinitierat minnesåtkomstproblem förekom i libjpegs hantering av JPEG-markörer, vilket ledde till spridningen av minnesinnehåll. Problemet åtgärdades genom ytterligare validering av JPEG-filer.
CVE-ID
CVE-2013-6629: Michal Zalewski
IOKit HID-händelse
Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan övervaka vad användaren gör i andra appar
Beskrivning: Ett gränssnitt i IOKit-ramverket tillät skadliga appar att övervaka vad användaren gjorde i andra appar. Problemet åtgärdades genom förbättrad åtkomstkontroll i nätverket.
CVE-ID
CVE-2014-1276: Min Zheng, Hui Xue och dr Tao (Lenx) Wei på FireEye
iTunes Store
Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: MITM-angripare (man-in-the-middle) kan lura användarna att hämta en skadlig app via hämtning av företagsappar
Beskrivning: En angripare med en privilegierad nätverksposition kan imitera nätverkskommunikation för att lura en användare att hämta en skadlig app. Problemet åtgärdades genom användning av SSL och tillfrågan av användare vid URL-omdirigeringar.
CVE-ID
CVE-2013-3948: Stefan Esser
Kärna
Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En lokal användare kan orsaka oväntad systemavslutning eller exekvering av godtycklig kod i operativsystemkärnan
Beskrivning: Ett problem med minnesåtkomst utanför gränserna förekom i ARM ptmx_get_ioctl-funktionen. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2014-1278: evad3rs
Office Viewer
Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Öppnande av ett Microsoft Word-dokument med skadligt innehåll kan leda till att ett program avslutas oväntat eller exekvering av opålitlig kod
Beskrivning: Ett dubbelt fritt fel förekom i hanteringen av Microsoft Word-dokument. Det här problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2014-1252: Felix Groebert i Google Security Team
Bakgrundsprocessen för Bilder
Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Borttagna bilder kan fortfarande visas i programmet Bilder under transparenta bilder
Beskrivning: Borttagning av en bild från resursbiblioteket tog inte bort de cachelagrade versionerna av bilden. Problemet åtgärdades genom förbättrad cachehantering.
CVE-ID
CVE-2014-1281: Walter Hoelblinger på Hoelblinger.com, Morgan Adams, Tom Pennington
Profiler
Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En konfigurationsfil kan vara dold från användaren
Beskrivning: En konfigurationsfil med ett långt namn kan ha hämtats till enheten men visades inte i gränssnittet för profilen. Problemet åtgärdades genom förbättrad hantering av profilnamn.
CVE-ID
CVE-2014-1282: Assaf Hefetz, Yair Amit och Adi Sharabani på Skycure
Safari
Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Identifieringsuppgifter för användare kan avslöjas för en oväntad webbplats via autofyll
Beskrivning: Safari kan ha fyllt i användarnamn och lösenord automatiskt i en underram från en annan domän än huvudramen. Problemet åtgärdades genom förbättrad ursprungsspårning.
CVE-ID
CVE-2013-5227: Niklas Malmgren på Klarna AB
Inställningar – Konton
Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En person med fysisk åtkomst till enheten kan inaktivera Hitta min iPhone utan att ange ett iCloud-lösenord
Beskrivning: Ett problem med tillståndshantering förekom i hanteringen av Hitta min iPhone-tillståndet. Problemet åtgärdades genom förbättrad hantering av Hitta min iPhone-tillståndet.
CVE-ID
CVE-2014-2019
Hemskärm
Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En person som har fysisk åtkomst till enheten kan visa enhetens hemskärm även om enheten inte har aktiverats
Beskrivning: En oväntad programavslutning under aktiveringen kan leda till att telefonen visar hemskärmen. Problemet åtgärdades genom förbättrad felhantering under aktiveringen.
CVE-ID
CVE-2014-1285: Roboboi99
SpringBoard-låsskärmen
Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En angripare på distans kan orsaka att låsskärmen inte svarar.
Beskrivning: Ett problem med tillståndshantering förekom i låsskärmen. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-ID
CVE-2014-1286: Bogdan Alecu på M-sec.net
TelephonyUI-ramverket
Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En webbsida kan ringa ett ljudsamtal med FaceTime utan att användaren gör något
Beskrivning: Safari frågade inte användaren innan URL:er med FaceTime-ljud startades. Problemet åtgärdades genom att en bekräftelsefråga lades till.
CVE-ID
CVE-2013-6835: Guillaume Ross
USB-värd
Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En person med fysisk åtkomst till enheten kan orsaka exekvering av godtycklig kod i operativsystemkärnan
Beskrivning: Ett problem med minneskorruption förekom i hanteringen av USB-meddelanden. Problemet åtgärdades genom ytterligare validering av USB-meddelanden.
CVE-ID
CVE-2014-1287: Andy Davis på NCC Group
Videodrivrutin
Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Uppspelning av en skadlig video kan leda till att enheten inte svarar
Beskrivning: Ett problem med nullreferens förekom i hanteringen av MPEG-4-kodade filer. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2014-1280: rg0rd
WebKit
Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras
Beskrivning: Flera minnesfel förekom i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2013-2909: Atte Kettunen på OUSPG
CVE-2013-2926: cloudfuzzer
CVE-2013-2928: Google Chrome Security Team
CVE-2013-5196: Google Chrome Security Team
CVE-2013-5197: Google Chrome Security Team
CVE-2013-5198: Apple
CVE-2013-5199: Apple
CVE-2013-5225: Google Chrome Security Team
CVE-2013-5228: Keen Team (@K33nTeam) i samarbete med HP:s Zero Day Initiative
CVE-2013-6625: cloudfuzzer
CVE-2013-6635: cloudfuzzer
CVE-2014-1269: Apple
CVE-2014-1270: Apple
CVE-2014-1289: Apple
CVE-2014-1290 : ant4g0nist (SegFault) i samarbete med HP:s Zero Day Initiative, Google Chrome Security Team, Lee Wang Hao i samarbete med S.P.T. Krishnan på Infocomm Security Department, Institute for Infocomm Research
CVE-2014-1291: Google Chrome Security Team
CVE-2014-1292: Google Chrome Security Team
CVE-2014-1293: Google Chrome Security Team
CVE-2014-1294: Google Chrome Security Team
FaceTime är inte tillgängligt i alla länder och regioner.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.