Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 7.1.2

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 7.1.2.

Για την προστασία των πελατών μας, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει θέματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.

Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple.

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE, για την αναφορά σε συγκεκριμένες ευπάθειες για περαιτέρω πληροφόρηση.

Για να ενημερωθείτε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο Ενημερώσεις ασφάλειας Apple.

iOS 7.1.2

  • Πολιτική αξιοπιστίας πιστοποιητικού

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ενημέρωση στην πολιτική αξιοπιστίας πιστοποιητικού

    Περιγραφή: Γινόταν ενημέρωση της πολιτικής αξιοπιστίας πιστοποιητικού. Η πλήρης λίστα πιστοποιητικών είναι διαθέσιμη στη διεύθυνση http://support.apple.com/kb/HT5012?viewlocale=el_GR.

  • CoreGraphics

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου XBM ενδέχεται να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Υπήρχε ένα θέμα εκχώρησης μη δεσμευμένης στοίβας στο χειρισμό των αρχείων XBM. Αυτό το θέμα αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

    Αναγνωριστικό CVE

    CVE-2014-1354 : Dima Kovalenko του codedigging.com

  • Πυρήνας

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια εφαρμογή θα μπορούσε να προκαλέσει μη αναμενόμενη επανεκκίνηση της συσκευής

    Περιγραφή: Υπήρχε ένα θέμα διακοπής αναφοράς κενού δείκτη στο χειρισμό των ορισμάτων του API IOKit. Αυτό το θέμα αντιμετωπίστηκε με πρόσθετη επαλήθευση των ορισμάτων API του IOKit.

    Αναγνωριστικό CVE

    CVE-2014-1355 : cunzhang από το Adlab του Venustech

  • launchd

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

    Περιγραφή: Υπήρχε υπερχείλιση buffer σωρού στο χειρισμό των μηνυμάτων IPC από το launchd. Αυτό το θέμα αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

    Αναγνωριστικό CVE

    CVE-2014-1356 : Ian Beer του Google Project Zero

  • launchd

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

    Περιγραφή: Υπήρχε υπερχείλιση buffer σωρού στο χειρισμό των μηνυμάτων αρχείου καταγραφής από το launchd. Αυτό το θέμα αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

    Αναγνωριστικό CVE

    CVE-2014-1357 : Ian Beer του Google Project Zero

  • launchd

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

    Περιγραφή: Υπήρχε μια υπερχείλιση ακεραίων στο launchd. Αυτό το θέμα αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

    Αναγνωριστικό CVE

    CVE-2014-1358 : Ian Beer του Google Project Zero

  • launchd

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

    Περιγραφή: Υπήρχε μια υποχείλιση ακεραίων στο launchd. Αυτό το θέμα αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

    Αναγνωριστικό CVE

    CVE-2014-1359 : Ian Beer του Google Project Zero

  • Κλείδωμα

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας εισβολέας που επεξεργάζεται μια συσκευή iOS ενδέχεται να μπορεί να παρακάμψει το Κλείδωμα ενεργοποίησης

    Περιγραφή: Κατά την ενεργοποίηση των συσκευών, οι συσκευές εκτελούσαν ελέγχους χωρίς να τους ολοκληρώσουν, κάτι το οποίο επέτρεπε σε κακόβουλους χρήστες να παρακάμψουν μερικώς το Κλείδωμα ενεργοποίησης. Αυτό το θέμα αντιμετωπίστηκε από την πλευρά του υπολογιστή-πελάτη με πρόσθετη επαλήθευση των δεδομένων που λαμβάνονται από διακομιστές ενεργοποίησης.

    Αναγνωριστικό CVE

    CVE-2014-1360

  • Οθόνη κλειδώματος

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας εισβολέας με μια συσκευή στην κατοχή του μπορεί να υπερβεί τον μέγιστο αριθμό αποτυχημένων προσπαθειών εισαγωγής συνθηματικού

    Περιγραφή: Υπό ορισμένες συνθήκες, δεν επιβαλλόταν το όριο αποτυχημένων προσπαθειών εισαγωγής συνθηματικού. Αυτό το θέμα αντιμετωπίστηκε με πρόσθετη επιβολή αυτού του ορίου.

    Αναγνωριστικό CVE

    CVE-2014-1352 : mblsec

  • Οθόνη κλειδώματος

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένα άτομο με φυσική πρόσβαση σε μια κλειδωμένη συσκευή ενδέχεται να μπορεί να αποκτήσει πρόσβαση στην εφαρμογή που ήταν στο προσκήνιο πριν το κλείδωμα

    Περιγραφή: Υπήρχε ένα θέμα διαχείρισης κατάστασης στο χειρισμό της κατάστασης τηλεφωνίας κατά τη διάρκεια της Λειτουργίας πτήσης. Αυτό το θέμα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης κατά τη διάρκεια της Λειτουργίας πτήσης.

    Αναγνωριστικό CVE

    CVE-2014-1353

  • Mail

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μπορεί να γίνει εξαγωγή συνημμένων του Mail από ένα iPhone 4

    Περιγραφή: Η προστασία δεδομένων δεν ήταν ενεργοποιημένη για τα συνημμένα ηλεκτρονικού ταχυδρομείου, επιτρέποντας την ανάγνωσή τους από έναν εισβολέα με φυσική πρόσβαση στη συσκευή. Αυτό το θέμα αντιμετωπίστηκε αλλάζοντας την κλάση κρυπτογράφησης των συνημμένων ηλεκτρονικού ταχυδρομείου.

    Αναγνωριστικό CVE

    CVE-2014-1348 : Andreas Kurtz του NESO Security Labs

  • Safari

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Υπήρχε ένα θέμα χρήσης ύστερα από αποδέσμευση στο χειρισμό μη έγκυρων διευθύνσεων URL από το Safari. Αυτό το θέμα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

    Αναγνωριστικό CVE

    CVE-2014-1349 : Reno Robert και Dhanesh Kizhakkinan

  • Ρυθμίσεις

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας χρήστης με φυσική πρόσβαση στη συσκευή ενδέχεται να μπορεί να απενεργοποιήσει την Εύρεση iPhone, χωρίς να εισάγει συνθηματικό iCloud

    Περιγραφή: Υπήρχε ένα θέμα διαχείρισης κατάστασης στο χειρισμό της κατάστασης της Εύρεσης iPhone. Αυτό το θέμα αντιμετωπίστηκε με βελτιωμένο χειρισμό της κατάστασης της Εύρεσης iPhone.

    Αναγνωριστικό CVE

    CVE-2014-1350

  • Ασφαλής μεταβίβαση

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Δύο byte μη προετοιμασμένης μνήμης θα μπορούσαν να αποκαλυφθούν σε έναν απομακρυσμένο εισβολέα

    Περιγραφή: Υπήρχε ένα θέμα μη προετοιμασμένης μνήμης στο χειρισμό των μηνυμάτων DTLS σε μια σύνδεση TLS. Αυτό το θέμα αντιμετωπίστηκε με την αποδοχή μόνο των μηνυμάτων DTLS σε μια σύνδεση DTLS.

    Αναγνωριστικό CVE

    CVE-2014-1361 : Thijs Alkemade του The Adium Project

  • Siri

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad (3ης γενιάς) και νεότερα μοντέλα

    Αποτέλεσμα: Ένα άτομο με φυσική πρόσβαση στο τηλέφωνο ενδέχεται να μπορεί να προβάλει όλες τις επαφές

    Περιγραφή: Αν μια ερώτηση προς το Siri αναφέρεται σε μία επαφή, το Siri εμφανίζει μια λίστα πιθανών επιλογών καθώς και την επιλογή "Περισσότερα..." για μια πλήρη λίστα επαφών. Όταν γινόταν χρήση του Siri στην οθόνη κλειδώματος, δεν απαιτούσε το συνθηματικό πριν την προβολή της πλήρους λίστας επαφών. Αυτό το θέμα αντιμετωπίστηκε απαιτώντας το συνθηματικό.

    Αναγνωριστικό CVE

    CVE-2014-1351 : Sherif Hashim

  • WebKit

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Υπήρχαν πολλαπλά ζητήματα αλλοίωσης μνήμης στο WebKit. Αυτά τα ζητήματα αντιμετωπίστηκαν με βελτιωμένη διαχείριση της μνήμης.

    Αναγνωριστικό CVE

    CVE-2013-2875 : miaubiz

    CVE-2013-2927 : cloudfuzzer

    CVE-2014-1323 : banty

    CVE-2014-1325 : Apple

    CVE-2014-1326 : Apple

    CVE-2014-1327 : Ομάδα ασφάλειας του Google Chrome, Apple

    CVE-2014-1329 : Ομάδα ασφάλειας του Google Chrome

    CVE-2014-1330 : Ομάδα ασφάλειας του Google Chrome

    CVE-2014-1331 : cloudfuzzer

    CVE-2014-1333 : Ομάδα ασφάλειας του Google Chrome

    CVE-2014-1334 : Apple

    CVE-2014-1335 : Ομάδα ασφάλειας του Google Chrome

    CVE-2014-1336 : Apple

    CVE-2014-1337 : Apple

    CVE-2014-1338 : Ομάδα ασφάλειας του Google Chrome

    CVE-2014-1339 : Atte Kettunen του OUSPG

    CVE-2014-1341 : Ομάδα ασφάλειας του Google Chrome

    CVE-2014-1342 : Apple

    CVE-2014-1343 : Ομάδα ασφάλειας του Google Chrome

    CVE-2014-1362 : Apple, miaubiz

    CVE-2014-1363 : Apple

    CVE-2014-1364 : Apple

    CVE-2014-1365 : Apple, Ομάδα ασφάλειας του Google Chrome

    CVE-2014-1366 : Apple

    CVE-2014-1367 : Apple

    CVE-2014-1368 : Wushi του Keen Team (Ομάδα Έρευνας του Keen Cloud Tech)

    CVE-2014-1382 : Renata Hodovan του Πανεπιστημίου του Szeged / Samsung Electronics

    CVE-2014-1731 : ένα ανώνυμο μέλος της κοινότητας ανάπτυξης Blink

  • WebKit

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας κακόβουλος ιστότοπος μπορεί να αποστείλει μηνύματα σε ένα συνδεδεμένο πλαίσιο ή παράθυρο με τρόπο που θα μπορούσε να παρακάμψει τον έλεγχο προέλευσης του παραλήπτη

    Περιγραφή: Υπήρχε ένα θέμα κωδικοποίησης στο χειρισμό των χαρακτήρων unicode σε διευθύνσεις URL. Μια κακόβουλη διεύθυνση URL θα μπορούσε να προκαλέσει την αποστολή μιας εσφαλμένης προέλευσης postMessage. Αυτό το θέμα αντιμετωπίστηκε με βελτιωμένη κρυπτογράφηση/αποκρυπτογράφηση.

    Αναγνωριστικό CVE

    CVE-2014-1346 : Erling Ellingsen του Facebook

  • WebKit

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να μπορεί να πλαστογραφήσει το όνομα τομέα του στη γραμμή διευθύνσεων

    Περιγραφή: Υπήρχε θέμα πλαστογράφησης στο χειρισμό των διευθύνσεων URL. Αυτό το θέμα αντιμετωπίστηκε με βελτιωμένη κρυπτογράφηση των διευθύνσεων URL.

    Αναγνωριστικό CVE

    CVE-2014-1345 : Erling Ellingsen του Facebook

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Υπάρχουν κίνδυνοι στη χρήση του Διαδικτύου. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες. Οι επωνυμίες άλλων εταιρειών και προϊόντων ενδέχεται να είναι εμπορικά σήματα των αντίστοιχων κατόχων τους.

Ημερομηνία δημοσίευσης: