Tietoja iOS 7:n turvallisuussisällöstä

Tämä asiakirja käsittelee iOS 7:n turvallisuussisältöä.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

iOS 7

  • Varmenteiden luottamuskäytäntö

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Juurivarmenteet on päivitetty.

    Vaikutus: Useita varmenteita lisättiin järjestelmäjuurten luetteloon tai poistettiin siitä.

  • CoreGraphics

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen PDF-tiedoston tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: PDF-tiedostojen JBIG2-koodattujen tietojen käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu rajojen lisätarkistuksella.

    CVE-ID

    CVE-2013-1025: Google Security Teamin Felix Groebert

  • CoreMedia

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen elokuvatiedoston toistaminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: Sorenson-koodattujen elokuvatiedostojen käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2013-1019: HP:n Zero Day Initiativen parissa työskentelevät Tom Gallagher (Microsoft) ja Paul Bates (Microsoft)

  • Tietojen suojaus

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Ohjelmat pystyivät ohittamaan pääsykoodiyritysrajoitukset.

    Kuvaus: Tietojen suojauksessa oli oikeuksien erottamisongelma. Muun valmistajan eristyksessä ollut ohjelma saattoi toistuvasti yrittää selvittää käyttäjän pääsykoodia käyttäjän Tyhjennä tiedot -asetuksesta riippumatta. Ongelma on ratkaistu vaatimalla lisää oikeustarkistuksia.

    CVE-ID

    CVE-2013-0957: Institute for Infocomm Researchin Jin Han yhdessä Singapore Management Universityn Qiang Yanin ja Su Mon Kywen kanssa

  • Tietoturva

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi saada haltuunsa käyttäjän tunnistetiedot tai muita luottamuksellisia tietoja.

    Kuvaus: TrustWave, joka on luotettu päävarmenne, on myöntänyt ja myöhemmin kumonnut alivarmenteen yhdeltä luotetuista ankkureistaan. Alivarmenne mahdollisti TLS:n suojaaman viestiliikenteen kaappaamisen. Tässä päivityksessä kyseinen alivarmenne lisättiin OS X:n ei-luotettujen varmenteiden luetteloon.

    CVE-ID

    CVE-2013-5134

  • dyld

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Hyökkääjä, joka oli asettanut mielivaltaisen koodin suorittamisen laitteeseen, saattoi pystyä jatkamaan koodin suorittamista uudelleenkäynnistyksestä toiseen.

    Kuvaus: dyldin openSharedCacheFile()-funktiossa oli useita puskurin ylivuotoja. Ongelmat on ratkaistu parannetulla rajojen tarkistamisella.

    CVE-ID

    CVE-2013-3950: Stefan Esser

  • Tiedostojärjestelmät

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Hyökkääjä, joka pystyi tuomaan näkyviin ei-HFS-tiedostojärjestelmän, saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernel-oikeuksilla.

    Kuvaus: AppleDouble-tiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu poistamalla AppleDouble-tiedostojen tuki.

    CVE-ID

    CVE-2013-3955: Stefan Esser

  • ImageIO

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen PDF-tiedoston tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: PDF-tiedostojen JPEG2000-koodattujen tietojen käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu rajojen lisätarkistuksella.

    CVE-ID

    CVE-2013-1026: Google Security Teamin Felix Groebert

  • IOKit

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Taustalla olevat ohjelmat saattoivat lisätä käyttöliittymätapahtumia etualalla olevaan ohjelmaan.

    Kuvaus: Taustalla olleet ohjelmat pystyivät lisäämään käyttöliittymätapahtumia etualalla olevaan ohjelmaan käyttämällä tehtävän suoritusta tai VoIP-ohjelmistorajapintaa. Ongelma on ratkaistu ottamalla pääsynvalvontatoimenpiteitä käyttöön käyttöliittymätapahtumia käsittelevissä etu- ja taustaprosesseissa.

    CVE-ID

    CVE-2013-5137: Mobile Labsin Mackenzie Straight

  • IOKitUser

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallinen paikallinen ohjelma saattoi saada järjestelmän sulkeutumaan odottamatta.

    Kuvaus: IOCataloguessa oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu parantamalla tyypin tarkistusta.

    CVE-ID

    CVE-2013-5138: Will Estes

  • IOSerialFamily

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen ohjelman suorittaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen kernelissä.

    Kuvaus: IOSerialFamily-ohjaimessa oli pääsy rajojen ulkopuoliseen matriisiin. Ongelma on ratkaistu rajojen lisätarkistuksella.

    CVE-ID

    CVE-2013-5139: @dent1zt

  • IPSec

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Hyökkääjä saattoi siepata IPSec Hybrid Authilla suojattuja tietoja.

    Kuvaus: IPSec Hybrid Auth -palvelimen DNS-nimen vastaavuutta varmenteeseen ei tarkistettu. Tämän vuoksi hyökkääjä, jolla oli jonkun palvelimen varmenne, pystyi tekeytymään miksi tahansa muuksi palvelimeksi. Ongelma on korjattu parantamalla varmenteiden tarkistusta.

    CVE-ID

    CVE-2013-1028: www.traud.de:n Alexander Traud

  • Kernel

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Etähyökkääjä saattoi saada laitteen käynnistymään uudelleen odottamatta.

    Kuvaus: Virheellisen paketin osa saattoi saada kernel-vahvistuksen laukeamaan, mikä johti laitteen käynnistymiseen uudelleen. Ongelma on ratkaistu paketin osien lisätarkistuksella.

    CVE-ID

    CVE-2013-5140: Codenomiconin Joonas Kuorilehto, CERT-FI:n parissa työskentelevä nimetön tutkija, Stonesoftin Vulnerability Analysis Groupin Antti Levomäki ja Lauri Virtanen

  • Kernel

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallinen paikallinen ohjelma saattoi aiheuttaa laitteen jumiutumisen.

    Kuvaus: Kernel-vastakeliittymässä ollutta kokonaisluvun lyhentämiseen liittyvää haavoittuvuutta saatettiin käyttää suorittimen pakottamiseen päättymättömään silmukkaan. Ongelma on ratkaistu käyttämällä suurempaa muuttujaa.

    CVE-ID

    CVE-2013-5141: CESG

  • Kernel

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Lähiverkossa ollut hyökkääjä saattoi aiheuttaa palvelun eston.

    Kuvaus: Lähiverkossa ollut hyökkääjä saattoi lähettää erityisesti valmistettuja IPv6 ICMP -paketteja ja aiheuttaa suuren suoritinkuorman. Ongelma on ratkaistu rajoittamalla ICMP-pakettien nopeutta ennen niiden tarkistussumman vahvistamista.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kernel

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Kernel-pinomuisti saattoi paljastua paikallisille käyttäjille.

    Kuvaus: msgctl- ja segctl-ohjelmistorajapinnoissa oli tietojen paljastumiseen liittyvä ongelma. Ongelma on ratkaistu alustamalla kernelistä palautetut tietorakenteet.

    CVE-ID

    CVE-2013-5142: Kenx Technology Inc:n Kenzley Alphonse

  • Kernel

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Käyttöoikeudettomat prosessit saattoivat saada pääsyn kernel-muistin sisältöön, mikä saattoi johtaa käyttöoikeuksien lisäämiseen.

    Kuvaus: mach_port_space_info-ohjelmistorajapinnassa oli tietojen paljastumiseen liittyvä ongelma. Ongelma on ratkaistu alustamalla iin_collision-kenttä kernelistä palautetuissa rakenteissa.

    CVE-ID

    CVE-2013-3953: Stefan Esser

  • Kernel

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Käyttöoikeudettomat prosessit saattavat pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä.

    Kuvaus: posix_spawn-ohjelmistorajapintaan tulevien argumenttien käsittelyssä oli muistin vioittumiseen liittyvä ongelma. Ongelma on ratkaistu rajojen lisätarkistuksella.

    CVE-ID

    CVE-2013-3954: Stefan Esser

  • Kext Management

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Valtuuttamaton prosessi saattoi muuttaa ladattujen kernel-laajennusten joukkoa.

    Kuvaus: kextd:n tavassa käsitellä todentamattomien lähettäjien IPC-viestejä oli ongelma. Ongelma on ratkaistu lisäämällä valtuutustarkistuksia.

    CVE-ID

    CVE-2013-5145: "Rainbow PRISM"

  • libxml

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen verkkosivuston selaaminen voi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: libxml:ssä oli useita muistin vioittumiseen liittyviä ongelmia. Nämä ongelmat on ratkaistu päivittämällä libxml versioon 2.9.0.

    CVE-ID

    CVE-2011-3102: Jüri Aedla

    CVE-2012-0841

    CVE-2012-2807: Jüri Aedla

    CVE-2012-5134: Google Chrome Security Team (Jüri Aedla)

  • libxslt

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen verkkosivuston selaaminen voi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: libxslt:ssä oli useita muistin vioittumiseen liittyviä ongelmia. Nämä ongelmat on ratkaistu päivittämällä libxslt versioon 1.1.28.

    CVE-ID

    CVE-2012-2825: Nicolas Gregoire

    CVE-2012-2870: Nicolas Gregoire

    CVE-2012-2871: Fortinetin FortiGuard Labsin Kai Lu sekä Nicolas Gregoire

  • Pääsykoodi

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi pystyä ohittamaan näytön lukituksen.

    Kuvaus: Puheluiden ja SIM-kortin poiston käsittelyssä lukitulla näytöllä oli kilpailutilanneongelma. Ongelma on ratkaistu parantamalla lukituksen tilan hallintaa.

    CVE-ID

    CVE-2013-5147: videosdebarraquito

  • Oma yhteyspiste

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Hyökkääjä saattoi pystyä liittymään Oma yhteyspiste -verkkoon.

    Kuvaus: Oman yhteyspisteen salasanojen luomisessa oli ongelma, jonka vuoksi hyökkääjä saattoi ennustaa salasanoja, joilla oli mahdollista liittyä käyttäjän Omaan yhteispisteeseen. Ongelma on ratkaistu luomalla salasanoja, joissa on suurempi entropia.

    CVE-ID

    CVE-2013-4616: NESO Security Labsin Andreas Kurtz ja Erlangen-Nürnbergin yliopiston Daniel Metz

  • Push-ilmoitukset

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Push-ilmoituksen tunnus saatettiin paljastaa ohjelmalle, vaikka käyttäjä olisi valinnut toisin.

    Kuvaus: Push-ilmoituksen rekisteröinnissä oli tietojen paljastumiseen liittyvä ongelma. Ohjelmat, jotka pyysivät push-ilmoituksen käyttöoikeutta, saivat tunnuksen ennen kuin käyttäjä salli ohjelman käyttää push-ilmoituksia. Ongelma on ratkaistu pidättämällä pääsy tunnukseen, kunnes käyttäjä sallii sen.

    CVE-ID

    CVE-2013-5149: Grouper Inc:n Jack Flintermann

  • Safari

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: XML-tiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu rajojen lisätarkistuksella.

    CVE-ID

    CVE-2013-1036: Fortinetin FortiGuard Labsin Kai Lu

  • Safari

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Avoimessa välilehdessä olevien äskettäin vierailtujen sivujen historia saattoi säilyä, vaikka historia tyhjennettiin.

    Kuvaus: Safarin historian tyhjentäminen ei tyhjentänyt takaisin/eteenpäin-historiaa avoimien välilehtien osalta. Ongelma on ratkaistu tyhjentämällä takaisin/eteenpäin-historia.

    CVE-ID

    CVE-2013-5150

  • Safari

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Tiedostojen tarkasteleminen verkkosivustolla saattoi johtaa komentosarjan suorittamiseen, vaikka palvelin lähettää Content-Type: text/plain -otsakkeen.

    Kuvaus: Safarin mobiiliversio käsitteli joskus tiedostoja HTML-tiedostoina, vaikka palvelin lähetti Content-Type: text/plain -otsakkeen. Tämä saattoi johtaa sivustojen välisiin komentosarjahyökkäyksiin sivustoilla, joilla käyttäjät voivat lähettää tiedostoja. Ongelma on ratkaistu parantamalla tiedostojen käsittelyä, kun Content-Type: text/plain -otsake on asetettu.

    CVE-ID

    CVE-2013-5151: Githubin Ben Toews

  • Safari

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisella verkkosivustolla vieraileminen saattoi sallia mielivaltaisen URL-osoitteen näyttämisen.

    Kuvaus: Safarin mobiiliversiossa oli URL-osoitteen väärentämisongelma. Ongelma on ratkaistu parantamalla URL-osoitteen seurantaa.

    CVE-ID

    CVE-2013-5152: keitahaga.comin Keita Haga sekä RBS:n Łukasz Pilorz

  • Eristys

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Komentosarjatyyppisiä ohjelmia ei eristetty.

    Kuvaus: Muun valmistajan ohjelmat, jotka käyttivät #! -syntaksia komentosarjan suorittamiseen, eristettiin komentosarjatulkin identiteetin perusteella komentosarjan sijaan. Tulkilla ei ehkä ollut eristystä määritettynä, jolloin ohjelma suoritettiin ilman eristystä. Ongelma on ratkaistu luomalla eristys komentosarjan identiteetin perusteella.

    CVE-ID

    CVE-2013-5154: evad3rs

  • Eristys

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Ohjelmat saattoivat aiheuttaa järjestelmän jumiutumisen.

    Kuvaus: Haitalliset muun valmistajan ohjelmat, jotka kirjoittivat tiettyjä arvoja /dev/random -laitteeseen, saattoivat pakottaa suorittimen siirtymään päättymättömään silmukkaan. Ongelma on ratkaistu estämällä muun valmistajan ohjelmia kirjoittamasta /dev/random -laitteeseen.

    CVE-ID

    CVE-2013-5155: CESG

  • Sosiaalinen media

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Käyttäjän äskeinen Twitter-toiminta saattoi paljastua laitteissa, joissa ei ole pääsykoodia.

    Kuvaus: Havaittiin ongelma, jossa oli mahdollista selvittää, minkä Twitter-tilien kanssa käyttäjä oli äskettäin ollut vuorovaikutuksessa. Ongelma on ratkaistu rajoittamalla pääsyä Twitter-kuvakkeen välimuistiin.

    CVE-ID

    CVE-2013-5158: Jonathan Zdziarski

  • Springboard

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Henkilö, jolla oli fyysinen pääsy kadonnut-tilassa olevaan laitteeseen, saattoi pystyä tarkastelemaan ilmoituksia.

    Kuvaus: Ilmoitusten käsittelyssä laitteen ollessa kadonnut-tilassa oli ongelma. Tämä päivitys ratkaisee ongelman parannetulla lukitustilan hallinnalla.

    CVE-ID

    CVE-2013-5153: Daniel Stangroom

  • Puhelinliikenne

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitalliset ohjelmat saattoivat häiritä puhelinliikennetoimintoa tai hallita sitä.

    Kuvaus: Puhelinliikennealijärjestelmässä oli käytönvalvontaan liittyvä ongelma. Ohittamalla tuettuja ohjelmistorajapintoja eristetyt ohjelmat saattoivat tehdä pyyntöjä suoraan järjestelmäohjelmaan häiriten puhelinliikennetoimintoa tai halliten sitä. Ongelma on ratkaistu ottamalla käytönvalvontatoimenpiteitä käyttöön liittymissä, jotka puhelinliikenneohjelma paljasti.

    CVE-ID

    CVE-2013-5156: Institute for Infocomm Researchin Jin Han yhteistyössä Singapore Management Universityn Qiang Yanin ja Su Mon Kywen kanssa sekä Georgia Institute of Technologyn Tielei Wang, Kangjie Lu, Long Lu, Simon Chung ja Wenke Lee

  • Twitter

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Eristetyt ohjelmat saattoivat lähettää tweettejä ilman käyttäjän toimenpiteitä tai lupaa.

    Kuvaus: Twitter-alijärjestelmässä oli käytönvalvontaan liittyvä ongelma. Ohittamalla tuettuja ohjelmistorajapintoja eristetyt ohjelmat saattoivat tehdä pyyntöjä suoraan järjestelmäohjelmaan häiriten Twitter-toimintoa tai halliten sitä. Ongelma on ratkaistu ottamalla käytönvalvontatoimenpiteitä käyttöön liittymissä, jotka Twitter-ohjelma paljasti.

    CVE-ID

    CVE-2013-5157: Institute for Infocomm Researchin Jin Han yhteistyössä Singapore Management Universityn Qiang Yanin ja Su Mon Kywen kanssa sekä Georgia Institute of Technologyn Tielei Wang, Kangjie Lu, Long Lu, Simon Chung ja Wenke Lee

  • WebKit

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: WebKitissä oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2013-0879: OUSPG:n Atte Kettunen

    CVE-2013-0991: Chromium-kehitysyhteisön parissa työskentelevä Jay Civelli

    CVE-2013-0992: Google Chrome Security Team (Martin Barbella)

    CVE-2013-0993: Google Chrome Security Team (Inferno)

    CVE-2013-0994: Googlen David German

    CVE-2013-0995: Google Chrome Security Team (Inferno)

    CVE-2013-0996: Google Chrome Security Team (Inferno)

    CVE-2013-0997: HP:n Zero Day Initiativen parissa työskentelevä Vitaliy Toropov

    CVE-2013-0998: HP:n Zero Day Initiativen parissa työskentelevä pa_kt

    CVE-2013-0999: HP:n Zero Day Initiativen parissa työskentelevä pa_kt

    CVE-2013-1000: Google Security Teamin Fermin J. Serna

    CVE-2013-1001: Ryan Humenick

    CVE-2013-1002: Sergey Glazunov

    CVE-2013-1003: Google Chrome Security Team (Inferno)

    CVE-2013-1004: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1005: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1006: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1007: Google Chrome Security Team (Inferno)

    CVE-2013-1008: Sergey Glazunov

    CVE-2013-1010: miaubiz

    CVE-2013-1037: Google Chrome Security Team

    CVE-2013-1038: Google Chrome Security Team

    CVE-2013-1039: iDefense VCP:n parissa työskentelevä own-hero Research

    CVE-2013-1040: Google Chrome Security Team

    CVE-2013-1041: Google Chrome Security Team

    CVE-2013-1042: Google Chrome Security Team

    CVE-2013-1043: Google Chrome Security Team

    CVE-2013-1044: Apple

    CVE-2013-1045: Google Chrome Security Team

    CVE-2013-1046: Google Chrome Security Team

    CVE-2013-1047: miaubiz

    CVE-2013-2842: Cyril Cattiaux

    CVE-2013-5125: Google Chrome Security Team

    CVE-2013-5126: Apple

    CVE-2013-5127: Google Chrome Security Team

    CVE-2013-5128: Apple

  • WebKit

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen verkkosivuston selaaminen saattoi johtaa tietojen paljastumiseen.

    Kuvaus: window.webkitRequestAnimationFrame() -ohjelmistorajapinnan käsittelyssä oli tietojen paljastumiseen liittyvä ongelma. Haitallinen verkkosivusto saattoi käyttää iframea selvittääkseen, käyttikö toinen sivusto window.webkitRequestAnimationFrame() -ohjelmistorajapintaa. Ongelma on korjattu parantamalla window.webkitRequestAnimationFrame() -ohjelmistorajapinnan käsittelyä.

    CVE-ID

    CVE-2013-5159
  • WebKit

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen HTML-pätkän kopiointi ja sijoittaminen saattoi johtaa sivustojen väliseen komentosarjahyökkäykseen.

    Kuvaus: HTML-dokumenteissa olevien tietojen kopioinnin ja sijoittamisen käsittelyssä oli ongelma, joka koski komentosarjojen suorittamista sivustolta toiselle. Ongelma on ratkaistu sijoitetun sisällön lisätarkistuksella.

    CVE-ID

    CVE-2013-0926: xys3c:n (xysec.com) Aditya Gupta, Subho Halder ja Dev Kar

  • WebKit

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen sivuston selaaminen saattoi aiheuttaa sivustojenvälisen komentosarjahyökkäyksen.

    Kuvaus: iframe-tunnisteiden käsittelyssä oli ongelma, joka koski komentosarjojen suorittamista sivustolta toiselle. Ongelma on ratkaistu parantamalla alkuperän seurantaa.

    CVE-ID

    CVE-2013-1012: Facebookin Subodh Iyengar ja Erling Ellingsen

  • WebKit

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa johtaa tietojen paljastumiseen.

    Kuvaus: XSSAuditorissa oli tietojen paljastumiseen liittyvä ongelma. Ongelma on korjattu parantamalla URL-osoitteiden käsittelyä.

    CVE-ID

    CVE-2013-2848: Egor Homakov

  • WebKit

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Valinnan vetäminen tai sijoittaminen saattoi johtaa sivustojenväliseen komentosarjahyökkäykseen.

    Kuvaus: Valinnan vetäminen tai sijoittaminen sivustolta toiselle saattoi mahdollistaa valinnan sisältävien komentosarjojen suorittamisen uuden sivuston yhteydessä. Tämä ongelma on ratkaistu sisällön lisätarkastuksella ennen liittämistä tai vedä ja pudota -toimintoa.

    CVE-ID

    CVE-2013-5129: Mario Heiderich

  • WebKit

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen sivuston selaaminen saattoi aiheuttaa sivustojenvälisen komentosarjahyökkäyksen.

    Kuvaus: URL-osoitteiden käsittelyssä oli ongelma, joka koski komentosarjojen suorittamista sivustolta toiselle. Ongelma on ratkaistu parantamalla alkuperän seurantaa.

    CVE-ID

    CVE-2013-5131: Erling A Ellingsen

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: