Informace o bezpečnostním obsahu iOS 7.1.2
Tento dokument popisuje bezpečnostní obsah v iOS 7.1.2.
Apple v zájmu ochrany zákazníků nezveřejňuje, nerozebírá ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.
Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.
Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.
Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.
iOS 7.1.2
Zásady důvěryhodnosti certifikátů zabezpečení
K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Aktualizace zásad důvěryhodnosti certifikátů
Popis: Byly aktualizovány zásady důvěryhodnosti certifikátů. Kompletní seznam certifikátů najdete na http://support.apple.com/kb/HT5012?viewlocale=cs_CZ.
CoreGraphics
K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Zobrazení škodlivého souboru XMB může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.
Popis: Při zpracovávání souborů XMB docházelo k problému s neomezeným přidělovaným zásobníků. Problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2014-1354 : Dima Kovalenko z codedigging.com
Jádro
K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Aplikace mohla způsobit neočekávané restartování zařízení.
Popis: Ve zpracovávání argumentů v IOKit API existovala dereference nulového ukazatele. Problém byl vyřešen vylepšeným ověřováním argumentů IOKit API.
CVE-ID
CVE-2014-1355 : cunzhang z laboratoře Adlab společnosti Venustech
launchd
K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Škodlivé aplikace mohly svévolně spouštět kód s oprávněním správce.
Popis: Když launchd zpracovával zprávy IPC, docházelo k přetečení haldy vyrovnávací paměti. Problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2014-1356 : Ian Beer z Google Project Zero
launchd
K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Škodlivé aplikace mohly svévolně spouštět kód s oprávněním správce.
Popis: Když launchd zpracovával zprávy protokolu, docházelo k přetečení haldy vyrovnávací paměti. Problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2014-1357 : Ian Beer z Google Project Zero
launchd
K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Škodlivé aplikace mohly svévolně spouštět kód s oprávněním správce.
Popis: V launchd docházelo k přetečení celých čísel. Problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2014-1358 : Ian Beer z Google Project Zero
launchd
K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Škodlivé aplikace mohly svévolně spouštět kód s oprávněním správce.
Popis: V launchd docházelo k podtečení celých čísel. Problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2014-1359 : Ian Beer z Google Project Zero
Zamčení
K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Útočník s přístupem k iOS zařízení mohl teoreticky obejít Zámek aktivace.
Popis: Zařízení během své aktivace prováděla nekompletní ověřování, takže útočníci mohli částečně obcházet Zámek aktivace. Problém byl vyřešen tím, že na straně klienta bylo přidáno dodatečné ověřování dat přijatých z aktivačních serverů.
CVE-ID
CVE-2014-1360
Zamčená obrazovka
K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Útočník s přístupem k zařízení mohl překročit maximální počet neúspěšných pokusů o zadání přístupového kódu.
Popis: V některých případech nebyl uplatňován limit neúspěšných zadání kódu. Problém byl vyřešen přísnějším dohlížením na limit.
CVE-ID
CVE-2014-1352 : mblsec
Zamčená obrazovka
K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Popis: Člověk s fyzickým přístupem k zamčenému zařízení mohl získat přístup k aplikaci, která se před zamčením nacházela na popředí.
Popis: Při zpracovávání stavu telefonického přenosu v letovém režimu docházelo k problému se správou stavu. Problém byl vyřešen vylepšenou správou stavu v letovém režimu.
CVE-ID
CVE-2014-1353
Mail
K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Z iPhonu 4 bylo možné získat přílohy Mailu.
Popis: U příloh e-mailů nefungovala ochrana dat, takže útočníci s fyzickým přístupem k zařízení je mohli číst. Problém byl vyřešen změnou šifrovací třídy e-mailových příloh.
CVE-ID
CVE-2014-1348 : Andreas Kurtz z NESO Security Labs
Safari
K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při zpracovávání neplatných adres URL docházelo v Safari k problému typu „use after free“ (používání paměti po jejím uvolnění). Problém byl vyřešen vylepšenou správou paměti.
CVE-ID
CVE-2014-1349 : Reno Robert a Dhanesh Kizhakkinan
Nastavení
K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Osoba s fyzickým přístupem k zařízení mohla vypnout službu Hledat iPhone bez zadání hesla k iCloudu.
Při zpracování stavu služby Hledat iPhone docházelo k potížím se správou stavu. Problém byl vyřešen vylepšeným zpracováním stavu služby Hledat iPhone.
CVE-ID
CVE-2014-1350
Zabezpečený přenos
K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Dva bajty neinicializované paměti mohly být odhaleny vzdálenému útočníkovi.
Popis: Při zpracovávání DTLS zpráv v TLS připojení nastával problém s neinicializovaným přístupem k paměti. Problém byl vyřešen tím, že nyní jsou u DTLS připojení přijímány pouze DTLS zprávy.
CVE-ID
CVE-2014-1361 : Thijs Alkemade z The Adium Project
Siri
K dispozici pro: iPhone 4s a novější, iPod touch (5. generace a novější), iPad (3. generace a novější)
Dopad: Uživatel s fyzickým přístupem k zařízení si mohl zobrazit všechny kontakty.
Popis: Když se žádost na Siri týkala jednoho z více možných kontaktů, Siri zobrazila seznam možných voleb a odkaz „Více...“, který zobrazil všechny kontakty. Při používání na zamčené obrazovce nevyžadovala Siri k zobrazení kompletního seznamu kontaktů zadání přístupového kódu. Problém byl vyřešen tím, že nyní je kód vyžadován.
CVE-ID
CVE-2014-1351 : Sherif Hashim
WebKit
K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Ve WebKitu existovalo několik problémů s poškozením paměti. Tyto problémy byly vyřešeny lepší správou paměti.
CVE-ID
CVE-2013-2875 : miaubiz
CVE-2013-2927: cloudfuzzer
CVE-2014-1323: banty
CVE-2014-1325 : Apple
CVE-2014-1326: Apple
CVE-2014-1327 : Tým Google Chrome Security, Apple
CVE-2014-1329: Tým Google Chrome Security
CVE-2014-1330: Tým Google Chrome Security
CVE-2014-1331: cloudfuzzer
CVE-2014-1333: Tým Google Chrome Security
CVE-2014-1334: Apple
CVE-2014-1335: Tým Google Chrome Security
CVE-2014-1336: Apple
CVE-2014-1337: Apple
CVE-2014-1338: Tým Google Chrome Security
CVE-2014-1339: Atte Kettunen ze skupiny OUSPG
CVE-2014-1341: Tým Google Chrome Security
CVE-2014-1342: Apple
CVE-2014-1343: Tým Google Chrome Security
CVE-2014-1362 : Apple, miaubiz
CVE-2014-1363 : Apple
CVE-2014-1364 : Apple
CVE-2014-1365 : Apple, Tým Google Chrome Security
CVE-2014-1366 : Apple
CVE-2014-1367 : Apple
CVE-2014-1368 : Wushi z týmu Keen Team (výzkumný tým organizace Keen Cloud Tech)
CVE-2014-1382 : Renata Hodovan ze Szegedské univerzity / Samsung Electronics
CVE-2014-1731: anonymní člen vývojové komunity Blink
WebKit
K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Škodlivý web může posílat zprávy do připojeného rámce nebo okna způsobem, který by mohl obejít kontrolu původu na straně příjemce.
Popis: Ve zpracování unicode znaků v adresách URL existoval problém s kódováním. Škodlivá URL mohla vést k odeslání nesprávného původu funkce postMessage. Problém byl vyřešen vylepšeným kódováním a dekódováním.
CVE-ID
CVE-2014-1346 : Erling Ellingsen ze společnosti Facebook
WebKit
K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější
Dopad: Nebezpečně vytvořený web může zfalšovat název své domény na řádku s adresou.
Popis: Při zpracovávání adres URL docházelo k problému s falšováním. Problém byl vyřešen lepším šifrováním URL.
CVE-ID
CVE-2014-1345 : Erling Ellingsen z Facebooku
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.