Informace o bezpečnostním obsahu iOS 7.1

Tento dokument popisuje bezpečnostní obsah iOS 7.1.

Apple v zájmu ochrany zákazníků nezveřejňuje, nerozebírá ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

iOS 7.1

  • Zálohování

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Nebezpečně vytvořená záloha může pozměnit souborový systém.

    Popis: V záloze mohl být obnoven symbolický odkaz, který by umožnil operacím zapisovat do zbytku souborového systému. Problém byl vyřešen prověřováním symbolických odkazů v průběhu obnovy.

    CVE-ID

    CVE-2013-5133: evad3rs

  • Zásady důvěryhodnosti certifikátů zabezpečení

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Kořenové certifikáty byly aktualizovány.

    Popis: Na seznam kořenových certifikátů bylo přidáno několik nových a některé staré byly odstraněny.

  • Konfigurační profily

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Data ukončení platnosti profilů nebyla dodržována.

    Popis: Data ukončení platnosti konfiguračních profilů nebyla správně vyhodnocována. Problém byl vyřešen lepším zpracováváním konfiguračních profilů.

    CVE-ID

    CVE-2014-1267

  • CoreCapture

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Škodlivá aplikace může způsobit neočekávané ukončení systému.

    Popis: Ve zpracovávání volání API IOKit součástí CoreCapture existoval problém s dosažitelným kontrolním výrazem. Problém byl vyřešen dalším ověřením vstupu z IOKitu.

    CVE-ID

    CVE-2014-1271: Filippo Bigarella

  • Hlášení o zhroucení

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Místní uživatel může změnit oprávnění u libovolných souborů.

    Popis: Při změně oprávnění souborů se součást CrashHouseKeeping řídila symbolickými odkazy. Problém byl vyřešen nepřecházením na symbolické odkazy při změně oprávnění souborů.

    CVE-ID

    CVE-2014-1272: evad3rs

  • dyld

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Požadavky na podepisování kódu se dají obejít.

    Popis: Modul dyld mohl načítat pokyny k přemístění textu v dynamických knihovnách, aniž by ověřoval podpis kódu. Problém byl vyřešen ignorováním pokynů k přemístění textu.

    CVE-ID

    CVE-2014-1273: evad3rs

  • FaceTime

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Osoba s fyzickým přístupem k zařízení se může ze zamčené obrazovky dostat ke kontaktům FaceTimu.

    Popis: Kontakty FaceTimu na zamčeném zařízení se daly zobrazit zahájením volání na dříve nepřijatý FaceTime hovor ze zamčené obrazovky. Problém byl vyřešen lepším zpracováváním FaceTime hovorů.

    CVE-ID

    CVE-2014-1274

  • ImageIO

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Zobrazení škodlivého PDF souboru mohlo vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Při zpracovávání obrázků ve formátu JPEG2000 v souborech PDF docházelo k přetečení zásobníku. Problém byl vyřešen vylepšenou kontrolou rozsahu.

    CVE-ID

    CVE-2014-1275: Felix Groebert z týmu Google Security

  • ImageIO

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Zobrazení škodlivého TIFF souboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: V knihovně libtiff docházelo při zpracovávání obrázků TIFF k přetečení vyrovnávací paměti. Problém byl vyřešen vylepšením ověřování obrázků TIFF.

    CVE-ID

    CVE-2012-2088

  • ImageIO

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Zobrazení škodlivého souboru JPEG může vést ke zveřejnění obsahu paměti.

    Popis: Při zpracovávání markerů JPEG příkazem libjpeg docházelo k problému s neinicializovaným přístupem k paměti, který vedl ke zveřejnění obsahu paměti. Problém byl vyřešen dalším ověřováním souborů JPEG.

    CVE-ID

    CVE-2013-6629: Michal Zalewski

  • HID událost IOKitu

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Škodlivá aplikace může monitorovat činnost uživatele v jiných aplikacích.

    Popis: Rozhraní ve frameworku IOKit umožňovalo škodlivým aplikacím monitorovat činnost uživatele v jiných aplikacích. Problém byl vyřešen vylepšením zásad řízení přístupu ve frameworku.

    CVE-ID

    CVE-2014-1276: Min Zheng, Hui Xue a Dr. Tao (Lenx) Wei ze společnosti FireEye

  • iTunes Store

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Útočník typu man-in-the-middle může uživatele navést ke stažení škodlivé aplikace prostřednictvím nástroje Enterprise App Download.

    Popis: Útočník s vysokými oprávněními v síti mohl zfalšovat síťovou komunikaci a navést tak uživatele ke stažení nebezpečné aplikace. Problému bylo zamezeno použitím protokolu SSL a zobrazováním upozornění při přesměrování URL.

    CVE-ID

    CVE-2013-3948: Stefan Esser

  • Jádro

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Místní uživatel může způsobit neočekávané ukončení systému nebo spuštění libovolného kódu v jádru.

    Popis: Při zpracování funkce ARM ptmx_get_ioctl docházelo k problémům s pamětí mimo rozsah. Problém byl vyřešen vylepšenou kontrolou rozsahu.

    CVE-ID

    CVE-2014-1278: evad3rs

  • Office Viewer

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Otevření škodlivého dokumentu Microsoft Word může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Ve zpracovávání dokumentů Microsoft Word existoval problém s dvojitým uvolněním paměti. Problém byl vyřešen vylepšením správy paměti.

    CVE-ID

    CVE-2014-1252: Felix Groebert z týmu Google Security Team

  • Backend Obrázků

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Smazané fotky se v aplikaci Obrázky můžou i nadále zobrazovat pod průhlednými obrázky.

    Popis: Při smazání obrázku z knihovny se neodstranily jeho verze z mezipaměti. Problém byl vyřešen vylepšením správy mezipaměti.

    CVE-ID

    CVE-2014-1281: Walter Hoelblinger (Hoelblinger.com), Morgan Adams, Tom Pennington

  • Profily

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Konfigurační profil může být před uživatelem skrytý.

    Popis: Konfigurační profil s dlouhým názvem se na zařízení mohl nahrát, ale v uživatelském rozhraní se nezobrazoval. Problém byl vyřešen lepším zpracováváním názvů profilů.

    CVE-ID

    CVE-2014-1282: Assaf Hefetz, Yair Amit a Adi Sharabani ze společnosti Skycure

  • Safari

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Automatickým vyplňováním může dojít k odhalení přihlašovacích údajů uživatele neočekávaným webům.

    Popis: Aplikace Safari mohla automaticky vyplňovat uživatelská jména a hesla do vnořeného rámce z jiné domény, než ze které je hlavní rámec. Problém byl vyřešen vylepšeným sledováním původu.

    CVE-ID

    CVE-2013-5227: Niklas Malmgren ze společnosti Klarna AB

  • Nastavení – Účty

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Osoba s fyzickým přístupem k zařízení mohla vypnout službu Hledat iPhone bez zadání hesla k iCloudu.

    Při zpracování stavu služby Hledat iPhone docházelo k potížím se správou stavu. Problém byl vyřešen vylepšeným zpracováním stavu služby Hledat iPhone.

    CVE-ID

    CVE-2014-2019

  • Plocha

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Osoba s fyzickým přístupem k zařízení může zobrazit plochu, i když zařízení není aktivované.

    Popis: Nečekané ukončení aplikace v průběhu aktivace mohlo způsobit zobrazení plochy. Problém byl vyřešen lepším zpracováváním chyb při aktivaci.

    CVE-ID

    CVE-2014-1285: Roboboi99

  • Zamčená obrazovka

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Vzdálený útočník může způsobit, že zamčená obrazovka přestane reagovat.

    Popis: V řešení zamčené obrazovky existoval problém se správou stavu. Problém byl vyřešen vylepšením správy stavu.

    CVE-ID

    CVE-2014-1286: Bogdan Alecu ze společnosti M-sec.net

  • Framework TelephonyUI

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Webová stránka může bez vědomí uživatele zahájit hovor přes FaceTime.

    Popis: Safari neinformovalo uživatele o spuštění adres facetime-audio://. Problém byl vyřešen přidáním žádosti o potvrzení.

    CVE-ID

    CVE-2013-6835: Guillaume Ross

  • Hostitel USB

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Osoba s fyzickým přístupem k zařízení může způsobit spuštění libovolného kódu v režimu jádra.

    Popis: Ve zpracovávání zpráv USB existoval problém s poškozením paměti. Problém byl vyřešen dalším ověřováním zpráv USB.

    CVE-ID

    CVE-2014-1287: Andy Davis ze společnosti NCC Group

  • Ovladač videa

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Při přehrávání škodlivého videa může zařízení přestat reagovat.

    Popis: Ve zpracovávání souborů kódovaných ve formátu MPEG-4 existoval problém s přístupem přes nulový ukazatel. Problém byl vyřešen vylepšenou správou paměti.

    CVE-ID

    CVE-2014-1280: rg0rd

  • WebKit

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Ve WebKitu existovalo několik problémů s poškozením paměti. Tyto problémy byly vyřešeny lepší správou paměti.

    CVE-ID

    CVE-2013-2909: Atte Kettunen ze skupiny OUSPG

    CVE-2013-2926: cloudfuzzer

    CVE-2013-2928: Tým Google Chrome Security

    CVE-2013-5196: Tým Google Chrome Security

    CVE-2013-5197: Tým Google Chrome Security

    CVE-2013-5198: Apple

    CVE-2013-5199: Apple

    CVE-2013-5225: Tým Google Chrome Security

    CVE-2013-5228: Keen Team (@K33nTeam) spolupracující s iniciativou Zero Day Initiative společnosti HP

    CVE-2013-6625: cloudfuzzer

    CVE-2013-6635: cloudfuzzer

    CVE-2014-1269: Apple

    CVE-2014-1270: Apple

    CVE-2014-1289: Apple

    CVE-2014-1290 : ant4g0nist (SegFault) ve spolupráci s iniciativou Zero Day společnosti HP, tým Google Chrome Security, Lee Wang Hao a ve spolupráci s ním S.P.T. Krishnan z bezpečnostního oddělení organizace Institute for Infocomm Research

    CVE-2014-1291: Tým Google Chrome Security

    CVE-2014-1292: Tým Google Chrome Security

    CVE-2014-1293: Tým Google Chrome Security

    CVE-2014-1294: Tým Google Chrome Security

FaceTime není k dispozici ve všech zemích a regionech.

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.

Datum zveřejnění: