Om sikkerhedsindholdet i iOS 6.1-softwareopdateringen

Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i iOS 6.1.

For at beskytte vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og der foreligger relevante programrettelser eller versioner. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple Produktsikkerhed kan ses i artiklen "Sådan bruges PGP-nøglen til Apple Produktsikkerhed".

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

iOS 6.1

  • Identitetstjenester

    Fås til: iPhone 3GS og nyere versioner, iPod touch (4. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Det er muligt at omgå godkendelse, der afhænger af certifikatbaseret Apple-id-godkendelse,

    Beskrivelse: Der var en behandlingsfejl i identitetstjenester. Hvis det mislykkedes at godkende brugerens Apple-id-certifikat, blev det antaget, at brugerens Apple-id var den tomme streng. Hvis flere systemer, der tilhørte forskellige brugere, kom i denne tilstand, kunne de programmer, der var afhængige af identitetsfastlæggelsen, ved en fejl udvide godkendelsesområdet. Problemet er løst ved at sikre, at NULL returneres i stedet for en tom streng.

    CVE-id

    CVE-2013-0963

  • Internationale komponenter til Unicode

    Fås til: iPhone 3GS og nyere versioner, iPod touch (4. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Et besøg på et skadeligt websted kan medføre scripting-angreb på tværs af websteder

    Beskrivelse: Der var et standardiseringsproblem ved behandling af EUC-JP-kodningen, hvilket kunne medføre et scripting-angreb på tværs af websteder på websteder med EUC-JP-kryptering. Problemet er løst ved at opdatere EUC-JP-allokeringstabellen.

    CVE-id

    CVE-2011-3058: Masato Kinugawa

  • Kernel

    Fås til: iPhone 3GS og nyere versioner, iPod touch (4. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: En brugerfunktionsproces kan muligvis få adgang til første side i kernehukommelsen

    Beskrivelse: Der anvendes kontroller af kernen iOS-kernen for at sikre, at den brugerfunktionsmarkør og -længde, der sendes til overførselsfunktionerne til og fra lager, ikke medfører, at en brugerfunktionsproces kan få direkte adgang til kernehukommelsen. Kontrollerne anvendtes ikke, hvis længden var mindre end en side. Problemet er løst ved yderligere godkendelse af argumenter til overførsel til og fra lager.

    CVE-id

    CVE-2013-0964: Mark Dowd fra Azimuth Security

  • Sikkerhed

    Fås til: iPhone 3GS og nyere versioner, iPod touch (4. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: En hacker med en priviligeret netværksposition kan opfange brugerens adgangsoplysninger eller andre følsomme oplysninger

    Beskrivelse: TURKTRUST udstedte ved en fejl flere mellemcertifikater. Dette gør det muligt for en MITM-hacker at omdirigere forbindelser og opfange brugerens adgangsoplysninger eller andre følsomme oplysninger. Problemet er løst ved ikke at tillade forkerte SSL-certifikater.

  • StoreKit

    Fås til: iPhone 3GS og nyere versioner, iPod touch (4. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: JavaScript kan slås til i Mobile Safari, uden at brugeren får besked om det

    Beskrivelse: Hvis en bruger har slået JavaScript fra i Safari-indstillingerne, kunne JavaScript blive slået til igen uden meddelelse herom, hvis brugeren gik ind på et websted med et smart app-banner. Problemet er løst, ved at JavaScript ikke aktiveres, hvis man går ind på et websted med et smart app-banner.

    CVE-id

    CVE-2013-0974: Andrew Plotkin fra Zarfhome Software Consulting, Ben Madison fra BitCloud, Marek Durcek

  • WebKit

    Fås til: iPhone 3GS og nyere versioner, iPod touch (4. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Et besøg på et skadeligt udformet websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var flere problemer med beskadiget hukommelse i WebKit. Problemerne er løst ved forbedret hukommelsesstyring.

    CVE-id

    CVE-2012-2857: Arthur Gerkis

    CVE-2012-3606: Abhishek Arya (Inferno) fra Google Chrome Security Team

    CVE-2012-3607: Abhishek Arya (Inferno) fra Google Chrome Security Team

    CVE-2012-3621: SkyLined fra Google Chrome Security Team

    CVE-2012-3632: Abhishek Arya (Inferno) fra Google Chrome Security Team

    CVE-2012-3687: kuzzcc

    CVE-2012-3701: Abhishek Arya (Inferno) fra Google Chrome Security Team

    CVE-2013-0948: Abhishek Arya (Inferno) fra Google Chrome Security Team

    CVE-2013-0949: Abhishek Arya (Inferno) fra Google Chrome Security Team

    CVE-2013-0950: Abhishek Arya (Inferno) fra Google Chrome Security Team

    CVE-2013-0951: Apple

    CVE-2013-0952: Abhishek Arya (Inferno) fra Google Chrome Security Team

    CVE-2013-0953: Abhishek Arya (Inferno) fra Google Chrome Security Team

    CVE-2013-0954: Dominic Cooney fra Google og Martin Barbella fra Google Chrome Security Team

    CVE-2013-0955: Apple

    CVE-2013-0956: Apple Product Security

    CVE-2012-2824: miaubiz

    CVE-2013-0958: Abhishek Arya (Inferno) fra Google Chrome Security Team

    CVE-2013-0959: Abhishek Arya (Inferno) fra Google Chrome Security Team

    CVE-2013-0968: Aaron Nelson

  • WebKit

    Fås til: iPhone 3GS og nyere versioner, iPod touch (4. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Kopiering og indsættelse af data på et skadeligt websted kan medføre et scriptingangreb på tværs af websteder

    Beskrivelse: Der var et problem med scripting på tværs af websteder ved behandling af data, der blev indsat fra et andet oprindelsessted. Problemet er løst ved yderligere godkendelse af indsatte data.

    CVE-id

    CVE-2013-0962: Mario Heiderich fra Cure53

  • WebKit

    Fås til: iPhone 3GS og nyere versioner, iPod touch (4. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Et besøg på et skadeligt websted kan medføre scripting-angreb på tværs af websteder

    Beskrivelse: Der var et problem med scripting på tværs af websteder ved behandling af frame-elementer. Problemet er løst ved forbedret oprindelsessporing.

    CVE-id

    CVE-2012-2889: Sergey Glazunov

  • Wi-Fi

    Fås til: iPhone 3GS, iPhone 4, iPod touch (4. generation), iPad 2

    Effekt: En ekstern hacker på samme Wi-Fi-netværk kan muligvis slå Wi-Fi-netværket fra midlertidigt

    Beskrivelse: Der var et læseproblem uden for område i behandlingen af 802.11i-oplysningselementer udført af Broadcoms BCM4325- og BCM4329-firmware. Problemet er løst ved yderligere godkendelse af 802.11i-informationselementer.

    CVE-id

    CVE-2012-2619: Andres Blanco og Matias Eissler fra Core Security

 

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: