Informationen zum Sicherheitsinhalt von iOS 7

In diesem Dokument wird der Sicherheitsinhalt von iOS 7 beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.

iOS 7

  • Richtlinie für vertrauenswürdige Zertifikate

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Root-Zertifikate wurden aktualisiert

    Beschreibung: Bestimmte Zertifikate wurden zur Liste der System-Roots hinzugefügt oder daraus entfernt.

  • CoreGraphics

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von JBIG2-codierten Daten existierte ein Pufferüberlauf. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2013-1025: Felix Groebert vom Google-Sicherheitsteam

  • CoreMedia

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Die Wiedergabe einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von mit Sorenson codierten Filmdateien existierte ein Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2013-1019: Tom Gallagher (Microsoft) und Paul Bates (Microsoft) in Zusammenarbeit mit der HP Zero Day Initiative

  • Datenschutz

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Apps konnten Einschränkungen bei Anmeldeversuchen umgehen

    Beschreibung: Beim Datenschutz bestand ein Problem bei der Trennung von Berechtigungen. Eine App in der Sandbox eines Drittanbieters konnte unabhängig von der Einstellung des Benutzers für "Daten löschen" wiederholt versuchen, den Code des Benutzers zu ermitteln. Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.

    CVE-ID

    CVE-2013-0957: Jin Han vom Institute for Infocomm Research in Zusammenarbeit mit Qiang Yan und Su Mon Kywe der Singapore Management University

  • Datensicherheit

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Ein Angreifer mit höheren Netzwerkrechten kann Berechtigungsnachweise eines Benutzers oder andere sensible Daten abfangen

    Beschreibung: TrustWave, eine vertrauenswürdige Root CA, hat ein Sub-CA-Zertifikat von einem ihrer Vertrauensanker ausgegeben und wieder zurückgezogen. Diese Sub-CA ermöglichte das Abfangen der mit TLS (Transport Layer Security) gesicherten Kommunikation. Dieses Update fügte das betreffende Sub-CA-Zertifikat zur OS X-Liste der nicht vertrauenswürdigen Zertifikate hinzu.

    CVE-ID

    CVE-2013-5134

  • dyld

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Ein Angreifer, der willkürlichen Code auf einem Gerät ausführt, kann möglicherweise dafür sorgen, dass Code auch nach mehreren Neustarts ausgeführt wird

    Beschreibung: In der Dyld-Funktion openSharedCacheFile () existierten mehrere Pufferüberläufe. Diese Probleme wurden durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2013-3950: Stefan Esser

  • Dateisysteme

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Ein Angreifer, der ein Nicht-HFS-Dateisystem aktivieren kann, kann möglicherweise einen unerwarteten Systemabbruch oder die Ausführung willkürlichen Codes mit Kernel-Berechtigungen verursachen

    Beschreibung: Bei der Verarbeitung von AppleDouble-Dateien existierte ein Speicherfehler. Dieses Problem wurde durch das Entfernen der Unterstützung von AppleDouble-Dateien behoben.

    CVE-ID

    CVE-2013-3955: Stefan Esser

  • ImageIO

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von JPEG2000-codierten Daten in PDF-Dateien existierte ein Pufferüberlauf. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2013-1026: Felix Groebert vom Google-Sicherheitsteam

  • IOKit

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Hintergrundprogramme konnten Benutzeroberflächenereignisse in Vordergrundprogrammen einfügen.

    Beschreibung: Hintergrundprogramme konnten Benutzeroberflächenereignisse in Vordergrundprogrammen über die Aufgabenausführung oder VoIP-APIs einfügen. Das Problem wurde durch eine Verstärkung der Zugriffskontrollen bei Vordergrund- und Hintergrundprozessen, die Oberflächenereignisse verarbeiten, behoben.

    CVE-ID

    CVE-2013-5137: Mackenzie Straight bei Mobile Labs

  • IOKitUser

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Ein böswilliges lokale Programm konnte einen unerwarteten Systemabbruch verursachen

    Beschreibung: In IOCatalogue gab es einen Rückverweis auf einen Nullzeiger. Das Problem wurde durch eine verbesserte Typüberprüfung behoben.

    CVE-ID

    CVE-2013-5138: Will Estes

  • IOSerialFamily

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Das Ausführen eines böswilligen Programms kann im Kernel zur Ausführung willkürlichen Codes führen

    Beschreibung: Im IOSSerialFamily-Treiber gab es einen grenzüberschreitenden Array-Zugriff. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2013-5139: @dent1zt

  • IPSec

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Ein Angreifer ist möglicherweise in der Lage, durch IPSec Hybrid Auth geschützte Daten abzufangen

    Beschreibung: Der DNS-Name eines IPSec Hybrid Auth-Servers wurde nicht auf das Zertifikat abgestimmt, sodass ein Angreifer mit einem Zertifikat für einen Server die Identität eines anderen vortäuschen konnte. Dieses Problem wurde durch eine verbesserte Zertifikatsüberprüfung behoben.

    CVE-ID

    CVE-2013-1028: Alexander Traud von www.traud.de

  • Kernel

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Neustart eines Geräts verursachen

    Beschreibung: Das Senden eines ungültigen Paketfragments an ein Gerät kann dazu führen, dass ein Kernel-Assert ausgelöst und somit ein Neustart des Geräts verursacht wird. Das Problem wurde durch eine zusätzliche Überprüfung der Paketfragmente behoben.

    CVE-ID

    CVE-2013-5140: Joonas Kuorilehto von Codenomicon, ein anonymer Forscher in Zusammenarbeit mit CERT-FI, Antti Levomäki und Lauri Virtanen der Vulnerability Analysis Group, Stonesoft

  • Kernel

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Ein böswilliges Programm konnte ein unerwartetes Aufhängen des Geräts zur Folge haben.

    Beschreibung: Eine Ganzzahlabschnitts-Schwachstelle in der Kernel-Socket-Schnittstelle konnte ausgenutzt werden, um die CPU in eine Endlosschleife zu zwingen. Das Problem wurde durch eine größere Variable behoben.

    CVE-ID

    CVE-2013-5141: CESG

  • Kernel

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Ein Angreifer in einem lokalen Netzwerk kann ein Denial-of-Service verursachen

    Beschreibung: Ein Angreifer in einem lokalen Netzwerk kann speziell entworfene IPv6-ICMP-Pakete senden und eine hohe CPU-Auslastung verursachen. Das Problem wurde durch eine zeitbezogene Begrenzung der ICMP-Pakete vor der Überprüfung der Prüfsumme behoben.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kernel

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Der Kernel-Stack-Speicher wird möglicherweise lokalen Benutzern offengelegt

    Beschreibung: In den msgctl- und segctl-APIs kam es zur Offenlegung von Informationen. Dieses Problem wurde durch eine Initialisierung der vom Kernel zurückgegebenen Datenstrukturen behoben.

    CVE-ID

    CVE-2013-5142: Kenzley Alphonse von Kenx Technology, Inc

  • Kernel

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Nicht privilegierte Prozesse konnten Zugriff auf den Inhalt des Kernel-Speichers erhalten, was zu einer Privilegieneskalation führen konnte

    Beschreibung: In der API mach_port_space_info kam es zur Offenlegung von Informationen. Dieses Problem wurde durch eine Initialisierung des Feldes iin_collision in vom Kernel zurückgegebenen Strukturen behoben.

    CVE-ID

    CVE-2013-3953: Stefan Esser

  • Kernel

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Nicht privilegierte Prozesse können möglicherweise einen unerwarteten Systemabbruch oder die Ausführung willkürlichen Codes im Kernel verursachen

    Beschreibung: Bei der Verarbeitung von Argumenten an die API posix_spawn existierte ein Speicherfehler. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2013-3954: Stefan Esser

  • Kext-Management

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Ein unberechtigter Prozess modifiziert möglicherweise den Satz geladener Kernel-Erweiterungen

    Beschreibung: Bei der Verarbeitung von IPC-Meldungen von nicht authentifizierten Absendern durch kextd trat ein Problem auf. Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.

    CVE-ID

    CVE-2013-5145: "Rainbow PRISM"

  • libxml

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Webseite kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: In libxml gab es mehrere Speicherfehler. Diese Probleme wurden durch die Aktualisierung von libxml auf Version 2.9.0 behoben.

    CVE-ID

    CVE-2011-3102: Jüri Aedla

    CVE-2012-0841

    CVE-2012-2807: Jüri Aedla

    CVE-2012-5134: Google Chrome-Sicherheitsteam (Jüri Aedla)

  • libxslt

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Webseite kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: In libxslt gab es mehrere Speicherfehler. Diese Probleme wurden durch die Aktualisierung von libxslt auf Version 1.1.28 behoben.

    CVE-ID

    CVE-2012-2825: Nicolas Gregoire

    CVE-2012-2870: Nicolas Gregoire

    CVE-2012-2871: Kai Lu von Fortinet's FortiGuard Labs, Nicolas Gregoire

  • Codesperre

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Eine Person mit physischem Zugang zum Gerät kann die Bildschirmsperre umgehen

    Beschreibung: Bei der Verarbeitung von Anrufen und SIM-Kartenauswürfen auf dem Sperrbildschirm existierte ein Race-Bedingungsfehler. Dieses Problem wurde durch eine verbesserte Sperrstatusverwaltung behoben.

    CVE-ID

    CVE-2013-5147: videosdebarraquito

  • Persönlicher Hotspot

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Ein Angreifer kann möglicherweise einem persönlichen Hotspot-Netzwerk beitreten

    Beschreibung: Beim Generieren persönlicher Hotspot-Passwörter trat ein Problem auf, das zu Passwörtern führte, die durch einen Angreifer vorhergesagt werden konnten, der so einem persönlichen Hotspot eines Benutzers beitreten konnte. Das Problem wurde durch eine Passwortgenerierung mit höherer Entropie behoben.

    CVE-ID

    CVE-2013-4616: Andreas Kurtz von NESO Security Labs und Daniel Metz von der Universität Erlangen-Nürnberg

  • Push-Benachrichtigungen

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Der Token der Push-Benachrichtigung kann entgegen der Entscheidung des Benutzers für eine App offengelegt werden.

    Beschreibung: Bei der Registrierung der Push-Benachrichtigung kam es zur Offenlegung von Informationen. Apps, die Zugriff auf den Push-Benachrichtigungszugriff angefragt haben, erhielten den Token, bevor der Benutzer der Verwendung der Push-Benachrichtigungen durch die Apps zugestimmt hat. Dieses Problem wurde durch Zurückhalten des Zugriffs auf den Token bis zur Genehmigung durch den Benutzer behoben.

    CVE-ID

    CVE-2013-5149: Jack Flintermann von Grouper, Inc.

  • Safari

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von XML-Dateien existierte ein Speicherfehler. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2013-1036: Kai Lu von Fortinet's FortiGuard Labs

  • Safari

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Der Verlauf kürzlich besuchter Seiten auf einem geöffneten Tab bleibt auch nach dem Löschen des Verlaufs bestehen

    Beschreibung: Beim Löschen des Verlaufs in Safari wurde der zugehörige Verlauf geöffneter Tabs nicht gelöscht. Dieses Problem wurde durch Löschen des zugehörigen Verlaufs behoben.

    CVE-ID

    CVE-2013-5150

  • Safari

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Das Betrachten von Dateien auf einer Website kann zu einer Skriptausführung führen, auch wenn der Server den Header "Content-Type: text/plain" sendet

    Beschreibung: Mobile Safari hat Dateien manchmal als HTML-Dateien behandelt, auch wenn der Server den Header "Content-Type: text/plain" gesendet hat. Dies kann bei Websites, die Benutzern das Hochladen von Dateien erlauben, zu Cross-Site-Scripting führen. Das Problem wurde durch eine verbesserte Verarbeitung der Dateien bei gesetztem "Content-Type: text/plain" behoben.

    CVE-ID

    CVE-2013-5151: Ben Toews von Github

  • Safari

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Der Besuch einer böswilligen Website kann zur Anzeige einer willkürlichen URL führen

    Beschreibung: In Mobile Safari bestand ein Spoofing-Problem mit der URL-Leiste. Das Problem wurde durch ein verbessertes URL-Tracking behoben.

    CVE-ID

    CVE-2013-5152: Keita Haga von keitahaga.com, Łukasz Pilorz von RBS

  • Sandbox

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Programme, bei denen es sich um Skripte handelt, wurden nicht in einer Sandbox ausgeführt

    Beschreibung: Bei Drittanbieterprogrammen, die die Syntax #! verwendeten, um ein Skript auszuführen, wurde eine Ausführung in der Sandbox basierend auf der Identität des Skript-Interpreters und nicht des Skripts durchgeführt. Für den Interpreter wurde möglicherweise keine Sandbox definiert, sodass das Programm nicht in einer Sandbox ausgeführt wurde. Dieses Problem wurde durch das Erstellen der Sandbox basierend auf der Identität des Skripts behoben.

    CVE-ID

    CVE-2013-5154: evad3rs

  • Sandbox

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Anwendungen können zu einem Aufhängen des Geräts führen

    Beschreibung: Böswillige Programme von Drittanbietern, die bestimmte Werte in das /dev/random-Gerät geschrieben haben, konnten die CPU in eine Endlosschleife zwingen. Dieses Problem wurde behoben, indem verhindert wird, dass Programme von Drittanbietern in /dev/random schreiben.

    CVE-ID

    CVE-2013-5155: CESG

  • Sozial

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Die kürzlich erfolgten Twitter-Aktivitäten eines Benutzers konnten auf Geräten ohne Code offengelegt werden.

    Beschreibung: Es bestand das Problem, dass ermittelt werden konnte, welche Twitter-Accounts ein Benutzer kürzlich verwendet hatte. Dieses Problem wurde durch Einschränkung des Zugriffs auf den Twitter-Symbol-Cache behoben.

    CVE-ID

    CVE-2013-5158: Jonathan Zdziarski

  • Springboard

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Eine Person mit physischem Zugang zu einem Gerät im Modus "Verloren" kann möglicherweise Benachrichtigungen sehen

    Beschreibung: Beim Umgang mit Benachrichtigungen bei Geräten im Modus "Verloren" bestand ein Problem. Diese Aktualisierung behebt das Problem durch eine verbesserte Sperrstatusverwaltung.

    CVE-ID

    CVE-2013-5153: Daniel Stangroom

  • Telefonie

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Böswillige Apps konnten die Telefonfunktion beeinträchtigen oder steuern

    Beschreibung: Im Telefonie-Subsystem gab es ein Problem mit der Zugriffssteuerung. Durch das Umgehen unterstützter APIs konnten Apps, die in einer Sandbox ausgeführt wurden, direkt Anfragen an einen System-Daemon stellen, der die Telefonfunktion beeinträchtigt oder steuert. Das Problem wurde durch eine Verstärkung der Zugriffskontrollen auf Schnittstellen behoben, die durch den Telefonie-Daemon offengelegt wurden.

    CVE-ID

    CVE-2013-5156: Jin Han vom Institute for Infocomm Research in Zusammenarbeit mit Qiang Yan und Su Mon Kywe der Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung und Wenke Lee vom Georgia Institute of Technology

  • Twitter

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Apps, die in einer Sandbox ausgeführt wurden, konnten ohne Interaktion oder Erlaubnis des Benutzers Tweets senden

    Beschreibung: Im Twitter-Subsystem kam es zu einem Problem mit der Zugriffssteuerung. Durch das Umgehen unterstützter APIs konnten Apps, die in einer Sandbox ausgeführt wurden, direkt Anfragen an einen System-Daemon stellen, der die Twitter-Funktion beeinträchtigt oder steuert. Das Problem wurde durch eine Verstärkung der Zugriffskontrollen auf Schnittstellen behoben, die durch den Twitter-Daemon offengelegt wurden.

    CVE-ID

    CVE-2013-5157: Jin Han vom Institute for Infocomm Research in Zusammenarbeit mit Qiang Yan und Su Mon Kywe der Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung und Wenke Lee vom Georgia Institute of Technology

  • WebKit

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: In WebKit gab es mehrere Speicherfehler. Diese Probleme wurden durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2013-0879: Atte Kettunen von OUSPG

    CVE-2013-0991: Jay Civelli von der Chromium-Entwicklergemeinde

    CVE-2013-0992: Google Chrome-Sicherheitsteam (Martin Barbella)

    CVE-2013-0993: Google Chrome-Sicherheitsteam (Inferno)

    CVE-2013-0994: David German von Google

    CVE-2013-0995: Google Chrome-Sicherheitsteam (Inferno)

    CVE-2013-0996: Google Chrome-Sicherheitsteam (Inferno)

    CVE-2013-0997: Vitaliy Toropov in Zusammenarbeit mit der HP Zero Day Initiative

    CVE-2013-0998: pa_kt in Zusammenarbeit mit der Zero Day Initiative von HP

    CVE-2013-0999: pa_kt in Zusammenarbeit mit der Zero Day Initiative von HP

    CVE-2013-1000: Fermin J. Serna vom Google-Sicherheitsteam

    CVE-2013-1001: Ryan Humenick

    CVE-2013-1002: Sergey Glazunov

    CVE-2013-1003: Google Chrome-Sicherheitsteam (Inferno)

    CVE-2013-1004: Google Chrome-Sicherheitsteam (Martin Barbella)

    CVE-2013-1005: Google Chrome-Sicherheitsteam (Martin Barbella)

    CVE-2013-1006: Google Chrome-Sicherheitsteam (Martin Barbella)

    CVE-2013-1007: Google Chrome-Sicherheitsteam (Inferno)

    CVE-2013-1008: Sergey Glazunov

    CVE-2013-1010: miaubiz

    CVE-2013-1037: Google Chrome-Sicherheitsteam

    CVE-2013-1038: Google Chrome-Sicherheitsteam

    CVE-2013-1039: own-hero Research in Zusammenarbeit mit iDefense VCP

    CVE-2013-1040: Google Chrome-Sicherheitsteam

    CVE-2013-1041: Google Chrome-Sicherheitsteam

    CVE-2013-1042: Google Chrome-Sicherheitsteam

    CVE-2013-1043: Google Chrome-Sicherheitsteam

    CVE-2013-1044: Apple

    CVE-2013-1045: Google Chrome-Sicherheitsteam

    CVE-2013-1046: Google Chrome-Sicherheitsteam

    CVE-2013-1047: miaubiz

    CVE-2013-2842: Cyril Cattiaux

    CVE-2013-5125: Google Chrome-Sicherheitsteam

    CVE-2013-5126: Apple

    CVE-2013-5127: Google Chrome-Sicherheitsteam

    CVE-2013-5128: Apple

  • WebKit

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Der Besuch einer böswilligen Website kann zur ungewollten Preisgabe von Informationen führen

    Beschreibung: Bei der Verarbeitung der API window.webkitRequestAnimationFrame() kam es zur Offenlegung von Informationen. Eine in böswilliger Absicht erstellte Website konnte mithilfe eines iframes ermitteln, ob eine andere Website window.webkitRequestAnimationFrame() verwendet hat. Dieses Problem wurde durch eine verbesserte Verarbeitung von window.webkitRequestAnimationFrame() behoben.

    CVE-ID

    CVE-2013-5159

  • WebKit

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Kopieren und Einfügen eines schädlichen HTML-Ausschnitts kann zu Cross-Site-Scripting-Angriffen führen.

    Beschreibung: Bei der Verarbeitung von kopierten und eingefügten Daten in HTML-Dokumenten bestand ein Cross-Site-Scripting-Problem. Dieses Problem wurde durch Ausführen einer zusätzlichen Validierung der eingefügten Inhalte behoben.

    CVE-ID

    CVE-2013-0926: Aditya Gupta, Subho Halder und Dev Kar von xys3c (xysec.com)

  • WebKit

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen

    Beschreibung: Bei der Verarbeitung von iframes lag ein Cross-Site-Scripting-Problem vor. Das Problem wurde durch eine verbesserte Herkunftsverfolgung behoben.

    CVE-ID

    CVE-2013-1012: Subodh Iyengar und Erling Ellingsen von Facebook

  • WebKit

    Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zur ungewollten Preisgabe von Daten führen

    Beschreibung: In XSSAuditor kam es zur Offenlegung von Informationen. Dieses Problem wurde durch eine verbesserte Verarbeitung von URLs behoben.

    CVE-ID

    CVE-2013-2848: Egor Homakov

  • WebKit

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Das Ziehen oder Einsetzen einer Auswahl kann zu einem Cross-Site-Scripting-Angriff führen

    Beschreibung: Beim Ziehen oder Einsetzen einer Auswahl von einer Site auf einer anderen können in dieser Auswahl enthaltene Skripte im Umfeld der neuen Site ausgeführt werden. Dieses Problem wird durch eine zusätzliche Validierung des Inhalts vor einem Ziehen-und-Einsetzen-Vorgang behoben.

    CVE-ID

    CVE-2013-5129: Mario Heiderich

  • WebKit

    Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen

    Beschreibung: Bei der Verarbeitung von URLs gab es ein Cross-Site-Scripting-Problem. Das Problem wurde durch eine verbesserte Herkunftsverfolgung behoben.

    CVE-ID

    CVE-2013-5131: Erling A Ellingsen

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: