Tietoja iOS 7.1.2:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 7.1.2:n turvallisuussisällöstä.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

iOS 7.1.2

  • Varmenteiden luottamuskäytäntö

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Varmenteiden luottamuskäytäntö on päivitetty.

    Kuvaus: Varmenteiden luottamuskäytäntö on päivitetty. Luettelo varmenteista on osoitteessa http://support.apple.com/kb/HT5012?viewlocale=fi_FI.

  • CoreGraphics

    Saatavilla seuraaviin: iPhone 4 ja uudemmat, iPod touch (5. sukupolvi) ja uudemmat, iPad 2 ja uudemmat

    Vaikutus: Haitallisen XBM-tiedoston tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: XBM-tiedostojen käsittelyssä oli rajattoman pinon allokointiongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-1354: codedigging.comin Dima Kovalenko

  • Kernel

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Ohjelma saattoi saada laitteen käynnistymään uudelleen odottamatta.

    Kuvaus: IOKit API-argumenttien käsittelyssä oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu IOKit API-argumenttien lisätarkistuksella.

    CVE-ID

    CVE-2014-1355: Venustech Adlabin cunzhang

  • launchd

    Saatavuus: iPhone 4 ja uudemmat, iPod touch (5. sukupolvi) ja uudemmat, iPad 2 ja uudemmat

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: launchd:n tavassa käsitellä IPC-viestejä oli kekopuskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-1356: Google Project Zeron Ian Beer

  • launchd

    Saatavuus: iPhone 4 ja uudemmat, iPod touch (5. sukupolvi) ja uudemmat, iPad 2 ja uudemmat

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: launchd:n tavassa käsitellä lokiviestejä oli kekopuskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-1357: Google Project Zeron Ian Beer

  • launchd

    Saatavuus: iPhone 4 ja uudemmat, iPod touch (5. sukupolvi) ja uudemmat, iPad 2 ja uudemmat

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: launchd:ssä oli kokonaisluvun ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-1358: Google Project Zeron Ian Beer

  • launchd

    Saatavuus: iPhone 4 ja uudemmat, iPod touch (5. sukupolvi) ja uudemmat, iPad 2 ja uudemmat

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: launchd:ssä oli kokonaisluvun alivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-1359: Google Project Zeron Ian Beer

  • Lockdown

    Saatavuus: iPhone 4 ja uudemmat, iPod touch (5. sukupolvi) ja uudemmat, iPad 2 ja uudemmat

    Vaikutus: iOS-laitetta hallussaan pitävä hyökkääjä saattoi ohittaa aktivointilukituksen.

    Kuvaus: Laitteet suorittivat puutteellisia tarkistuksia laitteen aktivoinnin aikana, minkä vuoksi aktivointilukitus saatettiin vilpillisesti osittain ohittaa. Ongelma on ratkaistu aktivointipalvelimilta vastaanotettujen tietojen asiakaspuolen lisätarkistuksella.

    CVE-ID

    CVE-2014-1360

  • Lukittu näyttö

    Saatavuus: iPhone 4 ja uudemmat, iPod touch (5. sukupolvi) ja uudemmat, iPad 2 ja uudemmat

    Vaikutus: Laitetta hallussaan pitävä hyökkääjä saattoi ylittää epäonnistuneiden pääsykoodin antamisyritysten sallitun ylärajan.

    Kuvaus: Pääsykoodin epäonnistuneiden antamisyritysten sallittua ylärajaa ei valvottu joissakin olosuhteissa. Ongelma on ratkaistu parantamalla kyseisen rajan valvontaa.

    CVE-ID

    CVE-2014-1352: mblsec

  • Lukittu näyttö

    Saatavuus: iPhone 4 ja uudemmat, iPod touch (5. sukupolvi) ja uudemmat, iPad 2 ja uudemmat

    Vaikutus: Lukittua laitetta hallussaan pitävä hyökkääjä saattoi pystyä käyttämään ohjelmaa, joka oli etualalla ennen lukitsemista.

    Kuvaus: Puhelintilan käsittelyssä lentokonetilassa oli tilanhallintaongelma. Ongelma on ratkaistu parantamalla tilanhallintaa lentokonetilassa.

    CVE-ID

    CVE-2014-1353

  • Mail

    Saatavuus: iPhone 4 ja uudemmat, iPod touch (5. sukupolvi) ja uudemmat, iPad 2 ja uudemmat

    Vaikutus: Sähköpostin liitetiedostoja pystyttiin noutamaan iPhone 4:stä.

    Kuvaus: Tietojen suojaus ei ollut käytössä sähköpostin liitetiedostojen osalta, joten laitetta hallussaan pitävä hyökkääjä pystyi lukemaan niitä. Ongelma on ratkaistu muuttamalla sähköpostin liitetiedostojen salausluokkaa.

    CVE-ID

    CVE-2014-1348: NESO Security Labsin Andreas Kurtz

  • Safari

    Saatavilla seuraaviin: iPhone 4 ja uudemmat, iPod touch (5. sukupolvi) ja uudemmat, iPad 2 ja uudemmat

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: Safarin tavassa käsitellä virheellisiä URL-osoitteita oli use-after-free-ongelma. Ongelma on korjattu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2014-1349: Reno Robert ja Dhanesh Kizhakkinan

  • Asetukset

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi pystyä poistamaan Etsi iPhoneni -palvelun käytöstä antamatta iCloudin salasanaa.

    Kuvaus: Etsi iPhoneni -tilan käsittelyssä oli tilanhallintaongelma. Ongelma on ratkaistu parantamalla Etsi iPhoneni -tilan käsittelyä.

    CVE-ID

    CVE-2014-1350

  • Secure Transport

    Saatavuus: iPhone 4 ja uudemmat, iPod touch (5. sukupolvi) ja uudemmat, iPad 2 ja uudemmat

    Vaikutus: Kaksi tavua alustamatonta muistia saattoi paljastua etähyökkääjälle.

    Kuvaus: DTLS-viestien käsittelyssä TLS-yhteydessä oli alustamattoman muistin käyttöongelma. Ongelma on ratkaistu hyväksymällä DTLS-yhteydessä ainoastaan DTLS-viestejä.

    CVE-ID

    CVE-2014-1361: The Adium Projectin Thijs Alkemade

  • Siri

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad (3. sukupolvi tai uudempi).

    Vaikutus: Laitetta hallussaan pitävä henkilö saattoi pystyä tarkastelemaan kaikkia yhteystietoja.

    Kuvaus: Jos Sirille annettu pyyntö saattaa viitata moneen eri yhteyshenkilöön, Siri näyttää mahdolliset vaihtoehdot sekä Lisää...-valinnan, josta saa näkyviin kaikki yhteyshenkilöt. Lukitulla näytöllä käytettäessä Siri ei vaatinut pääsykoodia ennen kaikkien yhteyshenkilöiden näyttämistä. Ongelma on ratkaistu vaatimalla pääsykoodi.

    CVE-ID

    CVE-2014-1351: Sherif Hashim

  • WebKit

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: WebKitissä oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2013-2875: miaubiz

    CVE-2013-2927: cloudfuzzer

    CVE-2014-1323: banty

    CVE-2014-1325: Apple

    CVE-2014-1326: Apple

    CVE-2014-1327: Google Chrome Security Team ja Apple

    CVE-2014-1329: Google Chrome Security Team

    CVE-2014-1330: Google Chrome Security Team

    CVE-2014-1331: cloudfuzzer

    CVE-2014-1333: Google Chrome Security Team

    CVE-2014-1334: Apple

    CVE-2014-1335: Google Chrome Security Team

    CVE-2014-1336: Apple

    CVE-2014-1337: Apple

    CVE-2014-1338: Google Chrome Security Team

    CVE-2014-1339: OUSPG:n Atte Kettunen

    CVE-2014-1341: Google Chrome Security Team

    CVE-2014-1342: Apple

    CVE-2014-1343: Google Chrome Security Team

    CVE-2014-1362: Apple ja miaubiz

    CVE-2014-1363: Apple

    CVE-2014-1364: Apple

    CVE-2014-1365: Apple ja Google Chrome Security Team

    CVE-2014-1366: Apple

    CVE-2014-1367: Apple

    CVE-2014-1368: Keen Teamin (Keen Cloud Techin tutkimustiimin) Wushi

    CVE-2014-1382: Szegedin yliopiston / Samsung Electronicsin Renata Hodovan

    CVE-2014-1731: Blink-kehitysyhteisön nimettömänä pysyvä jäsen

  • WebKit

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haittasivusto pystyi lähettämään viestejä yhdistettyyn kehykseen tai ikkunaan tavalla, joka saattoi kiertää vastaanottajan alkuperätarkastuksen.

    Kuvaus: Unicode-merkkien käsittelyssä URL-osoitteissa oli koodausongelma. Haitallinen URL-osoite olisi saattanut johtaa virheellisen postMessage-alkuperän lähettämiseen. Ongelma on ratkaistu parantamalla koodausta ja koodauksen purkamista.

    CVE-ID

    CVE-2014-1346: Facebookin Erling Ellingsen

  • WebKit

    Saatavuus: iPhone 4 tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallinen verkkosivusto saattoi pystyä väärentämään domain-nimensä osoiterivillä.

    Kuvaus: URL-osoitteiden käsittelyssä oli väärennysongelma. Ongelma on ratkaistu parantamalla URL-osoitteiden koodausta.

    CVE-ID

    CVE-2014-1345: Facebookin Erling Ellingsen

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: