Informace o bezpečnostním obsahu iOS 7.1.2

Tento dokument popisuje bezpečnostní obsah v iOS 7.1.2.

Apple v zájmu ochrany zákazníků nezveřejňuje, nerozebírá ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

iOS 7.1.2

  • Zásady důvěryhodnosti certifikátů zabezpečení

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Aktualizace zásad důvěryhodnosti certifikátů

    Popis: Byly aktualizovány zásady důvěryhodnosti certifikátů. Kompletní seznam certifikátů najdete na http://support.apple.com/kb/HT5012?viewlocale=cs_CZ.

  • CoreGraphics

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Zobrazení škodlivého souboru XMB může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Při zpracovávání souborů XMB docházelo k problému s neomezeným přidělovaným zásobníků. Problém byl vyřešen vylepšenou kontrolou rozsahu.

    CVE-ID

    CVE-2014-1354 : Dima Kovalenko z codedigging.com

  • Jádro

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Aplikace mohla způsobit neočekávané restartování zařízení.

    Popis: Ve zpracovávání argumentů v IOKit API existovala dereference nulového ukazatele. Problém byl vyřešen vylepšeným ověřováním argumentů IOKit API.

    CVE-ID

    CVE-2014-1355 : cunzhang z laboratoře Adlab společnosti Venustech

  • launchd

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Škodlivé aplikace mohly svévolně spouštět kód s oprávněním správce.

    Popis: Když launchd zpracovával zprávy IPC, docházelo k přetečení haldy vyrovnávací paměti. Problém byl vyřešen vylepšenou kontrolou rozsahu.

    CVE-ID

    CVE-2014-1356 : Ian Beer z Google Project Zero

  • launchd

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Škodlivé aplikace mohly svévolně spouštět kód s oprávněním správce.

    Popis: Když launchd zpracovával zprávy protokolu, docházelo k přetečení haldy vyrovnávací paměti. Problém byl vyřešen vylepšenou kontrolou rozsahu.

    CVE-ID

    CVE-2014-1357 : Ian Beer z Google Project Zero

  • launchd

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Škodlivé aplikace mohly svévolně spouštět kód s oprávněním správce.

    Popis: V launchd docházelo k přetečení celých čísel. Problém byl vyřešen vylepšenou kontrolou rozsahu.

    CVE-ID

    CVE-2014-1358 : Ian Beer z Google Project Zero

  • launchd

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Škodlivé aplikace mohly svévolně spouštět kód s oprávněním správce.

    Popis: V launchd docházelo k podtečení celých čísel. Problém byl vyřešen vylepšenou kontrolou rozsahu.

    CVE-ID

    CVE-2014-1359 : Ian Beer z Google Project Zero

  • Zamčení

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Útočník s přístupem k iOS zařízení mohl teoreticky obejít Zámek aktivace.

    Popis: Zařízení během své aktivace prováděla nekompletní ověřování, takže útočníci mohli částečně obcházet Zámek aktivace. Problém byl vyřešen tím, že na straně klienta bylo přidáno dodatečné ověřování dat přijatých z aktivačních serverů.

    CVE-ID

    CVE-2014-1360

  • Zamčená obrazovka

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Útočník s přístupem k zařízení mohl překročit maximální počet neúspěšných pokusů o zadání přístupového kódu.

    Popis: V některých případech nebyl uplatňován limit neúspěšných zadání kódu. Problém byl vyřešen přísnějším dohlížením na limit.

    CVE-ID

    CVE-2014-1352 : mblsec

  • Zamčená obrazovka

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Popis: Člověk s fyzickým přístupem k zamčenému zařízení mohl získat přístup k aplikaci, která se před zamčením nacházela na popředí.

    Popis: Při zpracovávání stavu telefonického přenosu v letovém režimu docházelo k problému se správou stavu. Problém byl vyřešen vylepšenou správou stavu v letovém režimu.

    CVE-ID

    CVE-2014-1353

  • Mail

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Z iPhonu 4 bylo možné získat přílohy Mailu.

    Popis: U příloh e-mailů nefungovala ochrana dat, takže útočníci s fyzickým přístupem k zařízení je mohli číst. Problém byl vyřešen změnou šifrovací třídy e-mailových příloh.

    CVE-ID

    CVE-2014-1348 : Andreas Kurtz z NESO Security Labs

  • Safari

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při zpracovávání neplatných adres URL docházelo v Safari k problému typu „use after free“ (používání paměti po jejím uvolnění). Problém byl vyřešen vylepšenou správou paměti.

    CVE-ID

    CVE-2014-1349 : Reno Robert a Dhanesh Kizhakkinan

  • Nastavení

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Osoba s fyzickým přístupem k zařízení mohla vypnout službu Hledat iPhone bez zadání hesla k iCloudu.

    Při zpracování stavu služby Hledat iPhone docházelo k potížím se správou stavu. Problém byl vyřešen vylepšeným zpracováním stavu služby Hledat iPhone.

    CVE-ID

    CVE-2014-1350

  • Zabezpečený přenos

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Dva bajty neinicializované paměti mohly být odhaleny vzdálenému útočníkovi.

    Popis: Při zpracovávání DTLS zpráv v TLS připojení nastával problém s neinicializovaným přístupem k paměti. Problém byl vyřešen tím, že nyní jsou u DTLS připojení přijímány pouze DTLS zprávy.

    CVE-ID

    CVE-2014-1361 : Thijs Alkemade z The Adium Project

  • Siri

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace a novější), iPad (3. generace a novější)

    Dopad: Uživatel s fyzickým přístupem k zařízení si mohl zobrazit všechny kontakty.

    Popis: Když se žádost na Siri týkala jednoho z více možných kontaktů, Siri zobrazila seznam možných voleb a odkaz „Více...“, který zobrazil všechny kontakty. Při používání na zamčené obrazovce nevyžadovala Siri k zobrazení kompletního seznamu kontaktů zadání přístupového kódu. Problém byl vyřešen tím, že nyní je kód vyžadován.

    CVE-ID

    CVE-2014-1351 : Sherif Hashim

  • WebKit

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Ve WebKitu existovalo několik problémů s poškozením paměti. Tyto problémy byly vyřešeny lepší správou paměti.

    CVE-ID

    CVE-2013-2875 : miaubiz

    CVE-2013-2927: cloudfuzzer

    CVE-2014-1323: banty

    CVE-2014-1325 : Apple

    CVE-2014-1326: Apple

    CVE-2014-1327 : Tým Google Chrome Security, Apple

    CVE-2014-1329: Tým Google Chrome Security

    CVE-2014-1330: Tým Google Chrome Security

    CVE-2014-1331: cloudfuzzer

    CVE-2014-1333: Tým Google Chrome Security

    CVE-2014-1334: Apple

    CVE-2014-1335: Tým Google Chrome Security

    CVE-2014-1336: Apple

    CVE-2014-1337: Apple

    CVE-2014-1338: Tým Google Chrome Security

    CVE-2014-1339: Atte Kettunen ze skupiny OUSPG

    CVE-2014-1341: Tým Google Chrome Security

    CVE-2014-1342: Apple

    CVE-2014-1343: Tým Google Chrome Security

    CVE-2014-1362 : Apple, miaubiz

    CVE-2014-1363 : Apple

    CVE-2014-1364 : Apple

    CVE-2014-1365 : Apple, Tým Google Chrome Security

    CVE-2014-1366 : Apple

    CVE-2014-1367 : Apple

    CVE-2014-1368 : Wushi z týmu Keen Team (výzkumný tým organizace Keen Cloud Tech)

    CVE-2014-1382 : Renata Hodovan ze Szegedské univerzity / Samsung Electronics

    CVE-2014-1731: anonymní člen vývojové komunity Blink

  • WebKit

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Škodlivý web může posílat zprávy do připojeného rámce nebo okna způsobem, který by mohl obejít kontrolu původu na straně příjemce.

    Popis: Ve zpracování unicode znaků v adresách URL existoval problém s kódováním. Škodlivá URL mohla vést k odeslání nesprávného původu funkce postMessage. Problém byl vyřešen vylepšeným kódováním a dekódováním.

    CVE-ID

    CVE-2014-1346 : Erling Ellingsen ze společnosti Facebook

  • WebKit

    K dispozici pro: iPhone 4 a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Nebezpečně vytvořený web může zfalšovat název své domény na řádku s adresou.

    Popis: Při zpracovávání adres URL docházelo k problému s falšováním. Problém byl vyřešen lepším šifrováním URL.

    CVE-ID

    CVE-2014-1345 : Erling Ellingsen z Facebooku

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. S používáním internetu jsou neodmyslitelně spojena rizika. Další informace získáte od výrobce. Názvy jiných společností a produktů mohou být ochrannými známkami příslušných vlastníků.

Datum zveřejnění: