Informationen zum Sicherheitsinhalt von iOS 7.1

In diesem Dokument wird der Sicherheitsinhalt von iOS 7.1 beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.

iOS 7.1

  • Backup

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Ein in böswilliger Absicht erstelltes Backup könnte das Dateisystem verändern

    Beschreibung: Ein symbolischer Link in einem Backup würde wiederhergestellt werden und damit nachfolgenden Vorgängen während der Wiederherstellung gestatten, dem Rest des Dateisystems Dateien hinzuzufügen. Dieses Problem wurde behoben, indem während des Wiederherstellungsvorgangs nach symbolischen Links gesucht wird.

    CVE-ID

    CVE-2013-5133: evad3rs

  • Richtlinie für vertrauenswürdige Zertifikate

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Root-Zertifikate wurden aktualisiert

    Beschreibung: Bestimmte Zertifikate wurden zur Liste der System-Roots hinzugefügt oder daraus entfernt.

  • Konfigurationsprofile

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Profil-Ablaufdaten wurden nicht berücksichtigt

    Beschreibung: Ablaufdaten der mobilen Konfigurationsprofile wurden nicht korrekt analysiert. Dieses Problem wurde durch eine verbesserte Verarbeitung dieser Konfigurationsprofile behoben.

    CVE-ID

    CVE-2014-1267

  • CoreCapture

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Ein Schadprogramm kann einen unerwarteten Systemabbruch verursachen

    Beschreibung: Bei der Verarbeitung von IOKit-API-Aufrufen durch CoreCapture bestand ein Problem mit einer erreichbaren Zusicherung. Das Problem wurde durch eine zusätzliche Überprüfung der Eingabe durch IOKit behoben.

    CVE-ID

    CVE-2014-1271: Filippo Bigarella

  • Berichterstellung bei Abstürzen

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Ein lokaler Benutzer könnte die Zugriffsberechtigungen beliebiger Dateien ändern.

    Beschreibung: CrashHouseKeeping folgte beim Ändern der Zugriffsrechte für Dateien symbolischen Links. Dieses Problem wurde behoben, indem beim Ändern der Zugriffsrechte für Dateien keinen symbolischen Links gefolgt wurde.

    CVE-ID

    CVE-2014-1272: evad3rs

  • dyld

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Aufforderungen zur Code-Signierung könnten umgangen werden

    Beschreibung: Anweisungen zur Verschiebung von Texten in dynamische Bibliotheken wurden möglicherweise von dyld geladen, ohne dass eine Validierung der Code-Signatur erfolgte. Dieses Problem wurde behoben, indem die Anweisungen zur Verschiebung von Texten ignoriert werden.

    CVE-ID

    CVE-2014-1273: evad3rs

  • FaceTime

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Eine Person mit physischem Zugang zum Gerät könnte vom Sperrbildschirm aus auf FaceTime-Kontakte zugreifen

    Beschreibung: FaceTime-Kontakte auf einem gesperrten Gerät waren durch einen fehlgeschlagenen FaceTime-Anruf vom Sperrbildschirm aus zugänglich. Dieses Problem wurde durch eine verbesserte Verarbeitung der FaceTime-Anrufe behoben.

    CVE-ID

    CVE-2014-1274

  • ImageIO

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von JPEG2000-Bildern in PDF-Dateien existierte ein Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-1275: Felix Groebert vom Google-Sicherheitsteam

  • ImageIO

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten TIFF-Datei könnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Die Verarbeitung von TIFF-Bildern durch libtiff konnte zu einem Pufferüberlauf führen. Dieses Problem wurde durch eine zusätzliche Validierung von TIFF-Bildern behoben.

    CVE-ID

    CVE-2012-2088

  • ImageIO

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Die Anzeige einer in böswilliger Absicht erstellten JPEG-Datei könnte zur Preisgabe von Speicherinhalten führen

    Beschreibung: Bei der Verarbeitung von JPEG-Markern in libjpeg gab es ein Problem mit einem nicht initialisierten Speicherzugriff, das zur Preisgabe von Speicherinhalten führte. Dieses Problem wurde durch eine zusätzliche Validierung von JPEG-Dateien behoben.

    CVE-ID

    CVE-2013-6629: Michal Zalewski

  • IOKit HID-Ereignis

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Ein Schadprogramm könnte Benutzeraktivitäten in anderen Apps überwachen

    Beschreibung: Eine Oberfläche im IOKit Framework erlaubte Schadprogrammen, Benutzeraktivitäten in anderen Apps zu überwachen. Dieses Problem wurde durch eine verbesserte Zugriffskontrolle im Framework behoben.

    CVE-ID

    CVE-2014-1276: Min Zheng, Hui Xue und Dr. Tao (Lenx) Wei, FireEye

  • iTunes Store

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Ein Man-in-the-Middle-Angreifer könnte einen Benutzer dazu verleiten, ein Schadprogramm über Enterprise App Download zu laden

    Beschreibung: Ein Angreifer in einer privilegierten Netzwerkposition konnte eine Netzwerkkommunikation vortäuschen, um einen Benutzer dazu zu verleiten, ein Schadprogramm zu laden. Dieses Problem wurde durch die Verwendung von SSL und Eingabeaufforderungen an den Benutzer während URL-Umleitungen entschärft.

    CVE-ID

    CVE-2013-3948: Stefan Esser

  • Kernel

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Ein lokaler Benutzer kann möglicherweise einen unerwarteten Systemabbruch oder die Ausführung willkürlichen Codes im Kernel verursachen.

    Beschreibung: In der ARM ptmx_get_ioctl-Funktion gab es ein Problem mit grenzüberschreitendem Speicherzugriff. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-1278: evad3rs

  • Office Viewer

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Das Öffnen eines in böswilliger Absicht erstellten Microsoft Word-Dokuments könnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Microsoft Word-Dokumenten kam es zu einem Double-Free-Problem. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2014-1252: Felix Groebert vom Google-Sicherheitsteam

  • Fotos-Backend

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Gelöschte Bilder könnten immer noch in der Fotos-App unter transparenten Bildern erscheinen

    Beschreibung: Durch das Löschen eines Bildes aus der Mediathek wurden die zwischengespeicherten Versionen des Bildes nicht gelöscht. Dieses Problem wurde durch eine verbesserte Verwaltung des Zwischenspeichers behoben.

    CVE-ID

    CVE-2014-1281: Walter Hoelblinger von Hoelblinger.com, Morgan Adams, Tom Pennington

  • Profile

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Ein Konfigurationsprofil könnte für den Benutzer nicht sichtbar sein

    Beschreibung: Ein Konfigurationsprofil mit langem Namen konnte auf das Gerät geladen worden sein, wurde jedoch nicht in der Profil-Benutzeroberfläche angezeigt. Dieses Problem wurde durch eine verbesserte Verarbeitung von Profilnamen behoben.

    CVE-ID

    CVE-2014-1282: Assaf Hefetz, Yair Amit und Adi Sharabani von Skycure

  • Safari

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Anmeldedaten könnten über die automatische Füllfunktion einer unerwarteten Seite offengelegt werden

    Beschreibung: Safari konnte Benutzernamen und Passwörter mit der automatischen Füllfunktion in einen Subframe eingegeben haben, der zu einer anderen Domäne gehört als der Hauptframe. Das Problem wurde durch eine verbesserte Herkunftsverfolgung behoben.

    CVE-ID

    CVE-2013-5227: Niklas Malmgren von Klarna AB

  • Einstellungen – Accounts

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Eine Person mit physischem Zugang zum Gerät kann "Mein iPhone suchen" deaktivieren, ohne dafür ein iCloud-Passwort eingeben zu müssen

    Beschreibung: Es lag ein Statusverwaltungsproblem bei der Verarbeitung des "Mein iPhone suchen"-Status vor. Dieses Problem wurde durch eine verbesserte Verarbeitung des "Mein iPhone suchen"-Status behoben.

    CVE-ID

    CVE-2014-2019

  • Springboard

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Eine Person mit physischem Zugang zum Gerät könnte den Home-Bildschirm des Geräts sehen, selbst wenn das Gerät nicht aktiviert wurde

    Beschreibung: Ein unerwarteter Programmabbruch während der Aktivierung konnte bewirken, dass das Gerät den Home-Bildschirm anzeigt. Dieses Problem wurde durch eine verbesserte Fehlerverarbeitung während der Aktivierung behoben.

    CVE-ID

    CVE-2014-1285: Roboboi99

  • SpringBoard-Sperrbildschirm

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Ein entfernter Angreifer könnte bewirken, dass der Sperrbildschirm nicht mehr reagiert

    Beschreibung: Es existierte ein Zustandsverwaltungsproblem im Sperrbildschirm. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

    CVE-ID

    CVE-2014-1286: Bogdan Alecu von M-sec.net

  • TelephonyUI Framework

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Eine Webseite könnte ein FaceTime-Audiogespräch ohne Interaktion des Benutzers auslösen

    Beschreibung: Safari hat den Benutzer vor dem Aufrufen eines FaceTime-Audio-Links nicht gefragt. Dieses Problem wurde durch das Hinzufügen einer Bestätigungsaufforderung behoben.

    CVE-ID

    CVE-2013-6835: Guillaume Ross

  • USB-Host

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Eine Person mit physischem Zugang zum Gerät könnte im Kernel-Modus die Ausführung willkürlichen Codes verursachen

    Beschreibung: Bei der Verarbeitung von USB-Meldungen kam es zu einem Speicherfehler. Dieses Problem wurde durch eine zusätzliche Validierung von USB-Meldungen behoben.

    CVE-ID

    CVE-2014-1287: Andy Davis von der NCC Group

  • Grafiktreiber

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Das Abspielen einer in böswilliger Absicht erstellten Videodatei könnte dazu führen, dass das Gerät nicht mehr reagiert

    Beschreibung: Bei der Verarbeitung von MPEG-4-codierten Dateien existierte ein Problem mit einem Nullverweis. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2014-1280: rg0rd

  • WebKit

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: In WebKit gab es mehrere Speicherfehler. Diese Probleme wurden durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2013-2909: Atte Kettunen von OUSPG

    CVE-2013-2926: cloudfuzzer

    CVE-2013-2928: Google Chrome-Sicherheitsteam

    CVE-2013-5196: Google Chrome-Sicherheitsteam

    CVE-2013-5197: Google Chrome-Sicherheitsteam

    CVE-2013-5198: Apple

    CVE-2013-5199: Apple

    CVE-2013-5225: Google Chrome-Sicherheitsteam

    CVE-2013-5228: Keen Team (@K33nTeam) in Zusammenarbeit mit der HP Zero Day Initiative

    CVE-2013-6625: cloudfuzzer

    CVE-2013-6635: cloudfuzzer

    CVE-2014-1269: Apple

    CVE-2014-1270: Apple

    CVE-2014-1289: Apple

    CVE-2014-1290: ant4g0nist (SegFault) in Zusammenarbeit mit der HP Zero Day Initiative, Google Chrome Security Team, Lee Wang Hao in Zusammenarbeit mit S.P.T. Krishnan des Infocomm Security Department, Institute for Infocomm Research

    CVE-2014-1291: Google Chrome-Sicherheitsteam

    CVE-2014-1292: Google Chrome-Sicherheitsteam

    CVE-2014-1293: Google Chrome-Sicherheitsteam

    CVE-2014-1294: Google Chrome-Sicherheitsteam

 

FaceTime ist nicht in allen Ländern und Regionen verfügbar.

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: