Tietoja iOS 7:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan iOS 7:n turvallisuussisällöstä.
Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
iOS 7
Certificate Trust Policy
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: juurivarmenteet on päivitetty.
Kuvaus: järjestelmän juurivarmennelistaan on lisätty useita varmenteita tai siitä on poistettu useita varmenteita.
FontParser
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: haitallisen PDF-tiedoston katsominen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: PDF-tiedostojen JBIG2-koodattujen tietojen käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu lisäämällä rajojen tarkistuksia.
CVE-ID
CVE-2013-1025: Felix Groebert (Google Security Team)
CoreMedia
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: haitallisen elokuvatiedoston toistaminen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: Sorenson-koodattujen elokuvatiedostojen käsittelyssä oli puskurin ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2013-1019: HP:n Zero Day Initiativen parissa työskentelevät Tom Gallagher (Microsoft) ja Paul Bates (Microsoft)
Data Protection
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: apit saattoivat ohittaa pääsykoodiyrityksiä koskevat rajoitukset.
Kuvaus: Tietojen suojauksessa oli käyttöoikeuksien erottamisongelma. Kolmannen osapuolen eristyksessä oleva appi saattoi yrittää toistuvasti määrittää käyttäjän pääsykoodin riippumatta käyttäjän Poista tiedot ‑asetuksesta. Ongelma on ratkaistu vaatimalla ylimääräisiä oikeustarkistuksia.
CVE-ID
CVE-2013-0957: Jin Han (Institute for Infocomm Research) yhteistyössä Qiang Yanin ja Su Mon Kywen (Singapore Management University) kanssa
Data Security
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi kaapata käyttäjän tunnistetiedot tai muita arkaluonteisia tietoja.
Kuvaus: Luotettu juurivarmenteiden myöntäjä TrustWave on myöntänyt ja myöhemmin kumonnut alivarmenteen yhdestä sen luotetuista ankkureista. Alivarmenne mahdollisti TLS (Transport Layer Security) -suojatun tietoliikenteen kaappaamisen. Tässä päivityksessä kyseinen alivarmenne lisättiin OS X:n ei-luotettujen varmenteiden luetteloon.
CVE-ID
CVE-2013-5134
dyld
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: mielivaltaisen koodin suorituksen laitteeseen asentanut hyökkääjä saattoi pystyä jatkamaan koodin suorittamista uudelleenkäynnistyksestä toiseen.
Kuvaus: dyldin openSharedCacheFile()-funktiossa oli useita puskurin ylivuotoja. Ongelmat on ratkaistu parannetulla rajojen tarkistamisella.
CVE-ID
CVE-2013-3950: Stefan Esser
FontParser
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: hyökkääjä, joka pystyi asentamaan muun kuin HFS-tiedostojärjestelmän, saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernel-käyttöoikeuksilla.
Kuvaus: AppleDouble-tiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu poistamalla AppleDouble-tiedostojen tuki.
CVE-ID
CVE-2013-3955: Stefan Esser
ImageIO
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: haitallisen PDF-tiedoston katsominen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: PDF-tiedostojen JPEG2000-koodattujen tietojen käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu lisäämällä rajojen tarkistuksia.
CVE-ID
CVE-2013-1026: Felix Groebert (Google Security Team)
IOKit
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: taustalla toimivat apit saattoivat lisätä käyttöliittymätapahtumia etualalla olevaan appiin.
Kuvaus: Taustalla olleet apit pystyivät lisäämään käyttöliittymätapahtumia etualalla olevaan appiin käyttämällä tehtävän suoritusta tai VoIP-APIa. Ongelma on ratkaistu ottamalla käyttöön pääsynvalvonta-asetuksia sellaisissa etualalla ja taustalla toimivissa prosesseissa, jotka käsittelevät käyttöliittymätapahtumia.
CVE-ID
CVE-2013-5137: Mackenzie Straight (Mobile Labs)
IOKitUser
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: haitallinen paikallinen appi saattoi aiheuttaa järjestelmän odottamattoman sulkeutumisen.
Kuvaus: IOCataloguessa oli nollaosoittimen epäviittaus. Ongelma on ratkaistu lisäämällä tyyppien tarkistuksia.
CVE-ID
CVE-2013-5138: Will Estes
IOSerialFamily
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: haitallisen apin suorittaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen kernel-käyttöoikeuksilla.
Kuvaus: IOSerialFamilyssa oli pääsy rajojen ulkopuoliseen taulukkoon. Ongelma on ratkaistu lisäämällä rajojen tarkistuksia.
CVE-ID
CVE-2013-5139: @dent1zt
IPSec
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: hyökkääjä saattoi kaapata IPSec Hybrid Auth ‑suojattuja tietoja.
Kuvaus: IPSec Hybrid Auth ‑palvelimen DNS-nimeä ei verrattu varmenteessa olevaan nimeen, jonka takia hyökkääjä, jolla oli minkä tahansa palvelimen varmenne, pystyi tekeytymään miksi tahansa muuksi palvelimeksi. Ongelma on ratkaistu parantamalla varmenteiden tarkistusta.
CVE-ID
CVE-2013-1028: Alexander Traud (www.traud.de)
Kernel
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: etähyökkääjä saattoi saada laitteen käynnistymään uudelleen odottamatta.
Kuvaus: Virheellisen paketin osan lähettäminen laitteeseen saattoi aloittaa kernel-vahvistuksen, mikä johti laitteen käynnistymiseen uudelleen. Ongelma on ratkaistu lisäämällä paketin osien validointia.
CVE-ID
CVE-2013-5140: Joonas Kuorilehto (Codenomicon), CERT-FI:n parissa työskentelevä nimetön tutkija, Antti Levomäki ja Lauri Virtanen (Vulnerability Analysis Group, Stonesoft)
Kernel
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: haitallinen paikallinen appi saattoi aiheuttaa laitteen jumiutumisen.
Kuvaus: Kernel-vastakeliittymässä ollutta kokonaisluvun lyhentämiseen liittyvää haavoittuvuutta saatettiin käyttää suorittimen pakottamiseen päättymättömään silmukkaan. Ongelma on ratkaistu käyttämällä suurempaa muuttujaa.
CVE-ID
CVE-2013-5141: CESG
Kernel
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: paikallisessa verkossa ollut hyökkääjä saattoi aiheuttaa palveluneston.
Kuvaus: Paikallisessa verkossa ollut hyökkääjä pystyi lähettämään varta vasten luotuja IPv6 ICMP ‑paketteja ja kuormittaa suoritinta. Ongelma on ratkaistu rajoittamalla ICMP-pakettien nopeutta ennen niiden tarkistussumman vahvistamista.
CVE-ID
CVE-2011-2391: Marc Heuse
Kernel
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: Kernel-pinomuisti saattoi paljastua paikallisille käyttäjille.
Kuvaus: msgctl- ja segctl-ohjelmistorajapinnoissa oli tietojen paljastumiseen liittyvä ongelma. Ongelma on ratkaistu alustamalla kernelistä palautetut tietorakenteet.
CVE-ID
CVE-2013-5142: Kenzley Alphonse (Kenx Technology, Inc)
Kernel
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: käyttöoikeudettomat prosessit saattoivat saada pääsyn kernel-muistin sisältöön, mikä saattoi johtaa käyttöoikeuksien lisäämiseen.
Kuvaus: mach_port_space_info-APIssa oli tietojen paljastumiseen liittyvä ongelma. Ongelma on ratkaistu alustamalla iin_collision-kenttä kernelistä palautetuissa rakenteissa.
CVE-ID
CVE-2013-3953: Stefan Esser
Kernel
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: käyttöoikeudettomat prosessit saattoivat pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä.
Kuvaus: posix_spawn-APIin tulevien argumenttien käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu lisäämällä rajojen tarkistuksia.
CVE-ID
CVE-2013-3954: Stefan Esser
Kext Management
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: luvaton prosessi saattoi muokata ladattuja kernel-laajennusia.
Kuvaus: kextdin tavassa käsitellä todentamattomien lähettäjien IPC-viestejä oli ongelma. Ongelma on ratkaistu lisäämällä valtuutustarkistuksia.
CVE-ID
CVE-2013-5145: "Rainbow PRISM"
libxml
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: haitallisen verkkosivun katsominen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: libxml:ssä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu päivittämällä libxml versioksi 2.9.0.
CVE-ID
CVE-2011-3102: Jüri Aedla
CVE-2012-0841
CVE-2012-2807: Jüri Aedla
CVE-2012-5134: Google Chrome Security Team (Jüri Aedla)
libxslt
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: haitallisen verkkosivun katsominen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: libxslt:ssä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu päivittämällä libxslt versioksi 1.1.28.
CVE-ID
CVE-2012-2825: Nicolas Gregoire
CVE-2012-2870: Nicolas Gregoire
CVE-2012-2871: Kai Lu (Fortinet's FortiGuard Labs), Nicolas Gregoire
Passcode Lock
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi pystyä ohittamaan näytön lukituksen.
Kuvaus: Puheluiden ja SIM-kortin poiston käsittelyssä lukitussa näytössä oli kilpailutilanneongelma. Ongelma on ratkaistu parantamalla lukitustilan hallintaa.
CVE-ID
CVE-2013-5147: videosdebarraquito
Personal Hotspot
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: hyökkääjä saattoi pystyä liittymään Oma hotspot ‑verkkoon
Kuvaus: Oman hotspotin salasanojen luomisessa oli ongelma, jonka vuoksi hyökkääjä saattoi arvata salasanoja ja liittyä käyttäjän omaan hotspotiin. Ongelma on ratkaistu luomalla salasanoja, joilla on suurempi entropia.
CVE-ID
CVE-2013-4616: Andreas Kurtz (NESO Security Labs) ja Daniel Metz (University Erlangen-Nuremberg)
Push Notifications
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: push-ilmoituksen tunnus saatettiin paljastaa apille, vaikka käyttäjä olisi valinnut toisin.
Kuvaus: Push-ilmoituksen rekisteröinnissä oli tietojen paljastumiseen liittyvä ongelma. Push-ilmoituksen käyttöoikeutta pyytäneet apit saivat tunnuksen ennen kuin käyttäjä salli apin käyttää push-ilmoituksia. Ongelma on ratkaistu pidättämällä pääsy tunnukseen siihen asti, kun käyttäjä sallii sen.
CVE-ID
CVE-2013-5149: Jack Flintermann (Grouper, Inc.)
Safari
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: käynti haitallisessa verkkosivustossa saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: XML-tiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu lisäämällä rajojen tarkistuksia.
CVE-ID
CVE-2013-1036: Kai Lu (Fortinet's FortiGuard Labs)
Safari
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: Äskettäin vierailtujen sivujen historia saattoi säilyä avoimessa välilehdessä, vaikka historia tyhjennettiin.
Kuvaus: Safarin historiatietojen tyhjentäminen ei poistanut avoimien välilehtien takaisin-/eteenpäin-historiaa. Ongelma on ratkaistu tyhjentämällä taaksepäin-/eteenpäin-historia.
CVE-ID
CVE-2013-5150
Safari
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: tiedostojen katsominen verkkosivustossa saattoi johtaa komentosarjan suorittamiseen, vaikka palvelin lähetti Content-Type: text/plain ‑otsakkeen.
Kuvaus: Safarin mobiiliversio käsitteli joskus tiedostoja HTML-tiedostoina, vaikka palvelin lähetti Content-Type: text/plain ‑otsakkeen. Tämä saattoi johtaa sivustojen välisten komentosarjojen suorittamiseen sivustoilla, joilla käyttäjät voivat ladata tiedostoja. Ongelma on ratkaistu parantamalla tiedostojen käsittelyä, kun Content-Type: text/plain ‑otsake on asetettu.
CVE-ID
CVE-2013-5151: Ben Toews (Github)
Safari
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: käynti haitallisessa verkkosivustossa saattoi sallia mielivaltaisen URL-osoitteen näkymisen.
Kuvaus: Safarin mobiiliversiossa oli URL-osoitteen väärentämisongelma. Ongelma on ratkaistu parantamalla URL-osoitteen seurantaa.
CVE-ID
CVE-2013-5152: Keita Haga (keitahaga.com), Łukasz Pilorz (RBS)
Sandbox
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: komentosarja-appeja ei eristetty.
Kuvaus: Muun valmistajan apit, jotka käyttivät #!-syntaksia komentosarjan suorittamiseen, eristettiin komentosarjan sijasta komentosarjatulkin identiteetin perusteella. Tulkilla ei ehkä ollut eristystä määritettynä, jolloin appi suoritettiin ilman eristystä. Ongelma on ratkaistu luomalla eristys komentosarjan identiteetin perusteella.
CVE-ID
CVE-2013-5154: evad3rs
Sandbox
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: apit saattoivat aiheuttaa järjestelmän jumiutumisen.
Kuvaus: Haitalliset muun valmistajan apit, jotka kirjoittivat tiettyjä arvoja /dev/random-laitteeseen, saattoivat pakottaa suorittimen siirtymään päättymättömään silmukkaan. Ongelma on ratkaistu estämällä muun valmistajan appeja kirjoittamasta /dev/random-laitteeseen.
CVE-ID
CVE-2013-5155: CESG
Social
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: käyttäjän viimeaikaisin Twitter-toiminta saattoi paljastua laitteissa, joissa ei ollut pääsykoodia.
Kuvaus: Järjestelmässä oli ongelma, jonka takia voitiin selvittää, mitä Twitter-tilejä käyttäjä oli käyttänyt äskettäin. Ongelma on ratkaistu rajoittamalla pääsyä Twitter-kuvakkeen välimuistiin.
CVE-ID
CVE-2013-5158: Jonathan Zdziarski
Springboard
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: henkilö, jolla oli fyysinen pääsy Kadonnut-tilassa olevaan laitteeseen, saattoi pystyä katsomaan ilmoituksia.
Kuvaus: Ilmoitusten käsittelyssä oli ongelmia, kun laite oli Kadonnut-tilassa. Tämä päivitys ratkaisee ongelman parantamalla lukitustilan hallintaa.
CVE-ID
CVE-2013-5153: Daniel Stangroom
Telephony
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: haitalliset apit saattoivat häiritä puhelinliikennetoimintoa tai hallita sitä.
Kuvaus: Puhelinliikenteen alijärjestelmässä oli käytönvalvontaan liittyvä ongelma. Tuettuja ohjelmistorajapintoja ohittamalla eristetyt apit saattoivat tehdä pyyntöjä suoraan järjestelmädaemoniin häiriten puhelinliikennetoimintoa tai halliten sitä. Ongelma on ratkaistu ottamalla käyttöön pääsynvalvonta-asetuksia käyttöliittymissä, jotka puhelinliikennedaemon paljasti.
CVE-ID
CVE-2013-5156: Jin Han (Institute for Infocomm Research) yhteistyössä Qiang Yanin ja Su Mon Kywen (Singapore Management University) kanssa, Tielei Wang, Kangjie Lu, Long Lu, Simon Chung ja Wenke Lee (Georgia Institute of Technology)
Twitter
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: eristetyt apit saattoivat lähettää twiittejä ilman käyttäjän toimenpiteitä tai lupaa.
Kuvaus: Twitterin alijärjestelmässä oli käytönvalvontaan liittyvä ongelma. Tuettuja ohjelmistorajapintoja ohittamalla eristetyt apit saattoivat tehdä pyyntöjä suoraan järjestelmädaemoniin häiriten Twitter-toimintoa tai halliten sitä. Ongelma on ratkaistu ottamalla käyttöön pääsynvalvonta-asetuksia käyttöliittymissä, jotka Twitter-daemon paljasti.
CVE-ID
CVE-2013-5157: Jin Han (Institute for Infocomm Research) yhteistyössä Qiang Yanin ja Su Mon Kywen (Singapore Management University) kanssa, Tielei Wang, Kangjie Lu, Long Lu, Simon Chung ja Wenke Lee (Georgia Institute of Technology)
WebKit
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: käynti haitallisessa verkkosivustossa saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: WebKitissä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2013-0879: Atte Kettunen (OUSPG)
CVE-2013-0991: Jay Civelli (Chromium development community)
CVE-2013-0992: Google Chrome Security Team (Martin Barbella)
CVE-2013-0993: Google Chrome Security Team (Inferno)
CVE-2013-0994: David German (Google)
CVE-2013-0995: Google Chrome Security Team (Inferno)
CVE-2013-0996: Google Chrome Security Team (Inferno)
CVE-2013-0997: HP:n Zero Day Initiativen parissa työskentelevä Vitaliy Toropov
CVE-2013-0998: HP:n Zero Day Initiativen parissa työskentelevä pa_kt working
CVE-2013-0999: HP:n Zero Day Initiativen parissa työskentelevä pa_kt
CVE-2013-1000: Fermin J. Serna (Google Security Team)
CVE-2013-1001: Ryan Humenick
CVE-2013-1002: Sergey Glazunov
CVE-2013-1003: Google Chrome Security Team (Inferno)
CVE-2013-1004: Google Chrome Security Team (Martin Barbella)
CVE-2013-1005: Google Chrome Security Team (Martin Barbella)
CVE-2013-1006: Google Chrome Security Team (Martin Barbella)
CVE-2013-1007: Google Chrome Security Team (Inferno)
CVE-2013-1008: Sergey Glazunov
CVE-2013-1010: miaubiz
CVE-2013-1037: Google Chrome Security Team
CVE-2013-1038: Google Chrome Security Team
CVE-2013-1039: iDefense VCP:n parissa työskentelevä own-hero Research
CVE-2013-1040: Google Chrome Security Team
CVE-2013-1041: Google Chrome Security Team
CVE-2013-1042: Google Chrome Security Team
CVE-2013-1043: Google Chrome Security Team
CVE-2013-1044: Apple
CVE-2013-1045: Google Chrome Security Team
CVE-2013-1046: Google Chrome Security Team
CVE-2013-1047: miaubiz
CVE-2013-2842: Cyril Cattiaux
CVE-2013-5125: Google Chrome Security Team
CVE-2013-5126: Apple
CVE-2013-5127: Google Chrome Security Team
CVE-2013-5128: Apple
Webkit
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: käynti haitallisessa verkkosivustossa saattoi johtaa tietojen paljastumiseen.
Kuvaus: window.webkitRequestAnimationFrame()-APIn käsittelyssä oli tietojen paljastumiseen liittyvä ongelma. Haitallinen verkkosivusto saattoi käyttää iframea selvittääkseen, käyttikö toinen sivusto window.webkitRequestAnimationFrame()-APIa. Ongelma on ratkaistu parantamalla window.webkitRequestAnimationFrame()-APIn käsittelyä.
CVE-ID
CVE-2013-5159
Webkit
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: haitallisen HTML-pätkän kopiointi ja sijoittaminen saattoi johtaa sivustojen väliseen komentosarjahyökkäykseen.
Kuvaus: HTML-dokumenteissa olevien kopioitujen ja sijoitettujen tietojen käsittelyssä oli sivustojen välisten komentosarjojen suorittamiseen liittyvä ongelma. Ongelma on ratkaistu sijoitettujen sisältöjen lisätarkistuksella.
CVE-ID
CVE-2013-0926: Aditya Gupta, Subho Halder ja Dev Kar (xys3c, xysec.com)
Webkit
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: käynti haitallisessa sivustossa saattoi aiheuttaa sivustojen välisen komentosarjahyökkäyksen.
Kuvaus: iframien käsittelyssä oli sivustojen välisten komentosarjojen suorittamiseen liittyvä ongelma. Ongelma on ratkaistu parantamalla alkuperän seurantaa.
CVE-ID
CVE-2013-1012: Subodh Iyengar ja Erling Ellingsen (Facebook)
Webkit
Saatavuus: iPhone 3GS ja sitä uudemmat, iPod touch (4. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: käynti haitallisessa verkkosivustossa saattoi johtaa tietojen paljastumiseen.
Kuvaus: XSSAuditorissa oli tietojen paljastumiseen liittyvä ongelma. Ongelma on ratkaistu parantamalla URL-osoitteiden käsittelyä.
CVE-ID
CVE-2013-2848: Egor Homakov
Webkit
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: valinnan vetäminen tai sijoittaminen saattoi aiheuttaa sivustojen välisen komentosarjahyökkäyksen.
Kuvaus: Valinnan vetäminen tai sijoittaminen sivustolta toiselle saattoi mahdollistaa valinnan sisältävien komentosarjojen suorittamisen uuden sivuston yhteydessä. Ongelma on ratkaistu sisällön lisätarkastuksella ennen liittämistä tai vedä ja pudota ‑toimintoa.
CVE-ID
CVE-2013-5129: Mario Heiderich
Webkit
Saatavuus: iPhone 4 ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: käynti haitallisessa sivustossa saattoi aiheuttaa sivustojen välisen komentosarjahyökkäyksen.
Kuvaus: URL-osoitteiden käsittelyssä oli sivustojen välisten komentosarjojen suorittamiseen liittyvä ongelma. Ongelma on ratkaistu parantamalla alkuperän seurantaa.
CVE-ID
CVE-2013-5131: Erling A Ellingsen
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.