Az iOS 6.1 szoftverfrissítés biztonsági változásjegyzéke

Ez a dokumentum az iOS 6.1 biztonsági változásjegyzékét ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcs használata című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.

iOS 6.1

  • Identitásszolgáltatások

    A következőkhöz érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Meg lehetett kerülni a tanúsítványalapú Apple ID-hitelesítést.

    Leírás: Hibakezelési probléma állt fenn az identitásszolgáltatásokban. Ha a felhasználó Apple ID-tanúsítványának hitelesítése sikertelen volt, a rendszer üres karakterláncnak feltételezte az Apple ID azonosítót. Ha több, különböző felhasználókhoz tartozó rendszer lépett ebbe az állapotba, az ilyen típusú identitásmeghatározást használó alkalmazások időnként tévesen megbízhatónak ítélték a tanúsítványokat. Azzal biztosításával hárították el a problémát, hogy a művelet üres karakterlánc helyett NULLA értéket adjon vissza.

    CVE-azonosító

    CVE-2013-0963

  • International Components for Unicode

    A következőkhöz érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása webhelyek közötti, parancsfájlt alkalmazó támadást tett lehetővé.

    Leírás: Kanonizálási probléma lépett fel az EUC-JP kódolás kezelésekor, ami webhelyek közötti, parancsfájlt alkalmazó támadást tett lehetővé az EUC-JP kódolású webhelyek esetén. Az EUC-JP kódtábla frissítésével hárították el a problémát.

    CVE-azonosító

    CVE-2011-3058: Masato Kinugawa

  • Kernel

    A következőkhöz érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A felhasználói módú folyamatok hozzá tudtak férni a kernelmemória első lapjához.

    Leírás: Az iOS kernelje a copyin és copyout funkciónak továbbított, felhasználói módhoz tartozó mutató és hossz ellenőrzésével akadályozza meg, hogy a felhasználói módú folyamatok közvetlenül hozzáférjenek a kernelmemóriához. A rendszer mellőzte ezeket az ellenőrzéseket egy lapnál kisebb hossz esetén. A copyin és a copyout argumentum további ellenőrzésével hárították el a problémát.

    CVE-azonosító

    CVE-2013-0964: Mark Dowd (Azimuth Security)

  • Biztonság

    A következőkhöz érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Egy magas hálózati jogosultságú támadó meg tudott szerezni felhasználói hitelesítési adatokat vagy egyéb bizalmas információkat.

    Leírás: A TURKTRUST számos köztes hitelesítésszolgáltatói tanúsítványt bocsátott ki tévedésből, amelyek lehetővé tették a közbeékelődő támadók számára a kapcsolatok átirányítását, és így a felhasználói hitelesítő adatokhoz és más bizalmas információkhoz való illetéktelen hozzáférést. A tévesen kiadott SSL-tanúsítványok letiltásával szüntették meg a problémát.

  • StoreKit

    A következőkhöz érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Felhasználói beavatkozás nélkül is engedélyezni lehetett a JavaScriptet a Safari mobilverziójában.

    Leírás: Ha egy felhasználó letiltotta a JavaScriptet a Safari beállításaiban, és ezt követően meglátogatott egy Smart App szalagcímet tartalmazó webhelyet, az alkalmazás a felhasználó figyelmeztetése nélkül visszakapcsolta a JavaScriptet. Azzal beállításával hárították el a problémát, hogy az alkalmazás ne engedélyezze a JavaScriptet a Smart App szalagcímet tartalmazó webhelyek meglátogatásakor.

    CVE-azonosító

    CVE-2013-0974: Andrew Plotkin (Zarfhome Software Consulting), Ben Madison (BitCloud), Marek Durcek

  • WebKit

    A következőkhöz érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: A WebKit motor több, memóriasérüléssel kapcsolatos problémát tartalmazott. Hatékonyabb memóriakezeléssel küszöböltük ki a problémákat.

    CVE-azonosító

    CVE-2012-2857: Arthur Gerkis

    CVE-2012-3606: Abhishek Arya (Inferno) (a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3607: Abhishek Arya (Inferno) (a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3621: Skylined (a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3632: Abhishek Arya (Inferno) (a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3687: kuzzcc

    CVE-2012-3701: Abhishek Arya (Inferno) (a Google Chrome biztonsági csapatának tagja)

    CVE-2013-0948: Abhishek Arya (Inferno) (a Google Chrome biztonsági csapatának tagja)

    CVE-2013-0949: Abhishek Arya (Inferno) (a Google Chrome biztonsági csapatának tagja)

    CVE-2013-0950: Abhishek Arya (Inferno) (a Google Chrome biztonsági csapatának tagja)

    CVE-2013-0951: Apple

    CVE-2013-0952: Abhishek Arya (Inferno) (a Google Chrome biztonsági csapatának tagja)

    CVE-2013-0953: Abhishek Arya (Inferno) (a Google Chrome biztonsági csapatának tagja)

    CVE-2013-0954: Dominic Cooney (Google) és Martin Barbella (a Google Chrome biztonsági csapatának tagja)

    CVE-2013-0955: Apple

    CVE-2013-0956: Az Apple termékbiztonsági csoportja

    CVE-2012-2824: miaubiz

    CVE-2013-0958: Abhishek Arya (Inferno) (a Google Chrome biztonsági csapatának tagja)

    CVE-2013-0959: Abhishek Arya (Inferno) (a Google Chrome biztonsági csapatának tagja)

    CVE-2013-0968: Aaron Nelson

  • WebKit

    A következőkhöz érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Az ártó szándékkal létrehozott webhelyek tartalmának másolása és beillesztése webhelyek közötti, parancsfájlt alkalmazó támadásra adott lehetőséget.

    Leírás: Webhelyek közötti, parancsfájlokkal kapcsolatos probléma lépett fel a más forrásból beillesztett tartalmak kezelésekor. A beillesztett tartalmak további hitelesítésével küszöbölték ki a hibát.

    CVE-azonosító

    CVE-2013-0962: Mario Heiderich (Cure53)

  • WebKit

    A következőkhöz érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása webhelyek közötti, parancsfájlt alkalmazó támadást tett lehetővé.

    Leírás: Webhelyek közötti, parancsfájlokkal kapcsolatos probléma lépett fel a keretek kezelésekor. Ezt a problémát az eredetek nyomon követésének javítása révén küszöböltük ki.

    CVE-azonosító

    CVE-2012-2889: Sergey Glazunov

  • Wi-Fi

    A következőkhöz érhető el: iPhone 3GS, iPhone 4, 4. generációs iPod touch, iPad 2

    Érintett terület: Az azonos Wi-Fi-hálózathoz kapcsolódó távoli támadók ideiglenesen le tudták tiltani a Wi-Fi-kapcsolatot.

    Leírás: A Broadcom BCM4325 és BCM4329 chiphez tartozó firmware-ben tartományon kívüli olvasási probléma lépett fel a 802.11i szabványú információelemek kezelésekor. A 802.11i szabványú információelemek további hitelesítésével küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2012-2619: Andres Blanco és Matias Eissler (Core Security)

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: