Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 7.1

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 7.1.

Για την προστασία των πελατών μας, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε την ιστοσελίδα της Ασφάλειας προϊόντων Apple.

Για πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, διαβάστε το άρθρο "Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple".

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE, για την αναφορά σε συγκεκριμένες ευπάθειες για περαιτέρω πληροφόρηση.

Για να ενημερωθείτε σχετικά με άλλες ενημερώσεις ασφάλειας, διαβάστε το άρθρο "Ενημερώσεις ασφάλειας Apple."

iOS 7.1

  • Εφεδρικά αντίγραφα

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένα κακόβουλο εφεδρικό αντίγραφο μπορεί να τροποποιήσει το σύστημα αρχείων

    Περιγραφή: Ένας συμβολικός σύνδεσμος σε ένα εφεδρικό αντίγραφο θα επαναφερόταν, επιτρέποντας σε επόμενες λειτουργίες κατά τη διάρκεια της επαναφοράς να κάνουν εγγραφή στο υπόλοιπο σύστημα αρχείων. Αυτό το πρόβλημα αντιμετωπίστηκε με έλεγχο για συμβολικούς συνδέσμους κατά τη διάρκεια της διαδικασίας επαναφοράς.

    Αναγνωριστικό CVE

    CVE-2013-5133 : evad3rs

  • Πολιτική αξιοπιστίας πιστοποιητικού

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Τα πιστοποιητικά ρίζας ενημερώθηκαν

    Περιγραφή: Αρκετά πιστοποιητικά προστέθηκαν στην λίστα των ριζών συστήματος ή αφαιρέθηκαν από αυτήν.

  • Προφίλ διαμόρφωσης

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Οι ημερομηνίες λήξης προφίλ δεν τηρήθηκαν

    Περιγραφή: Οι ημερομηνίες λήξης των προφίλ διαμόρφωσης κινητών συσκευών δεν υπολογίστηκαν σωστά. Το πρόβλημα επιλύθηκε μέσω βελτιωμένου χειρισμού των προφίλ διαμόρφωσης.

    Αναγνωριστικό CVE

    CVE-2014-1267

  • CoreCapture

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να προκαλέσει μη αναμενόμενο τερματισμό συστήματος

    Περιγραφή: Παρουσιάστηκε ένα πρόβλημα προσβάσιμου ισχυρισμού στο χειρισμό των κλήσεων API IOKit από το CoreCapture. Το πρόβλημα αντιμετωπίστηκε με πρόσθετη επαλήθευση των δεδομένων εισόδου από το IOKit.

    Αναγνωριστικό CVE

    CVE-2014-1271 : Filippo Bigarella

  • Αναφορά ολικών σφαλμάτων

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να αλλάξει τα δικαιώματα σε αυθαίρετα αρχεία

    Περιγραφή: Το CrashHouseKeeping ακολούθησε συμβολικούς συνδέσμους κατά την αλλαγή δικαιωμάτων σε αρχεία. Αυτό το πρόβλημα αντιμετωπίστηκε μη ακολουθώντας τους συμβολικούς συνδέσμους κατά την αλλαγή δικαιωμάτων σε αρχεία.

    Αναγνωριστικό CVE

    CVE-2014-1272 : evad3rs

  • dyld

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ενδέχεται να παρακαμφθούν οι προϋποθέσεις υπογραφής κώδικα

    Περιγραφή: Οι οδηγίες εκ νέου τοποθέτησης κειμένου σε δυναμικές βιβλιοθήκες ενδέχεται να φορτωθούν από το dyld χωρίς επικύρωση υπογραφής κώδικα. Αυτό το πρόβλημα αντιμετωπίστηκε αγνοώντας τις οδηγίες εκ νέου τοποθέτησης κειμένου.

    Αναγνωριστικό CVE

    CVE-2014-1273 : evad3rs

  • FaceTime

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας χρήστης με φυσική πρόσβαση στη συσκευή ενδέχεται να μπορεί να αποκτήσει πρόσβαση στις επαφές του FaceTime από την οθόνη κλειδώματος

    Περιγραφή: Οι επαφές του FaceTime σε μια κλειδωμένη συσκευή θα μπορούσαν να μείνουν εκτεθειμένες πραγματοποιώντας μια αποτυχημένη κλήση FaceTime από την οθόνη κλειδώματος. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των κλήσεων FaceTime.

    Αναγνωριστικό CVE

    CVE-2014-1274

  • ImageIO

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Η προβολή κακόβουλου αρχείου PDF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Υπήρχε υπερχείλιση buffer στο χειρισμό εικόνων JPEG2000 σε αρχεία PDF. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

    Αναγνωριστικό CVE

    CVE-2014-1275 : Felix Groebert της Ομάδας ασφάλειας της Google

  • ImageIO

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Η προβολή κακόβουλου αρχείου TIFF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Υπήρχε μια υπερχείλιση buffer στο χειρισμό των εικόνων TIFF από το libtiff. Αυτό το πρόβλημα αντιμετωπίστηκε με επιπλέον διαδικασίες επικύρωσης εικόνων TIFF.

    Αναγνωριστικό CVE

    CVE-2012-2088

  • ImageIO

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Η προβολή κακόβουλου αρχείου JPEG ενδέχεται να έχει ως αποτέλεσμα την αποκάλυψη των περιεχομένων της μνήμης

    Περιγραφή: Υπήρχε ένα πρόβλημα μη αρχικοποιημένης πρόσβασης σε μνήμη στο χειρισμό των δεικτών JPEG από το libjpeg, με αποτέλεσμα την αποκάλυψη των περιεχομένων μνήμης. Αυτό το πρόβλημα αντιμετωπίστηκε με επιπλέον διαδικασίες επικύρωσης των αρχείων JPEG.

    Αναγνωριστικό CVE

    CVE-2013-6629 : Michal Zalewski

  • Συμβάν HID IOKit

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να παρακολουθεί τις ενέργειες χρήστη σε άλλες εφαρμογές

    Περιγραφή: Μια διεπαφή στο πλαίσιο εργασίας IOKit επέτρεπε σε κακόβουλες εφαρμογές να παρακολουθούν τις ενέργειες χρήστη σε άλλες εφαρμογές. Αυτό το πρόβλημα αντιμετωπίστηκε με τη χρήση βελτιωμένων πολιτικών ελέγχου πρόσβασης στο πλαίσιο εργασίας.

    Αναγνωριστικό CVE

    CVE-2014-1276 : Min Zheng, Hui Xue και Dr. Tao (Lenx) Wei της FireEye

  • iTunes Store

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας ενδιάμεσος εισβολέας ενδέχεται να παρασύρει έναν χρήστη, ώστε να κάνει λήψη μιας κακόβουλης εφαρμογής μέσω του Enterprise App Download

    Περιγραφή: Ένας εισβολέας με προνομιακή θέση στο δίκτυο θα μπορούσε να παραποιήσει τις επικοινωνίες δικτύου, για να παρασύρει έναν χρήστη, ώστε να κάνει λήψη μιας κακόβουλης εφαρμογής. Αυτό το πρόβλημα αντιμετωπίστηκε με τη χρήση SSL και την υποβολή ερωτήματος στο χρήστη κατά τις ανακατευθύνσεις διεύθυνσης URL.

    Αναγνωριστικό CVE

    CVE-2013-3948 : Stefan Esser

  • Πυρήνας

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να έχει τη δυνατότητα να προκαλέσει μη αναμενόμενο τερματισμό του συστήματος ή αυθαίρετη εκτέλεση κώδικα στον πυρήνα

    Περιγραφή: Υπήρχε ένα πρόβλημα πρόσβασης σε μνήμη εκτός ορίων στη συνάρτηση ARM ptmx_get_ioctl. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

    Αναγνωριστικό CVE

    CVE-2014-1278 : evad3rs

  • Office Viewer

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου εγγράφου Microsoft Word ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Υπήρχε ένα πρόβλημα σφάλματος τύπου "double free" στο χειρισμό των εγγράφων Microsoft Word. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

    Αναγνωριστικό CVE

    CVE-2014-1252 : Felix Groebert της Ομάδας ασφάλειας της Google

  • Παρασκήνιο εφαρμογής Φωτογραφίες

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Οι διαγραμμένες εικόνες ενδέχεται να συνεχίσουν να εμφανίζονται στην εφαρμογή Φωτογραφίες, κάτω από διαφανείς εικόνες

    Περιγραφή: Με τη διαγραφή μιας εικόνας από τη βιβλιοθήκη πόρων δεν διαγράφονταν οι εκδόσεις της εικόνας στη μνήμη cache. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση της μνήμης cache.

    Αναγνωριστικό CVE

    CVE-2014-1281 : Walter Hoelblinger της Hoelblinger.com, Morgan Adams, Tom Pennington

  • Προφίλ

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένα προφίλ διαμόρφωσης ενδέχεται να είναι κρυφό από το χρήστη

    Περιγραφή: Ένα προφίλ διαμόρφωσης με μεγάλο όνομα μπορούσε να φορτωθεί στη συσκευή, αλλά δεν εμφανιζόταν στο περιβάλλον χρήστη του προφίλ. Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των ονομάτων προφίλ.

    Αναγνωριστικό CVE

    CVE-2014-1282 : Assaf Hefetz, Yair Amit και Adi Sharabani της Skycure

  • Safari

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Τα διαπιστευτήρια χρήστη ενδέχεται να αποκαλυφθούν σε έναν μη αναμενόμενο ιστότοπο μέσω αυτόματης συμπλήρωσης

    Περιγραφή: Το Safari ενδέχεται να έχει συμπληρώσει αυτόματα ονόματα χρήστη και συνθηματικά σε ένα δευτερεύον πλαίσιο από έναν διαφορετικό τομέα, αντί για το κύριο πλαίσιο. Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτίωση του εντοπισμού προέλευσης.

    Αναγνωριστικό CVE

    CVE-2013-5227 : Niklas Malmgren της Klarna AB

  • Ρυθμίσεις - Λογαριασμοί

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας χρήστης με φυσική πρόσβαση στη συσκευή ενδέχεται να μπορεί να απενεργοποιήσει την Εύρεση iPhone, χωρίς να εισαγάγει συνθηματικό iCloud

    Περιγραφή: Υπήρχε ένα πρόβλημα διαχείρισης κατάστασης στο χειρισμό της κατάστασης της Εύρεσης iPhone. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό της κατάστασης της Εύρεσης iPhone.

    Αναγνωριστικό CVE

    CVE-2014-2019

  • Αφετηρία

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας χρήστης με φυσική πρόσβαση στη συσκευή ενδέχεται να μπορεί να δει την οθόνη αφετηρίας της συσκευής, ακόμη και αν η συσκευή δεν έχει ενεργοποιηθεί

    Περιγραφή: Ένας μη αναμενόμενος τερματισμός της εφαρμογής κατά την ενεργοποίηση θα μπορούσε να έχει ως αποτέλεσμα την εμφάνιση της οθόνης αφετηρίας. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό σφαλμάτων κατά την ενεργοποίηση.

    Αναγνωριστικό CVE

    CVE-2014-1285 : Roboboi99

  • Οθόνη κλειδώματος Αφετηρίας

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να επηρεάσει την οθόνη κλειδώματος, ώστε να μην αποκρίνεται

    Περιγραφή: Υπήρχε ένα πρόβλημα διαχείρισης κατάστασης στην οθόνη κλειδώματος. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

    Αναγνωριστικό CVE

    CVE-2014-1286 : Bogdan Alecu της M-sec.net

  • Πλαίσιο εργασίας TelephonyUI

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια ιστοσελίδα μπορούσε να ενεργοποιήσει μια κλήση ήχου FaceTime χωρίς αλληλεπίδραση χρήστη

    Περιγραφή: Το Safari δεν ενημέρωνε το χρήστη πριν από την εκτέλεση διευθύνσεων URL facetime-audio://. Αυτό το πρόβλημα αντιμετωπίστηκε με την προσθήκη ενός ερωτήματος επιβεβαίωσης.

    Αναγνωριστικό CVE

    CVE-2013-6835 : Guillaume Ross

  • Κεντρική υπηρεσία USB

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας χρήστης με φυσική πρόσβαση στη συσκευή ενδέχεται να έχει τη δυνατότητα να προκαλέσει αυθαίρετη εκτέλεση κώδικα στη λειτουργία πυρήνα

    Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης μνήμης στο χειρισμό μηνυμάτων USB. Το πρόβλημα αντιμετωπίστηκε με επιπλέον διαδικασίες επικύρωσης των μηνυμάτων USB.

    Αναγνωριστικό CVE

    CVE-2014-1287 : Andy Davis του NCC Group

  • Πρόγραμμα οδήγησης βίντεο

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Η αναπαραγωγή ενός κακόβουλου βίντεο μπορούσε να έχει ως αποτέλεσμα να μην αποκρίνεται η συσκευή

    Περιγραφή: Υπήρχε ένα πρόβλημα διακοπής αναφοράς null στο χειρισμό αρχείων με κωδικοποίηση MPEG-4. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

    Αναγνωριστικό CVE

    CVE-2014-1280 : rg0rd

  • WebKit

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Στο WebKit υπήρχαν πολλά προβλήματα αλλοίωσης της μνήμης. Αυτά τα προβλήματα αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

    Αναγνωριστικό CVE

    CVE-2013-2909 : Atte Kettunen του OUSPG

    CVE-2013-2926 : cloudfuzzer

    CVE-2013-2928 : Ομάδα ασφάλειας Google Chrome

    CVE-2013-5196 : Ομάδα ασφάλειας Google Chrome

    CVE-2013-5197 : Ομάδα ασφάλειας Google Chrome

    CVE-2013-5198 : Apple

    CVE-2013-5199 : Apple

    CVE-2013-5225 : Ομάδα ασφάλειας Google Chrome

    CVE-2013-5228 : Keen Team (@K33nTeam) σε συνεργασία με το πρόγραμμα Zero Day Initiative της HP

    CVE-2013-6625 : cloudfuzzer

    CVE-2013-6635 : cloudfuzzer

    CVE-2014-1269 : Apple

    CVE-2014-1270 : Apple

    CVE-2014-1289 : Apple

    CVE-2014-1290 : ant4g0nist (SegFault) σε συνεργασία με το πρόγραμμα Zero Day Initiative της HP, Ομάδα ασφάλειας Google Chrome, Lee Wang Hao σε συνεργασία με τον S.P.T. Krishnan από το Τμήμα ασφάλειας της Infocomm, Institute for Infocomm Research

    CVE-2014-1291 : Ομάδα ασφάλειας Google Chrome

    CVE-2014-1292 : Ομάδα ασφάλειας Google Chrome

    CVE-2014-1293 : Ομάδα ασφάλειας Google Chrome

    CVE-2014-1294 : Ομάδα ασφάλειας Google Chrome

Το FaceTime δεν είναι διαθέσιμο σε όλες τις χώρες ή περιοχές.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: