Sikkerhedsindholdet i iOS 8.1.3

Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i iOS 8.1.3

Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen "Sådan bruges PGP-nøglen til Apple-produktsikkerhed".

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

iOS 8.1.3

  • AppleFileConduit

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: En skadelig afc-kommando kan give adgang til beskyttede dele af arkivsystemet

    Beskrivelse: Der var et sikkerhedsproblem med den symbolske forbindelsesmekanisme i afc. Problemet er løst ved at tilføje yderligere stikontroller.

    CVE-id

    CVE-2014-4480: TaiG Jailbreak Team

  • CoreGraphics

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode

    Beskrivelse: Der opstod et heltalsoverløb ved behandling af PDF-arkiver. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-4481: Felipe Andres Manzano fra Binamuse VRT, der arbejder for iSIGHT Partners GVP-programmet

  • dyld

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: En lokal bruger kan muligvis køre usigneret kode

    Beskrivelse: Der var et administrationsproblem ved behandlingen af Mach-O-arkiver, der kan udføres og har overlappende segmenter. Problemet er løst ved forbedret godkendelse af segmentstørrelser.

    CVE-id

    CVE-2014-4455: TaiG Jailbreak Team

  • FontParser

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb ved behandling af skriftarkiver. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-4483: Apple

  • FontParser

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Behandling af et skadeligt .dfont-arkiv kan medføre pludselig programlukning eller vilkårlig kørsel af kode

    Beskrivelse: Der var et problem med beskadiget hukommelse i behandlingen af .dfont-arkiver. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-4484: Gaurav Baruah, som arbejder for HP's Zero Day Initiative

  • Foundation

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Visning af et skadeligt XML-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb i XML-parseren. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-4485: Apple

  • IOAcceleratorFamily

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var en reference til en null-pointer ved IOAcceleratorFamily-behandlingen af ressourcelister. Problemet er løst ved at fjerne unødvendig kode.

    CVE-id

    CVE-2014-4486: Ian Beer fra Google Project Zero

  • IOHIDFamily

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et bufferoverløb i IOHIDFamily. Problemet er løst ved forbedret størrelsesgodkendelse.

    CVE-id

    CVE-2014-4487: TaiG Jailbreak Team

  • IOHIDFamily

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et godkendelsesproblem i IOHIDFamily-behandlingen af metadata i ressourcekøen. Problemet er løst ved forbedret godkendelse af metadata.

    CVE-id

    CVE-2014-4488: Apple

  • IOHIDFamily

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var en reference til en null-pointer ved IOHIDFamily-behandlingen af hændelseskøer. Problemet er løst ved forbedret godkendelse.

    CVE-id

    CVE-2014-4489: @beist

  • iTunes Store

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Et websted kan muligvis omgå sandbox-begrænsninger ved brug af iTunes Store

    Beskrivelse: Der var et problem ved behandling af URL-adresser, der blev omdirigeret fra Safari til iTunes Store, så et skadeligt websted kunne omgå Safaris sandbox-begrænsninger. Problemet blev løst ved at forbedre filtreringen af URL-adresser, der åbnes af iTunes Store.

    CVE-id

    CVE-2014-8840: lokihardt@ASRT, der arbejder for HP's Zero Day Initiative

  • Kerberos

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Kerberos-biblioteket libgssapi returnerede en konteksttoken med en urelateret pointer. Problemet er løst ved forbedret funktionsstyring.

    CVE-id

    CVE-2014-5352

  • Kernel

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: iOS-programmer, som der er foretaget skadelige ændringer i, kan finde frem til kernens adresse

    Beskrivelse: Der var et problem med afsløring af oplysninger ved behandling af API'er, der har forbindelse til kerneudvidelser. Svar indeholdende en OSBundleMachOHeaders-nøgle kan have medtaget kerneadresser, som kan medvirke til at omgå beskyttelse af randomisering af adressemellemrumslayout. Problemet er løst ved at sikre adresserne, før de returneres.

    CVE-id

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Kernel

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med undersystemet til delt kernehukommelse, der gjorde det muligt for en hacker at skrive til hukommelse, der skulle være skrivebeskyttet. Problemet er løst ved strengere kontrol af tilladelser til delt hukommelse.

    CVE-id

    CVE-2014-4495: Ian Beer fra Google Project Zero

  • Kernel

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: iOS-programmer, som der er foretaget skadelige ændringer i, kan finde frem til kernens adresse

    Beskrivelse: Kernegrænsefladen mach_port_kobject afgav kerneadresser og værdier for permutationsheap, som kan medvirke til at omgå beskyttelse af randomisering af adressemellemrumslayout. Problemet blev løst ved at deaktivere grænsefladen mach_port_kobject i produktkonfigurationer.

    CVE-id

    CVE-2014-4496: TaiG Jailbreak Team

  • libnetcore

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Et skadeligt sandbox-program kan skade sikkerheden i networkd-daemon

    Beskrivelse: Der var flere problemer med typeforveksling i networkd-behandlingen af kommunikation mellem processer. Ved at sende en meddelelse i et skadeligt format til networkd kunne der køres vilkårlig kode som networkd-processen. Problemet er løst ved forbedret kontrol af typer.

    CVE-id

    CVE-2014-4492: Ian Beer fra Google Project Zero

  • MobileInstallation

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: En skadelig virksomhedssigneret applikation kan muligvis overtage styringen af den lokale beholder for applikationer, der allerede er på en enhed

    Beskrivelse: Der var et sikkerhedsproblem med applikationsinstalleringsprocessen. Problemet er løst ved at forhindre virksomhedsapplikationer i at tilsidesætte eksisterende applikationer i bestemte scenarier.

    CVE-id

    CVE-2014-4493: Hui Xue og Tao Wei fra FireEye, Inc.

  • Springboard

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Virksomhedssignerede applikationer kan blive startet uden først at spørge om godkendelse

    Beskrivelse: Der var et problem med at afgøre, hvornår der skulle spørges om godkendelse, når en virksomhedssigneret applikation blev åbnet først. Problemet er løst ved forbedret kodesignaturgodkendelse.

    CVE-id

    CVE-2014-4494: Song Jin, Hui Xue og Tao Wei fra FireEye, Inc.

  • WebKit

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Et besøg på et websted, som bruger skadeligt indhold, kan medføre efterligning af brugergrænsefladen.

    Beskrivelse: Der var et problem med efterligning af brugergrænsefladen ved behandling af URL-adresser. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-4467: Jordan Milne

  • WebKit

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Skriftsnitark indlæses som cross-origin-element, hvilket kan medføre uautoriseret dataoverførsel

    Beskrivelse: Et SVG-objekt, der er indlæst i et img-element, kunne indlæse et CSS-arkiv som cross-origin-element. Problemet er løst ved forbedret blokering af eksterne CSS-referencer i SVG-objekter.

    CVE-id

    CVE-2014-4465: Rennie deGraaf fra iSEC Partners

  • WebKit

    Fås til: iPhone 4s, iPod touch (5. generation) og iPad 2 samt nyere modeller af disse enheder

    Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var flere problemer med beskadiget hukommelse i WebKit. Problemerne er løst ved forbedret hukommelsesstyring.

    CVE-id

    CVE-2014-3192: cloudfuzzer

    CVE-2014-4459

    CVE-2014-4466: Apple

    CVE-2014-4468: Apple

    CVE-2014-4469: Apple

    CVE-2014-4470: Apple

    CVE-2014-4471: Apple

    CVE-2014-4472: Apple

    CVE-2014-4473: Apple

    CVE-2014-4474: Apple

    CVE-2014-4475: Apple

    CVE-2014-4476: Apple

    CVE-2014-4477: lokihardt@ASRT, der arbejder for HP's Zero Day Initiative

    CVE-2014-4479: Apple

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: