Informationen zum Sicherheitsinhalt von iOS 7.1
In diesem Dokument wird der Sicherheitsinhalt von iOS 7.1 beschrieben.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.
Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.
iOS 7.1
Backup
Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer
Auswirkung: Ein in böswilliger Absicht erstelltes Backup könnte das Dateisystem verändern
Beschreibung: Ein symbolischer Link in einem Backup würde wiederhergestellt werden und damit nachfolgenden Vorgängen während der Wiederherstellung gestatten, dem Rest des Dateisystems Dateien hinzuzufügen. Dieses Problem wurde behoben, indem während des Wiederherstellungsvorgangs nach symbolischen Links gesucht wird.
CVE-ID
CVE-2013-5133: evad3rs
Richtlinie für vertrauenswürdige Zertifikate
Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer
Auswirkung: Root-Zertifikate wurden aktualisiert
Beschreibung: Bestimmte Zertifikate wurden zur Liste der System-Roots hinzugefügt oder daraus entfernt.
Konfigurationsprofile
Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer
Auswirkung: Profil-Ablaufdaten wurden nicht berücksichtigt
Beschreibung: Ablaufdaten der mobilen Konfigurationsprofile wurden nicht korrekt analysiert. Dieses Problem wurde durch eine verbesserte Verarbeitung dieser Konfigurationsprofile behoben.
CVE-ID
CVE-2014-1267
CoreCapture
Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer
Auswirkung: Ein Schadprogramm kann einen unerwarteten Systemabbruch verursachen
Beschreibung: Bei der Verarbeitung von IOKit-API-Aufrufen durch CoreCapture bestand ein Problem mit einer erreichbaren Zusicherung. Das Problem wurde durch eine zusätzliche Überprüfung der Eingabe durch IOKit behoben.
CVE-ID
CVE-2014-1271: Filippo Bigarella
Berichterstellung bei Abstürzen
Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer
Auswirkung: Ein lokaler Benutzer könnte die Zugriffsberechtigungen beliebiger Dateien ändern.
Beschreibung: CrashHouseKeeping folgte beim Ändern der Zugriffsrechte für Dateien symbolischen Links. Dieses Problem wurde behoben, indem beim Ändern der Zugriffsrechte für Dateien keinen symbolischen Links gefolgt wurde.
CVE-ID
CVE-2014-1272: evad3rs
dyld
Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer
Auswirkung: Aufforderungen zur Code-Signierung könnten umgangen werden
Beschreibung: Anweisungen zur Verschiebung von Texten in dynamische Bibliotheken wurden möglicherweise von dyld geladen, ohne dass eine Validierung der Code-Signatur erfolgte. Dieses Problem wurde behoben, indem die Anweisungen zur Verschiebung von Texten ignoriert werden.
CVE-ID
CVE-2014-1273: evad3rs
FaceTime
Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer
Auswirkung: Eine Person mit physischem Zugang zum Gerät könnte vom Sperrbildschirm aus auf FaceTime-Kontakte zugreifen
Beschreibung: FaceTime-Kontakte auf einem gesperrten Gerät waren durch einen fehlgeschlagenen FaceTime-Anruf vom Sperrbildschirm aus zugänglich. Dieses Problem wurde durch eine verbesserte Verarbeitung der FaceTime-Anrufe behoben.
CVE-ID
CVE-2014-1274
ImageIO
Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer
Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von JPEG2000-Bildern in PDF-Dateien existierte ein Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-1275: Felix Groebert vom Google-Sicherheitsteam
ImageIO
Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer
Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten TIFF-Datei könnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Die Verarbeitung von TIFF-Bildern durch libtiff konnte zu einem Pufferüberlauf führen. Dieses Problem wurde durch eine zusätzliche Validierung von TIFF-Bildern behoben.
CVE-ID
CVE-2012-2088
ImageIO
Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer
Auswirkung: Die Anzeige einer in böswilliger Absicht erstellten JPEG-Datei könnte zur Preisgabe von Speicherinhalten führen
Beschreibung: Bei der Verarbeitung von JPEG-Markern in libjpeg gab es ein Problem mit einem nicht initialisierten Speicherzugriff, das zur Preisgabe von Speicherinhalten führte. Dieses Problem wurde durch eine zusätzliche Validierung von JPEG-Dateien behoben.
CVE-ID
CVE-2013-6629: Michal Zalewski
IOKit HID-Ereignis
Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer
Auswirkung: Ein Schadprogramm könnte Benutzeraktivitäten in anderen Apps überwachen
Beschreibung: Eine Oberfläche im IOKit Framework erlaubte Schadprogrammen, Benutzeraktivitäten in anderen Apps zu überwachen. Dieses Problem wurde durch eine verbesserte Zugriffskontrolle im Framework behoben.
CVE-ID
CVE-2014-1276: Min Zheng, Hui Xue und Dr. Tao (Lenx) Wei, FireEye
iTunes Store
Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer
Auswirkung: Ein Man-in-the-Middle-Angreifer könnte einen Benutzer dazu verleiten, ein Schadprogramm über Enterprise App Download zu laden
Beschreibung: Ein Angreifer in einer privilegierten Netzwerkposition konnte eine Netzwerkkommunikation vortäuschen, um einen Benutzer dazu zu verleiten, ein Schadprogramm zu laden. Dieses Problem wurde durch die Verwendung von SSL und Eingabeaufforderungen an den Benutzer während URL-Umleitungen entschärft.
CVE-ID
CVE-2013-3948: Stefan Esser
Kernel
Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer
Auswirkung: Ein lokaler Benutzer kann möglicherweise einen unerwarteten Systemabbruch oder die Ausführung willkürlichen Codes im Kernel verursachen.
Beschreibung: In der ARM ptmx_get_ioctl-Funktion gab es ein Problem mit grenzüberschreitendem Speicherzugriff. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-1278: evad3rs
Office Viewer
Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer
Auswirkung: Das Öffnen eines in böswilliger Absicht erstellten Microsoft Word-Dokuments könnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von Microsoft Word-Dokumenten kam es zu einem Double-Free-Problem. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2014-1252: Felix Groebert vom Google-Sicherheitsteam
Fotos-Backend
Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer
Auswirkung: Gelöschte Bilder könnten immer noch in der Fotos-App unter transparenten Bildern erscheinen
Beschreibung: Durch das Löschen eines Bildes aus der Mediathek wurden die zwischengespeicherten Versionen des Bildes nicht gelöscht. Dieses Problem wurde durch eine verbesserte Verwaltung des Zwischenspeichers behoben.
CVE-ID
CVE-2014-1281: Walter Hoelblinger von Hoelblinger.com, Morgan Adams, Tom Pennington
Profile
Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer
Auswirkung: Ein Konfigurationsprofil könnte für den Benutzer nicht sichtbar sein
Beschreibung: Ein Konfigurationsprofil mit langem Namen konnte auf das Gerät geladen worden sein, wurde jedoch nicht in der Profil-Benutzeroberfläche angezeigt. Dieses Problem wurde durch eine verbesserte Verarbeitung von Profilnamen behoben.
CVE-ID
CVE-2014-1282: Assaf Hefetz, Yair Amit und Adi Sharabani von Skycure
Safari
Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer
Auswirkung: Anmeldedaten könnten über die automatische Füllfunktion einer unerwarteten Seite offengelegt werden
Beschreibung: Safari konnte Benutzernamen und Passwörter mit der automatischen Füllfunktion in einen Subframe eingegeben haben, der zu einer anderen Domäne gehört als der Hauptframe. Das Problem wurde durch eine verbesserte Herkunftsverfolgung behoben.
CVE-ID
CVE-2013-5227: Niklas Malmgren von Klarna AB
Einstellungen – Accounts
Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer
Auswirkung: Eine Person mit physischem Zugang zum Gerät kann "Mein iPhone suchen" deaktivieren, ohne dafür ein iCloud-Passwort eingeben zu müssen
Beschreibung: Es lag ein Statusverwaltungsproblem bei der Verarbeitung des "Mein iPhone suchen"-Status vor. Dieses Problem wurde durch eine verbesserte Verarbeitung des "Mein iPhone suchen"-Status behoben.
CVE-ID
CVE-2014-2019
Springboard
Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer
Auswirkung: Eine Person mit physischem Zugang zum Gerät könnte den Home-Bildschirm des Geräts sehen, selbst wenn das Gerät nicht aktiviert wurde
Beschreibung: Ein unerwarteter Programmabbruch während der Aktivierung konnte bewirken, dass das Gerät den Home-Bildschirm anzeigt. Dieses Problem wurde durch eine verbesserte Fehlerverarbeitung während der Aktivierung behoben.
CVE-ID
CVE-2014-1285: Roboboi99
SpringBoard-Sperrbildschirm
Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer
Auswirkung: Ein entfernter Angreifer könnte bewirken, dass der Sperrbildschirm nicht mehr reagiert
Beschreibung: Es existierte ein Zustandsverwaltungsproblem im Sperrbildschirm. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-ID
CVE-2014-1286: Bogdan Alecu von M-sec.net
TelephonyUI Framework
Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer
Auswirkung: Eine Webseite könnte ein FaceTime-Audiogespräch ohne Interaktion des Benutzers auslösen
Beschreibung: Safari hat den Benutzer vor dem Aufrufen eines FaceTime-Audio-Links nicht gefragt. Dieses Problem wurde durch das Hinzufügen einer Bestätigungsaufforderung behoben.
CVE-ID
CVE-2013-6835: Guillaume Ross
USB-Host
Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer
Auswirkung: Eine Person mit physischem Zugang zum Gerät könnte im Kernel-Modus die Ausführung willkürlichen Codes verursachen
Beschreibung: Bei der Verarbeitung von USB-Meldungen kam es zu einem Speicherfehler. Dieses Problem wurde durch eine zusätzliche Validierung von USB-Meldungen behoben.
CVE-ID
CVE-2014-1287: Andy Davis von der NCC Group
Grafiktreiber
Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer
Auswirkung: Das Abspielen einer in böswilliger Absicht erstellten Videodatei könnte dazu führen, dass das Gerät nicht mehr reagiert
Beschreibung: Bei der Verarbeitung von MPEG-4-codierten Dateien existierte ein Problem mit einem Nullverweis. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.
CVE-ID
CVE-2014-1280: rg0rd
WebKit
Verfügbar für: iPhone 4 und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer
Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: In WebKit gab es mehrere Speicherfehler. Diese Probleme wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2013-2909: Atte Kettunen von OUSPG
CVE-2013-2926: cloudfuzzer
CVE-2013-2928: Google Chrome-Sicherheitsteam
CVE-2013-5196: Google Chrome-Sicherheitsteam
CVE-2013-5197: Google Chrome-Sicherheitsteam
CVE-2013-5198: Apple
CVE-2013-5199: Apple
CVE-2013-5225: Google Chrome-Sicherheitsteam
CVE-2013-5228: Keen Team (@K33nTeam) in Zusammenarbeit mit der HP Zero Day Initiative
CVE-2013-6625: cloudfuzzer
CVE-2013-6635: cloudfuzzer
CVE-2014-1269: Apple
CVE-2014-1270: Apple
CVE-2014-1289: Apple
CVE-2014-1290: ant4g0nist (SegFault) in Zusammenarbeit mit der HP Zero Day Initiative, Google Chrome Security Team, Lee Wang Hao in Zusammenarbeit mit S.P.T. Krishnan des Infocomm Security Department, Institute for Infocomm Research
CVE-2014-1291: Google Chrome-Sicherheitsteam
CVE-2014-1292: Google Chrome-Sicherheitsteam
CVE-2014-1293: Google Chrome-Sicherheitsteam
CVE-2014-1294: Google Chrome-Sicherheitsteam
FaceTime ist nicht in allen Ländern und Regionen verfügbar.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.