Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
iOS 6.1
Identiteettipalvelut
Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Varmennepohjaiseen Apple ID -todennukseen luottava todennus saatettiin ohittaa.
Kuvaus: Identiteettipalveluissa oli virheenkäsittelyongelma. Jos käyttäjän Apple ID -varmenteen vahvistus epäonnistui, käyttäjän Apple ID:n oletettiin olevan tyhjä merkkijono. Jos eri käyttäjille kuuluvat useat järjestelmät siirtyivät tähän tilaan, tähän identiteetin määrittämiseen luottavat apit saattoivat virheellisesti luottaa siihen. Ongelma ratkaistiin varmistamalla, että tyhjän merkkijonon sijaan palautettiin NULL-arvo.
CVE-ID
CVE-2013-0963
Maakohtaiset Unicode-komponentit
Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa sivustojenvälisen komentosarjahyökkäyksen.
Kuvaus: EUC-JP-koodauksessa oli kanonisointiongelma, joka saattoi aiheuttaa sivustojen välisen komentosarjahyökkäyksen EUC-JP-koodatuilla verkkosivustoilla. Ongelma ratkaistiin päivittämällä EUC-JP-kartoitustaulukko.
CVE-ID
CVE-2011-3058: Masato Kinugawa
Kernel
Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Käyttäjätilassa oleva prosessi saattoi pystyä käyttämään kernel-muistin ensimmäistä sivua.
Kuvaus: iOS:n kernel tarkistaa copyin- ja copyout-funktioille annettavan käyttäjätilassa olevan osoittimen ja pituuden, jotta käyttäjätilassa oleva prosessi ei niiden avulla voi suoraan käyttää kernel-muistia. Tarkistuksia ei käytetty, jos pituus oli alle yksi sivu. Ongelma ratkaistiin lisäämällä copyin- ja copyout-funktioiden argumenttien validointia.
CVE-ID
CVE-2013-0964: Mark Dowd (Azimuth Security)
Suojaus
Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada haltuunsa käyttäjän tunnistetiedot tai muita luottamuksellisia tietoja.
Kuvaus: TURKTRUST myönsi virheellisesti useita CA-välivarmenteita. Tämä saattoi mahdollistaa sen, että välimieshyökkääjä uudelleenohjasi yhteyksiä ja sai haltuunsa käyttäjän tunnistetiedot tai muita luottamuksellisia tietoja. Ongelma ratkaistiin kieltämällä virheelliset SSL-varmenteet.
StoreKit
Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: JavaScript saatettiin ottaa käyttöön Safarin mobiiliversiossa ilman käyttäjän toimia.
Kuvaus: Jos käyttäjä poisti Javascriptin Safarin asetuksissa käytöstä ja kävi sivustossa, jossa näkyi älyapin banneri, JavaScript otettiin uudelleen käyttöön käyttäjää siitä varoittamatta. Ongelma ratkaistiin ottamatta JavaScriptiä käyttöön, kun käytiin sivustossa, jossa oli älyapin banneri.
CVE-ID
CVE-2013-0974: Andrew Plotkin (Zarfhome Software Consulting), Ben Madison (BitCloud), Marek Durcek
WebKit
Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: WebKitissä oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2012-2857: Arthur Gerkis
CVE-2012-3606: Google Chrome Security Teamin Abhishek Arya (Inferno)
CVE-2012-3607: Google Chrome Security Teamin Abhishek Arya (Inferno)
CVE-2012-3621: Google Chrome Security Teamin Skylined
CVE-2012-3632: Google Chrome Security Teamin Abhishek Arya (Inferno)
CVE-2012-3687: kuzzcc
CVE-2012-3701: Google Chrome Security Teamin Abhishek Arya (Inferno)
CVE-2013-0948: Google Chrome Security Teamin Abhishek Arya (Inferno)
CVE-2013-0949: Google Chrome Security Teamin Abhishek Arya (Inferno)
CVE-2013-0950: Google Chrome Security Teamin Abhishek Arya (Inferno)
CVE-2013-0951: Apple
CVE-2013-0952: Google Chrome Security Teamin Abhishek Arya (Inferno)
CVE-2013-0953: Google Chrome Security Teamin Abhishek Arya (Inferno)
CVE-2013-0954: Googlen Dominic Cooney ja Google Chrome Security Teamin Martin Barbella
CVE-2013-0955: Apple
CVE-2013-0956: Applen tuoteturvallisuus
CVE-2012-2824: miaubiz
CVE-2013-0958: Google Chrome Security Teamin Abhishek Arya (Inferno)
CVE-2013-0959: Google Chrome Security Teamin Abhishek Arya (Inferno)
CVE-2013-0968: Aaron Nelson
WebKit
Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallisen verkkosivuston sisältöjen kopioiminen ja sijoittaminen saattoi aiheuttaa sivustojenvälisen komentosarjahyökkäyksen.
Kuvaus: Eri lähteistä peräisin olevien sisältöjen käsittelyssä oli sivustojenvälinen komentosarjaongelma. Ongelma on ratkaistu sijoitettujen sisältöjen lisätarkistuksella.
CVE-ID
CVE-2013-0962: Mario Heiderich (Cure53)
WebKit
Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa sivustojenvälisen komentosarjahyökkäyksen.
Kuvaus: Kehyksen elementtien käsittelyssä oli sivustojenvälinen komentosarjaongelma. Ongelma on ratkaistu parantamalla alkuperän seurantaa.
CVE-ID
CVE-2012-2889: Sergey Glazunov
Wi-Fi
Saatavuus: iPhone 3GS, iPhone 4, iPod touch (4. sukupolvi), iPad 2
Vaikutus: Samassa verkossa oleva etähyökkääjä saattoi pystyä poistamaan Wi-Fi-toiminnon tilapäisesti käytöstä.
Kuvaus: Broadcomin BCM4325- ja BCM4329-piirisarjojen laiteohjelmistossa oli 802.11i-tietoelementtien käsittelyyn liittyvä rajojen ulkopuolisen muistin lukuongelma. Ongelma on ratkaistu 802.11i-tietoelementtien lisätarkistuksella.
CVE-ID
CVE-2012-2619: Andres Blanco ja Matias Eissler (Core Security)