Tietoja iOS 6.1 -ohjelmistopäivityksen turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 6.1:n turvallisuussisällöstä.

Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

iOS 6.1

  • Identiteettipalvelut

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Varmennepohjaiseen Apple ID -todennukseen luottava todennus saatettiin ohittaa.

    Kuvaus: Identiteettipalveluissa oli virheenkäsittelyongelma. Jos käyttäjän Apple ID -varmenteen vahvistus epäonnistui, käyttäjän Apple ID:n oletettiin olevan tyhjä merkkijono. Jos eri käyttäjille kuuluvat useat järjestelmät siirtyivät tähän tilaan, tähän identiteetin määrittämiseen luottavat apit saattoivat virheellisesti luottaa siihen. Ongelma ratkaistiin varmistamalla, että tyhjän merkkijonon sijaan palautettiin NULL-arvo.

    CVE-ID

    CVE-2013-0963

  • Maakohtaiset Unicode-komponentit

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa sivustojenvälisen komentosarjahyökkäyksen.

    Kuvaus: EUC-JP-koodauksessa oli kanonisointiongelma, joka saattoi aiheuttaa sivustojen välisen komentosarjahyökkäyksen EUC-JP-koodatuilla verkkosivustoilla. Ongelma ratkaistiin päivittämällä EUC-JP-kartoitustaulukko.

    CVE-ID

    CVE-2011-3058: Masato Kinugawa

  • Kernel

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Käyttäjätilassa oleva prosessi saattoi pystyä käyttämään kernel-muistin ensimmäistä sivua.

    Kuvaus: iOS:n kernel tarkistaa copyin- ja copyout-funktioille annettavan käyttäjätilassa olevan osoittimen ja pituuden, jotta käyttäjätilassa oleva prosessi ei niiden avulla voi suoraan käyttää kernel-muistia. Tarkistuksia ei käytetty, jos pituus oli alle yksi sivu. Ongelma ratkaistiin lisäämällä copyin- ja copyout-funktioiden argumenttien validointia.

    CVE-ID

    CVE-2013-0964: Mark Dowd (Azimuth Security)

  • Suojaus

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada haltuunsa käyttäjän tunnistetiedot tai muita luottamuksellisia tietoja.

    Kuvaus: TURKTRUST myönsi virheellisesti useita CA-välivarmenteita. Tämä saattoi mahdollistaa sen, että välimieshyökkääjä uudelleenohjasi yhteyksiä ja sai haltuunsa käyttäjän tunnistetiedot tai muita luottamuksellisia tietoja. Ongelma ratkaistiin kieltämällä virheelliset SSL-varmenteet.

  • StoreKit

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: JavaScript saatettiin ottaa käyttöön Safarin mobiiliversiossa ilman käyttäjän toimia.

    Kuvaus: Jos käyttäjä poisti Javascriptin Safarin asetuksissa käytöstä ja kävi sivustossa, jossa näkyi älyapin banneri, JavaScript otettiin uudelleen käyttöön käyttäjää siitä varoittamatta. Ongelma ratkaistiin ottamatta JavaScriptiä käyttöön, kun käytiin sivustossa, jossa oli älyapin banneri.

    CVE-ID

    CVE-2013-0974: Andrew Plotkin (Zarfhome Software Consulting), Ben Madison (BitCloud), Marek Durcek

  • WebKit

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: WebKitissä oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2012-2857: Arthur Gerkis

    CVE-2012-3606: Google Chrome Security Teamin Abhishek Arya (Inferno)

    CVE-2012-3607: Google Chrome Security Teamin Abhishek Arya (Inferno)

    CVE-2012-3621: Google Chrome Security Teamin Skylined

    CVE-2012-3632: Google Chrome Security Teamin Abhishek Arya (Inferno)

    CVE-2012-3687: kuzzcc

    CVE-2012-3701: Google Chrome Security Teamin Abhishek Arya (Inferno)

    CVE-2013-0948: Google Chrome Security Teamin Abhishek Arya (Inferno)

    CVE-2013-0949: Google Chrome Security Teamin Abhishek Arya (Inferno)

    CVE-2013-0950: Google Chrome Security Teamin Abhishek Arya (Inferno)

    CVE-2013-0951: Apple

    CVE-2013-0952: Google Chrome Security Teamin Abhishek Arya (Inferno)

    CVE-2013-0953: Google Chrome Security Teamin Abhishek Arya (Inferno)

    CVE-2013-0954: Googlen Dominic Cooney ja Google Chrome Security Teamin Martin Barbella

    CVE-2013-0955: Apple

    CVE-2013-0956: Applen tuoteturvallisuus

    CVE-2012-2824: miaubiz

    CVE-2013-0958: Google Chrome Security Teamin Abhishek Arya (Inferno)

    CVE-2013-0959: Google Chrome Security Teamin Abhishek Arya (Inferno)

    CVE-2013-0968: Aaron Nelson

  • WebKit

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen verkkosivuston sisältöjen kopioiminen ja sijoittaminen saattoi aiheuttaa sivustojenvälisen komentosarjahyökkäyksen.

    Kuvaus: Eri lähteistä peräisin olevien sisältöjen käsittelyssä oli sivustojenvälinen komentosarjaongelma. Ongelma on ratkaistu sijoitettujen sisältöjen lisätarkistuksella.

    CVE-ID

    CVE-2013-0962: Mario Heiderich (Cure53)

  • WebKit

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa sivustojenvälisen komentosarjahyökkäyksen.

    Kuvaus: Kehyksen elementtien käsittelyssä oli sivustojenvälinen komentosarjaongelma. Ongelma on ratkaistu parantamalla alkuperän seurantaa.

    CVE-ID

    CVE-2012-2889: Sergey Glazunov

  • Wi-Fi

    Saatavuus: iPhone 3GS, iPhone 4, iPod touch (4. sukupolvi), iPad 2

    Vaikutus: Samassa verkossa oleva etähyökkääjä saattoi pystyä poistamaan Wi-Fi-toiminnon tilapäisesti käytöstä.

    Kuvaus: Broadcomin BCM4325- ja BCM4329-piirisarjojen laiteohjelmistossa oli 802.11i-tietoelementtien käsittelyyn liittyvä rajojen ulkopuolisen muistin lukuongelma. Ongelma on ratkaistu 802.11i-tietoelementtien lisätarkistuksella.

    CVE-ID

    CVE-2012-2619: Andres Blanco ja Matias Eissler (Core Security)

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: