O sigurnosnom sadržaju sustava iOS 7.1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 7.1.

Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste doznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za zaštitu Appleovih proizvoda potražite u članku "Korištenje PGP ključa za zaštitu Appleovih proizvoda".

Kad je moguće, slabe točke označene su CVE ID-ovima pomoću kojih je moguće pronaći dodatne informacije.

Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak "Appleova sigurnosna ažuriranja".

iOS 7.1

  • Sigurnosna kopija

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerno oblikovana sigurnosna kopija mogla je promijeniti datotečni sustav

    Opis: simbolična se veza u sigurnosnoj kopiji obnavljala i dopuštala nadolazeće operacije tijekom obnove radi zapisivanja u ostali dio datotečnog sustava. Problem je riješen pregledom kojim se tijekom postupka obnove utvrđuje postojanje simboličnih veza.

    CVE-ID

    CVE-2013-5133: evad3rs

  • Pravilnik o pouzdanosti certifikata

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: korijenski su se certifikati ažurirali

    Opis: nekoliko je certifikata dodano na popis sistemskih korijena ili je uklonjeno s njega.

  • Konfiguracijski profili

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: datumi isteka profila nisu bili važeći.

    Opis: datumi isteka konfiguracijskih profila mobilnih uređaja nisu pravilno evaluirani. Problem je riješen poboljšanim upravljanjem konfiguracijskim profilima.

    CVE-ID

    CVE-2014-1267

  • CoreCapture

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerna aplikacija mogla je uzrokovati neočekivani pad sustava

    Opis: u rukovanju komponente CoreCapture IOKit API pozivima otkriven je problem s dostupnim dokazivanjem. Problem je riješen putem dodatne provjere valjanosti unosa iz komponente IOKit.

    CVE-ID

    CVE-2014-1271: Filippo Bigarella

  • Izvješće o padu sustava

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: lokalni korisnik mogao je promijeniti dozvole proizvoljnih datoteka

    Opis: CrashHouseKeeping pratio je simbolične veze prilikom promjene dozvola za datoteke. Problem je riješen poništavanjem praćenja simboličnih veza prilikom promjene dozvola za datoteke.

    CVE-ID

    CVE-2014-1272: evad3rs

  • dyld

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: preduvjete potpisa koda bilo je moguće zaobići

    Opis: dyld je mogao učitati upute za premještanje teksta u dinamičnim bibliotekama bez provjere valjanosti potpisa koda. Problem je riješen zanemarivanjem uputa za premještanje teksta.

    CVE-ID

    CVE-2014-1273: evad3rs

  • FaceTime

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: osoba s fizičkim pristupom uređaju mogla je pristupati kontaktima značajke FaceTime putem zaključanog zaslona

    Opis: kontakti značajke FaceTime na zaključanom uređaju mogli su postati dostupni uspostavljanjem neuspjelog FaceTime poziva putem zaključanog zaslona. Problem je riješen poboljšanim rukovanjem FaceTime pozivima.

    CVE-ID

    CVE-2014-1274

  • ImageIO

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: pregledavanje zlonamjernog web-mjesta moglo je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda

    Opis: prilikom rukovanja JPEG2000 slikama u PDF datotekama otkriven je preljev međuspremnika. Problem je riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2014-1275: Felix Groebert (Googleov tim za sigurnost)

  • ImageIO

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: pokretanje zlonamjerne TIFF datoteke moglo je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda

    Opis: u libtiffovu rukovanju TIFF slikama otkriven je preljev međuspremnika. Problem je riješen dodatnom provjerom valjanosti TIFF slika.

    CVE-ID

    CVE-2012-2088

  • ImageIO

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: pokretanje zlonamjerne JPEG datoteke moglo je uzrokovati otkrivanje sadržaja memorije

    Opis: u libjpegovu rukovanju JPEG markerima prilikom pristupa neinicijaliziranoj memoriji otkriven je problem, što je rezultiralo otkrivanjem sadržaja memorije. Problem je riješen dodatnom provjerom valjanosti JPEG slika.

    CVE-ID

    CVE-2013-6629: Michal Zalewski

  • IOKit HID događaj

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerna aplikacija mogla je nadzirati korisničke akcije u drugim aplikacijama

    Opis: sučelje IOKit platforme dopustilo je zlonamjernim aplikacijama nadzor nad korisničkim akcijama u drugim aplikacijama. Problem je riješen poboljšanim pravilima kontrole pristupa na platformi.

    CVE-ID

    CVE-2014-1276: Min Zheng, Hui Xue i Dr. Tao (Lenx) Wei (FireEye)

  • iTunes Store

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: MITM (engl. Man in the Middle) napadom korisnika se moglo namamiti da prilikom preuzimanja poslovne aplikacije preuzme zlonamjernu aplikaciju

    Opis: napadač s mrežnim ovlastima mogao je lažirati mrežnu komunikaciju da bi korisnika namamio da preuzme zlonamjernu aplikaciju. Problem je ublažen SSL-om i upitima koje korisnik potvrđuje tijekom preusmjeravanja URL-a.

    CVE-ID

    CVE-2013-3948: Stefan Esser

  • Kernel

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: lokalni korisnik mogao je uzrokovati neočekivani pad sustava ili izvršavanje arbitrarnog koda u jezgri

    Opis: u funkciji ARM ptmx_get_ioctl otkriven je problem s vanjskim pristupom memoriji. Problem je riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2014-1278: evad3rs

  • Preglednik sustava Office

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: otvaranje zlonamjernog dokumenta programa Microsoft Word moglo je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda

    Opis: u rukovanju dokumentima programa Microsoft Word otkriven je problem dvostrukog oslobađanja. Problem je riješen poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2014-1252: Felix Groebert (Googleov tim za sigurnost)

  • Pozadinske fotografije

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: izbrisane fotografije i dalje su se pojavljivale ispod prozirnih slika u aplikaciji Fotografije

    Opis: brisanjem iz medijateke nije se brisala i slika u pričuvnoj memoriji. Problem je riješen poboljšanim upravljanjem pričuvnom memorijom.

    CVE-ID

    CVE-2014-1281: Walter Hoelblinger (Hoelblinger.com), Morgan Adams, Tom Pennington

  • Profili

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: konfiguracijski profil mogao je biti skriven od korisnika

    Opis: konfiguracijski profil s dugim nazivom mogao se učitati na uređaj, ali se nije prikazivao na korisničkom sučelju profila. Problem je riješen poboljšanim upravljanjem nazivima profila.

    CVE-ID

    CVE-2014-1282: Assaf Hefetz, Yair Amit i Adi Sharabani (Skycure)

  • Safari

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: korisničke vjerodajnice mogle su se otkriti neočekivanom web-mjestu putem automatskog unosa

    Opis: Safari je mogao automatski unijeti korisnička imena i lozinke u podokvir iz domene koja se razlikuje od glavnog okvira. Problem je riješen poboljšanim praćenjem izvora.

    CVE-ID

    CVE-2013-5227: Niklas Malmgren (Klarna AB)

  • Postavke – Računi

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: osoba s fizičkim pristupom uređaju mogla je bez unosa lozinke za iCloud onemogućiti opciju Nađi moj iPhone

    Opis: u rukovanju stanjem opcije Nađi moj iPhone otkriven je problem s upravljanjem stanjem. Problem je riješen poboljšanim upravljanjem stanjem značajke Nađi moj iPhone.

    CVE-ID

    CVE-2014-2019

  • Springboard

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: osoba s fizičkim pristupom uređaju mogla je vidjeti početni zaslon uređaja čak i ako uređaj nije bio aktiviran

    Opis: neočekivano zatvaranje aplikacije tijekom aktivacije moglo je uzrokovati prikaz početnog zaslona telefona. Problem je riješen poboljšanim upravljanjem pogreškama tijekom aktivacije.

    CVE-ID

    CVE-2014-1285: Roboboi99

  • Zaključani zaslon SpringBoard

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: udaljeni napadač mogao je uzrokovati prekid reagiranja zaključanog zaslona

    Opis: u upravljanju stanjem na zaključanom zaslonu otkriven je problem. Problem je riješen poboljšanim upravljanjem stanjem.

    CVE-ID

    CVE-2014-1286: Bogdan Alecu (M-sec.net)

  • Platforma TelephonyUI

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: web-stranica mogla je pokrenuti FaceTime audiopoziv bez interakcije korisnika

    Opis: Safari korisniku nije poslao upit prije pokretanja URL-ova za FaceTime audiopoziv. Problem je riješen dodavanjem upita za potvrdu.

    CVE-ID

    CVE-2013-6835: Guillaume Ross

  • USB host

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: osoba s fizičkim pristupom uređaju mogla je uzrokovati izvršavanje arbitrarnog koda u jezgri

    Opis: u rukovanju USB porukama otkriven je problem s oštećenom memorijom. Problem je riješen dodatnom provjerom valjanosti USB poruka.

    CVE-ID

    CVE-2014-1287: Andy Davis (NCC Group)

  • Upravljački program za videozapise

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: reprodukcija zlonamjernog videosadržaja mogla je uzrokovati prekid reagiranja uređaja

    Opis: u rukovanju kodiranim MPEG4 datotekama otkriven je problem dereference vrijednosti null. Problem je riješen poboljšanim rukovanjem memorijom.

    CVE-ID

    CVE-2014-1280: rg0rd

  • WebKit

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda

    Opis: u WebKitu je otkriven veći broj problema s neispravnom memorijom. Problemi su riješeni poboljšanim rukovanjem memorijom.

    CVE-ID

    CVE-2013-2909: Atte Kettunen (OUSPG)

    CVE-2013-2926: cloudfuzzer

    CVE-2013-2928: tim za sigurnost preglednika Google Chrome

    CVE-2013-5196: tim za sigurnost preglednika Google Chrome

    CVE-2013-5197: tim za sigurnost preglednika Google Chrome

    CVE-2013-5198: Apple

    CVE-2013-5199: Apple

    CVE-2013-5225: tim za sigurnost preglednika Google Chrome

    CVE-2013-5228: Keen Team (@K33nTeam) i HP-ova inicijativa Zero Day

    CVE-2013-6625: cloudfuzzer

    CVE-2013-6635: cloudfuzzer

    CVE-2014-1269: Apple

    CVE-2014-1270: Apple

    CVE-2014-1289: Apple

    CVE-2014-1290: ant4g0nist (SegFault) i HP-ova inicijativa Zero Day, tim za sigurnost preglednika Google Chrome, Lee Wang Hao i S.P.T. Krishnan (Odjel za sigurnost informacijsko-komunikacijskih tehnologija na Institutu za istraživanje informacijsko-komunikacijskih tehnologija)

    CVE-2014-1291: tim za sigurnost preglednika Google Chrome

    CVE-2014-1292: tim za sigurnost preglednika Google Chrome

    CVE-2014-1293: tim za sigurnost preglednika Google Chrome

    CVE-2014-1294: tim za sigurnost preglednika Google Chrome

FaceTime nije dostupan u svim državama ili regijama.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: