Informace o bezpečnostním obsahu iOS 7

Tento dokument popisuje bezpečnostní obsah iOS 7.

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

iOS 7

  • Zásady důvěryhodnosti certifikátů

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Kořenové certifikáty byly aktualizovány

    Popis: Několik certifikátů bylo přidáno nebo odstraněno ze seznamu kořenových adresářů systému.

  • CoreGraphics

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Zobrazení škodlivého souboru PDF může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu

    Popis: Při zpracování dat s kódováním JBIG2 v souborech PDF existovala možnost přetečení vyrovnávací paměti. Tento problém byl vyřešen další kontrolou rozsahu.

    CVE-ID

    CVE-2013-1025: Felix Groebert z týmu zabezpečení Google

  • CoreMedia

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Přehrávání škodlivého filmového souboru může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu

    Popis: Při zpracování filmových souborů s kódováním Sorenson existovala možnost přetečení vyrovnávací paměti. Problém byl vyřešen vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2013-1019: Tom Gallagher (Microsoft) a Paul Bates (Microsoft) spolupracující se Zero Day Initiative společnosti HP

  • Ochrana dat

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Aplikace můžou obejít omezení pokusů o zadání hesla

    Popis: V ochraně dat existoval problém s oddělením oprávnění. Aplikace v sandboxu třetí strany by se mohla opakovaně pokoušet určit přístupový kód uživatele bez ohledu na nastavení uživatele „Smazat data“. Tento problém byl vyřešen vyžadováním dalších kontrol oprávnění.

    CVE-ID

    CVE-2013-0957: Jin Han z Institute for Infocomm Research, se kterým spolupracují Qiang Yan a Su Mon Kywe ze Singapore Management University

  • Zabezpečení dat

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Útočník s privilegovanou pozicí v síti může zachytit přihlašovací údaje uživatele nebo jiné citlivé informace

    Popis: TrustWave, důvěryhodná kořenová CA, vydala a následně odvolala certifikát dílčí CA od jedné ze svých důvěryhodných kotev. Tato dílčí CA umožnila zachycování komunikací zabezpečených pomocí TLS (Transport Layer Security). Tato aktualizace přidala příslušný certifikát dílčí CA do seznamu nedůvěryhodných certifikátů OS X.

    CVE-ID

    CVE-2013-5134

  • dyld

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Útočník, který na zařízení může spouštět libovolný kód, může být schopný zachovat možnost spouštění kódu i po restartování

    Popis: Ve funkci openSharedCacheFile() součásti dyld existovala možnost několika přetečení vyrovnávací paměti. Problémy byly vyřešeny vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2013-3950: Stefan Esser

  • Souborové systémy

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Útočník, který dokáže připojit souborový systém bez HFS, může být schopen způsobit neočekávané ukončení systému nebo spuštění libovolného kódu s právy jádra

    Popis: Při manipulaci se soubory AppleDouble existoval problém s možností poškození paměti. Tento problém byl vyřešen odebráním podpory pro soubory AppleDouble.

    CVE-ID

    CVE-2013-3955: Stefan Esser

  • ImageIO

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Zobrazení škodlivého souboru PDF může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu

    Popis: Při zpracování dat s kódováním JPEG2000 v souborech PDF existovala možnost přetečení vyrovnávací paměti. Tento problém byl vyřešen další kontrolou rozsahu.

    CVE-ID

    CVE-2013-1026: Felix Groebert z bezpečnostního týmu Google

  • IOKit

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Aplikace na pozadí mohou vkládat události uživatelského rozhraní do aplikace v popředí

    Popis: Pro aplikace na pozadí bylo možné vkládat události uživatelského rozhraní do aplikace v popředí pomocí dokončení úlohy nebo VoIP API. Tento problém byl vyřešen vynucením řízení přístupu u procesů v popředí a na pozadí, které zpracovávají události rozhraní.

    CVE-ID

    CVE-2013-5137: Mackenzie Straight z Mobile Labs

  • IOKitUser

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Škodlivá místní aplikace může způsobit neočekávané ukončení systému

    Popis: V katalogu IOCatalogue existovala možnost dereference nulového ukazatele. Problém byl vyřešen dodatečným ověřováním typu.

    CVE-ID

    CVE-2013-5138: Will Estes

  • IOSerialFamily

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Spuštění škodlivé aplikace může mít za následek spuštění libovolného kódu v rámci jádra

    Popis: V ovladači IOSerialFamily existovala možnost přístupu za hranice pole. Tento problém byl vyřešen další kontrolou rozsahu.

    CVE-ID

    CVE-2013-5139: @dent1zt

  • IPSec

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Útočník může zachytit data chráněná pomocí IPSec Hybrid Auth

    Popis: Název DNS serveru IPSec Hybrid Auth nebyl porovnáván s certifikátem, což umožnilo útočníkovi s certifikátem jakéhokoli serveru vydávat se za jiný. Problém byl vyřešen vylepšením ověřování certifikátů.

    CVE-ID

    CVE-2013-1028: Alexander Traud z www.traud.de

  • Jádro

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Vzdálený útočník může způsobit neočekávané restartování zařízení

    Popis: Odeslání neplatného fragmentu paketu do zařízení může způsobit aktivaci pro assert jádra, což vede k restartování zařízení. Problém byl vyřešen pomocí dodatečného ověřování fragmentů paketů.

    CVE-ID

    CVE-2013-5140: Joonas Kuorilehto z Codenomiconu, anonymní výzkumník spolupracující s CERT-FI, Antti Levomäki a Lauri Virtanen z Vulnerability Analysis Group, Stonesoft

  • Jádro

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Škodlivá místní aplikace může způsobit zablokování zařízení

    Popis: Slabina oříznutí celého čísla v rozhraní soketu jádra by mohla být využita k přinucení CPU k nekonečné smyčce. Problém byl vyřešen použitím proměnné větší velikosti.

    CVE-ID

    CVE-2013-5141: CESG

  • Jádro

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Útočník v místní síti může způsobit odmítnutí služby

    Popis: Útočník v místní síti může odesílat speciálně vytvořené pakety IPv6 ICMP a způsobit vysoké zatížení procesoru. Problém byl vyřešen omezením četnosti paketů ICMP před ověřením jejich kontrolního součtu.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Jádro

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Paměť zásobníku jádra může být zpřístupněna místním uživatelům

    Popis: V rozhraní API msgctl a segctl existoval problém se zpřístupněním informací. Tento problém byl vyřešen inicializací datových struktur vrácených z jádra.

    CVE-ID

    CVE-2013-5142: Kenzley Alphonse z Kenx Technology, Inc

  • Jádro

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Neprivilegované procesy můžou získat přístup k obsahu paměti jádra, což může vést k eskalaci oprávnění

    Popis: V rozhraní API mach_port_space_info existoval problém se zpřístupněním informací. Tento problém byl vyřešen inicializací pole iin_collision ve strukturách vrácených z jádra.

    CVE-ID

    CVE-2013-3953: Stefan Esser

  • Jádro

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Neprivilegované procesy můžou způsobit neočekávané ukončení systému nebo spuštění libovolného kódu v jádře

    Popis: Při zpracování argumentů API posix_spawn existoval problém s poškozením paměti. Tento problém byl vyřešen další kontrolou rozsahu.

    CVE-ID

    CVE-2013-3954: Stefan Esser

  • Správa Kext

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Neautorizovaný proces může změnit sadu načtených rozšíření jádra

    Popis: V kextd existoval problém při zpracování zpráv IPC od neověřených odesílatelů. Tento problém byl vyřešen přidáním dalších kontrol autorizace.

    CVE-ID

    CVE-2013-5145: „Rainbow PRISM“

  • libxml

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Zobrazení škodlivé webové stránky může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu

    Popis: V libxml existovalo několik problémů s poškozením paměti. Tyto problémy byly vyřešeny aktualizací libxml na verzi 2.9.0.

    CVE-ID

    CVE-2011-3102: Jüri Aedla

    CVE-2012-0841

    CVE-2012-2807: Jüri Aedla

    CVE-2012-5134: Tým zabezpečení Google Chrome (Jüri Aedla)

  • libxslt

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Zobrazení škodlivé webové stránky může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu

    Popis: V libxslt existovalo několik problémů s poškozením paměti. Tyto problémy byly vyřešeny aktualizací libxslt na verzi 1.1.28.

    CVE-ID

    CVE-2012-2825: Nicolas Gregoire

    CVE-2012-2870: Nicolas Gregoire

    CVE-2012-2871: Kai Lu z týmu FortiGuard Labs společnosti Fortinet, Nicolas Gregoire

  • Zámek s přístupovým kódem

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Osoba s fyzickým přístupem k zařízení může obejít zámek obrazovky

    Popis: Při zpracování telefonních hovorů a vysunutí SIM karty na zamykací obrazovce existoval problém se souběhem. Problém byl vyřešen vylepšením správy stavu uzamčení.

    CVE-ID

    CVE-2013-5147: videosdebarraquito

  • Osobní hotspot

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Útočníkovi se může podařit připojit se k síti Osobního hotspotu

    Popis: Při generování hesel Osobního hotspotu existoval problém, jehož výsledkem byla hesla, která by útočník mohl předpokládat, aby se připojil k Osobnímu hotspotu uživatele. Problém byl vyřešen generováním hesel s vyšší entropií.

    CVE-ID

    CVE-2013-4616: Andreas Kurtz z NESO Security Labs a Daniel Metz z Erlangensko-norimberské univerzity

  • Push oznámení

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Token push oznámení může být prozrazen aplikaci v rozporu s rozhodnutím uživatele

    Popis: Při registraci push oznámení existoval problém se zpřístupněním informací. Aplikace požadující přístup k push oznámení obdržely token předtím, než uživatel schválil použití push oznámení v aplikaci. Tento problém byl vyřešen odepřením přístupu k tokenu, dokud uživatel neschválí přístup.

    CVE-ID

    CVE-2013-5149: Jack Flintermann z Grouper, Inc.

  • Safari

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Návštěva škodlivého webu může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu

    Popis: Při zpracování souborů XML existoval problém s poškozením paměti. Tento problém byl vyřešen další kontrolou rozsahu.

    CVE-ID

    CVE-2013-1036: z týmu FortiGuard Labs společnosti Fortinet

  • Safari

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Historie nedávno navštívených stránek na otevřené kartě může zůstat i po vymazání historie

    Popis: Vymazání historie Safari nevymazalo historii pohybu zpět/vpřed pro otevřené karty. Tento problém byl vyřešen vymazáním historie pohybu zpět/vpřed.

    CVE-ID

    CVE-2013-5150

  • Safari

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Zobrazení souborů na webu může vést ke spuštění skriptu, i když server odešle hlavičku 'Content-Type: text/plain'

    Popis: Mobilní Safari někdy zacházelo se soubory jako se soubory HTML, i když server odeslal hlavičku 'Content-Type: text/plain'. To mohlo vést ke skriptování mezi weby na webech, které uživatelům umožňují nahrávat soubory. Tento problém byl vyřešen vylepšeným zpracováním souborů s nastavením 'Content-Type: text/plain'.

    CVE-ID

    CVE-2013-5151: Ben Toews z Githubu

  • Safari

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Návštěva škodlivého webu může umožnit zobrazení libovolné URL

    Popis: V Mobilním Safari existoval problém s falšováním řádku adresy. Problém byl vyřešen vylepšením sledování URL.

    CVE-ID

    CVE-2013-5152: Keita Haga z keitahaga.com, Łukasz Pilorz z RBS

  • Sandbox

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Aplikace, které jsou skripty, nebyly umístěny v sandboxu

    Popis: Aplikace třetích stran, které používaly syntaxi #! pro spuštění skriptu, byly umístěny do sandboxu na základě identity interpretu skriptu, nikoli vlastního skriptu. Interpret nemusel mít definovaný sandbox, což vedlo k tomu, že se aplikace spustila mimo sandbox. Tento problém byl vyřešen vytvořením sandboxu na základě identity skriptu.

    CVE-ID

    CVE-2013-5154: evad3rs

  • Sandbox

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Aplikace mohou způsobit zablokování systému

    Popis: Škodlivé aplikace třetích stran, které zapisovaly konkrétní hodnoty do zařízení /dev/random, mohly donutit CPU vstoupit do nekonečné smyčky. Tento problém byl vyřešen tím, že aplikace třetích stran nemůžou zapisovat do /dev/random.

    CVE-ID

    CVE-2013-5155: CESG

  • Sociální sítě

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Nedávná aktivita uživatelů na Twitteru mohla být zveřejněna na zařízeních bez přístupového kódu.

    Popis: Existoval problém, kdy bylo možné určit, s jakými účty Twitteru uživatel nedávno pracoval. Tento problém byl vyřešen omezením přístupu k mezipaměti ikon Twitteru.

    CVE-ID

    CVE-2013-5158: Jonathan Zdziarski

  • Springboard

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Osoba s fyzickým přístupem k zařízení v režimu Ztraceno měla možnost zobrazit oznámení

    Popis: Vyskytl se problém se zpracováním oznámení, když je zařízení v režimu Ztraceno. Tato aktualizace řeší tento problém vylepšením správy zamčeného stavu.

    CVE-ID

    CVE-2013-5153: Daniel Stangroom

  • Telefonie

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Škodlivé aplikace můžou narušovat nebo ovládat funkce telefonie

    Popis: V subsystému telefonie existoval problém s řízením přístupu. Při obcházení podporovaných rozhraní API mohly aplikace v sandboxu zadávat požadavky přímo systémovému démonovi a narušovat nebo ovládat funkce telefonie. Tento problém byl vyřešen vynucením řízení přístupu na rozhraních vystavených démonem telefonie.

    CVE-ID

    CVE-2013-5156: Jin Han z Institute for Infocomm Research, se kterým spolupracují Qiang Yan a Su Mon Kywe ze Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung a Wenke Lee z Georgia Institute of Technology

  • Twitter

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Aplikace v sandboxu můžou odesílat tweety bez interakce uživatele nebo jeho povolení

    Popis: V subsystému Twitter existoval problém s řízením přístupu. Při obcházení podporovaných rozhraní API mohly aplikace v sandboxu zadávat požadavky přímo systémovému démonovi a narušovat nebo ovládat funkce Twitteru. Tento problém byl vyřešen vynucením řízení přístupu na rozhraních vystavených démonem Twitteru.

    CVE-ID

    CVE-2013-5157: Jin Han z Institute for Infocomm Research, se kterým spolupracují Qiang Yan a Su Mon Kywe ze Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung a Wenke Lee z Georgia Institute of Technology

  • WebKit

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Návštěva škodlivého webu může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu

    Popis: Ve WebKitu existovalo několik problémů s poškozením paměti. Problémy byly vyřešeny vylepšením správy paměti.

    CVE-ID

    CVE-2013-0879: Atte Kettunen z OUSPG

    CVE-2013-0991: Jay Civelli z vývojářské komunity Chromium

    CVE-2013-0992: Tým zabezpečení Google Chrome (Martin Barbella)

    CVE-2013-0993: Tým zabezpečení Google Chrome (Inferno)

    CVE-2013-0994: David German ze společnosti Google

    CVE-2013-0995: Tým zabezpečení Google Chrome (Inferno)

    CVE-2013-0996: Tým zabezpečení Google Chrome (Inferno)

    CVE-2013-0997: Vitaliy Toropov spolupracující se Zero Day Initiative společnosti HP

    CVE-2013-0998: pa_kt spolupracující se Zero Day Initiative společnosti HP

    CVE-2013-0999: pa_kt spolupracující se Zero Day Initiative společnosti HP

    CVE-2013-1000: Fermin J. Serna z týmu zabezpečení Google

    CVE-2013-1001: Ryan Humenick

    CVE-2013-1002: Sergey Glazunov

    CVE-2013-1003: Tým zabezpečení Google Chrome (Inferno)

    CVE-2013-1004: Tým zabezpečení Google Chrome (Martin Barbella)

    CVE-2013-1005: Tým zabezpečení Google Chrome (Martin Barbella)

    CVE-2013-1006: Tým zabezpečení Google Chrome (Martin Barbella)

    CVE-2013-1007: Tým zabezpečení Google Chrome (Inferno)

    CVE-2013-1008: Sergey Glazunov

    CVE-2013-1010: miaubiz

    CVE-2013-1037: Tým zabezpečení Google Chrome

    CVE-2013-1038: Tým zabezpečení Google Chrome

    CVE-2013-1039: own-hero Research ve spolupráci s iDefense VCP

    CVE-2013-1040: Tým zabezpečení Google Chrome

    CVE-2013-1041: Tým zabezpečení Google Chrome

    CVE-2013-1042: Tým zabezpečení Google Chrome

    CVE-2013-1043: Tým zabezpečení Google Chrome

    CVE-2013-1044: Apple

    CVE-2013-1045: Tým zabezpečení Google Chrome

    CVE-2013-1046: Tým zabezpečení Google Chrome

    CVE-2013-1047: miaubiz

    CVE-2013-2842: Cyril Cattiaux

    CVE-2013-5125: Tým zabezpečení Google Chrome

    CVE-2013-5126: Apple

    CVE-2013-5127: Tým zabezpečení Google Chrome

    CVE-2013-5128: Apple

  • WebKit

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Návštěva škodlivého webu může vést ke zpřístupnění informací

    Popis: Při zpracování API window.webkitRequestAnimationFrame() existoval problém se zpřístupněním informací. Škodlivý web mohl použít prvek iframe k určení, jestli jiný web používal window.webkitRequestAnimationFrame(). Problém byl vyřešen lepším zpracováváním volání window.webkitRequestAnimationFrame().

    CVE-ID

    CVE-2013-5159

  • WebKit

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Kopírování a vkládání škodlivého úryvku HTML může vést k útoku skriptováním mezi weby

    Popis: Při zpracování zkopírovaných a vkládaných dat v dokumentech HTML existoval problém se skriptováním mezi weby. Problém byl vyřešen důkladnějším ověřováním vkládaného obsahu.

    CVE-ID

    CVE-2013-0926: Aditya Gupta, Subho Halder a Dev Kar z xys3c (xysec.com)

  • WebKit

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Návštěva škodlivého webu může vést k útoku skriptováním mezi weby

    Popis: Při zpracování prvků iframe existoval problém se skriptováním mezi weby. Problém byl vyřešen vylepšením sledování původu.

    CVE-ID

    CVE-2013-1012: Subodh Iyengar a Erling Ellingsen z Facebooku

  • WebKit

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Návštěva škodlivého webu může vést ke zpřístupnění informací

    Popis: V součásti XSSAuditor existoval problém se zpřístupněním informací. Problém byl vyřešen vylepšením zpracováním URL.

    CVE-ID

    CVE-2013-2848: Egor Homakov

  • WebKit

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Přetažením nebo vložením výběru může dojít k útoku skriptováním mezi weby

    Popis: Přetažení nebo vložení výběru z jednoho webu na druhý může umožnit spuštění skriptů obsažených ve výběru v kontextu nového webu. Tento problém je vyřešen pomocí dodatečného ověření obsahu před operací vložení nebo přetažení.

    CVE-ID

    CVE-2013-5129: Mario Heiderich

  • WebKit

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Návštěva škodlivého webu může vést k útoku skriptováním mezi weby

    Popis: Při zpracování URL existoval problém se skriptováním mezi weby. Problém byl vyřešen vylepšením sledování původu.

    CVE-ID

    CVE-2013-5131: Erling A Ellingsen

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.

Datum zveřejnění: