O sigurnosnom sadržaju sustava iOS 7.1.1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 7.1.1.

Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste doznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za zaštitu Appleovih proizvoda potražite u članku "Korištenje PGP ključa za zaštitu Appleovih proizvoda".

Kada je moguće, slabe točke označene su CVE ID-ovima, pomoću kojih je moguće pronaći dodatne informacije.

Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak "Appleova sigurnosna ažuriranja."

iOS 7.1.1

  • CFNetwork HTTPProtocol

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač s mrežnim ovlastima mogao je doći do vjerodajnica za web-mjesto

    Opis: HTTP zaglavlja Set-Cookie bila su obrađena čak i ako je veza prekinuta prije dovršetka retka zaglavlja. Napadač je mogao ukloniti sigurnosne postavke s kolačića tako da namjerno prekine vezu prije slanja sigurnosnih postavki, a zatim dohvati vrijednost nezaštićenog kolačića. Taj je problem riješen zanemarivanjem nedovršenih redaka HTTP zaglavlja.

    CVE-ID

    CVE-2014-1296: Antoine Delignat-Lavaud iz tima Prosecco, istraživački centar Inria Paris

  • IOKit kernel

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: lokalni korisnik mogao je čitati pokazivače jezgre, koje je mogao koristiti za zaobilaženje nasumičnog prikaza rasporeda prostora u jezgri

    Opis: skup pokazivača jezgre pohranjenih u IOKit objektu mogao se dohvatiti iz korisničkog prostora. Taj je problem riješen uklanjanjem pokazivača iz objekta.

    CVE-ID

    CVE-2014-1320: Ian Beer iz tima Google Project Zero u suradnji s HP-ovom inicijativom Zero Day

  • Sigurnost – siguran prijenos

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač s mrežnim ovlastima mogao je kopirati podatke ili promijeniti akcije izvedene u sesijama zaštićenima SSL-om

    Opis: tijekom napada "trostrukim rukovanjem" napadač je mogao uspostaviti dvije veze s istim ključevima za šifriranje i rukovanjem, umetnuti svoje podatke u jednu vezu i ponovno pregovarati da bi se veze mogle međusobno prosljeđivati. Da biste spriječili napade utemeljene na tom scenariju, promijenjen je siguran prijenos tako da se prema zadanim postavkama prilikom ponovnog pregovaranja mora pokazati isti poslužiteljski certifikat koji je prikazan prilikom izvornog povezivanja.

    CVE-ID

    CVE-2014-1295: Antoine Delignat-Lavaud, Karthikeyan Bhargavan i Alfredo Pironti iz tima Prosecco, istraživački centar Inria Paris

  • WebKit

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u WebKitu je otkriven veći broj problema s oštećenom memorijom. Ti se problemi rješavaju poboljšanim rukovanjem memorijom.

    CVE-ID

    CVE-2013-2871: miaubiz

    CVE-2014-1298: tim za sigurnost preglednika Google Chrome

    CVE-2014-1299: tim za sigurnost preglednika Google Chrome, Apple, Renata Hodovan sa Segedinskog sveučilišta / iz tvrtke Samsung Electronics

    CVE-2014-1300: Ian Beer iz tima Google Project Zero u suradnji s HP-ovom inicijativom Zero Day

    CVE-2014-1302: tim za sigurnost preglednika Google Chrome, Apple

    CVE-2014-1303: KeenTeam u suradnji s HP-ovom inicijativom Zero Day

    CVE-2014-1304: Apple

    CVE-2014-1305: Apple

    CVE-2014-1307: tim za sigurnost preglednika Google Chrome

    CVE-2014-1308: tim za sigurnost preglednika Google Chrome

    CVE-2014-1309: cloudfuzzer

    CVE-2014-1310: tim za sigurnost preglednika Google Chrome

    CVE-2014-1311: tim za sigurnost preglednika Google Chrome

    CVE-2014-1312: tim za sigurnost preglednika Google Chrome

    CVE-2014-1313: tim za sigurnost preglednika Google Chrome

    CVE-2014-1713: VUPEN u suradnji s HP-ovom inicijativom Zero Day

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: