O sigurnosnom sadržaju sustava iOS 7
U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 7.
Da bi zaštitio korisnike, Apple ne otkriva, ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i javno ne ponudi zakrpe ili nova izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.
Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu Upotreba PGP ključa za sigurnost Appleovih proizvoda.
Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.
Da biste saznali više o sigurnosnim ažuriranjima, posjetite web-mjesto Appleova sigurnosna ažuriranja.
iOS 7
Pravilnik o pouzdanosti certifikata
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: korijenski certifikati su poboljšani
Opis: nekoliko je certifikata dodano ili uklonjeno s popisa sistemskih korijena.
CoreGraphics
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: pregledavanje zlonamjerno stvorene PDF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: došlo je do prekoračenja međuspremnika prilikom rukovanja JBIG2 kodiranim podacima u PDF datotekama. Problem je riješen dodatnom provjerom ograničenja.
CVE-ID
CVE-2013-1025: Felix Groebert (Googleov sigurnosni tim)
CoreMedia
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i novije, iPad 2 i novije verzije
Učinak: reprodukcija zlonamjerno izrađene filmske datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: došlo je do prekoračenja međuspremnika prilikom rukovanja Sorenson kodiranim filmskim datotekama. Problem je riješen poboljšanom provjerom ograničenja.
CVE-ID
CVE-2013-1019: Tom Gallagher (Microsoft) i Paul Bates (Microsoft) u suradnji s HP-ovom inicijativom Zero Day
Data Protection
Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije, iPad 2 i novije verzije
Učinak: aplikacije mogu zaobići ograničenja broja neuspjelih pokušaja unosa šifre
Opis: prilikom zaštite podataka došlo je do problema s odvajanjem ovlasti. Aplikacija s memorijom za testiranje treće strane mogla bi u više navrata pokušati otkriti korisnikovu šifru bez obzira na korisnikovu postavku „Obriši podatke”. Taj je problem riješen traženjem dodatnih provjera ovlasti.
CVE-ID
CVE-2013-0957: Jin Han (Institut za informatička istraživanja) u suradnji s Qiangom Yanom i Su Mon Kyweom (Sveučilište za menadžment u Singapuru)
Data Security
Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije, iPad 2 i novije verzije
Učinak: napadač s privilegiranim mrežnim položajem može presresti korisničke vjerodajnice ili druge osjetljive informacije
Opis: TrustWave, pouzdani korijenski CA, izdao je i naknadno opozvao CA podcertifikat jednog od svojih sidra povjerenja. Ovaj je CA podcertifikat olakšao presretanje komunikacija zaštićenih TLS-om (Transport Layer Security). Ovim se ažuriranjem dodao CA podcertifikat na popis nepouzdanih certifikata sustava OS X.
CVE-ID
CVE-2013-5134
dyld
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: napadač koji na uređaju izvršava proizvoljni kod možda će se moći nastaviti izvršavati kod tijekom ponovnog pokretanja
Opis: u dyld-ovoj funkciji openSharedCacheFile() postojalo je više prekoračenja međuspremnika. Ti su problemi riješeni poboljšanom provjerom ograničenja.
CVE-ID
CVE-2013-3950: Stefan Esser
File Systems
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: napadač koji može pokrenuti datotečni sustav koji nije HFS datotečni sustav može uzrokovati neočekivano zatvaranje sustava ili proizvoljno izvršavanje koda s kernelskim ovlastima
Opis: u rukovanju datotekama AppleDouble postojao je problem s oštećenjem memorije. Ovaj je problem riješen uklanjanjem podrške za datoteke AppleDouble.
CVE-ID
CVE-2013-3955: Stefan Esser
ImageIO
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: pregledavanje zlonamjerno izrađene PDF datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: prilikom rukovanja JPEG2000 kodiranim podacima u PDF datotekama bilo je prekoračenja međuspremnika. Problem je riješen dodatnom provjerom ograničenja.
CVE-ID
CVE-2013-1026: Felix Groebert (Googleov sigurnosni tim)
IOKit
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: aplikacije koje rade u pozadini mogu događaje s korisničkog sučelja ubacivati u primarne aplikacije
Opis: aplikacije koje rade u pozadini mogle su ubacivati događaje s korisničkog sučelja u primarne aplikacije dovršavanjem zadataka ili putem VoIP API-jeva. Ovaj problem riješen je primjenom kontrola pristupa u primarnim procesima i procesima koji se odvijaju u pozadini, a upravljaju događajima sa sučelja.
CVE-ID
CVE-2013-5137: Mackenzie Straight (Mobile Labs)
IOKitUser
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: zlonamjerna lokalna aplikacija može uzrokovati neočekivano isključivanje sustava
Opis: u sustavu IOCatalogue postojala je dereferenca pokazivača s vrijednošću null. Problem je riješen dodatnom provjerom vrste.
CVE-ID
CVE-2013-5138: Will Estes
IOSerialFamily
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: izvršavanje zlonamjerne aplikacije može rezultirati proizvoljnim izvršavanjem koda unutar kernela
Opis: u upravljačkom programu IOSerialFamily postojao je pristup nizu izvan granica. Problem je riješen dodatnom provjerom ograničenja.
CVE-ID
CVE-2013-5139: @dent1zt
IPSec
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: napadač može presresti podatke zaštićene putem funkcije IPSec Hybrid Auth
Opis: DNS naziv IPSec Hybrid Auth poslužitelja nije se podudarao sa certifikatom, što je napadaču sa certifikatom za bilo koji poslužitelj omogućilo da se lažno predstavi kao netko drugi. Problem je riješen poboljšanom provjerom certifikata.
CVE-ID
CVE-2013-1028: Alexander Traud (www.traud.de)
Kernel
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: udaljeni napadač može uzrokovati neočekivano ponovno pokretanje uređaja
Opis: slanje nevažećeg fragmenta paketa na uređaj može uzrokovati pokretanje potvrde kernela, što dovodi do ponovnog pokretanja uređaja. Problem je riješen dodatnom provjerom fragmenata paketa.
CVE-ID
CVE-2013-5140: Joonas Kuorilehto (Codenomicon), anonimni istraživač koji radi za CERT-FI, Antti Levomäki i Lauri Virtanen (Vulnerability Analysis Group, Stonesoft)
Kernel
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: zlonamjerna lokalna aplikacija mogla bi uzrokovati prekid rada uređaja
Opis: slaba točka rastavljanja cijelog broja na sučelju kernelske utičnice mogla bi se iskoristiti za prisilno prebacivanje procesora u beskonačnu petlju. Problem je riješen upotrebom varijable veće veličine.
CVE-ID
CVE-2013-5141 : CESG
Kernel
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: napadač na lokalnoj mreži može izazvati odbijanje usluge
Opis: napadač na lokalnoj mreži može slati posebno izrađene IPv6 ICMP pakete i uzrokovati veliko opterećenje procesora. Problem je riješen ograničavanjem brzine ICMP paketa prije provjere njihove kontrolne sume.
CVE-ID
CVE-2011-2391: Marc Heuse
Kernel
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: memorija stoga kernela može se otkriti lokalnim korisnicima
Opis: u msgctl i segctl API-jevima postojao je problem s otkrivanjem podataka. Problem je riješen inicijalizacijom podatkovnih struktura vraćenih iz kernela.
CVE-ID
CVE-2013-5142: Kenzley Alphonse (Kenx Technology, Inc)
Kernel
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: nepovlašteni procesi mogli bi pristupiti sadržaju kernelske memorije, što može dovesti do eskalacije ovlasti
Opis: u API-ju mach_port_space_info postojao je problem s otkrivanjem podataka. Problem je riješen inicijalizacijom polja iin_collision u strukturama vraćenim iz kernela.
CVE-ID
CVE-2013-3953: Stefan Esser
Kernel
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: nepovlašteni procesi mogli bi uzrokovati neočekivani prekid rada sustava ili izvršavanje proizvoljnog koda u kernelu
Opis: u rukovanju argumentima API-ja posix_spawn postojao je problem s oštećenjem memorije. Problem je riješen dodatnom provjerom ograničenja.
CVE-ID
CVE-2013-3954: Stefan Esser
Kext Management
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: neovlašteni proces može izmijeniti skup učitanih kernelskih ekstenzija
Opis: postojao je problem u kextd rukovanju IPC porukama od neovlaštenih pošiljatelja. Problem je riješen dodavanjem dodatnih provjera za autorizaciju.
CVE-ID
CVE-2013-5145: "Rainbow PRISM"
libxml
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: pregled zlonamjerno izrađene web-stranice može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: u programu libxml postojalo je više problema s oštećenjem memorije. Problemi su riješeni ažuriranjem programa libxml na verziju 2.9.0.
CVE-ID
CVE-2011-3102: Jüri Aedla
CVE-2012-0841
CVE-2012-2807: Jüri Aedla
CVE-2012-5134: Google Chrome Security Team (Jüri Aedla)
libxslt
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: pregled zlonamjerno izrađene web-stranice može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: u programu libxslt otkriveno je više problema s oštećenjem memorije. Problemi su riješeni ažuriranjem programa libxslt na verziju 1.1.28.
CVE-ID
CVE-2012-2825: Nicolas Gregoire
CVE-2012-2870: Nicolas Gregoire
CVE-2012-2871: Kai Lu (Fortinet's FortiGuard Labs), Nicolas Gregoire
Passcode Lock
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: osoba s fizičkim pristupom uređaju može moći zaobići zaključavanje zaslona
Opis: u rukovanju telefonskim pozivima i izbacivanju SIM kartice na zaključanom zaslonu postojao je problem s uvjetom nadvladavanja. Problem je riješen poboljšanim upravljanjem stanjem zaključavanja.
CVE-ID
CVE-2013-5147 : videosdebarraquito
Personal Hotspot
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: napadač se može pridružiti mreži osobnih hotspotova
Opis: postojao je problem s generiranjem lozinki za osobni hotspot, što je rezultiralo lozinkama koje je napadač mogao predvidjeti i pridružiti se korisnikovom osobnom hotspotu. Problem je riješen generiranjem lozinki s većom entropijom.
CVE-ID
CVE-2013-4616: Andreas Kurtz (NESO Security Labs) i Daniel Metz (Sveučilište Erlangen-Nuremberg)
Push Notifications
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: token push obavijesti može se otkriti korisniku aplikacije suprotno odluci korisnika
Opis: pri registraciji push obavijesti postojao je problem s otkrivanjem podataka. Aplikacije koje su zatražile pristup push obavijestima primile su token prije nego što je korisnik odobrio upotrebu push obavijesti za aplikaciju. Problem je riješen tako da je zabranjen pristup tokenu sve dok korisnik ne odobri pristup.
CVE-ID
CVE-2013-5149: Jack Flintermann (Grouper, Inc.)
Safari
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: posjet zlonamjerno izrađenom web-mjestu može dovesti do neočekivanog isključivanja aplikacije ili izvršavanja proizvoljnog koda
Opis: pri rukovanju XML datotekama postojao je problem s oštećenjem memorije. Problem je riješen dodatnom provjerom ograničenja.
CVE-ID
CVE-2013-1036: Kai Lu (Fortinet's FortiGuard Labs)
Safari
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: povijest nedavno posjećenih stranica na otvorenoj kartici može ostati nakon brisanja povijesti pregleda
Opis: brisanjem povijesti pregleda u pregledniku Safari nije se očistila povijest pregleda nakon/prije one koja je zabilježena za otvorene kartice. Problem je riješen brisanjem povijesti pregleda prije i nakon povijesti za otvorenu karticu.
CVE-ID
CVE-2013-5150
Safari
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: pregled datoteka na web-mjestu može dovesti do izvršavanja skripte čak i kada poslužitelj pošalje zaglavlje „Content-Type: text / plain”
Opis: Mobile Safari ponekad je datoteke tretirao kao HTML datoteke čak i kada je poslužitelj poslao zaglavlje „Content-Type: text / plain”. To može dovesti do unakrsnog skriptiranja na web-mjestima, što korisnicima omogućuju prijenos datoteka. Problem je riješen poboljšanim rukovanjem datotekama kada je postavljeno „Content-Type: text / plain”.
CVE-ID
CVE-2013-5151: Ben Toews (Github)
Safari
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: posjet zlonamjernoj web-stranici može omogućiti prikaz proizvoljnog URL-a
Opis: u aplikaciji Mobile Safari postojao je problem s lažiranjem URL trake. Problem je riješen poboljšanim praćenjem URL-a.
CVE-ID
CVE-2013-5152: Keita Haga (keitahaga.com), Łukasz Pilorz (RBS)
Sandbox
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: aplikacije koje su skripte nisu u memoriji za testiranje
Opis: aplikacije drugih proizvođača koje su potrebljavale #! Sintaksa za pokretanje umetnuta je u memoriju za testiranje na temelju identiteta čitača skripte, a ne skripte. Za čitač možda nije definirana memorija za testiranje, što dovodi do toga da se aplikacija pokreće izvan memorije za testiranje. Problem je riješen kreiranjem memorije za testiranje na temelju identiteta skripte.
CVE-ID
CVE-2013-5154: evad3rs
Sandbox
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: aplikacije mogu uzrokovati prekid u radu sustava
Opis: zlonamjerne aplikacije drugih proizvođača koje su zapisale određene vrijednosti u /dev/random memoriju uređaja mogle bi prisilno prebaciti procesor u beskonačnu petlju. Problem je riješen sprječavanjem zapisivanja aplikacija drugih proizvođača u /dev/random memoriju.
CVE-ID
CVE-2013-5155: CESG
Društvene mreže
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: nedavne aktivnosti korisnika na Twitteru mogle bi se otkriti na uređajima bez šifre.
Opis: postojao je problem u kojem je bilo moguće utvrditi s kojim je Twitter računima korisnik nedavno komunicirao. Problem je riješen ograničavanjem pristupa predmemoriji ikone za Twitter.
CVE-ID
CVE-2013-5158: Jonathan Zdziarski
Springboard
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: osoba s fizičkim pristupom uređaju u Modu izgubljenog uređaja može pregledavati obavijesti.
Opis: postojao je problem u rukovanju obavijestima kad je uređaj bio u modu izgubljenog uređaja. Ovo ažuriranje rješava problem s poboljšanim upravljanjem stanjem zaključavanja.
CVE-ID
CVE-2013-5153: Daniel Stangroom
Telephony
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: zlonamjerne aplikacije mogu ometati ili upravljati funkcionalnošću telefonije
Opis: u telefonskom podsustavu postojao je problem s kontrolom pristupa. Zaobilazeći podržane API-jeve, aplikacije u zaštićenom okruženju mogu upućivati zahtjeve izravno demonu sustava koji ometa ili kontrolira funkcionalnost telefonije. Problem je riješen nametanjem kontrola pristupa na sučeljima koja je otkrio telefonski demon.
CVE-ID
CVE-2013-5156: Jin Han (Institut za informatička istraživanja) u suradnji s Qiangom Yanom i Su Mon Kyweom (Sveučilište za menadžment u Singapuru); Tielei Wang, Kangjie Lu, Long Lu, Simon Chung i Wenke Lee (Institut za tehnologiju Georgia)
Twitter
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: aplikacije u zaštićenom okruženju mogu slati tweetove bez korisničke interakcije ili dopuštenja
Opis: u Twitter podsustavu postojao je problem s kontrolom pristupa. Zaobilazeći podržane API-jeve, aplikacije u zaštićenom okruženju mogu upućivati zahtjeve izravno demonu sustava koji ometa ili kontrolira funkciju Twittera. Problem je riješen primjenom kontrola pristupa na sučeljima koja je otkrio Twitter demon.
CVE-ID
CVE-2013-5157: Jin Han (Institut za informatička istraživanja) u suradnji s Qiangom Yanom i Su Mon Kyweom (Sveučilište za menadžment u Singapuru); Tielei Wang, Kangjie Lu, Long Lu, Simon Chung i Wenke Lee (Institu za tehnologiju Georgia)
WebKit
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: posjet zlonamjerno izrađenom web-mjestu može dovesti do neočekivanog prekida rada aplikacije ili izvršavanja proizvoljnog koda
Opis: u programu WebKit postojalo je više problema s oštećenjem memorije. Ti su problemi riješeni poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2013-0879: Atte Kettunen of OUSPG
CVE-2013-0991: Jay Civelli (Razvojna zajednica Chromium)
CVE-2013-0992: Google Chrome Security Team (Martin Barbella)
CVE-2013-0993: Google Chrome Security Team (Inferno)
CVE-2013-0994: David German (Google)
CVE-2013-0995: Google Chrome Security Team (Inferno)
CVE-2013-0996: Google Chrome Security Team (Inferno)
CVE-2013-0997: Vitaliy Toropov u suradnji s inicijativom HP Zero Day
CVE-2013-0998: pa_kt u suradnji s inicijativom HP Zero Day
CVE-2013-0999: pa_kt u suradnji s inicijativom HP Zero Day
CVE-2013-1000: Fermin J. Serna (Google Security Team)
CVE-2013-1001: Ryan Humenick
CVE-2013-1002: Sergey Glazunov
CVE-2013-1003: Google Chrome Security Team (Inferno)
CVE-2013-1004: Google Chrome Security Team (Martin Barbella)
CVE-2013-1005: Google Chrome Security Team (Martin Barbella)
CVE-2013-1006: Google Chrome Security Team (Martin Barbella)
CVE-2013-1007: Google Chrome Security Team (Inferno)
CVE-2013-1008: Sergey Glazunov
CVE-2013-1010: miaubiz
CVE-2013-1037: Google Chrome Security Team
CVE-2013-1038: Google Chrome Security Team
CVE-2013-1039: own-hero Research u suradnji sa iDefense VCP
CVE-2013-1040: Google Chrome Security Team
CVE-2013-1041: Google Chrome Security Team
CVE-2013-1042: Google Chrome Security Team
CVE-2013-1043: Google Chrome Security Team
CVE-2013-1044: Apple
CVE-2013-1045: Google Chrome Security Team
CVE-2013-1046: Google Chrome Security Team
CVE-2013-1047: miaubiz
CVE-2013-2842: Cyril Cattiaux
CVE-2013-5125: Google Chrome Security Team
CVE-2013-5126: Apple
CVE-2013-5127: Google Chrome Security Team
CVE-2013-5128: Apple
WebKit
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: posjet zlonamjernoj web-stranici može dovesti do otkrivanja podataka
Opis: pri rukovanju API-jem window.webkitRequestAnimationFrame() postojao je problem s otkrivanjem podataka. Zlonamjerno izrađeno web-mjesto moglo bi upotrijebiti iframe kako bi utvrdilo je li neko drugo web-mjesto uptrijebilo window.webkitRequestAnimationFrame(). Problem je riješen poboljšanim rukovanjem sa window.webkitRequestAnimationFrame().
CVE-ID
CVE-2013-5159
WebKit
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: kopiranje i lijepljenje zlonamjernog HTML isječka može dovesti do napada sa skriptiranjem na više web-mjesta
Opis: u rukovanju kopiranim i zalijepljenim podacima u HTML dokumentima postojao je problem sa skriptiranjem na više web-mjesta. Taj je problem riješen dodatnom provjerom valjanosti zalijepljenog sadržaja.
CVE-ID
CVE-2013-0926: Aditya Gupta, Subho Halder i Dev Kar (xys3c) (xysec.com)
WebKit
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: posjet zlonamjerno izrađenom web-mjestu može dovesti do napada sa skriptiranjem na više web-mjesta
Opis: pri rukovanju iframeovima postojao je problem sa skriptiranjem na više web-mjesta. Taj je problem riješen poboljšanim praćenjem izvora.
CVE-ID
CVE-2013-1012: Subodh Iyengar i Erling Ellingsen (Facebook)
WebKit
Dostupno za: iPhone 3GS i noviji, iPod touch (četvrte generacije) i noviji, iPad 2 i noviji
Učinak: posjet zlonamjernom web-mjestu može dovesti do otkrivanja podataka
Opis: u aplikaciji XSSAuditor postojao je problem s otkrivanjem podataka. Problem je riješen poboljšanim rukovanjem URL-ovima.
CVE-ID
CVE-2013-2848: Egor Homakov
WebKit
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: povlačenjem ili lijepljenjem odabira može doći do napada sa skriptiranjem na više web-mjesta
Opis: povlačenjem ili lijepljenjem odabira s jednog web-mjesta na drugo mogu se izvršavati skripte sadržane u odabiru u kontekstu novog web-mjesta. Problem je riješen dodatnom provjerom valjanosti sadržaja prije lijepljenja ili povlačenja i ispuštanja sadržaja.
CVE-ID
CVE-2013-5129: Mario Heiderich
WebKit
Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji
Učinak: posjet zlonamjernom web-mjestu može dovesti do napada skriptiranjem na više web-mjesta
Opis: u rukovanju URL-ovima otkriven je problem skriptiranja na više web-mjesta. Taj je problem riješen poboljšanim praćenjem izvora.
CVE-ID
CVE-2013-5131: Erling A Ellingsen
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.