Informacije o sigurnosnom sadržaju sustava iOS 7.1.2

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 7.1.2.

Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste doznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za zaštitu Appleovih proizvoda potražite u članku Korištenje PGP ključa za zaštitu Appleovih proizvoda.

Kada je moguće, slabe točke označene su CVE ID-ovima, pomoću kojih je moguće pronaći dodatne informacije.

Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak Appleova sigurnosna ažuriranja.

iOS 7.1.2

  • Pravilnik o pouzdanosti certifikata

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: ažuriranje pravilnika o pouzdanosti certifikata

    Opis: ažurirao se pravilnik o pouzdanosti certifikata. Potpuni popis certifikata možete vidjeti na stranici http://support.apple.com/kb/HT5012?viewlocale=hr_HR.

  • Jezgrena grafika

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: pokretanje zlonamjerne XBM datoteke moglo je uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u načinu obrade XBM datoteka otkriven je problem s dodjelom neograničenih stogova. Taj je problem riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2014-1354: Dima Kovalenko (codedigging.com)

  • Kernel

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: neka je aplikacija mogla uzrokovati neočekivano ponovno pokretanje uređaja

    Opis: dereferenca pokazivača s vrijednošću null otkrivena je u rukovanju API argumentima za IOKit. Taj je problem riješen dodatnom provjerom API argumenata za IOKit.

    CVE-ID

    CVE-2014-1355: cunzhang (Adlab, Venustech)

  • launchd

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: uz sistemske ovlasti zlonamjerna aplikacija mogla je izvršiti arbitrarni kod

    Opis: u načinu na koji funkcija launchd obrađuje IPC poruke otkriveno je veliko prekoračenje međuspremnika. Taj je problem riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2014-1356: Ian Beer (Google Project Zero)

  • launchd

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: uz sistemske ovlasti zlonamjerna aplikacija mogla je izvršiti arbitrarni kod

    Opis: u načinu na koji funkcija launchd obrađuje poruke zapisnika otkriveno je veliko prekoračenje međuspremnika. Taj je problem riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2014-1357: Ian Beer (Google Project Zero)

  • launchd

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: uz sistemske ovlasti zlonamjerna aplikacija mogla je izvršiti arbitrarni kod

    Opis: u funkciji launchd otkriveno je prekoračenje cijelih brojeva. Taj je problem riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2014-1358: Ian Beer (Google Project Zero)

  • launchd

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: uz sistemske ovlasti zlonamjerna aplikacija mogla je izvršiti arbitrarni kod

    Opis: u funkciji launchd otkriven je podbačaj cijelih brojeva. Taj je problem riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2014-1359: Ian Beer (Google Project Zero)

  • Zaključavanje

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač koji otuđi iOS uređaj mogao je zaobići zaključavanje aktivacije

    Opis: uređaji nisu provodili potpune provjere prilikom aktivacije, što je zlonamjernim pojedincima omogućilo djelomični zaobilazak zaključavanja aktivacije. Taj je problem riješen dodatnom klijentskom provjerom podataka primljenih s aktivacijskih poslužitelja.

    CVE-ID

    CVE-2014-1360

  • Zaključani zaslon

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač koji otuđi uređaj mogao je prekoračiti maksimalni broj neuspjelih pokušaja unosa lozinke

    Opis: u nekim se slučajevima nije provodilo ograničenje broja neuspjelih pokušaja unosa lozinke. Problem je riješen uvođenjem dodatnog provođenja ograničenja.

    CVE-ID

    CVE-2014-1352: mblsec

  • Zaključani zaslon

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: osoba s fizičkim pristupom zaključanom uređaju mogla je pristupiti aplikaciji koja je bila pokrenuta u prednjem planu prije zaključavanja

    Opis: u načinu obrade stanja telefonije u zrakoplovnom modu otkriven je problem s upravljanjem stanjem. Problem je riješen poboljšanim stanjem upravljanja u zrakoplovnom modu.

    CVE-ID

    CVE-2014-1353

  • Mail

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: s uređaja iPhone 4 bilo je moguće izdvojiti privitke maila

    Opis: zaštita podataka nije bila uključena za privitke pošte, što je napadaču s fizičkim pristupom uređaju omogućivalo njihovo čitanje. Taj je problem riješen promjenom klase enkripcije privitaka maila.

    CVE-ID

    CVE-2014-1348: Andreas Kurtz (NESO Security Labs)

  • Safari

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u načinu na koji je Safari obrađivao URL-ove koji nisu valjani otkriven je problem s korištenjem nakon oslobađanja. Taj je problem riješen poboljšanim upravljanjem memorijom.

    CVE-ID

    CVE-2014-1349: Reno Robert i Dhanesh Kizhakkinan

  • Postavke

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: osoba s fizičkim pristupom uređaju mogla je bez unosa lozinke za iCloud onemogućiti opciju Nađi moj iPhone

    Opis: problem upravljanja stanjem pojavio se prilikom upravljanja stanjem opcije Nađi moj iPhone. Taj je problem riješen poboljšanim upravljanjem opcijom stanja Nađi moj iPhone.

    CVE-ID

    CVE-2014-1350

  • Sigurni prijenos

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: udaljeni napadač mogao je doći do dva bajta neinicijalizirane memorije

    Opis: u načinu obrade DTLS poruka u TLS vezi postojao je problem s pristupom neinicijaliziranoj memoriji. Taj je problem riješen tako što se u DTLS vezi prihvaćaju samo DTLS poruke.

    CVE-ID

    CVE-2014-1361: Thijs Alkemade (The Adium Project)

  • Siri

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad (treće generacije) i novije verzije

    Učinak: osoba s fizičkim pristupom uređaju mogla je pregledavati sve kontakte

    Opis: ako Siri pošalje zahtjev koji se odnosi na jedan od nekoliko kontakata, pojavit će se popis mogućih odabira i mogućnost "Više..." za prikaz cijelog popisa kontakata. Prilikom korištenja na zaključanom zaslonu Siri nije tražila lozinku za prikaz cijelog popisa kontakata. Problem je riješen tako što je sada potreban unos lozinke.

    CVE-ID

    CVE-2014-1351: Sherif Hashim

  • WebKit

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u WebKitu je otkriven veći broj problema s neispravnom memorijom. Ti su problemi riješeni poboljšanim rukovanjem memorijom.

    CVE-ID

    CVE-2013-2875: miaubiz

    CVE-2013-2927: cloudfuzzer

    CVE-2014-1323: banty

    CVE-2014-1325: Apple

    CVE-2014-1326: Apple

    CVE-2014-1327: tim za sigurnost preglednika Google Chrome, Apple

    CVE-2014-1329: tim za sigurnost preglednika Google Chrome

    CVE-2014-1330: tim za sigurnost preglednika Google Chrome

    CVE-2014-1331: cloudfuzzer

    CVE-2014-1333: tim za sigurnost preglednika Google Chrome

    CVE-2014-1334: Apple

    CVE-2014-1335: tim za sigurnost preglednika Google Chrome

    CVE-2014-1336: Apple

    CVE-2014-1337: Apple

    CVE-2014-1338: tim za sigurnost preglednika Google Chrome

    CVE-2014-1339: Atte Kettunen (OUSPG)

    CVE-2014-1341: tim za sigurnost preglednika Google Chrome

    CVE-2014-1342: Apple

    CVE-2014-1343: tim za sigurnost preglednika Google Chrome

    CVE-2014-1362: Apple, miaubiz

    CVE-2014-1363: Apple

    CVE-2014-1364: Apple

    CVE-2014-1365: Apple, tim za sigurnost preglednika Google Chrome

    CVE-2014-1366: Apple

    CVE-2014-1367: Apple

    CVE-2014-1368: Wushi iz tima Keen (istraživački tim Keen Cloud Tech)

    CVE-2014-1382: Renata Hodovan (Sveučilište Szeged/Samsung Electronics)

    CVE-2014-1731: anonimni član razvojne zajednice Blink

  • WebKit

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerno web-mjesto moglo je slati poruke povezanom okviru ili prozoru i na taj način zaobići primateljevu provjeru podrijetla

    Opis: u načinu obrade Unicode znakova u URL-ovima otkriven je problem s kodiranjem. Zlonamjerni URL mogao je dovesti do slanja netočnog podrijetla značajke postMessage. Problem je riješen poboljšanim kodiranjem/dekodiranjem.

    CVE-ID

    CVE-2014-1346: Erling Ellingsen (Facebook)

  • WebKit

    Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerno web-mjesto moglo je lažirati svoj naziv domene na adresnoj traci

    Opis: u načinu obrade URL-ova otkriven je problem s lažiranjem. Problem je riješen poboljšanim kodiranjem URL-ova.

    CVE-ID

    CVE-2014-1345: Erling Ellingsen (Facebook)

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: