Informace o bezpečnostním obsahu iOS 7.1.1

Tento dokument popisuje bezpečnostní obsah aktualizace iOS 7.1.1.

Apple v zájmu ochrany zákazníků nezveřejňuje, nerozebírá ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

iOS 7.1.1

  • CFNetwork HTTPProtocol

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Útočník s vysokými oprávněními v síti může získat přihlašovací údaje webového serveru.

    Popis: HTTP hlavičky Set-Cookie byly zpracovány, i kdyby bylo připojení uzavřeno před dokončením řádku hlavičky. Útočník mohl vynutit ukončení spojení před odesláním bezpečnostních nastavení a tím ze souboru cookie získat bezpečnostní nastavení a následně získat hodnotu nechráněného souboru cookie. Problém byl vyřešen ignorováním neúplných řádků HTTP hlaviček.

    CVE-ID

    CVE-2014-1296: Antoine Delignat-Lavaud z týmu Prosecco společnosti Inria Paris

  • IOKit Kernel

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Místní uživatel může číst ukazatele jádra, jejichž pomocí lze obejít náhodné rozvržení adresního prostoru jádra.

    Popis: Z uživatelského prostoru lze načíst sadu ukazatelů jádra uložených v objektu IOKit. Problém byl vyřešen odstraněním ukazatelů z objektu.

    CVE-ID

    CVE-2014-1320 : Ian Beer z Google Project Zero spolupracující s iniciativou Zero Day Initiative společnosti HP

  • Zabezpečení – bezpečný přenos

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Útočník s vysokými oprávněními v síti může zachycovat data nebo měnit operace prováděné v relacích chráněných protokolem SSL.

    Popis: Při útoku „triple handshake“ bylo možné, aby útočník vytvořil dvě spojení se stejnými šifrovacími klíči a ověřováním handshake, vložil do jednoho spojení data útočníka a provedl opětovné vyjednávání, aby se na sebe spojení mohla vzájemně přesměrovat. Aby nemohlo docházet k útokům založeným na tomto scénáři, došlo ke změně zabezpečeného přenosu, aby opětovné vyjednávání muselo ve výchozím nastavení předložit stejný certifikát serveru, jaký byl předložen v původním spojení.

    CVE-ID

    CVE-2014-1295: Antoine Delignat-Lavaud, Karthikeyan Bhargavan a Alfredo Pironti z týmu Prosecco společnosti Inria Paris

  • WebKit

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Ve WebKitu existovalo několik problémů s poškozením paměti. Tyto problémy byly vyřešeny lepší správou paměti.

    CVE-ID

    CVE-2013-2871 : miaubiz

    CVE-2014-1298: Tým Google Chrome Security

    CVE-2014-1299 : Tým Google Chrome Security, Apple, Renata Hodovan z Univerzity Szeged / Samsung Electronics

    CVE-2014-1300 : Ian Beer z Google Project Zero spolupracující s iniciativou Zero Day Initiative společnosti HP

    CVE-2014-1302 : Tým Google Chrome Security, Apple

    CVE-2014-1303 : KeenTeam spolupracující s iniciativou Zero Day Initiative společnosti HP

    CVE-2014-1304: Apple

    CVE-2014-1305: Apple

    CVE-2014-1307: Tým Google Chrome Security

    CVE-2014-1308: Tým Google Chrome Security

    CVE-2014-1309: cloudfuzzer

    CVE-2014-1310: Tým Google Chrome Security

    CVE-2014-1311: Tým Google Chrome Security

    CVE-2014-1312: Tým Google Chrome Security

    CVE-2014-1313: Tým Google Chrome Security

    CVE-2014-1713: VUPEN spolupracující s iniciativou Zero Day Initiative společnosti HP

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. S používáním internetu jsou neodmyslitelně spojena rizika. Další informace získáte od výrobce. Názvy jiných společností a produktů mohou být ochrannými známkami příslušných vlastníků.

Datum zveřejnění: