Informace o bezpečnostním obsahu iOS 7

Dokument popisuje bezpečnostní obsah iOS 7.

Apple v zájmu ochrany zákazníků nezveřejňuje, nerozebírá ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

iOS 7

  • Zásady důvěryhodnosti certifikátů zabezpečení

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Kořenové certifikáty byly aktualizovány

    Popis: Na seznam kořenových certifikátů bylo přidáno několik nových a některé staré byly odstraněny.

  • CoreGraphics

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Zobrazení nebezpečně vytvořeného souboru PDF mohlo vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Ve zpracování dat zakódovaných ve formátu JBIG2 v souborech PDF existoval problém s přetečením vyrovnávací paměti. Problém byl vyřešen dodatečnou kontrolou rozsahu.

    CVE-ID

    CVE-2013-1025 : Felix Groebert z týmu Google Security

  • CoreMedia

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Přehrání škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Při zpracovávání filmových souborů v kódování Sorenson mohlo dojít k přetečení vyrovnávací paměti. Problém byl vyřešen vylepšenou kontrolou rozsahu.

    CVE-ID

    CVE-2013-1019 : Tom Gallagher (Microsoft) a Paul Bates (Microsoft) spolupracující s iniciativou Zero Day společnosti HP

  • Ochrana dat

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Aplikace mohly obejít omezení počtu pokusů o uhodnutí kódu.

    Popis: V ochraně dat existoval problém s oddělením pravomocí. Aplikace běžící v sandboxu pro jiné výrobce se mohla opakovaně pokoušet o uhodnutí uživatelova kódu, nehledě na to, jak měl uživatel nastavenou volbu „Smazat data“. Problém byl vyřešen vyžadováním dodatečných kontrol oprávnění.

    CVE-ID

    CVE-2013-0957 : Jin Han ze společnosti Institute for Infocomm Research spolupracující s Qiang Yan a Su Mon Kywe ze Singapore Management University

  • Zabezpečení dat

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Útočník s výsadním postavením v síti může zachytit přihlašovací údaje nebo jiné citlivé informace.

    Popis: Důvěryhodná kořenová certifikační autorita TrustWave vydala a následně odvolala dílčí certifikát pocházející od jedné z jejích kotev vztahu důvěryhodnosti. Tato dílčí certifikační autorita umožnila únik komunikace zabezpečené pomocí protokolu TLS (Transport Layer Security). Tato aktualizace přidala příslušný certifikát dílčí certifikační autority na seznam nedůvěryhodných certifikátů OS X.

    CVE-ID

    CVE-2013-5134

  • dyld

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Útočník, který v zařízení může svévolně spouštět kód, dokáže spouštět kód i po restartování.

    Popis: Ve funkci openSharedCacheFile() modulu dyld existovalo několik problémů s přetečením vyrovnávací pamětti. Problémy byly vyřešeny vylepšenou kontrolou rozsahu.

    CVE-ID

    CVE-2013-3950 : Stefan Esser

  • Souborové systémy

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Útočník, který dokáže příkazem mount připojit jiný souborový systém než HFS, může způsobit neočekávané ukončení systému nebo svévolné spuštění kódu s oprávněními pro přístup k jádru.

    Popis: Ve zpracovávání souborů AppleDouble existoval problém s poškozením paměti. Problém byl vyřešen odebráním podpory souborů AppleDouble.

    CVE-ID

    CVE-2013-3955 : Stefan Esser

  • ImageIO

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Zobrazení nebezpečně vytvořeného souboru PDF mohlo vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Ve zpracování dat zakódovaných ve formátu JPEG2000 v souborech PDF existoval problém s přetečením vyrovnávací paměti. Problém byl vyřešen dodatečnou kontrolou rozsahu.

    CVE-ID

    CVE-2013-1026 : Felix Groebert z týmu Google Security

  • IOKit

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Aplikace na pozadí mohly do aplikací v popředí vkládat události uživatelského rozhraní.

    Popis: Aplikace na pozadí mohly pomocí rozhraní API pro provádění úkolů nebo VoIP vkládat události uživatelského rozhraní do aplikací v popředí. Problém byl vyřešen tím, že u procesů na pozadí i v popředí, které používají události rozhraní, byla vynucena kontrola přístupu.

    CVE-ID

    CVE-2013-5137 : Mackenzie Straight z Mobile Labs

  • IOKitUser

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Škodlivá místní aplikace mohla způsobit neočekávané ukončení systému.

    Popis: V katalogu IOCatalogue existovala dereference na ukazatel NULL. Problém byl vyřešen dodatečnou kontrolou typu.

    CVE-ID

    CVE-2013-5138 : Will Estes

  • IOSerialFamily

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Spuštění škodlivé aplikace mohlo vést ke svévolnému spuštění kódu v jádru.

    Popis: V ovladači IOSerialFamily existoval přístup k poli vymykající se rozsahu. Problém byl vyřešen dodatečnou kontrolou rozsahu.

    CVE-ID

    CVE-2013-5139 : @dent1zt

  • IPSec

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Útočník mohl zachytit data chráněná hybridní autorizací IPSec.

    Popis: DNS název hybridního autorizačního serveru IPSec se neověřoval s certifikátem, takže útočník s certifikátem z jednoho serveru mohl předstírat, že má certifikát z jiného. Problém byl vyřešen vylepšeným ověřováním certifikátů.

    CVE-ID

    CVE-2013-1028 : Alexander Traud z www.traud.de

  • Jádro

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Vzdálený útočník mohl způsobit neočekávaný restart zařízení.

    Popis: Útočník mohl na zařízení zaslat neplatný fragment paketu a tím v jádru spustit funkci assert, což způsobilo restartování. Problém byl vyřešen dodatečným ověřováním fragmentů paketů.

    CVE-ID

    CVE-2013-5140 : Joonas Kuorilehto ze společnosti Codenomicon, anonymní výzkumník pracující pro CERT-FI, Antti Levomäki a Lauri Virtanen z Vulnerability Analysis Group, Stonesoft

  • Jádro

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Škodlivá místní aplikace mohla způsobit zamrznutí zařízení.

    Popis: Útočník mohl v rozhraní jádrových soketů využít slabinu ve zkracování celých čísel a dostat procesor do nekonečné smyčky. Problém byl vyřešen použitím delší proměnné.

    CVE-ID

    CVE-2013-5141 : CESG

  • Jádro

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Útočník v místní síti mohl způsobit odmítnutí služeb

    Popis: Útočník v místní síti mohl zasílat účelně vytvořené pakety IPv6 ICMP a tím způsobit přetížení procesoru. Problém byl vyřešen tím, že před ověřením kontrolního součtu ICMP paketů je teď omezeno, kolik je jich možné maximálně přijmout za časovou jednotku.

    CVE-ID

    CVE-2011-2391 : Marc Heuse

  • Jádro

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Místní uživatelé mohou získat přístup k paměti zásobníku jádra

    Popis: V API msgctl a segctl existoval problém s vyzrazováním informací. Problém byl vyřešen inicializací datových struktur vrácených z jádra.

    CVE-ID

    CVE-2013-5142 : Kenzley Alphonse ze společnosti Kenx Technology, Inc

  • Jádro

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Neoprávněný proces mohl získat přístup k obsahu paměti jádra, což mohlo vést k eskalaci oprávnění.

    Popis: V API mach_port_space_info existoval problém s vyzrazováním informací. Problém byl vyřešen inicializací pole iin_collision ve strukturách vrácených z jádra.

    CVE-ID

    CVE-2013-3953 : Stefan Esser

  • Jádro

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Neoprávněný proces může způsobit neočekávané ukončení systému nebo svévolné spuštění kódu v jádru.

    Popis: Ve zpracovávání argumentů pro API posix_spawn existoval problém s možným poškozením paměti. Problém byl vyřešen dodatečnou kontrolou rozsahu.

    CVE-ID

    CVE-2013-3954 : Stefan Esser

  • Správa rozšíření jádra (kext)

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Neoprávněný proces může upravit sadu načtených rozšíření jádra.

    Popis: Při zpracovávání zpráv IPC od neoprávněných odesílatelů docházelo k problému se zpracováním rozšíření jádra (kext). Problém byl vyřešen přidáním dodatečných kontrol oprávnění.

    CVE-ID

    CVE-2013-5145 : „Rainbow PRISM“

  • libxml

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Zobrazení škodlivé webové stránky může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: V libxml existovalo několik problémů s poškozením paměti. Problémy byly vyřešeny aktualizací libxml na verzi 2.9.0.

    CVE-ID

    CVE-2011-3102 : Jüri Aedla

    CVE-2012-0841

    CVE-2012-2807 : Jüri Aedla

    CVE-2012-5134 : Tým Google Chrome Security (Jüri Aedla)

  • libxslt

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Zobrazení škodlivé webové stránky může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: V libxslt existovalo několik problémů s poškozením paměti. Problémy byly vyřešeny aktualizací libxslt na verzi 1.1.28.

    CVE-ID

    CVE-2012-2825 : Nicolas Gregoire

    CVE-2012-2870 : Nicolas Gregoire

    CVE-2012-2871 : Kai Lu ze společnosti Fortinet's FortiGuard Labs, Nicolas Gregoire

  • Kódový zámek

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Osobě s fyzickým přístupem k zařízení se může podařit obejít zámek obrazovky.

    Popis: Ve zpracování telefonátů a vyjmutí SIM karty na zamčené obrazovce existoval problém se souběhem. Problém byl vyřešen vylepšenou správou stavu uzamčení.

    CVE-ID

    CVE-2013-5147 : videosdebarraquito

  • Osobní hotspot

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Útočník se může připojit k síti osobního hotspotu.

    Popis: Existoval problém v generování hesel osobního hotspotu, takže útočník mohl předpovědět heslo a díky němu se dostat k síti osobního hotspotu. Problém byl vyřešen generováním hesel s vyšší entropií.

    CVE-ID

    CVE-2013-4616 : Andreas Kurtz z NESO Security Labs a Daniel Metz z University Erlangen-Nuremberg

  • Push oznámení

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Token push oznámení mohl být předán aplikaci, aniž by s tím uživatel souhlasil.

    Popis: V registraci push oznámení existoval problém s vyzrazováním informací. Aplikace žádající o přístup k push oznámením obdržely token ještě předtím, než uživatel povolil aplikaci používat push oznámení. Problém byl vyřešen tím, že aplikace nově nemají k tokenu přístup, dokud jim ho uživatel nepovolí.

    CVE-ID

    CVE-2013-5149 : Jack Flintermann ze společnosti Grouper, Inc.

  • Safari

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Ve zpracovávání XML souborů existoval problém s poškozením paměti. Problém byl vyřešen dodatečnou kontrolou rozsahu.

    CVE-ID

    CVE-2013-1036 : Kai Lu z týmu FortiGuard Labs společnosti Fortinet

  • Safari

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Po vymazání historie navštívených stránek mohly v historii zůstat stránky z právě otevřených panelů.

    Popis: Při vymazání historie navštívených stránek se v Safari nevymazaly stránky dostupné pomocí Zpět/Vpřed v otevřených panelech. Problém byl vyřešen tím, že nově se vymažou i stránky dostupné přes Zpět/Vpřed.

    CVE-ID

    CVE-2013-5150

  • Safari

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Při zobrazování souborů na webu mohlo dojít ke spuštění skriptu, i když server zaslal hlavičku „Content-Type: text/plain“.

    Popis: Safari pro mobilní zařízení občas zacházelo se soubory, jako kdyby byly ve formátu HTML, i když server zaslal hlavičku „Content-Type: text/plain“. To mohlo u webů, které umožňují uživatelům nahrávat soubory, vést ke skriptovému útoku napříč weby. Problém byl vyřešen vylepšeným zpracováváním souborů při zaslání hlavičky „Content-Type: text/plain“.

    CVE-ID

    CVE-2013-5151 : Ben Toews z organizace Github

  • Safari

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Návštěva nebezpečného webu může umožnit zobrazení špatné URL.

    Popis: V Safari pro mobilní zařízení existoval problém s falšováním adresového řádku. Problém byl vyřešen vylepšeným sledováním URL.

    CVE-ID

    CVE-2013-5152 : Keita Haga z keitahaga.com, Łukasz Pilorz z RBS

  • Sandbox

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Popis: Aplikace, které jsou skripty, neběžely v sandboxu.

    Popis: Aplikace jiných výrobců, které používaly syntaxi #! ke spuštění skriptu, se přesouvaly do sandboxu na základě identity překladače skriptu, nikoli na základě skriptu jako takového. Překladač ale nemusí mít definovaný sandbox, což vede k tomu, že taková aplikace běží mimo sandbox. Problém byl vyřešen tím, že sandbox se teď vytváří na základě identity skriptu.

    CVE-ID

    CVE-2013-5154 : evad3rs

  • Sandbox

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Aplikace mohou způsobit zamrznutí systému.

    Popis: Škodlivé aplikace jiných výrobců, které zapisovaly určité hodnoty do zařízení /dev/random, mohly dostat procesor do nekonečné smyčky. Problém byl vyřešen tím, že aplikace jiných výrobců nově nemohou zapisovat do /dev/random.

    CVE-ID

    CVE-2013-5155 : CESG

  • Sociální sítě

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Na zařízeních nechráněných kódem bylo možné získat přístup k uživatelově nedávné aktivitě na Twitteru.

    Popis: Existoval problém, díky kterému bylo možné zjistit, jaké účty na Twitteru uživatel v nedávné době navštívil. Problém byl vyřešen omezením přístupu k ikonám Twitteru uloženým ve vyrovnávací paměti.

    CVE-ID

    CVE-2013-5158 : Jonathan Zdziarski

  • Plocha

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Osoba s fyzickým přístupem k zařízení v režimu ztraceného zařízení si může prohlížet oznámení.

    Popis: Existoval problém se zpracováváním oznámení v režimu ztraceného zařízení. Tato aktualizace řeší tento problém vylepšenou správou zamčeného stavu.

    CVE-ID

    CVE-2013-5153 : Daniel Stangroom

  • Telefonování

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Škodlivé aplikace mohly zasahovat do telefonování nebo ho ovládat.

    Popis: V telefonním subsystému existoval problém s kontrolou přístupu. Aplikace v sandboxu mohly obejít podporované API, zasílat požadavky přímo systémovému daemonu a tím zasahovat do telefonování nebo ho ovládat. Problém byl vyřešen tím, že u rozhraní vystavených daemonu telefonování byla vynucena kontrola přístupu.

    CVE-ID

    CVE-2013-5156 : Jin Han z Institute for Infocomm Research, ve spolupráci s: Qiang Yan a Su Mon Kywe ze Singapore Management University, Tielei Wang, Kangjie Lu, Long Lu, Simon Chung a Wenke Lee z Georgia Institute of Technology

  • Twitter

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Aplikace v sandboxu mohly odesílat tweety bez příkazu nebo povolení uživatele.

    Popis: V subsystému Twitteru existoval problém s kontrolou přístupu. Aplikace v sandboxu mohly obejít podporované API, zasílat požadavky přímo systémovému daemonu a tím zasahovat do fungování Twitteru nebo ho ovládat. Problém byl vyřešen tím, že u rozhraní vystavených daemonu Twitteru byla vynucena kontrola přístupu.

    CVE-ID

    CVE-2013-5157 : Jin Han z Institute for Infocomm Research, ve spolupráci si: Qiang Yan a Su Mon Kywe ze Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung a Wenke Lee z Georgia Institute of Technology

  • WebKit

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Ve WebKitu existovalo několik problémů s poškozením paměti. Tyto problémy byly vyřešeny lepší správou paměti.

    CVE-ID

    CVE-2013-0879 : Atte Kettunen ze skupiny OUSPG

    CVE-2013-0991 : Jay Civelli z vývojové komunity projektu Chromium

    CVE-2013-0992 : Tým Google Chrome Security (Martin Barbella)

    CVE-2013-0993 : Tým Google Chrome Security (Inferno)

    CVE-2013-0994 : David German ze společnosti Google

    CVE-2013-0995 : Tým Google Chrome Security (Inferno)

    CVE-2013-0996 : Tým Google Chrome Security (Inferno)

    CVE-2013-0997 : Vitaliy Toropov spolupracující na projektu Zero Day Initiative společnosti HP

    CVE-2013-0998 : pa_kt spolupracující na projektu Zero Day Initiative společnosti HP

    CVE-2013-0999 : pa_kt spolupracující na projektu Zero Day Initiative společnosti HP

    CVE-2013-1000 : Fermin J. Serna z týmu Google Security

    CVE-2013-1001 : Ryan Humenick

    CVE-2013-1002 : Sergey Glazunov

    CVE-2013-1003 : Tým Google Chrome Security (Inferno)

    CVE-2013-1004 : Tým Google Chrome Security (Martin Barbella)

    CVE-2013-1005 : Tým Google Chrome Security (Martin Barbella)

    CVE-2013-1006 : Tým Google Chrome Security (Martin Barbella)

    CVE-2013-1007 : Tým Google Chrome Security (Inferno)

    CVE-2013-1008 : Sergey Glazunov

    CVE-2013-1010 : miaubiz

    CVE-2013-1037 : Tým Google Chrome Security

    CVE-2013-1038 : Tým Google Chrome Security

    CVE-2013-1039 : own-hero Research ve spolupráci s iDefense VCP

    CVE-2013-1040 : Tým Google Chrome Security

    CVE-2013-1041 : Tým Google Chrome Security

    CVE-2013-1042 : Tým Google Chrome Security

    CVE-2013-1043 : Tým Google Chrome Security

    CVE-2013-1044: Apple

    CVE-2013-1045 : Tým Google Chrome Security

    CVE-2013-1046 : Tým Google Chrome Security

    CVE-2013-1047 : miaubiz

    CVE-2013-2842 : Cyril Cattiaux

    CVE-2013-5125 : Tým Google Chrome Security

    CVE-2013-5126: Apple

    CVE-2013-5127 : Tým Google Chrome Security

    CVE-2013-5128: Apple

  • WebKit

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Návštěva nebezpečného webu může vést k vyzrazení informací.

    Popis: Ve zpracování API window.webkitRequestAnimationFrame() existoval problém s vyzrazováním informací. Škodlivý web mohl pomocí iframe zjistit, zda window.webkitRequestAnimationFrame() bylo použito i jiným webem. Problém byl vyřešen vylepšeným zpracováváním window.webkitRequestAnimationFrame().

    CVE-ID

    CVE-2013-5159
  • WebKit

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Kopírování a vložení škodlivého úryvku (snippetu) HTML kódu může vést ke skriptovému útoku napříč weby.

    Popis: Při zpracování zkopírovaných a vložených dat v HTML dokumentech mohly nastat problémy se skriptováním napříč weby. Problém byl vyřešen důkladnějším ověřováním vkládaného obsahu.

    CVE-ID

    CVE-2013-0926 : Aditya Gupta, Subho Halder a Dev Kar ze společnosti xys3c (xysec.com)

  • WebKit

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Návštěva nebezpečně vytvořeného webu může vést ke skriptovému útoku napříč weby.

    Popis: Při zpracování prvků iframe mohly nastat problémy se skriptováním napříč weby. Problém byl vyřešen vylepšeným sledováním původu.

    CVE-ID

    CVE-2013-1012 : Subodh Iyengar a Erling Ellingsen ze společnosti Facebook

  • WebKit

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Návštěva nebezpečného webu může vést k vyzrazení informací.

    Popis: V XSSAuditoru existoval problém s vyzrazováním informací. Problém byl vyřešen vylepšeným zpracováváním URL adres.

    CVE-ID

    CVE-2013-2848 : Egor Homakov

  • WebKit

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Přetáhnutí nebo vložení výběru mohlo způsobit skriptový útok napříč weby.

    Popis: Při přetahování nebo vkládání výběru z jednoho webu na druhý mohou být skripty obsažené ve výběru spuštěny v kontextu nového webu. Problém byl vyřešen dodatečným ověřováním obsahu před každou operací přetáhnutí nebo zkopírování.

    CVE-ID

    CVE-2013-5129 : Mario Heiderich

  • WebKit

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Návštěva nebezpečně vytvořeného webu může vést ke skriptovému útoku napříč weby.

    Popis: Při zpracovávání URL adres mohlo dojít k útoku napříč weby. Problém byl vyřešen vylepšeným sledováním původu.

    CVE-ID

    CVE-2013-5131 : Erling A Ellingsen

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. S používáním internetu jsou neodmyslitelně spojena rizika. Další informace získáte od výrobce. Názvy jiných společností a produktů mohou být ochrannými známkami příslušných vlastníků.

Datum zveřejnění: