O sigurnosnom sadržaju sustava iOS 7

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 7.

Da bi zaštitio korisnike, Apple ne otkriva, ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i javno ne ponudi zakrpe ili nova izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu Upotreba PGP ključa za sigurnost Appleovih proizvoda.

Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.

Da biste saznali više o sigurnosnim ažuriranjima, posjetite web-mjesto Appleova sigurnosna ažuriranja.

iOS 7

  • Pravilnik o pouzdanosti certifikata

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: korijenski certifikati su poboljšani

    Opis: nekoliko je certifikata dodano ili uklonjeno s popisa sistemskih korijena.

  • CoreGraphics

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: pregledavanje zlonamjerno stvorene PDF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: došlo je do prekoračenja međuspremnika prilikom rukovanja JBIG2 kodiranim podacima u PDF datotekama. Problem je riješen dodatnom provjerom ograničenja.

    CVE-ID

    CVE-2013-1025: Felix Groebert (Googleov sigurnosni tim)

  • CoreMedia

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i novije, iPad 2 i novije verzije

    Učinak: reprodukcija zlonamjerno izrađene filmske datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: došlo je do prekoračenja međuspremnika prilikom rukovanja Sorenson kodiranim filmskim datotekama. Problem je riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2013-1019: Tom Gallagher (Microsoft) i Paul Bates (Microsoft) u suradnji s HP-ovom inicijativom Zero Day

  • Data Protection

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije, iPad 2 i novije verzije

    Učinak: aplikacije mogu zaobići ograničenja broja neuspjelih pokušaja unosa šifre

    Opis: prilikom zaštite podataka došlo je do problema s odvajanjem ovlasti. Aplikacija s memorijom za testiranje treće strane mogla bi u više navrata pokušati otkriti korisnikovu šifru bez obzira na korisnikovu postavku „Obriši podatke”. Taj je problem riješen traženjem dodatnih provjera ovlasti.

    CVE-ID

    CVE-2013-0957: Jin Han (Institut za informatička istraživanja) u suradnji s Qiangom Yanom i Su Mon Kyweom (Sveučilište za menadžment u Singapuru)

  • Data Security

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije, iPad 2 i novije verzije

    Učinak: napadač s privilegiranim mrežnim položajem može presresti korisničke vjerodajnice ili druge osjetljive informacije

    Opis: TrustWave, pouzdani korijenski CA, izdao je i naknadno opozvao CA podcertifikat jednog od svojih sidra povjerenja. Ovaj je CA podcertifikat olakšao presretanje komunikacija zaštićenih TLS-om (Transport Layer Security). Ovim se ažuriranjem dodao CA podcertifikat na popis nepouzdanih certifikata sustava OS X.

    CVE-ID

    CVE-2013-5134

  • dyld

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: napadač koji na uređaju izvršava proizvoljni kod možda će se moći nastaviti izvršavati kod tijekom ponovnog pokretanja

    Opis: u dyld-ovoj funkciji openSharedCacheFile() postojalo je više prekoračenja međuspremnika. Ti su problemi riješeni poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2013-3950: Stefan Esser

  • File Systems

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: napadač koji može pokrenuti datotečni sustav koji nije HFS datotečni sustav može uzrokovati neočekivano zatvaranje sustava ili proizvoljno izvršavanje koda s kernelskim ovlastima

    Opis: u rukovanju datotekama AppleDouble postojao je problem s oštećenjem memorije. Ovaj je problem riješen uklanjanjem podrške za datoteke AppleDouble.

    CVE-ID

    CVE-2013-3955: Stefan Esser

  • ImageIO

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: pregledavanje zlonamjerno izrađene PDF datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: prilikom rukovanja JPEG2000 kodiranim podacima u PDF datotekama bilo je prekoračenja međuspremnika. Problem je riješen dodatnom provjerom ograničenja.

    CVE-ID

    CVE-2013-1026: Felix Groebert (Googleov sigurnosni tim)

  • IOKit

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: aplikacije koje rade u pozadini mogu događaje s korisničkog sučelja ubacivati u primarne aplikacije

    Opis: aplikacije koje rade u pozadini mogle su ubacivati događaje s korisničkog sučelja u primarne aplikacije dovršavanjem zadataka ili putem VoIP API-jeva. Ovaj problem riješen je primjenom kontrola pristupa u primarnim procesima i procesima koji se odvijaju u pozadini, a upravljaju događajima sa sučelja.

    CVE-ID

    CVE-2013-5137: Mackenzie Straight (Mobile Labs)

  • IOKitUser

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: zlonamjerna lokalna aplikacija može uzrokovati neočekivano isključivanje sustava

    Opis: u sustavu IOCatalogue postojala je dereferenca pokazivača s vrijednošću null. Problem je riješen dodatnom provjerom vrste.

    CVE-ID

    CVE-2013-5138: Will Estes

  • IOSerialFamily

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: izvršavanje zlonamjerne aplikacije može rezultirati proizvoljnim izvršavanjem koda unutar kernela

    Opis: u upravljačkom programu IOSerialFamily postojao je pristup nizu izvan granica. Problem je riješen dodatnom provjerom ograničenja.

    CVE-ID

    CVE-2013-5139: @dent1zt

  • IPSec

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: napadač može presresti podatke zaštićene putem funkcije IPSec Hybrid Auth

    Opis: DNS naziv IPSec Hybrid Auth poslužitelja nije se podudarao sa certifikatom, što je napadaču sa certifikatom za bilo koji poslužitelj omogućilo da se lažno predstavi kao netko drugi. Problem je riješen poboljšanom provjerom certifikata.

    CVE-ID

    CVE-2013-1028: Alexander Traud (www.traud.de)

  • Kernel

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: udaljeni napadač može uzrokovati neočekivano ponovno pokretanje uređaja

    Opis: slanje nevažećeg fragmenta paketa na uređaj može uzrokovati pokretanje potvrde kernela, što dovodi do ponovnog pokretanja uređaja. Problem je riješen dodatnom provjerom fragmenata paketa.

    CVE-ID

    CVE-2013-5140: Joonas Kuorilehto (Codenomicon), anonimni istraživač koji radi za CERT-FI, Antti Levomäki i Lauri Virtanen (Vulnerability Analysis Group, Stonesoft)

  • Kernel

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: zlonamjerna lokalna aplikacija mogla bi uzrokovati prekid rada uređaja

    Opis: slaba točka rastavljanja cijelog broja na sučelju kernelske utičnice mogla bi se iskoristiti za prisilno prebacivanje procesora u beskonačnu petlju. Problem je riješen upotrebom varijable veće veličine.

    CVE-ID

    CVE-2013-5141 : CESG

  • Kernel

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: napadač na lokalnoj mreži može izazvati odbijanje usluge

    Opis: napadač na lokalnoj mreži može slati posebno izrađene IPv6 ICMP pakete i uzrokovati veliko opterećenje procesora. Problem je riješen ograničavanjem brzine ICMP paketa prije provjere njihove kontrolne sume.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kernel

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: memorija stoga kernela može se otkriti lokalnim korisnicima

    Opis: u msgctl i segctl API-jevima postojao je problem s otkrivanjem podataka. Problem je riješen inicijalizacijom podatkovnih struktura vraćenih iz kernela.

    CVE-ID

    CVE-2013-5142: Kenzley Alphonse (Kenx Technology, Inc)

  • Kernel

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: nepovlašteni procesi mogli bi pristupiti sadržaju kernelske memorije, što može dovesti do eskalacije ovlasti

    Opis: u API-ju mach_port_space_info postojao je problem s otkrivanjem podataka. Problem je riješen inicijalizacijom polja iin_collision u strukturama vraćenim iz kernela.

    CVE-ID

    CVE-2013-3953: Stefan Esser

  • Kernel

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: nepovlašteni procesi mogli bi uzrokovati neočekivani prekid rada sustava ili izvršavanje proizvoljnog koda u kernelu

    Opis: u rukovanju argumentima API-ja posix_spawn postojao je problem s oštećenjem memorije. Problem je riješen dodatnom provjerom ograničenja.

    CVE-ID

    CVE-2013-3954: Stefan Esser

  • Kext Management

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: neovlašteni proces može izmijeniti skup učitanih kernelskih ekstenzija

    Opis: postojao je problem u kextd rukovanju IPC porukama od neovlaštenih pošiljatelja. Problem je riješen dodavanjem dodatnih provjera za autorizaciju.

    CVE-ID

    CVE-2013-5145: "Rainbow PRISM"

  • libxml

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: pregled zlonamjerno izrađene web-stranice može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: u programu libxml postojalo je više problema s oštećenjem memorije. Problemi su riješeni ažuriranjem programa libxml na verziju 2.9.0.

    CVE-ID

    CVE-2011-3102: Jüri Aedla

    CVE-2012-0841

    CVE-2012-2807: Jüri Aedla

    CVE-2012-5134: Google Chrome Security Team (Jüri Aedla)

  • libxslt

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: pregled zlonamjerno izrađene web-stranice može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: u programu libxslt otkriveno je više problema s oštećenjem memorije. Problemi su riješeni ažuriranjem programa libxslt na verziju 1.1.28.

    CVE-ID

    CVE-2012-2825: Nicolas Gregoire

    CVE-2012-2870: Nicolas Gregoire

    CVE-2012-2871: Kai Lu (Fortinet's FortiGuard Labs), Nicolas Gregoire

  • Passcode Lock

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: osoba s fizičkim pristupom uređaju može moći zaobići zaključavanje zaslona

    Opis: u rukovanju telefonskim pozivima i izbacivanju SIM kartice na zaključanom zaslonu postojao je problem s uvjetom nadvladavanja. Problem je riješen poboljšanim upravljanjem stanjem zaključavanja.

    CVE-ID

    CVE-2013-5147 : videosdebarraquito

  • Personal Hotspot

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: napadač se može pridružiti mreži osobnih hotspotova

    Opis: postojao je problem s generiranjem lozinki za osobni hotspot, što je rezultiralo lozinkama koje je napadač mogao predvidjeti i pridružiti se korisnikovom osobnom hotspotu. Problem je riješen generiranjem lozinki s većom entropijom.

    CVE-ID

    CVE-2013-4616: Andreas Kurtz (NESO Security Labs) i Daniel Metz (Sveučilište Erlangen-Nuremberg)

  • Push Notifications

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: token push obavijesti može se otkriti korisniku aplikacije suprotno odluci korisnika

    Opis: pri registraciji push obavijesti postojao je problem s otkrivanjem podataka. Aplikacije koje su zatražile pristup push obavijestima primile su token prije nego što je korisnik odobrio upotrebu push obavijesti za aplikaciju. Problem je riješen tako da je zabranjen pristup tokenu sve dok korisnik ne odobri pristup.

    CVE-ID

    CVE-2013-5149: Jack Flintermann (Grouper, Inc.)

  • Safari

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: posjet zlonamjerno izrađenom web-mjestu može dovesti do neočekivanog isključivanja aplikacije ili izvršavanja proizvoljnog koda

    Opis: pri rukovanju XML datotekama postojao je problem s oštećenjem memorije. Problem je riješen dodatnom provjerom ograničenja.

    CVE-ID

    CVE-2013-1036: Kai Lu (Fortinet's FortiGuard Labs)

  • Safari

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: povijest nedavno posjećenih stranica na otvorenoj kartici može ostati nakon brisanja povijesti pregleda

    Opis: brisanjem povijesti pregleda u pregledniku Safari nije se očistila povijest pregleda nakon/prije one koja je zabilježena za otvorene kartice. Problem je riješen brisanjem povijesti pregleda prije i nakon povijesti za otvorenu karticu.

    CVE-ID

    CVE-2013-5150

  • Safari

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: pregled datoteka na web-mjestu može dovesti do izvršavanja skripte čak i kada poslužitelj pošalje zaglavlje „Content-Type: text / plain”

    Opis: Mobile Safari ponekad je datoteke tretirao kao HTML datoteke čak i kada je poslužitelj poslao zaglavlje „Content-Type: text / plain”. To može dovesti do unakrsnog skriptiranja na web-mjestima, što korisnicima omogućuju prijenos datoteka. Problem je riješen poboljšanim rukovanjem datotekama kada je postavljeno „Content-Type: text / plain”.

    CVE-ID

    CVE-2013-5151: Ben Toews (Github)

  • Safari

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: posjet zlonamjernoj web-stranici može omogućiti prikaz proizvoljnog URL-a

    Opis: u aplikaciji Mobile Safari postojao je problem s lažiranjem URL trake. Problem je riješen poboljšanim praćenjem URL-a.

    CVE-ID

    CVE-2013-5152: Keita Haga (keitahaga.com), Łukasz Pilorz (RBS)

  • Sandbox

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: aplikacije koje su skripte nisu u memoriji za testiranje

    Opis: aplikacije drugih proizvođača koje su potrebljavale #! Sintaksa za pokretanje umetnuta je u memoriju za testiranje na temelju identiteta čitača skripte, a ne skripte. Za čitač možda nije definirana memorija za testiranje, što dovodi do toga da se aplikacija pokreće izvan memorije za testiranje. Problem je riješen kreiranjem memorije za testiranje na temelju identiteta skripte.

    CVE-ID

    CVE-2013-5154: evad3rs

  • Sandbox

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: aplikacije mogu uzrokovati prekid u radu sustava

    Opis: zlonamjerne aplikacije drugih proizvođača koje su zapisale određene vrijednosti u /dev/random memoriju uređaja mogle bi prisilno prebaciti procesor u beskonačnu petlju. Problem je riješen sprječavanjem zapisivanja aplikacija drugih proizvođača u /dev/random memoriju.

    CVE-ID

    CVE-2013-5155: CESG

  • Društvene mreže

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: nedavne aktivnosti korisnika na Twitteru mogle bi se otkriti na uređajima bez šifre.

    Opis: postojao je problem u kojem je bilo moguće utvrditi s kojim je Twitter računima korisnik nedavno komunicirao. Problem je riješen ograničavanjem pristupa predmemoriji ikone za Twitter.

    CVE-ID

    CVE-2013-5158: Jonathan Zdziarski

  • Springboard

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: osoba s fizičkim pristupom uređaju u Modu izgubljenog uređaja može pregledavati obavijesti.

    Opis: postojao je problem u rukovanju obavijestima kad je uređaj bio u modu izgubljenog uređaja. Ovo ažuriranje rješava problem s poboljšanim upravljanjem stanjem zaključavanja.

    CVE-ID

    CVE-2013-5153: Daniel Stangroom

  • Telephony

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: zlonamjerne aplikacije mogu ometati ili upravljati funkcionalnošću telefonije

    Opis: u telefonskom podsustavu postojao je problem s kontrolom pristupa. Zaobilazeći podržane API-jeve, aplikacije u zaštićenom okruženju mogu upućivati zahtjeve izravno demonu sustava koji ometa ili kontrolira funkcionalnost telefonije. Problem je riješen nametanjem kontrola pristupa na sučeljima koja je otkrio telefonski demon.

    CVE-ID

    CVE-2013-5156: Jin Han (Institut za informatička istraživanja) u suradnji s Qiangom Yanom i Su Mon Kyweom (Sveučilište za menadžment u Singapuru); Tielei Wang, Kangjie Lu, Long Lu, Simon Chung i Wenke Lee (Institut za tehnologiju Georgia)

  • Twitter

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: aplikacije u zaštićenom okruženju mogu slati tweetove bez korisničke interakcije ili dopuštenja

    Opis: u Twitter podsustavu postojao je problem s kontrolom pristupa. Zaobilazeći podržane API-jeve, aplikacije u zaštićenom okruženju mogu upućivati zahtjeve izravno demonu sustava koji ometa ili kontrolira funkciju Twittera. Problem je riješen primjenom kontrola pristupa na sučeljima koja je otkrio Twitter demon.

    CVE-ID

    CVE-2013-5157: Jin Han (Institut za informatička istraživanja) u suradnji s Qiangom Yanom i Su Mon Kyweom (Sveučilište za menadžment u Singapuru); Tielei Wang, Kangjie Lu, Long Lu, Simon Chung i Wenke Lee (Institu za tehnologiju Georgia)

  • WebKit

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: posjet zlonamjerno izrađenom web-mjestu može dovesti do neočekivanog prekida rada aplikacije ili izvršavanja proizvoljnog koda

    Opis: u programu WebKit postojalo je više problema s oštećenjem memorije. Ti su problemi riješeni poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2013-0879: Atte Kettunen of OUSPG

    CVE-2013-0991: Jay Civelli (Razvojna zajednica Chromium)

    CVE-2013-0992: Google Chrome Security Team (Martin Barbella)

    CVE-2013-0993: Google Chrome Security Team (Inferno)

    CVE-2013-0994: David German (Google)

    CVE-2013-0995: Google Chrome Security Team (Inferno)

    CVE-2013-0996: Google Chrome Security Team (Inferno)

    CVE-2013-0997: Vitaliy Toropov u suradnji s inicijativom HP Zero Day

    CVE-2013-0998: pa_kt u suradnji s inicijativom HP Zero Day

    CVE-2013-0999: pa_kt u suradnji s inicijativom HP Zero Day

    CVE-2013-1000: Fermin J. Serna (Google Security Team)

    CVE-2013-1001: Ryan Humenick

    CVE-2013-1002: Sergey Glazunov

    CVE-2013-1003: Google Chrome Security Team (Inferno)

    CVE-2013-1004: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1005: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1006: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1007: Google Chrome Security Team (Inferno)

    CVE-2013-1008: Sergey Glazunov

    CVE-2013-1010: miaubiz

    CVE-2013-1037: Google Chrome Security Team

    CVE-2013-1038: Google Chrome Security Team

    CVE-2013-1039: own-hero Research u suradnji sa iDefense VCP

    CVE-2013-1040: Google Chrome Security Team

    CVE-2013-1041: Google Chrome Security Team

    CVE-2013-1042: Google Chrome Security Team

    CVE-2013-1043: Google Chrome Security Team

    CVE-2013-1044: Apple

    CVE-2013-1045: Google Chrome Security Team

    CVE-2013-1046: Google Chrome Security Team

    CVE-2013-1047: miaubiz

    CVE-2013-2842: Cyril Cattiaux

    CVE-2013-5125: Google Chrome Security Team

    CVE-2013-5126: Apple

    CVE-2013-5127: Google Chrome Security Team

    CVE-2013-5128: Apple

  • WebKit

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: posjet zlonamjernoj web-stranici može dovesti do otkrivanja podataka

    Opis: pri rukovanju API-jem window.webkitRequestAnimationFrame() postojao je problem s otkrivanjem podataka. Zlonamjerno izrađeno web-mjesto moglo bi upotrijebiti iframe kako bi utvrdilo je li neko drugo web-mjesto uptrijebilo window.webkitRequestAnimationFrame(). Problem je riješen poboljšanim rukovanjem sa window.webkitRequestAnimationFrame().

    CVE-ID

    CVE-2013-5159

  • WebKit

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: kopiranje i lijepljenje zlonamjernog HTML isječka može dovesti do napada sa skriptiranjem na više web-mjesta

    Opis: u rukovanju kopiranim i zalijepljenim podacima u HTML dokumentima postojao je problem sa skriptiranjem na više web-mjesta. Taj je problem riješen dodatnom provjerom valjanosti zalijepljenog sadržaja.

    CVE-ID

    CVE-2013-0926: Aditya Gupta, Subho Halder i Dev Kar (xys3c) (xysec.com)

  • WebKit

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: posjet zlonamjerno izrađenom web-mjestu može dovesti do napada sa skriptiranjem na više web-mjesta

    Opis: pri rukovanju iframeovima postojao je problem sa skriptiranjem na više web-mjesta. Taj je problem riješen poboljšanim praćenjem izvora.

    CVE-ID

    CVE-2013-1012: Subodh Iyengar i Erling Ellingsen (Facebook)

  • WebKit

    Dostupno za: iPhone 3GS i noviji, iPod touch (četvrte generacije) i noviji, iPad 2 i noviji

    Učinak: posjet zlonamjernom web-mjestu može dovesti do otkrivanja podataka

    Opis: u aplikaciji XSSAuditor postojao je problem s otkrivanjem podataka. Problem je riješen poboljšanim rukovanjem URL-ovima.

    CVE-ID

    CVE-2013-2848: Egor Homakov

  • WebKit

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: povlačenjem ili lijepljenjem odabira može doći do napada sa skriptiranjem na više web-mjesta

    Opis: povlačenjem ili lijepljenjem odabira s jednog web-mjesta na drugo mogu se izvršavati skripte sadržane u odabiru u kontekstu novog web-mjesta. Problem je riješen dodatnom provjerom valjanosti sadržaja prije lijepljenja ili povlačenja i ispuštanja sadržaja.

    CVE-ID

    CVE-2013-5129: Mario Heiderich

  • WebKit

    Dostupno za: iPhone 4 i noviji, iPod touch (pete generacije) i noviji, iPad 2 i noviji

    Učinak: posjet zlonamjernom web-mjestu može dovesti do napada skriptiranjem na više web-mjesta

    Opis: u rukovanju URL-ovima otkriven je problem skriptiranja na više web-mjesta. Taj je problem riješen poboljšanim praćenjem izvora.

    CVE-ID

    CVE-2013-5131: Erling A Ellingsen

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: