O sigurnosnom sadržaju sustava iOS 7

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 7.

Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste doznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu zaštite Appleovih proizvoda potražite u članku Korištenje PGP ključa zaštite Appleovih proizvoda.

Kada je moguće, slabe točke označene su CVE ID-ovima, pomoću kojih je moguće pronaći dodatne informacije.

Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak Appleova sigurnosna ažuriranja.

iOS 7

  • Pravilnik o pouzdanosti certifikata

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: korijenski su certifikati ažurirani

    Opis: nekoliko je certifikata dodano na popis sistemskih korijena ili je uklonjeno s njega.

  • Jezgrena grafika

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: pregledavanje zlonamjerne PDF datoteke moglo je uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u JBIG2 šifriranim podacima u PDF datotekama pojavilo se prekoračenje međuspremnika. Taj je problem riješen dodatnom provjerom ograničenja.

    CVE-ID

    CVE-2013-1025: Felix Groebert, Googleov tim za sigurnost

  • CoreMedia

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: reprodukcija zlonamjerne filmske datoteke mogla je uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: tijekom rukovanja filmskim datotekama šifriranima Sorenson kodekom pojavilo se prekoračenje međuspremnika. Taj je problem riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2013-1019: Tom Gallagher (Microsoft) i Paul Bates (Microsoft) pomoću HP-ova programa Zero Day Initiative

  • Zaštita podataka

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: u aplikacijama je bilo moguće zaobići ograničenja nametnuta lozinkom

    Opis: u zaštiti podataka pojavio se problem izdvajanja ovlasti. Aplikacija u memoriji za testiranje drugog proizvođača može neprestano pokušavati utvrditi korisničku lozinku neovisno o korisničkoj postavci opcije "Izbriši podatke". Taj je problem riješen obaveznom dodatnom provjerom prava.

    CVE-ID

    CVE-2013-0957: Jin Han (Institut za istraživanje informacijsko-komunikacijskih tehnologija) te Qiang Yan i Su Mon Kywe (Singapurski studij menadžmenta SIM)

  • Sigurnost podataka

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač s povlaštenim položajem u mreži mogao je presresti korisničke vjerodajnice i druge povjerljive podatke

    Opis: TrustWave, pouzdani izdavač korijenskih certifikata, objavio je i naknadno opozvao certifikat podređenog izdavača iz jednog od svojih pouzdanih sidrišta. Podređeni izdavač pojednostavnio je presretanje komunikacije zaštićene TLS protokolom (Transport Layer Security). Tim se ažuriranjem taj podređeni izdavač certifikata dodao na popis nepouzdanih certifikata OS X sustava.

    CVE-ID

    CVE-2013-5134

  • dyld

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač koji je izvršio arbitrarni napad kodom na uređaj mogao je nastaviti izvršavati kod i nakon raznih ponovnih pokretanja

    Opis: u funkciji openSharedCacheFile() dyld uređivača pojavilo se višestruko prekoračenje međuspremnika. Ti su problemi riješeni poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2013-3950: Stefan Esser

  • Datotečni sustavi

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač koji može postaviti datotečni sustav koji nije HFS mogao je s ovlastima za jezgru uzrokovati neočekivani pad sustava ili arbitrarno izvršavanje koda

    Opis: prilikom rukovanja AppleDouble datotekama pojavio se problem s oštećenom memorijom. Taj je problem riješen uklanjanjem podrške za AppleDouble datoteke.

    CVE-ID

    CVE-2013-3955: Stefan Esser

  • ImageIO

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: pregledavanje zlonamjerne PDF datoteke moglo je uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: prilikom rukovanja JPEG2000 šifriranim podacima u PDF datotekama pojavilo se prekoračenje međuspremnika. Taj je problem riješen dodatnom provjerom ograničenja.

    CVE-ID

    CVE-2013-1026: Felix Groebert (Googleov tim za sigurnost)

  • IOKit

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: pozadinske aplikacije mogle su unijeti događaje korisničkog sučelja u aplikaciju u prednjem planu

    Opis: pozadinske su aplikacije mogle unijeti događaje korisničkog sučelja u aplikacije u prednjem planu pomoću dovršenja zadatka ili API-ja VoIP-a. Problem je riješen primjenom kontrola pristupa na procese u prednjem planu i pozadinske procese koji rukuju događajima sučelja.

    CVE-ID

    CVE-2013-5137: Mackenzie Straight (Mobile Labs)

  • IOKitUser

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerna lokalna aplikacija mogla je uzrokovati neočekivani pad sustava

    Opis: pojavilo se dereferenciranje NULL pokazivača u bazi podataka IOCatalogue. Taj je problem riješen dodatnom provjerom vrste.

    CVE-ID

    CVE-2013-5138: Will Estes

  • IOSerialFamily

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: izvršavanje zlonamjerne aplikacije mogao je uzrokovati arbitrarno izvršavanje koda u jezgri

    Opis: u upravljačkom programu IOSerialFamily postojalo je polje izvan ograničenja. Taj je problem riješen dodatnom provjerom ograničenja.

    CVE-ID

    CVE-2013-5139: @dent1zt

  • IPSec

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač je mogao presretati podatke zaštićene hibridnom provjerom autentičnosti IPSec

    Opis: DNS naziv poslužitelja s hibridnom provjerom autentičnosti IPSec nije bio uparen s certifikatom te je dopustio napadaču s certifikatom za bilo koji poslužitelj da ga oponaša. Taj je problem riješen poboljšanom provjerom certifikata.

    CVE-ID

    CVE-2013-1028: Alexander Traud (www.traud.de)

  • Kernel

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: udaljeni napadač mogao je izazvati neočekivano ponovno pokretanje uređaja

    Opis: slanje fragmenta paketa koji nije valjan u uređaj moglo je uzrokovati pokretanje potvrde jezgre te ponovno pokretanje uređaja. Taj je problem riješen dodatnom provjerom valjanosti fragmenata paketa.

    CVE-ID

    CVE-2013-5140: Joonas Kuorilehto (Codenomicon, anonimni istraživač) te CERT-FI, Antti Levomäki i Lauri Virtanen (Vulnerability Analysis Group, Stonesoft)

  • Kernel

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerna lokalna aplikacija mogla je uzrokovati zastoj uređaja

    Opis: ranjivost skraćivanja cijelog broja na sučelju priključnice jezgre mogla se iskoristiti za stavljanje procesora u beskonačnu petlju. Taj je problem riješen korištenjem veće varijable.

    CVE-ID

    CVE-2013-5141: CESG

  • Kernel

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač na lokalnu mrežu mogao je uzrokovati odbijanje usluge

    Opis: napadač na lokalnu mrežu mogao je poslati posebno izrađene IPv6 ICMP pakete i uzrokovati veliko opterećenje procesora. Taj je problem riješen ograničavanjem brzine ICMP paketa prije provjere valjanosti njihove kontrolne sume.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kernel

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: lokalni korisnici mogli su otkriti memoriju stoga jezgre

    Opis: u API-jima msgctl i segctl pojavio se problem s otkrivanjem podataka. Taj je problem riješen pokretanjem struktura podataka vraćenih iz jezgre.

    CVE-ID

    CVE-2013-5142: Kenzley Alphonse (Kenx Technology, Inc)

  • Kernel

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: neovlašteni procesi mogli su pristupati sadržajima memorije jezgre te uzrokovati eskalaciju ovlasti

    Opis: problem otkrivanja podataka postojao je u API-ju mach_port_space_info. Taj je problem riješen pokretanjem polja iin_collision u strukturama vraćenima iz jezgre.

    CVE-ID

    CVE-2013-3953: Stefan Esser

  • Kernel

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: neovlašteni procesi mogu uzrokovati neočekivani pad sustava ili arbitrarno izvršavanje koda u jezgri

    Opis: u rukovanju argumentima u API-ju posix_spawn postojao je problem s oštećenjem memorije. Taj je problem riješen dodatnom provjerom ograničenja.

    CVE-ID

    CVE-2013-3954: Stefan Esser

  • Upravljanje kernelskim modulom

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: neovlašteni proces mogao je izmijeniti skup učitanih proširenja jezgre

    Opis: problem je za kernelski modul postojao u rukovanju IPC porukama pošiljatelja čija autentičnost nije provjerena. Taj je problem riješen dodavanjem dodatnih provjera autentičnosti.

    CVE-ID

    CVE-2013-5145: "Rainbow PRISM"

  • libxml

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: pregledavanje zlonamjernog web-mjesta moglo je uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: više problema s oštećenjem memorije u softverskoj biblioteci libxml. Ti su problemi riješeni ažuriranjem biblioteke libxml na novu verziju 2.9.0.

    CVE-ID

    CVE-2011-3102: Jüri Aedla

    CVE-2012-0841

    CVE-2012-2807: Jüri Aedla

    CVE-2012-5134: tim za sigurnost preglednika Google Chrome (Jüri Aedla)

  • libxslt

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: pregledavanje zlonamjernog web-mjesta moglo je uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: više problema s oštećenjem memorije u softverskoj biblioteci libxslt. Ti su problemi riješeni ažuriranjem biblioteke libxslt na novu verziju 1.1.28.

    CVE-ID

    CVE-2012-2825: Nicolas Gregoire

    CVE-2012-2870: Nicolas Gregoire

    CVE-2012-2871: Kai Lu (Fortinet's FortiGuard Labs), Nicolas Gregoire

  • Zaključavanje lozinkom

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: osoba s fizičkim pristupom uređaju mogla je zaobići zaključavanje zaslona

    Opis: na zaslonu za zaključavanje postojao je problem sa stanjem nadmetanja tijekom rukovanja telefonskim pozivima i izbacivanjem SIM kartice. Taj je problem riješen poboljšanim upravljanjem zaključavanjem.

    CVE-ID

    CVE-2013-5147: videosdebarraquito

  • Osobni hotspot

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač se mogao pridružiti mreži osobnog hotspota

    Opis: problem se pojavio prilikom generiranja lozinki za osobni hotspot te je uzrokovao pojavu lozinki koje napadač može predvidjeti radi pridruživanja osobnom hotspotu korisnika. Taj je problem riješen generiranjem lozinki s višom entropijom.

    CVE-ID

    CVE-2013-4616: Andreas Kurtz (NESO Security Labs) i Daniel Metz (Sveučilište Erlangen-Nürnberg)

  • Automatske obavijesti

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: usprkos odabiru korisnika aplikacija je mogla otkriti token za automatske obavijesti

    Opis: u registraciji za automatske obavijesti postojao je problem s razotkrivanjem podataka. Aplikacije koje traže pristup automatskim obavijestima otkrile su token prije no što je korisnik za aplikaciju odobrio korištenje automatskih obavijesti. Taj je problem riješen blokiranjem pristupa za token sve dok ga korisnik ne odobri.

    CVE-ID

    CVE-2013-5149: Jack Flintermann (Grouper, Inc.)

  • Safari

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: prilikom rukovanja XML datotekama pojavio se problem s oštećenom memorijom. Taj je problem riješen dodatnom provjerom ograničenja.

    CVE-ID

    CVE-2013-1036: Kai Lu (Fortinet's FortiGuard Labs)

  • Safari

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: povijest nedavno posjećenih stranica na otvorenoj kartici mogla je ostati vidljiva i nakon njezina čišćenja

    Opis: čišćenjem povijesti preglednika Safari za otvorene se kartice nije izbrisala povijest kretanja web-stranicama prema naprijed i natrag. Taj je problem riješen čišćenjem povijesti kretanja web-stranicama prema naprijed i natrag.

    CVE-ID

    CVE-2013-5150

  • Safari

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: pregledavanjem datoteka na web-mjestu mogla se pokrenuti skripta, čak i ako je poslužitelj poslao zaglavlje 'Content-Type: text/plain'

    Opis: Safari za mobilne uređaje ponekad je s datotekama postupao kao s HTML datotekama, čak i ako je poslužitelj poslao zaglavlje 'Content-Type: text/plain'. Time se moglo uzrokovati unakrsno skriptiranje na web-mjestima koja korisnicima omogućuju prijenos datoteka. Taj je problem riješen poboljšanim rukovanjem datotekama uz postavljen 'Content-Type: text/plain'.

    CVE-ID

    CVE-2013-5151: Ben Toews (Github)

  • Safari

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: posjet zlonamjernom web-mjestu mogao je omogućiti prikaz arbitrarnog URL-a

    Opis: u pregledniku Safari za mobilne uređaje pojavio se problem s lažiranjem trake s URL-om. Taj je problem riješen poboljšanim praćenjem URL-a.

    CVE-ID

    CVE-2013-5152: Keita Haga, keitahaga.com; Łukasz Pilorz, RBS

  • Memorija za testiranje

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: aplikacije koje su skripte nisu bile spremljene u memoriju za testiranje

    Opis: aplikacije drugih proizvođača koje koriste sintaksu #! da bi pokrenule skriptu bile su spremljene u memoriju za testiranje na temelju identiteta interpretatora skripti, a ne skripte. Interpretator nije imao definiranu memoriju za testiranje, stoga su se aplikacije pokretale bez spremanja u memoriju za testiranje. Taj je problem riješen stvaranjem memorije za testiranje na temelju identiteta skripte.

    CVE-ID

    CVE-2013-5154: evad3rs

  • Memorija za testiranje

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: aplikacije su u sustavu mogle uzrokovati zastoj

    Opis: zlonamjerne aplikacije drugih proizvođača koje zapisuju određene vrijednosti u datoteku uređaja /dev/random mogle su prisiliti procesor da uđe u beskonačnu petlju. Taj je problem riješen onemogućivanjem aplikacija drugih proizvođača pri zapisivanju u datoteku /dev/random.

    CVE-ID

    CVE-2013-5155: CESG

  • Social

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: na uređajima bez lozinke mogla je biti razotkrivena nedavna aktivnost korisnika na servisu Twitter.

    Opis: pojavio se problem kada je bilo moguće utvrditi s kojim je računima za Twitter korisnik nedavno komunicirao. Taj je problem riješen ograničavanjem pristupa predmemoriji ikone servisa Twitter.

    CVE-ID

    CVE-2013-5158: Jonathan Zdziarski

  • Springboard

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: osoba s fizičkim pristupom uređaju u modu izgubljenog uređaja može pregledavati obavijesti

    Opis: u modu izgubljenog uređaja pojavio se problem u rukovanju obavijestima. Ovim ažuriranjem taj se problem rješava putem poboljšanog upravljanja zaključavanjem.

    CVE-ID

    CVE-2013-5153: Daniel Stangroom

  • Telefonija

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerne aplikacije mogle su ometati funkcije telefonije ili upravljati njima

    Opis: problem s upravljanjem pristupom postojao je u podsustavu telefonije. Zaobilaženjem podržanih API-ja aplikacije u memoriji za testiranje mogu slati zahtjeve izravno daemon programu sustava i ometati funkcije telefonije ili upravljati njima. Taj je problem riješen primjenom kontrola pristupa na sučelja izložena daemon programu telefonije.

    CVE-ID

    CVE-2013-5156: Jin Han (Institut za istraživanje informacijsko-komunikacijskih tehnologija) te Qiang Yan i Su Mon Kywe (Singapurski studij menadžmenta SIM); Tielei Wang, Kangjie Lu, Long Lu, Simon Chung i Wenke Lee (Tehnološki institut, Georgia)

  • Twitter

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: aplikacije u memoriji za testiranje mogle su slati tweetove bez interakcije ili dozvole korisnika

    Opis: problem s upravljanjem pristupom postojao je u podsustavu servisa Twitter. Zaobilaženjem podržanih API-ja aplikacije u memoriji za testiranje mogu slati zahtjeve izravno daemon programu sustava i ometati funkcije servisa Twitter ili upravljati njima. Taj je problem riješen primjenom kontrola pristupa na sučelja izložena daemon programu servisa Twitter.

    CVE-ID

    CVE-2013-5157: Jin Han (Institut za istraživanje informacijsko-komunikacijskih tehnologija) te Qiang Yan i Su Mon Kywe (Singapurski studij menadžmenta SIM); Tielei Wang, Kangjie Lu, Long Lu, Simon Chung i Wenke Lee (Tehnološki institut, Georgia)

  • WebKit

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u WebKitu je otkriven veći broj problema s neispravnom memorijom. Ti su problemi riješeni poboljšanim rukovanjem memorijom.

    CVE-ID

    CVE-2013-0879: Atte Kettunen (OUSPG)

    CVE-2013-0991: Jay Civelli (zajednica za razvoj preglednika Chromium)

    CVE-2013-0992: tim za sigurnost preglednika Google Chrome (Martin Barbella)

    CVE-2013-0993: tim za sigurnost preglednika Google Chrome (Inferno)

    CVE-2013-0994: David German (Google)

    CVE-2013-0995: tim za sigurnost preglednika Google Chrome (Inferno)

    CVE-2013-0996: tim za sigurnost preglednika Google Chrome (Inferno)

    CVE-2013-0997: Vitaliy Toropov pomoću HP-ova programa Zero Day Initiative

    CVE-2013-0998: pa_kt pomoću HP-ova programa Zero Day Initiative

    CVE-2013-0999: pa_kt pomoću HP-ova programa Zero Day Initiative

    CVE-2013-1000: Fermin J. Serna (Googleov tim za sigurnost)

    CVE-2013-1001: Ryan Humenick

    CVE-2013-1002: Sergey Glazunov

    CVE-2013-1003: tim za sigurnost preglednika Google Chrome (Inferno)

    CVE-2013-1004: tim za sigurnost preglednika Google Chrome (Martin Barbella)

    CVE-2013-1005: tim za sigurnost preglednika Google Chrome (Martin Barbella)

    CVE-2013-1006: tim za sigurnost preglednika Google Chrome (Martin Barbella)

    CVE-2013-1007: tim za sigurnost preglednika Google Chrome (Inferno)

    CVE-2013-1008: Sergey Glazunov

    CVE-2013-1010: miaubiz

    CVE-2013-1037: tim za sigurnost preglednika Google Chrome

    CVE-2013-1038: tim za sigurnost preglednika Google Chrome

    CVE-2013-1039: own-hero Research pomoću programa iDefense VCP

    CVE-2013-1040: tim za sigurnost preglednika Google Chrome

    CVE-2013-1041: tim za sigurnost preglednika Google Chrome

    CVE-2013-1042: tim za sigurnost preglednika Google Chrome

    CVE-2013-1043: tim za sigurnost preglednika Google Chrome

    CVE-2013-1044: Apple

    CVE-2013-1045: tim za sigurnost preglednika Google Chrome

    CVE-2013-1046: tim za sigurnost preglednika Google Chrome

    CVE-2013-1047: miaubiz

    CVE-2013-2842: Cyril Cattiaux

    CVE-2013-5125: tim za sigurnost preglednika Google Chrome

    CVE-2013-5126: Apple

    CVE-2013-5127: tim za sigurnost preglednika Google Chrome

    CVE-2013-5128: Apple

  • WebKit

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: posjet zlonamjernom web-mjestu mogao je uzrokovati razotkrivanje informacija

    Opis: prilikom rukovanja API-jem window.webkitRequestAnimationFrame() pojavio se problem razotkrivanja informacija. Zlonamjerno web-mjesto može koristiti iframe da bi otkrilo koristi li neko drugo web-mjesto window.webkitRequestAnimationFrame(). Taj je problem riješen poboljšanim rukovanjem API-jem window.webkitRequestAnimationFrame().

    CVE-ID

    CVE-2013-5159
  • WebKit

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: kopiranje i lijepljenje zlonamjernog HTML isječka mogao je uzrokovati napad unakrsnim skriptiranjem

    Opis: problem unakrsnog skriptiranja pojavio se prilikom rukovanja kopiranim i zalijepljenim podacima u HTML dokumentima. Taj je problem riješen dodatnom provjerom valjanosti zalijepljenog sadržaja.

    CVE-ID

    CVE-2013-0926: Aditya Gupta, Subho Halder i Dev Kar (xys3c (xysec.com))

  • WebKit

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: posjet zlonamjernom web-mjestu mogao je uzrokovati napad unakrsnim skriptiranjem

    Opis: postojao je problem s unakrsnim skriptiranjem prilikom rukovanja iframeovima. Taj je problem riješen poboljšanim praćenjem izvora.

    CVE-ID

    CVE-2013-1012: Subodh Iyengar i Erling Ellingsen (Facebook)

  • WebKit

    Dostupno za: iPhone 3GS i novije verzije, iPod touch (četvrta generacija) i novije verzije, iPad 2 i novije verzije

    Učinak: posjet zlonamjernom web-mjestu mogao je uzrokovati razotkrivanje informacija

    Opis: u dodatku XSSAuditor pojavio se problem s otkrivanjem informacija. Taj je problem riješen poboljšanim rukovanjem URL-ovima.

    CVE-ID

    CVE-2013-2848: Egor Homakov

  • WebKit

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: povlačenje ili lijepljenje odabira moglo je uzrokovati napad unakrsnim skriptiranjem

    Opis: povlačenje ili lijepljenje odabira s jednog web-mjesta na drugo moglo je skriptama u odabiru omogućiti izvršavanje u kontekstu novog web-mjesta. Taj je problem riješen dodatnom provjerom valjanosti sadržaja prije operacije lijepljenja ili povlačenja i ispuštanja.

    CVE-ID

    CVE-2013-5129: Mario Heiderich

  • WebKit

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: posjet zlonamjernom web-mjestu mogao je uzrokovati napad unakrsnim skriptiranjem

    Opis: postojao je problem s unakrsnim skriptiranjem prilikom rukovanja URL-ovima. Taj je problem riješen poboljšanim praćenjem izvora.

    CVE-ID

    CVE-2013-5131: Erling A Ellingsen

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: