Om sikkerhedsindholdet i iOS 6.1-softwareopdateringen

Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i iOS 6.1.

Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, bruges der CVE-id'er som reference til yderligere oplysninger om sårbarheder.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

iOS 6.1

  • Identitetstjenester

    Fås til: iPhone 3GS og nyere versioner, iPod touch (4. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Det er muligt at omgå godkendelse, der afhænger af certifikatbaseret Apple-id-godkendelse

    Beskrivelse: Der var en behandlingsfejl i identitetstjenester. Hvis brugerens Apple-id-certifikat ikke blev bekræftet, blev det antaget, at brugerens Apple-id var den tomme streng. Hvis flere systemer, som tilhører forskellige brugere, bruger denne tilstand, kan programmer, som er baseret på denne identitetsregistrering, fejlagtigt udvide godkendelsen. Problemet blev løst ved at sikre, at NULL returneres i stedet for en tom streng.

    CVE-id

    CVE-2013-0963

  • Internationale komponenter til Unicode

    Fås til: iPhone 3GS og nyere versioner, iPod touch (4. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Et besøg på et skadeligt websted kan medføre scripting-angreb på tværs af websteder

    Beskrivelse: Der var et standardiseringsproblem med håndteringen af EUC-JP-kodningen, som kunne føre til scripting-angreb på tværs af websteder på EUC-JP-kodede websteder. Dette problem blev løst ved at opdatere tabellen for EUC-JP-mapping.

    CVE-id

    CVE-2011-3058: Masato Kinugawa

  • Kernel

    Fås til: iPhone 3GS og nyere versioner, iPod touch (4. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: En brugerfunktionsproces kan muligvis få adgang til den første side i kernehukommelsen

    Beskrivelse: iOS-kernen har kontrolfunktioner til at godkende, at brugerfunktionsmarkøren og -længden videregivet til copyin- og copyout-funktionerne ikke resulterede i, at en brugerfunktionsproces fik muligvis for at få direkte adgang til kernehukommelsen. Kontrolfunktionerne blev ikke brugt, hvis længden var kortere end en side. Problemet er løst gennem yderligere godkendelse af argumenterne til copyin og copyout.

    CVE-id

    CVE-2013-0964: Mark Dowd fra Azimuth Security

  • Sikkerhed

    Fås til: iPhone 3GS og nyere versioner, iPod touch (4. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: En hacker med en privilegeret netværksposition kan opfange brugerens adgangsoplysninger eller andre følsomme oplysninger

    Beskrivelse: TURKTRUST udstedte ved en fejl flere mellemcertifikater. Dette gør det muligt for en MITM-hacker at omdirigere forbindelser og opfange brugerens adgangsoplysninger eller andre følsomme oplysninger. Problemet blev løst ved at forbyde forkerte SSL-certifikater.

  • StoreKit

    Fås til: iPhone 3GS og nyere versioner, iPod touch (4. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: JavaScript kan muligvis blive aktiveret i Safari til mobilenheder uden brugerinteraktion

    Beskrivelse: Hvis en bruger havde slået JavaScript fra i Indstillinger i Safari, resulterede et besøg på en side, der viste et Smart App Banner, i genaktiveringen af JavaScript uden nogen advarsel til brugeren. Problemet er løst ved ikke at slå JavaScript til i forbindelse med besøg på websteder med et Smart App Banner.

    CVE-id

    CVE-2013-0974: Andrew Plotkin fra Zarfhome Software Consulting, Ben Madison fra BitCloud og Marek Durcek

  • WebKit

    Fås til: iPhone 3GS og nyere versioner, iPod touch (4. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var flere problemer med beskadiget hukommelse i WebKit. Problemerne er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2012-2857: Arthur Gerkis

    CVE-2012-3606: Abhishek Arya (Inferno) fra Google Chrome Security Team

    CVE-2012-3607: Abhishek Arya (Inferno) fra Google Chrome Security Team

    CVE-2012-3621: SkyLined fra Google Chrome Security Team

    CVE-2012-3632: Abhishek Arya (Inferno) fra Google Chrome Security Team

    CVE-2012-3687: kuzzcc

    CVE-2012-3701: Abhishek Arya (Inferno) fra Google Chrome Security Team

    CVE-2013-0948: Abhishek Arya (Inferno) fra Google Chrome Security Team

    CVE-2013-0949: Abhishek Arya (Inferno) fra Google Chrome Security Team

    CVE-2013-0950: Abhishek Arya (Inferno) fra Google Chrome Security Team

    CVE-2013-0951: Apple

    CVE-2013-0952: Abhishek Arya (Inferno) fra Google Chrome Security Team

    CVE-2013-0953: Abhishek Arya (Inferno) fra Google Chrome Security Team

    CVE-2013-0954: Dominic Cooney fra Google og Martin Barbella fra Google Chrome Security Team

    CVE-2013-0955: Apple

    CVE-2013-0956: Apple Product Security

    CVE-2012-2824: miaubiz

    CVE-2013-0958: Abhishek Arya (Inferno) fra Google Chrome Security Team

    CVE-2013-0959: Abhishek Arya (Inferno) fra Google Chrome Security Team

    CVE-2013-0968: Aaron Nelson

  • WebKit

    Fås til: iPhone 3GS og nyere versioner, iPod touch (4. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Kopiering og indsættelse af indhold på et skadeligt websted kan medføre scripting-angreb på tværs af websteder

    Beskrivelse: Der var et script-problem på tværs af websteder i behandlingen af indsat indhold med en anden oprindelse. Problemet er løst gennem yderligere godkendelse af indsat indhold.

    CVE-id

    CVE-2013-0962: Mario Heiderich fra Cure53

  • WebKit

    Fås til: iPhone 3GS og nyere versioner, iPod touch (4. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Et besøg på et skadeligt websted kan medføre scripting-angreb på tværs af websteder

    Beskrivelse: Der var et script-problem på tværs af websteder i behandlingen af rammeelementer. Problemet er løst ved forbedret oprindelsessporing.

    CVE-id

    CVE-2012-2889: Sergey Glazunov

  • Wi-Fi

    Fås til: iPhone 3GS, iPhone 4, iPod touch (4. generation), iPad 2

    Effekt: En ekstern hacker på det samme Wi-Fi-netværk kan muligvis slå Wi-Fi fra midlertidigt

    Beskrivelse: Der er et læseproblem uden for område i behandlingen af 802.11i-informationselementer udført af Broadcoms BCM4325- og BCM4329-firmware. Problemet er løst gennem yderligere godkendelse af 802.11i-informationselementerne.

    CVE-id

    CVE-2012-2619: Andres Blanco og Matias Eissler fra Core Security

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: