Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 6.1.3

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 6.1.3.

Για την προστασία των πελατών μας, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει θέματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.

Για πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, διαβάστε το άρθρο "Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple".

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE, για την αναφορά σε συγκεκριμένες ευπάθειες για περαιτέρω πληροφόρηση.

Για να ενημερωθείτε σχετικά με άλλες ενημερώσεις ασφάλειας, διαβάστε το άρθρο "Ενημερώσεις ασφάλειας Apple".

iOS 6.1.3

• dyld

  Διατίθεται για: iPhone 3GS και νεότερα μοντέλα, iPod touch (4ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

  Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να εκτελεί κώδικα χωρίς υπογραφή

  Περιγραφή: Στον χειρισμό εκτελέσιμων αρχείων Mach-O με επικαλυπτόμενα τμήματα υπήρχε πρόβλημα διαχείρισης της κατάστασης. Αυτό το πρόβλημα αντιμετωπίστηκε με άρνηση φόρτωσης του εκτελέσιμου αρχείου με επικαλυπτόμενα τμήματα.

  Αναγνωριστικό CVE

  CVE-2013-0977 : evad3rs

• Πυρήνας

  Διατίθεται για: iPhone 3GS και νεότερα μοντέλα, iPod touch (4ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

  Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί ενδεχομένως να καθορίσει τη διεύθυνση των δομών στον πυρήνα

  Περιγραφή: Υπήρχε πρόβλημα αποκάλυψης πληροφοριών στο δείκτη χειρισμού ματαίωσης της προφόρτωσης ARM. Αυτό το πρόβλημα αντιμετωπίστηκε με την εμφάνιση ειδοποίησης όταν ο δείκτης χειρισμού ματαίωσης της προφόρτωσης δεν καλείται από ένα περιβάλλον ματαίωσης.

  Αναγνωριστικό CVE

  CVE-2013-0978 : evad3rs

• Κλείδωμα

  Διατίθεται για: iPhone 3GS και νεότερα μοντέλα, iPod touch (4ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

  Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να αλλάξει τα δικαιώματα σε αυθαίρετα αρχεία

  Περιγραφή: Κατά την επαναφορά από εφεδρικό αντίγραφο, το κλείδωμα άλλαξε τα δικαιώματα σε ορισμένα αρχεία, ακόμα και αν η διαδρομή στο αρχείο συμπεριλάμβανε συμβολικό σύνδεσμο. Αυτό το πρόβλημα αντιμετωπίστηκε με τη μη αλλαγή δικαιωμάτων σε αρχεία με συμβολικό σύνδεσμο στη διαδρομή τους.

  Αναγνωριστικό CVE

  CVE-2013-0979 : evad3rs

• Κλείδωμα συνθηματικού

  Διατίθεται για: iPhone 3GS και νεότερα μοντέλα, iPod touch (4ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

  Αποτέλεσμα: Ένα άτομο με φυσική πρόσβαση στη συσκευή μπορεί να παρακάμψει το κλείδωμα οθόνης

  Περιγραφή: Υπήρχε πρόβλημα λογικής στο χειρισμό των κλήσεων έκτακτης ανάγκης από την οθόνη κλειδώματος. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση της κατάστασης κλειδώματος.

  Αναγνωριστικό CVE

  CVE-2013-0980 : Christopher Heffley της Medium.ca, videosdebarraquito

• USB

  Διατίθεται για: iPhone 3GS και νεότερα μοντέλα, iPod touch (4ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

  Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα εκτέλεσης αυθαίρετου κώδικα στον πυρήνα

  Περιγραφή: Το πρόγραμμα οδήγησης IOUSBDeviceFamily χρησιμοποίησε δείκτες αντικειμένου διοχέτευσης που προήλθαν από το χώρο χρηστών (userspace). Αυτό το πρόβλημα αντιμετωπίστηκε με την εκτέλεση επιπρόσθετης επικύρωσης των δεικτών αντικειμένου διοχέτευσης.

  Αναγνωριστικό CVE

  CVE-2013-0981 : evad3rs

• WebKit

  Διατίθεται για: iPhone 3GS και νεότερα μοντέλα, iPod touch (4ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

  Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

  Περιγραφή: Υπήρξε πρόβλημα μη έγκυρης μετατροπής στο χειρισμό των αρχείων SVG. Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτίωση του ελέγχου τύπου.

  Αναγνωριστικό CVE

  CVE-2013-0912 : Ο Nils και ο Jon από την MWR Labs που συνεργάστηκαν με το πρόγραμμα HP TippingPoint's Zero Day Initiative