Tietoja iOS 7.1:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 7.1:n turvallisuussisällöstä.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

iOS 7.1

  • Varmuuskopiointi

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallinen varmuuskopio saattoi muuttaa tiedostojärjestelmää.

    Kuvaus: Varmuuskopiossa ollut symbolinen linkki palautettiin, jolloin seuraavat palautuksen aikaiset toiminnot pystyivät kirjoittamaan tiedostojärjestelmän muihin osiin. Ongelma on ratkaistu tarkistamalla symboliset linkit palautuksen aikana.

    CVE-ID

    CVE-2013-5133: evad3rs

  • Varmenteiden luottamuskäytäntö

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Juurivarmenteet on päivitetty.

    Vaikutus: Useita varmenteita lisättiin järjestelmäjuurten luetteloon tai poistettiin siitä.

  • Määrittelyprofiilit

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Profiilien vanhentumispäiviä ei noudatettu.

    Kuvaus: Mobiilimäärittelyprofiilien vanhentumispäiviä ei laskettu oikein. Ongelma on ratkaistu parantamalla määrittelyprofiilien käsittelyä.

    CVE-ID

    CVE-2014-1267

  • CoreCapture

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallinen ohjelma saattoi saada järjestelmän sulkeutumaan odottamatta.

    Kuvaus: CoreCapturen tavassa käsitellä IOKitin API-kutsuja oli tavoitettavan vahvistuksen ongelma. Ongelma on ratkaistu IOKitin syötteen lisätarkistuksella.

    CVE-ID

    CVE-2014-1271: Filippo Bigarella

  • Virheraportointi

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä muuttamaan mielivaltaisten tiedostojen käyttöoikeuksia.

    Kuvaus: CrashHouseKeeping seurasi symbolisia linkkejä, kun tiedostojen käyttöoikeuksia muutettiin. Ongelma on ratkaistu olemalla noudattamatta symbolisia linkkejä, kun tiedostojen käyttöoikeuksia muutetaan.

    CVE-ID

    CVE-2014-1272: evad3rs

  • dyld

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Koodien allekirjoitusvaatimukset saatettiin ohittaa.

    Kuvaus: dyld saattoi ladata dynaamisten kirjastojen tekstinsiirtämisohjeet ilman koodin allekirjoituksen tarkistusta. Ongelma on ratkaistu jättämällä tekstin siirtämisohjeet huomioimatta.

    CVE-ID

    CVE-2014-1273: evad3rs

  • FaceTime

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi päästä FaceTime-yhteystietoihin lukitulta näytöltä.

    Kuvaus: Epäonnistunut FaceTime-puhelu lukitulta näytöltä saattoi paljastaa lukitun laitteen FaceTime-yhteystiedot. Ongelma on ratkaistu parantamalla FaceTime-puheluiden käsittelyä.

    CVE-ID

    CVE-2014-1274

  • ImageIO

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen PDF-tiedoston tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: PDF-tiedostojen JPEG2000-kuvien käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-1275: Google Security Teamin Felix Groebert

  • ImageIO

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen TIFF-tiedoston katsominen voi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: libtiffin tavassa käsitellä TIFF-kuvia oli puskurin ylivuoto. Ongelma on korjattu TIFF-kuvien lisätarkistuksella.

    CVE-ID

    CVE-2012-2088

  • ImageIO

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen JPEG-tiedoston katselu saattoi aiheuttaa muistin sisällön paljastumisen.

    Kuvaus: libjpeg:n tavassa käsitellä JPEG-merkkejä oli alustamattoman muistin käyttöongelma, mikä johti muistin sisällön paljastumiseen. Ongelma on ratkaistu JPEG-tiedostojen lisätarkistuksella.

    CVE-ID

    CVE-2013-6629: Michal Zalewski

  • IOKit HID Event

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallinen ohjelma saattoi tarkkailla käyttäjän toimia muissa ohjelmissa.

    Kuvaus: IOKit-sovelluskehyksen liittymä salli haittaohjelmien tarkkailla käyttäjän toimia muissa ohjelmissa. Ongelma on ratkaistu parantamalla sovelluskehyksen käytönhallintakäytäntöjä.

    CVE-ID

    CVE-2014-1276: FireEyen Min Zheng, Hui Xue ja Dr. Tao (Lenx) Wei

  • iTunes Store

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Välimieshyökkääjä saattoi houkutella käyttäjän lataamaan haittaohjelman Enterprise App Downloadin kautta.

    Kuvaus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi väärentää verkossa siirrettyjä tietoja ja houkutella käyttäjän lataamaan haittaohjelman. Ongelmaa on lievennetty käyttämällä SSL:ää ja näyttämällä käyttäjälle kehotteita URL-uudelleenohjausten aikana.

    CVE-ID

    CVE-2013-3948: Stefan Esser

  • Kernel

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä.

    Kuvaus: ARM:n ptmx_get_ioctl-funktiossa oli rajojen ylittämiseen liittyvä muistin käyttöongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-1278: evad3rs

  • Office Viewer

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen Microsoft Word -dokumentin avaaminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: Microsoft Word -dokumenttien käsittelyssä oli double free -ongelma. Ongelma on ratkaistu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2014-1252: Google Security Teamin Felix Groebert

  • Kuvat-taustasovellus

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Kuvat-ohjelmassa saattoi näkyä poistettuja kuvia läpinäkyvien kuvien alla.

    Kuvaus: Kuvan poistaminen resurssikirjastosta ei poistanut sen välimuistissa olleita versioita. Ongelma on ratkaistu parantamalla välimuistin hallintaa.

    CVE-ID

    CVE-2014-1281: Hoelblinger.comin Walter Hoelblinger sekä Morgan Adams ja Tom Pennington

  • Profiilit

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Käyttäjä ei ehkä nähnyt määrittelyprofiilia.

    Kuvaus: Pitkällä nimellä varustettu määrittelyprofiili voitiin ladata laitteeseen, mutta sitä ei näkynyt profiilin käyttöliittymässä. Ongelma on ratkaistu parantamalla profiilinimien käsittelyä.

    CVE-ID

    CVE-2014-1282: Skycuren Assaf Hefetz, Yair Amit ja Adi Sharabani

  • Safari

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Käyttäjän kirjautumistiedot voidaan luovuttaa odottamattomalle sivustolle automaattisen täytön avulla.

    Kuvaus: Safari saattoi automaattisesti täyttää käyttäjätunnuksia ja salasanoja alikehykseen domainista, joka ei ole sama kuin pääkehyksessä. Ongelma on ratkaistu parantamalla alkuperän seurantaa.

    CVE-ID

    CVE-2013-5227: Klarna AB:n Niklas Malmgren

  • Asetukset – Tilit

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi pystyä poistamaan Etsi iPhoneni -palvelun käytöstä antamatta iCloudin salasanaa.

    Kuvaus: Etsi iPhoneni -tilan käsittelyssä oli tilanhallintaongelma. Ongelma on ratkaistu parantamalla Etsi iPhoneni -tilan käsittelyä.

    CVE-ID

    CVE-2014-2019

  • Springboard

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi nähdä laitteen Koti-valikon, vaikka laitetta ei oltu aktivoitu.

    Kuvaus: Ohjelman odottamaton sulkeutuminen aktivoinnin aikana saattoi saada puhelimen näyttämään Koti-valikon. Ongelma on ratkaistu parantamalla virheiden käsittelyä aktivoinnin aikana.

    CVE-ID

    CVE-2014-1285: Roboboi99

  • Lukittu SpringBoard-näyttö

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Lukittu näyttö saattoi lakata vastaamasta etähyökkääjän toimien vuoksi.

    Kuvaus: Lukitussa näytössä oli tilanhallintaongelma. Ongelma on ratkaistu parantamalla tilanhallintaa.

    CVE-ID

    CVE-2014-1286: M-sec.netin Bogdan Alecu

  • TelephonyUI-sovelluskehys

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Verkkosivu saattoi käynnistää FaceTime-äänipuhelun ilman käyttäjän toimia.

    Kuvaus: Safari ei kysynyt lupaa käyttäjältä ennen facetime-audio://-URL-osoitteiden avaamista. Ongelma on ratkaistu lisäämällä vahvistuskehote.

    CVE-ID

    CVE-2013-6835: Guillaume Ross

  • USB-isäntä

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen kernel-tilassa.

    Kuvaus: USB-viestien käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu USB-viestien lisätarkistuksella.

    CVE-ID

    CVE-2014-1287: NCC Groupin Andy Davis

  • Näytönohjain

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen videon toistaminen saattoi saada laitteen lakkaamaan vastaamasta.

    Kuvaus: MPEG-4-koodattujen tiedostojen käsittelyssä oli tyhjän epäviittauksen ongelma. Ongelma on korjattu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2014-1280: rg0rd

  • WebKit

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: WebKitissä oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2013-2909: OUSPG:n Atte Kettunen

    CVE-2013-2926: cloudfuzzer

    CVE-2013-2928: Google Chrome Security Team

    CVE-2013-5196: Google Chrome Security Team

    CVE-2013-5197: Google Chrome Security Team

    CVE-2013-5198: Apple

    CVE-2013-5199: Apple

    CVE-2013-5225: Google Chrome Security Team

    CVE-2013-5228: HP:n Zero Day Initiativen parissa työskentelevä Keen Team (@K33nTeam)

    CVE-2013-6625: cloudfuzzer

    CVE-2013-6635: cloudfuzzer

    CVE-2014-1269: Apple

    CVE-2014-1270: Apple

    CVE-2014-1289: Apple

    CVE-2014-1290: HP:n Zero Day Initiativen parissa työskentelevä ant4g0nist (SegFault), Google Chrome Security Team sekä Lee Wang Hao yhteistyössä Institute for Infocomm Researchin Infocomm Security Departmentin S.P.T. Krishnanin kanssa

    CVE-2014-1291: Google Chrome Security Team

    CVE-2014-1292: Google Chrome Security Team

    CVE-2014-1293: Google Chrome Security Team

    CVE-2014-1294: Google Chrome Security Team

 

FaceTime ei ole saatavilla kaikissa maissa tai alueilla.

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: