Om sikkerhedsindholdet i iOS 7

Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i iOS 7.

Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen "Sådan bruges PGP-nøglen til Apple-produktsikkerhed".

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

iOS 7

  • Politik for certifikatgodkendelse

    Fås til: iPhone 4, iPod touch (5. generation) og iPad 2 samt nyere versioner af disse enheder

    Effekt: Rodcertifikaterne er blevet opdateret

    Beskrivelse: Adskillige certifikater er føjet til eller fjernet fra listen over systemrødder.

  • CoreGraphics

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Visning af et PDF-arkiv, der er foretaget skadelige ændringer af, kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb i forbindelse med håndtering af JBIG2-data i PDF-arkiver. Problemet er løst ved yderligere kontrol af grænser.

    CVE-id

    CVE-2013-1025: Felix Groebert fra Google Security Team

  • CoreMedia

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Afspilning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb i forbindelse med behandlingen af Sorenson-kodede filmarkiver. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2013-1019: Tom Gallagher (Microsoft) og Paul Bates (Microsoft), der arbejder for HP's Zero Day Initiative

  • Databeskyttelse

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Apps kan omgå begrænsninger for antal adgangskodeforsøg

    Beskrivelse: Der var et problem med adskillelse af privilegier i Databeskyttelse. En app i en tredjeparts sandbox kunne forsøge at gætte brugerens adgangskode gentagne gange uanset brugerens indstilling under "Slet data". Problemet er løst ved at kræve forbedret kontrol af rettigheder.

    CVE-id

    CVE-2013-0957: Jin Han fra Institute for Infocomm Research, som arbejder med Qiang Yan og Su Mon Kywe fra Singapore Management University

  • Datasikkerhed

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: En hacker med en priviligeret netværksposition kan opfange brugerens adgangsoplysninger eller andre følsomme oplysninger

    Beskrivelse: TrustWave, der er en godkendt rodcertifikatudsteder, har udsendt og efterfølgende tilbagekaldt et undercertifikat fra et af sine godkendte ankre. Undercertifikatet gjorde det lettere at bryde ind i kommunikation, der var sikret med TLS (Transport Layer Security). Med opdateringen blev CA-undercertifikatet føjet til listen over ikke-godkendte udstedere i OS X.

    CVE-id

    CVE-2013-5134

  • dyld

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: En hacker, som kører vilkårlig kode på en enhed, kan være i stand til at fortsætte med køre programkode efter genstart

    Beskrivelse: Der var flere bufferoverløb i dylds openSharedCacheFile()-funktion. Disse problemer er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2013-3950: Stefan Esser

  • Arkivsystemer

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: En hacker, som har adgang til et ikke-HFS-baseret arkivsystem, kan forårsage pludselig systemlukning eller kørsel af vilkårlig kode med kernerettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af AppleDouble-arkiver. Problemet er løst ved at fjerne understøttelsen af AppleDouble-arkiver.

    CVE-id

    CVE-2013-3955: Stefan Esser

  • ImageIO

    Fås til: iPhone 4, iPod touch (5. generation) og iPad 2 samt nyere versioner af disse enheder

    Effekt: Visning af et PDF-arkiv, der er foretaget skadelige ændringer af, kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb i forbindelse med håndtering af JPEG2000-data i PDF-arkiver. Problemet er løst ved yderligere kontrol af grænser.

    CVE-id

    CVE-2013-1026: Felix Groebert fra Google Security Team

  • IOKit

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Baggrundsprogrammer kan indføre hændelser i brugergrænsefladen i forgrundsprogrammet

    Beskrivelse: Det var muligt for baggrundsprogrammer at indføre hændelser i forgrundsprogrammets brugergrænseflade med opgaveudførelse eller VoIP API'er. Problemet blev løst ved at gennemtvinge adgangskontrol på forgrunds- og baggrundsprocesser, der håndterer brugergrænsefladebaserede hændelser.

    CVE-id

    CVE-2013-5137: Mackenzie Straight hos Mobile Labs

  • IOKitUser

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Et skadeligt lokalt program kan medføre pludselig systemlukning

    Beskrivelse: Der var en reference til en null-pointer i IOCatalogue. Problemet er løst ved forbedret kontrol af typer.

    CVE-id

    CVE-2013-5138: Will Estes

  • IOSerialFamily

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Kørsel af et skadeligt program kan medføre vilkårlig kørsel af kode på kerneniveau.

    Beskrivelse: Der var et problem med out-of-bounds-systemadgang i IOSerialFamily-driveren. Problemet er løst ved yderligere kontrol af grænser.

    CVE-id

    CVE-2013-5139: @dent1zt

  • IPSec

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: En hacker kan opfange data beskyttet med IPSec Hybrid Auth

    Beskrivelse: DNS-navnet på en IPSec Hybrid Auth-server blev ikke matchet mod certifikatet, hvilket gjorde det muligt for en hacker med et certifikat til enhver server at efterligne andre. Problemet er løst ved forbedret kontrol af certifikater.

    CVE-id

    CVE-2013-1028: Alexander Traud fra www.traud.de

  • Kernel

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: En fjernhacker kan forårsage uventet genstart af en enhed

    Beskrivelse: Afsendelse af et ugyldigt pakkefragment til en enhed kan medføre udløsning af et kerneforsøg og føre til genstart af enheden. Problemet er løst ved udvidet godkendelse af pakkefragmenter.

    CVE-id

    CVE-2013-5140: Joonas Kuorilehto fra Codenomicon, en anonym forsker, som arbejder for CERT-FI, Antti Levomäki og Lauri Virtanen fra Vulnerability Analysis Group, Stonesoft

  • Kernel

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Et skadeligt lokalt program kan medføre, at enheden hænger

    Beskrivelse: Et sikkerhedshul med trunkering af heltal i kernesokkelgrænsefladen kan udnyttes til at tvinge CPU'en ind i en uendelig sløjfe. Problemet blev løst ved at anvende en større variabel.

    CVE-id

    CVE-2013-5141: CESG

  • Kernel

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: En hacker på et lokalt netværk kan udføre et DoS-angreb (Denial-of-Service)

    Beskrivelse: En hacker på et lokalt netværk kan sende specialudviklede IPv6 ICMP-pakker og forårsage høj CPU-belastning. Problemet blev løst ved at begrænse antallet af ICMP-pakker inden verificering af deres kontrolsum.

    CVE-id

    CVE-2011-2391: Marc Heuse

  • Kernel

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Kernestakhukommelsen kan være tilgængelig for lokale brugere

    Beskrivelse: Der var problemer med afsløring af oplysninger i API'erne msgctl og segctl. Problemet blev løst ved at initialisere datastrukturer, der returneres fra kernen.

    CVE-id

    CVE-2013-5142: Kenzley Alphonse fra Kenx Technology, Inc

  • Kernel

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Upriviligerede processer kan få adgang til indholdet af kernehukommelse, som kan føre til eskalering af privilegier

    Beskrivelse: Der var problemer med afsløring af oplysninger i API'en mach_port_space_info. Problemet blev løst ved at initialisere iin_collision-felter i strukturer returneret fra kernen.

    CVE-id

    CVE-2013-3953: Stefan Esser

  • Kernel

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Uprivilegerede processer kan medføre pludselig systemlukning eller kørsel af vilkårlig kode i kernen

    Beskrivelse: Der var et problem med beskadiget hukommelse i håndteringen af argumenter til API'en posix_spawn. Problemet er løst ved yderligere kontrol af grænser.

    CVE-id

    CVE-2013-3954: Stefan Esser

  • Kext Management

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: En uautoriseret proces kan modificere indlæste kerneudvidelser

    Beskrivelse: Der var et problem med kextd's håndtering af IPC-meddelser fra ikke-godkendte afsendere. Problemet er løst ved at tilføje yderligere godkendelseskontroller.

    CVE-id

    CVE-2013-5145: "Rainbow PRISM"

  • libxml

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Visning af en skadelig webside kan føre til uventet programnedbrud eller kørsel af vilkårlig kode

    Beskrivelse: Der var flere problemer med beskadiget hukommelse i libxml. Problemerne løses ved at opdatere libxml til version 2.9.0.

    CVE-id

    CVE-2011-3102: Jüri Aedla

    CVE-2012-0841

    CVE-2012-2807: Jüri Aedla

    CVE-2012-5134: Google Chrome Security Team (Jüri Aedla)

  • libxslt

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Visning af en skadelig webside kan føre til uventet programnedbrud eller kørsel af vilkårlig kode

    Beskrivelse: Der var flere problemer med beskadiget hukommelse i libxslt. Problemerne løses ved at opdatere libxslt til version 1.1.28.

    CVE-id

    CVE-2012-2825: Nicolas Gregoire

    CVE-2012-2870: Nicolas Gregoire

    CVE-2012-2871: Kai Lu fra Fortinets FortiGuard Labs, Nicolas Gregoire

  • Lås med kode

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: En person med fysisk adgang til enheden kan få adgang til at omgå skærmlåsen

    Beskrivelse: Der var et problem med konkurrencebetingelser i håndteringen af telefonopkald og udskubning af SIM-kort fra låseskærmen. Problemet er løst ved forbedret styring af låsefunktionen.

    CVE-id

    CVE-2013-5147: videosdebarraquito

  • Internetdeling

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: En hacker kan muligvis oprette forbindelse til et netværk til internetdeling

    Beskrivelse: Der var et problem med genereringen af adgangskoder til internetdeling, som resulterede i, at en hacker kunne gætte adgangskoder og oprette forbindelse til en brugers Internetdeling. Problemet blev løst ved at generere adgangskoder med højere entropi.

    CVE-id

    CVE-2013-4616: Andreas Kurtz fra NESO Security Labs og Daniel Metz fra University Erlangen-Nuremberg

  • Push-beskeder

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Tokenet til push-beskeder kan være tilgængelig for en app i modstrid med brugerens beslutning

    Beskrivelse: Der var problemer med afsløring af oplysninger i registreringen af push-beskeder. Apps, der anmodede om adgang til push-beskeder, modtog tokenet, inden brugeren havde godkendt app'ens brug af push-beskeder. Problemet blev løst ved at tilbageholde adgangen til tokenet, indtil brugeren havde godkendt adgangen.

    CVE-id

    CVE-2013-5149: Jack Flintermann fra Grouper, Inc.

  • Safari

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af XML-arkiver. Problemet er løst ved yderligere kontrol af grænser.

    CVE-id

    CVE-2013-1036: Kai Lu fra Fortinets FortiGuard Labs

  • Safari

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Historikken over nylig viste sider på en åben fane bliver muligvis stående efter rydning af historikken

    Beskrivelse: Rydning af historikken i Safari ryddede ikke historikken tilbage/fremad for åben faner. Problemet er løst ved at rydde historikken tilbage/fremad.

    CVE-id

    CVE-2013-5150

  • Safari

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Visning af arkiver på et websted kan medføre kørsel af script, selv når serveren sender en 'Content-Type: text/plain'-header

    Beskrivelse: Mobil Safari behandlede til tider arkiver som HTML-arkiver, selv når serveren sender en 'Content-Type: text/plain'-header. Dette kan medføre scripting på tværs af websteder på steder, der tillader brugerne at overføre filer. Problemet er løst ved forbedret behandling af arkiver, når 'Content-Type: text/plain' er valgt.

    CVE-id

    CVE-2013-5151: Ben Toews fra Github

  • Safari

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Resultat: Besøg på et skadeligt websted kan medføre visning af en vilkårlig URL-adresse.

    Beskrivelse: Der var et problem med efterligning af URL-bar i Mobil Safari. Problemet er løst ved forbedret URL-sporing.

    CVE-id

    CVE-2013-5152: Keita Haga Fra keitahaga.com, Lukasz Pilorz fra RBS

  • Sandbox

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Applikationer, der er scripts, blev ikke kørt i sandbox

    Beskrivelse: Tredjeparts applikationer, der anvendte #! - syntaksen til at køre et script, blev kørt i sandbox baseret på scriptfortolkerens identitet frem for scriptet. Fortolkeren har muligvis ikke en defineret sandbox, hvilket medfører, at applikationen ikke køres i sandbox. Problemet blev løst ved at oprette en sandbox baseret på identiteten af scriptet.

    CVE-id

    CVE-2013-5154: evad3rs

  • Sandbox

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Applikationer kan medføre, at systemet hænger

    Beskrivelse: Skadelige tredjeparts programmer, som skriver specifikke værdier til /dev/random-enheden, kan tvinge CPU'en ind i en uendelig sløjfe. Problemet blev løst ved at forhindre tredjeparts programmer i at skrive til /dev/random.

    CVE-id

    CVE-2013-5155: CESG

  • Sociale netværk

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Brugeres seneste Twitter-aktivitet kan være tilgængelig på enheder uden adgangskode.

    Beskrivelse: Der var et problem, som gjorde det muligt at fastslå, hvilke Twitter-konti en bruger havde interageret med for nylig. Problemet blev løst ved at begrænse adgangen til Twitter-symbolets cache.

    CVE-id

    CVE-2013-5158: Jonathan Zdziarski

  • Springboard

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: En person med fysisk adgang til en enhed i mistet-funktion kan muligvis se meddelelser

    Beskrivelse: Der var et problem med håndteringen af meddelelser, når en enhed er i mistet-funktion. Denne opdatering løser problemet med forbedret styring af låsefunktionen.

    CVE-id

    CVE-2013-5153: Daniel Stangroom

  • Telefoni

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Skadelige apps kunne påvirke eller styre telefonifunktionen

    Beskrivelse: Der opstod et problem i undersystemet til telefoni. Forbigåelse af understøttede API'er og apps i sandbox kunne rette forespørgsler direkte til en system-daemon og påvirke eller styre telefonifunktionaliteten. Problemet blev løst ved at gennemtvinge adgangskontrol på grænseflader udsat af telefoni-daemonen.

    CVE-id

    CVE-2013-5156: Jin Han fra Institute for Infocomm Research, der arbejder med Qiang Yan og Su Mon Kywe fra Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung og Wenke Lee fra Georgia Institute of Technology

  • Twitter

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Apps i sandbox kunne sende tweets uden brugerindgriben eller -tilladelse

    Beskrivelse: Der opstod et problem med adgangskontrol i undersystemet til Twitter. Forbigåelse af understøttede API'er og apps i sandbox kunne rette forespørgsler direkte til en system-daemon og påvirke eller styre Twitter-funktionaliteten. Problemet blev løst ved at gennemtvinge adgangskontrol på grænseflader udsat for Twitter-daemonen.

    CVE-id

    CVE-2013-5157: Jin Han fra Institute for Infocomm Research, der arbejder med Qiang Yan og Su Mon Kywe på Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung og Wenke Lee fra Georgia Institute of Technology

  • WebKit

    Fås til: iPhone 4, iPod touch (5. generation) og iPad 2 samt nyere versioner af disse enheder

    Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var flere problemer med beskadiget hukommelse i WebKit. Problemerne er løst ved forbedret hukommelsesstyring.

    CVE-id

    CVE-2013-0879: Atte Kettunen fra OUSPG

    CVE-2013-0991: Jay Civelli fra Chromium-udviklingsfællesskabet

    CVE-2013-0992: Google Chrome Security Team (Martin Barbella)

    CVE-2013-0993: Google Chrome Security Team (Inferno)

    CVE-2013-0994: David German fra Google

    CVE-2013-0995: Google Chrome Security Team (Inferno)

    CVE-2013-0996: Google Chrome Security Team (Inferno)

    CVE-2013-0997: Vitaliy Toropov, som arbejder for HP's Zero Day Initiative

    CVE-2013-0998: pa_kt, som arbejder for HP's Zero Day Initiative

    CVE-2013-0999: pa_kt, som arbejder for HP's Zero Day Initiative

    CVE-2013-1000: Fermin J. Serna fra Google Security Team

    CVE-2013-1001: Ryan Humenick

    CVE-2013-1002: Sergey Glazunov

    CVE-2013-1003: Google Chrome Security Team (Inferno)

    CVE-2013-1004: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1005: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1006: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1007: Google Chrome Security Team (Inferno)

    CVE-2013-1008: Sergey Glazunov

    CVE-2013-1010: miaubiz

    CVE-2013-1037: Google Chrome Security Team

    CVE-2013-1038: Google Chrome Security Team

    CVE-2013-1039: Own-hero Research, som arbejder for iDefense VCP

    CVE-2013-1040: Google Chrome Security Team

    CVE-2013-1041: Google Chrome Security Team

    CVE-2013-1042: Google Chrome Security Team

    CVE-2013-1043: Google Chrome Security Team

    CVE-2013-1044: Apple

    CVE-2013-1045: Google Chrome Security Team

    CVE-2013-1046: Google Chrome Security Team

    CVE-2013-1047: miaubiz

    CVE-2013-2842: Cyril Cattiaux

    CVE-2013-5125: Google Chrome Security Team

    CVE-2013-5126: Apple

    CVE-2013-5127: Google Chrome Security Team

    CVE-2013-5128: Apple

  • WebKit

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Besøg på et skadeligt websted kan føre til afsløring af oplysninger

    Beskrivelse: Der var et problem med afsløring af oplysninger i behandlingen af API'en window.webkitRequestAnimationFrame(). Et skadeligt websted kunne anvende en iframe til at afgøre, om et andet websted anvendte window.webkitRequestAnimationFrame(). Problemet er løst ved forbedret behandling af window.webkitRequestAnimationFrame().

    CVE-id

    CVE-2013-5159
  • WebKit

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Kopiering og indsættelse af en skadelig HTML-bid kan medføre et angreb med scripting på tværs af websteder

    Beskrivelse: Der opstod et problem med scripting på tværs af websteder ved behandling af kopierede og indsatte data i HTML-dokumenter. Problemet er løst ved yderligere godkendelse af indsatte data.

    CVE-id

    CVE-2013-0926: Aditya Gupta, Subho Halder og Dev Kar fra xys3c (xysec.com)

  • WebKit

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Et besøg på et skadeligt websted kan medføre scripting-angreb på tværs af websteder

    Beskrivelse: Der opstod et problem med scripting på tværs af websteder ved behandling af iframes. Problemet er løst ved forbedret oprindelsessporing.

    CVE-id

    CVE-2013-1012: Subodh Iyengar og Erling Ellingsen fra Facebook

  • WebKit

    Fås til: iPhone 3GS og nyere versioner, iPod touch (4. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Et besøg på et skadeligt websted kan medføre videregivelse af oplysninger

    Beskrivelse: Der var problemer med afsløring af oplysninger i XSSAuditor. Problemet er løst ved forbedret håndtering af URL-adresser.

    CVE-id

    CVE-2013-2848: Egor Homakov

  • WebKit

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Der er risiko for scripting-angreb på tværs af websteder, når du trækker eller indsætter et udsnit

    Beskrivelse: Når du trækker eller indsætter et udsnit fra et websted til et andet, er der risiko for, at scripts, der er indeholdt i udsnittet, køres på det nye websted. Problemet løses ved yderligere godkendelse af indhold, før det indsættes eller trækkes og slippes.

    CVE-id

    CVE-2013-5129: Mario Heiderich

  • WebKit

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Et besøg på et skadeligt websted kan medføre scripting-angreb på tværs af websteder

    Beskrivelse: Der var et problem ved scripting på tværs af websteder ved håndteringen af URL-adresser. Problemet er løst ved forbedret oprindelsessporing.

    CVE-id

    CVE-2013-5131: Erling A Ellingsen

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: