Om sikkerhedsindholdet i iOS 7.1.2

I dette dokument beskrives sikkerhedsindholdet i iOS 7.1.2.

Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen "Sådan bruges PGP-nøglen til Apple-produktsikkerhed".

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

iOS 7.1.2

  • Politik for certifikatgodkendelse

    Fås til: iPhone 4, iPod touch (5. generation) og iPad 2 samt nyere versioner af disse enheder

    Effekt: Opdatering af politikken for certifikatgodkendelse

    Beskrivelse: Politikken for certifikatgodkendelse blev opdateret. Du kan se den komplette liste med certifikater i artiklen http://support.apple.com/kb/HT5012?viewlocale=da_DK.

  • CoreGraphics

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Visning af et skadeligt XBM-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med ubegrænset stakallokering i håndteringen af XBM-arkiver. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-1354: Dima Kovalenko fra codedigging.com

  • Kernel

    Fås til: iPhone 4, iPod touch (5. generation) og iPad 2 samt nyere versioner af disse enheder

    Effekt: Et program kunne forårsage, at enheden genstartede uventet.

    Beskrivelse: Der var en reference til en null-pointer ved behandling af IOKit API-argumenter. Problemet er løst med forbedret godkendelse af IOKit API-argumenter.

    CVE-id

    CVE-2014-1355: cunzhang fra Adlab hos Venustech

  • launchd

    Fås til: iPhone 4, iPod touch (5. generation) og iPad 2 samt nyere versioner af disse enheder

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et bufferoverløbsproblem i heap i launchd's håndtering af IPC-beskeder. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-1356: Ian Beer fra Google Project Zero

  • launchd

    Fås til: iPhone 4, iPod touch (5. generation) og iPad 2 samt nyere versioner af disse enheder

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et bufferoverløbsproblem i heap i launchd's håndtering af logbeskeder. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-1357: Ian Beer fra Google Project Zero

  • launchd

    Fås til: iPhone 4, iPod touch (5. generation) og iPad 2 samt nyere versioner af disse enheder

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med heltalsoverløb i launchd. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-1358: Ian Beer fra Google Project Zero

  • launchd

    Fås til: iPhone 4, iPod touch (5. generation) og iPad 2 samt nyere versioner af disse enheder

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med heltalsunderløb i launchd. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-1359: Ian Beer fra Google Project Zero

  • Lockdown

    Fås til: iPhone 4, iPod touch (5. generation) og iPad 2 samt nyere versioner af disse enheder

    Effekt: En hacker med en iOS-enhed kan muligvis tilsidesætte aktiveringslåsen

    Beskrivelse: Enheder kørte en ufuldstændig kontrol under enhedsaktivering, hvilket gjorde det muligt for hackere delvist at tilsidesætte aktiveringslåsen. Problemet er løst ved forbedret godkendelse på klientsiden af data fra aktiveringsserverne.

    CVE-id

    CVE-2014-1360

  • Låseskærm

    Fås til: iPhone 4, iPod touch (5. generation) og iPad 2 samt nyere versioner af disse enheder

    Effekt: En hacker med en enhed kan bruge flere adgangskodeforsøg end det maksimale antal mislykkede forsøg for adgangskoder

    Beskrivelse: I nogle tilfælde blev grænsen for mislykkede adgangskodeforsøg ikke håndhævet. Dette problem er løst ved forbedret håndhævelse af denne grænse.

    CVE-id

    CVE-2014-1352: mblsec

  • Låseskærm

    Fås til: iPhone 4, iPod touch (5. generation) og iPad 2 samt nyere versioner af disse enheder

    Effekt: En person med fysisk adgang til en låst enhed kan få adgang til det program, der var i forgrunden inden låsning

    Beskrivelse: Der var et problem med funktionsstyring i håndteringen af telefonfunktionen, mens enheden er i flyfunktion. Problemet er løst ved forbedret funktionsstyring, mens enheden er i flyfunktion.

    CVE-id

    CVE-2014-1353

  • Mail

    Fås til: iPhone 4, iPod touch (5. generation) og iPad 2 samt nyere versioner af disse enheder

    Effekt: Mail-bilag kan hentes fra iPhone 4

    Beskrivelse: Databeskyttelse blev ikke aktiveret for Mail-bilag, så de kunne læses af en hacker med fysisk adgang til enheden. Problemet er løst ved at ændre krypteringen af Mail-bilag.

    CVE-id

    CVE-2014-1348: Andreas Kurtz fra NESO Security Labs

  • Safari

    Fås til: iPhone 4 og nyere versioner, iPod touch (5. generation) og nyere versioner, iPad 2 og nyere versioner

    Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et "use after free"-problem i Safaris behandling af ugyldige URL-adresser. Problemet er løst ved forbedret behandling af hukommelse.

    CVE-id

    CVE-2014-1349: Reno Robert og Dhanesh Kizhakkinan

  • Indstillinger

    Fås til: iPhone 4, iPod touch (5. generation) og iPad 2 samt nyere versioner af disse enheder

    Effekt: En person med fysisk adgang til enheden kan muligvis slå Find min iPhone fra uden at indtaste en iCloud-adgangskode

    Beskrivelse: Der var et statusadministrationsproblem ved behandling af Find min iPhone-tilstanden. Problemet er løst ved forbedret behandling af Find min iPhone-tilstanden.

    CVE-id

    CVE-2014-1350

  • Secure Transport

    Fås til: iPhone 4, iPod touch (5. generation) og iPad 2 samt nyere versioner af disse enheder

    Effekt: To bytes ikke-initialiseret hukommelse kunne være tilgængelig for en ekstern hacker

    Beskrivelse: Der var et problem med adgang til ikke-initialiseret hukommelse i håndteringen af DTLS-beskeder på en TLS-forbindelse. Problemet er løst ved kun at acceptere DTLS-beskeder på en DTLS-forbindelse.

    CVE-id

    CVE-2014-1361: Thijs Alkemade fra The Adium Project

  • Siri

    Fås til: iPhone 4S, iPod touch (5. generation) og iPad 3 samt nyere versioner af disse enheder

    Effekt: En person med fysisk adgang til telefonen kan muligvis se alle kontakter

    Beskrivelse: Hvis en Siri-anmodning henviser til en af flere kontakter, viser Siri en komplet kontaktliste med valgmuligheder og muligheden "Flere". Ved brug i låst skærm krævede Siri ikke adgangskoden inden visning af den komplette kontaktliste. Problemet er løst ved at kræve adgangskoden.

    CVE-id

    CVE-2014-1351: Sherif Hashim

  • WebKit

    Fås til: iPhone 4, iPod touch (5. generation) og iPad 2 samt nyere versioner af disse enheder

    Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var flere problemer med beskadiget hukommelse i WebKit. Problemerne er løst ved forbedret hukommelsesstyring.

    CVE-id

    CVE-2013-2875: miaubiz

    CVE-2013-2927: cloudfuzzer

    CVE-2014-1323: banty

    CVE-2014-1325: Apple

    CVE-2014-1326: Apple

    CVE-2014-1327: Google Chrome Security Team, Apple

    CVE-2014-1329: Google Chrome Security Team

    CVE-2014-1330: Google Chrome Security Team

    CVE-2014-1331: cloudfuzzer

    CVE-2014-1333: Google Chrome Security Team

    CVE-2014-1334: Apple

    CVE-2014-1335: Google Chrome Security Team

    CVE-2014-1336: Apple

    CVE-2014-1337: Apple

    CVE-2014-1338: Google Chrome Security Team

    CVE-2014-1339: Atte Kettunen fra OUSPG

    CVE-2014-1341: Google Chrome Security Team

    CVE-2014-1342: Apple

    CVE-2014-1343: Google Chrome Security Team

    CVE-2014-1362: Apple, miaubiz

    CVE-2014-1363: Apple

    CVE-2014-1364: Apple

    CVE-2014-1365: Apple, Google Chrome Security Team

    CVE-2014-1366: Apple

    CVE-2014-1367: Apple

    CVE-2014-1368: Wushi fra Keen Team (Research Team hos Keen Cloud Tech)

    CVE-2014-1382: Renata Hodovan fra University of Szeged/Samsung Electronics

    CVE-2014-1731: Et anonymt medlem af Blink-programmørfællesskabet

  • WebKit

    Fås til: iPhone 4, iPod touch (5. generation) og iPad 2 samt nyere versioner af disse enheder

    Effekt: Et skadeligt websted kan sende meddelelser til en tilsluttet frame eller et tilsluttet vindue på en måde, der muligvis kan tilsidesætte kontrol af oprindelsen hos modtageren

    Beskrivelse: Der var et kodningsproblem med behandlingen af Unicode-tegn i URL-adresser. En skadelig URL-adresse kunne medføre afsendelse af en forkert postMessage-oprindelse. Problemet er løst ved forbedring af kodning/afkodning.

    CVE-id

    CVE-2014-1346: Erling Ellingsen fra Facebook

  • WebKit

    Fås til: iPhone 4, iPod touch (5. generation) og iPad 2 samt nyere versioner af disse enheder

    Effekt: Et skadeligt websted kan efterligne domænenavnet i adresselinjen

    Beskrivelse: Der var et problem med efterligning i håndteringen af URL-adresser. Problemet er løst ved forbedret kodning af URL-adresser.

    CVE-id

    CVE-2014-1345: Erling Ellingsen fra Facebook

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: