Az iOS 7 biztonsági tartalmának ismertetése

Ez a dokumentum az iOS 7 biztonsági tartalmát ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcsának használata című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.

iOS 7

  • Megbízható tanúsítványok házirendje

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: Frissültek a főtanúsítványok.

    Leírás: Több tanúsítvány bekerült a rendszergyökerek listájába, illetve kikerült onnan.

  • CoreGraphics

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PDF-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Puffertúlcsordulást okozó probléma állt fenn a JBIG2 kódolású adatok kezelésével összefüggésben a PDF-fájlokban. A problémát további határérték-ellenőrzéssel küszöbölték ki.

    CVE-azonosító

    CVE-2013-1025 : Felix Groebert (Google Security Team)

  • CoreMedia

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok lejátszása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Puffertúlcsordulást okozó probléma állt fenn a Sorenson-kódolású filmfájlok kezelésével összefüggésben. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki.

    CVE-azonosító

    CVE-2013-1019 : Tom Gallagher (Microsoft) és Paul Bates (Microsoft) a HP Zero Day Initiative kezdeményezésének közreműködőiként

  • Adatvédelem

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: Az alkalmazások megkerülhetik a jelkódmegadási korlátozásokat.

    Leírás: Az Adatvédelemben jogosultság-szétválasztási hiba található. Egy harmadik fél által készített, sandboxban lévő alkalmazás a felhasználó „Adattörlés” beállításától függetlenül ismételten meg tudja kísérelni a felhasználó jelkódjának meghatározását. Ezt a problémát a további jogosultsági ellenőrzések bevezetésével küszöbölték ki.

    CVE-azonosító

    CVE-2013-0957 : Jin Han (Institute for Infocomm Research), valamint Qiang Yan és Su Mon Kywe (Singapore Management University) együttműködése

  • Adatbiztonság

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: Magas hálózati jogosultságú támadók felhasználói hitelesítési adatokat vagy egyéb bizalmas információkat tudtak megszerezni.

    Lírás: A TrustWave nevű megbízható legfelső szintű hitelesítésszolgáltató kiadott, majd visszavont egy alhitelesítés-szolgáltatói tanúsítványt az egyik megbízható horgonytól. Ez az alhitelesítés-szolgáltatói tanúsítvány lehetővé tette a TLS használatával folytatott kommunikáció lehallgatását. A frissítés hozzáadja az érintett alhitelesítés-szolgáltatói tanúsítványokat az OS X nem megbízható tanúsítványainak listájához.

    CVE-azonosító

    CVE-2013-5134

  • dyld

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: Egy támadó, akinek tetszőleges kódvégrehajtási joga van egy készüléken, az újraindítás során is képes kód végrehajtására.

    Leírás: Több puffer-túlcsordulási hiba is előfordul a dyld openSharedCacheFile() függvényében. A hibákat további határérték-ellenőrzéssel küszöbölték ki.

    CVE-azonosító

    CVE-2013-3950 : Stefan Esser

  • Fájlrendszerek

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: Egy támadó, aki képes csatlakoztatni egy nem HFS fájlrendszert, váratlan rendszerleállást képes kiváltani, vagy tetszőleges kódot tud végrehajtani kerneljogokkal.

    Leírás: Az AppleDouble-fájlok kezelésében memóriasérülési hiba állt fenn. Ezt a hibát az AppleDouble-fájlok támogatásának eltávolítása oldotta meg.

    CVE-azonosító

    CVE-2013-3955 : Stefan Esser

  • ImageIO

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PDF-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Puffertúlcsordulást okozó probléma állt fenn a JPEG2000 kódolású adatok kezelésével összefüggésben a PDF-fájlokban. A problémát további határérték-ellenőrzéssel küszöbölték ki.

    CVE-azonosító

    CVE-2013-1026 : Felix Groebert (Google Security Team)

  • IOKit

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: A háttérben futó alkalmazások felhasználóifelület-eseményeket képesek beszúrni az előtérben futó alkalmazásba.

    Leírás: A háttérben futó alkalmazások a feladat végrehajtása vagy a VoIP API-k használatával felhasználóifelület-eseményeket voltak képesek beszúrni az előtérben futó alkalmazásba. Ezt a problémát a felületi eseményeket kezelő, előtérben és háttérben futó alkalmazások hozzáférés-szabályozásának a kényszerítése oldotta meg.

    CVE-azonosító

    CVE-2013-5137 : Mackenzie Straight (Mobile Labs)

  • IOKitUser

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: Egy rosszindulatú helyi alkalmazás váratlan rendszerleállást tudott kiváltani.

    Leírás: Az IOCatalogue alkalmazásban címke nélküli mutatófeloldási hiba volt. A problémát további típusellenőrzéssel küszöbölték ki.

    CVE-azonosító

    CVE-2013-5138 : Will Estes

  • IOSerialFamily

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: Egy rosszindulatú alkalmazás futtatása tetszőleges kódvégrehajtást tett lehetővé a kernelben.

    Leírás: Az IOSerialFamily illesztőprogramban a határértéket túllépő tömbhozzáférés volt megtalálható. A problémát további határérték-ellenőrzéssel küszöbölték ki.

    CVE-azonosító

    CVE-2013-5139 : @dent1zt

  • IPSec

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: A támadók hozzá tudtak férni az IPSec Hybrid Auth által védett adatokhoz.

    Leírás: Az IPSec Hybrid Auth kiszolgáló DNS-nevét nem egyeztette a rendszer a tanúsítvánnyal, ami miatt bármilyen kiszolgáló tanúsítványával rendelkező támadó bármely másiknak az adatait megszerezhette. A problémát a tanúsítvány-ellenőrzés javítása révén küszöbölték ki.

    CVE-azonosító

    CVE-2013-1028 : Alexander Traud (www.traud.de)

  • Kernel

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: Egy távoli támadó a készülék váratlan újraindítását tudta kiváltani.

    Leírás: A készülékre érvénytelen csomagrészletet küldve egy olyan kernelállítás váltható ki, amely a készülék újraindítását okozza. A problémát a csomagrészletek további hitelesítésével küszöbölték ki.

    CVE-azonosító

    CVE-2013-5140 : Joonas Kuorilehto of Codenomicon, egy anonim kutató, együttműködve a következőkkel: CERT-FI, Antti Levomäki és Lauri Virtanen (Vulnerability Analysis Group, Stonesoft)

  • Kernel

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: Egy rosszindulatú helyi alkalmazás a készülék lefagyását okozhatta.

    Leírás: A kernel csatlakozófelületében az integer típusú értékek csonkolásával kapcsolatos sebezhetőség állt fenn, amely a processzort végtelen ciklusba tudta kényszeríteni. Ezt a problémát nagyobb méretű változó használatával küszöbölték ki.

    CVE-azonosító

    CVE-2013-5141 : CESG

  • Kernel

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: A támadó a helyi hálózaton a szolgáltatások megtagadását tudta kiváltani.

    Leírás: A támadó a helyi hálózaton speciális kialakítású IPv6 ICMP-csomagokat tudott küldeni, amelyek a processzort leterhelték. Ezt a problémát az ICMP-csomagoknak az ellenőrzőösszeg ellenőrzése előtti gyakorisági korlátozásával küszöbölték ki.

    CVE-azonosító

    CVE-2011-2391 : Marc Heuse

  • Kernel

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: A kernel veremterülete megjelenhetett a helyi felhasználónak.

    Leírás: Az msgctl és segctl API-kban adat-közzétételi probléma állt fenn. Ezt a problémát a kernel által visszaadott adatszerkezet inicializálásával oldották meg.

    CVE-azonosító

    CVE-2013-5142 : Kenzley Alphonse (Kenx Technology, Inc)

  • Kernel

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: Jogosulatlan folyamatok hozzáfértek a kernelmemória tartalmához, ami a jogosultság kiterjesztéséhez vezetett.

    Leírás: Az adat-közzétételi probléma állt fenn a mach_port_space_info API-ban. Ezt a problémát a kernel által visszaadott adatszerkezet iin_collision mezőjének inicializálásával oldották meg.

    CVE-azonosító

    CVE-2013-3953 : Stefan Esser

  • Kernel

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: Jogosulatlan folyamatok a rendszer váratlan leállását okozhatták, illetve tetszőleges kódot hajthattak végre a kernelben.

    Leírás: memóriasérülési probléma állt fenn a posix_spawn API argumentumkezelésében. A problémát további határérték-ellenőrzéssel küszöbölték ki.

    CVE-azonosító

    CVE-2013-3954 : Stefan Esser

  • Kext Management

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: Egy jogosulatlan folyamat módosíthatta a betöltött kernelkiterjesztések készletét.

    Leírás: Ez a probléma az ismeretlen feladóktól érkező IPC-üzenetek kextd-kezelőjében volt megtalálható. Ezt a problémát további jogosultsági ellenőrzésekkel küszöbölték ki.

    CVE-azonosító

    CVE-2013-5145 : „Rainbow PRISM”

  • libxml

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: Az ártó szándékkal létrehozott weboldalak megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethet

    Leírás: A libxml motor több, memóriasérüléssel kapcsolatos problémát tartalmazott. Ezeket a hibákat a libxml 2.9.0-s verzióra való frissítésével küszöbölték ki.

    CVE-azonosító

    CVE-2011-3102 : Jüri Aedla

    CVE-2012-0841

    CVE-2012-2807 : Jüri Aedla

    CVE-2012-5134 : A Google Chrome biztonsági csapata (Jüri Aedla)

  • libxslt

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: Az ártó szándékkal létrehozott weboldalak megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethet

    Leírás: A libxslt motor több, memóriasérüléssel kapcsolatos problémát tartalmazott. Ezeket a hibákat a libxslt 1.1.28-as verzióra való frissítésével küszöbölték ki.

    CVE-azonosító

    CVE-2012-2825 : Nicolas Gregoire

    CVE-2012-2870 : Nicolas Gregoire

    CVE-2012-2871 : Kai Lu (Fortinet's FortiGuard Labs), Nicolas Gregoire

  • Jelkódzár

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező személyek megkerülhetik a kijelzőzárat.

    Leírás: Versenyhelyzeti probléma állt fenn a zárolási képernyő telefonhívás-kezelésében és SIM kártya kiadásában. A problémát a zárolási állapot kezelésének javításával küszöbölték ki.

    CVE-azonosító

    CVE-2013-5147 : videosdebarraquito

  • Személyes hozzáférési pont

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: Egy támadó csatlakozni tudott egy személyes hozzáférési ponthoz.

    Leírás: A személyes hozzáférési pont jelszavainak generálásában hiba volt megtalálható, ami miatt a támadók által kitalálható jelszavak generálódtak a felhasználó személyes hozzáférési pontjához. Ezt a hibát az erősebben véletlenszerű jelszavak generálása oldotta meg.

    CVE-azonosító

    CVE-2013-4616 : Andreas Kurtz ( NESO Security Labs) és Daniel Metz (University Erlangen-Nuremberg)

  • Push típusú értesítések

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: A push típusú értesítés tokenje a felhasználó döntésével ellentétesen megjelenhetett egy alkalmazásnak.

    Leírás: A push típusú értesítések regisztrációjában adat-közzétételi probléma volt. A push típusú értesítéshez hozzáférést kérő alkalmazások azelőtt megkapták a tokent, hogy a felhasználó az alkalmazásnak engedélyezte volna a push típusú értesítések használatát. Ezt a problémát a token hozzáférés engedélyezéséig történő megtagadásával oldották meg.

    CVE-azonosító

    CVE-2013-5149 : Jack Flintermann (Grouper, Inc.)

  • Safari

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Az XML-fájlok kezelésében memóriasérülési hiba állt fenn. A problémát további határérték-ellenőrzéssel küszöbölték ki.

    CVE-azonosító

    CVE-2013-1036 : Kai Lu (Fortinet's FortiGuard Labs)

  • Safari

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: A nemrégiben meglátogatott oldalak előzményei az előzmények törlése után is megjelentek egy új fülön.

    Leírás: A Safari előzményeinek törlése nem törölte a megnyitott füleken a vissza/előre mutató előzményeket. Ezt a problémát a vissza/előre mutató előzmények törlése oldotta meg.

    CVE-azonosító

    CVE-2013-5150

  • Safari

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: A fájlok megtekintése egy honlapon parancsfájl végrehajtását okozhatta akkor is, ha a kiszolgáló „Content-Type: text/plain” fejlécet adott vissza.

    Leírás: A Safari mobilverziója időnként a fájlokat HTML-fájlként kezelte akkor is, ha a kiszolgáló „Content-Type: text/plain” fejlécet adott vissza. Ez webhelyek közötti parancsfájl-végrehajtást tett lehetővé olyan webhelyeken, amelyek a felhasználónak fájlfeltöltési lehetőséget biztosítottak. Ezt a problémát a „Content-Type: text/plain” fejléc esetén a fájlok kezelésének javításával oldották meg.

    CVE-azonosító

    CVE-2013-5151 : Ben Toews (Github)

  • Safari

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: Egy rosszindulatú weboldal megtekintése tetszőleges URL megjelenítését tette lehetővé.

    Leírás: Az URL-sáv hamisítása a Safari böngészőben jelentett hibalehetőséget. A hibát az URL-ek hatékonyabb követésével küszöbölték ki.

    CVE-azonosító

    CVE-2013-5152 : Keita Haga (keitahaga.com), Łukasz Pilorz (RBS)

  • Sandbox

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: A parancsfájlokat engedélyező alkalmazások nem kerültek a sandboxba.

    Leírás: A parancsfájlok futtatására a #! szintaxist használó, külső fejlesztőtől származó alkalmazások a parancsfájl-értelmező és nem a parancsfájl azonossága alapján kerültek a sandboxba. Ha az értelmező nem volt a sandbox számára definiálva, akkor az alkalmazás a sandboxon kívül futott. Ezt a problémát a sandbox parancsfájl azonossága alapján történő létrehozása oldotta meg.

    CVE-azonosító

    CVE-2013-5154 : evad3rs

  • Sandbox

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: Alkalmazások a készülék lefagyását okozhatták.

    Leírás: Külső fejlesztők rosszindulatú alkalmazásai, amelyek a /dev/random készülékbe speciális értékeket írtak, a processzort végtelen ciklusba kényszeríthették. Ezt a problémát a külső fejlesztőtől származó alkalmazások /dev/random készülékbe való írásának a megelőzésével szüntették meg.

    CVE-azonosító

    CVE-2013-5155 : CESG

  • Közösségi

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: A felhasználók korábbi twitteres tevékenysége a jelkóddal nem rendelkező készülékeken felfedhető volt.

    Leírás: A rendszerben a felhasználó által korábban használt Twitter-fiók meghatározását lehetővé tévő hiba volt. Ezt a hibát a Twitter-ikon gyorsítótárához való hozzáférés korlátozása küszöbölte ki.

    CVE-azonosító

    CVE-2013-5158 : Jonathan Zdziarski

  • Springboard

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: Hiba volt az értesítések kezelésében a készülék Elveszett módjában.

    Leírás: A készülék Elveszett módjában hibás volt az értesítések kezelése. Ez a frissítés kiküszöböli a hibát a zárolt állapot kezelésének javításával.

    CVE-azonosító

    CVE-2013-5153 : Daniel Stangroom

  • Telefonálás

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: Rosszindulatú alkalmazások befolyásolhatják vagy ellenőrizhetik a telefonálást.

    Leírás: A telefonálási alrendszerben hozzáférés-ellenőrzési probléma volt. A sandboxban található alkalmazások a támogatott API-k megkerülésével közvetlenül küldhettek kéréseket a rendszerdémon felé, ami a telefonálás befolyásolásához vagy ellenőrzéséhez vezethetett. Ezt a problémát a telefondémon által használt felület hozzáférés-ellenőrzésének a kényszerítése küszöbölte ki.

    CVE-azonosító

    CVE-2013-5156 : Jin Han (Institute for Infocomm Research), valamint Qiang Yan és Su Mon Kywe ( Singapore Management University); Tielei Wang, Kangjie Lu, Long Lu, Simon Chung és Wenke Lee (Georgia Institute of Technology)

  • Twitter

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: A sandboxba került alkalmazások a felhasználó tevékenysége vagy engedélye nélkül küldhettek Twitter-üzeneteket.

    Leírás: A Twitter-alrendszerben hozzáférés-ellenőrzési probléma volt. A sandboxban található alkalmazások a támogatott API-k megkerülésével közvetlenül küldhettek kéréseket a rendszerdémon felé, ami a Twitter-funkciók befolyásolásához vagy ellenőrzéséhez vezethetett. Ezt a problémát a Twitter-démon által használt felület hozzáférés-ellenőrzésének a kényszerítése küszöbölte ki.

    CVE-azonosító

    CVE-2013-5157 : Jin Han (Institute for Infocomm Research), valamint Qiang Yan and Su Mon Kywe (Singapore Management University); Tielei Wang, Kangjie Lu, Long Lu, Simon Chung és Wenke Lee (Georgia Institute of Technology)

  • WebKit

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: A WebKit motor több, memóriasérüléssel kapcsolatos problémát tartalmazott. A memóriakezelés javítása révén küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2013-0879 : Atte Kettunen (OUSPG)

    CVE-2013-0991 : Jay Civelli (Chromium fejlesztői közösség)

    CVE-2013-0992 : A Google Chrome biztonsági csapata (Martin Barbella)

    CVE-2013-0993 : A Google Chrome biztonsági csapata (Inferno)

    CVE-2013-0994 : David German (Google)

    CVE-2013-0995 : A Google Chrome biztonsági csapata (Inferno)

    CVE-2013-0996 : A Google Chrome biztonsági csapata (Inferno)

    CVE-2013-0997: Vitaliy Toropov a HP Zero Day Initiative kezdeményezésének közreműködőjeként

    CVE-2013-0998 : pa_kt a HP Zero Day Initiative kezdeményezésének közreműködőjeként

    CVE-2013-0999 : pa_kt a HP Zero Day Initiative kezdeményezésének közreműködőjeként

    CVE-2013-1000 : Fermin J. Serna (a Google biztonsági csapatának tagja)

    CVE-2013-1001 : Ryan Humenick

    CVE-2013-1002: Szergej Glazunov

    CVE-2013-1003 : A Google Chrome biztonsági csapata (Inferno)

    CVE-2013-1004 : A Google Chrome biztonsági csapata (Martin Barbella)

    CVE-2013-1005 : A Google Chrome biztonsági csapata (Martin Barbella)

    CVE-2013-1006 : A Google Chrome biztonsági csapata (Martin Barbella)

    CVE-2013-1007 : A Google Chrome biztonsági csapata (Inferno)

    CVE-2013-1008: Szergej Glazunov

    CVE-2013-1010: miaubiz

    CVE-2013-1037 : A Google Chrome biztonsági csapata

    CVE-2013-1038 : A Google Chrome biztonsági csapata

    CVE-2013-1039 : own-hero Research, valamint iDefense VCP

    CVE-2013-1040 : A Google Chrome biztonsági csapata

    CVE-2013-1041 : A Google Chrome biztonsági csapata

    CVE-2013-1042 : A Google Chrome biztonsági csapata

    CVE-2013-1043 : A Google Chrome biztonsági csapata

    CVE-2013-1044: Apple

    CVE-2013-1045 : A Google Chrome biztonsági csapata

    CVE-2013-1046 : A Google Chrome biztonsági csapata

    CVE-2013-1047: miaubiz

    CVE-2013-2842 : Cyril Cattiaux

    CVE-2013-5125 : A Google Chrome biztonsági csapata

    CVE-2013-5126: Apple

    CVE-2013-5127 : A Google Chrome biztonsági csapata

    CVE-2013-5128: Apple

  • WebKit

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: Egy rosszindulatú webhely meglátogatása információfelfedést válthatott ki.

    Leírás: A window.webkitRequestAnimationFrame() API kezelésében adat-közzétételi probléma állt fenn. Egy ártó szándékkal kialakított webhely iframe használatával meg tudta határozni, hogy egy másik webhely használja-e a window.webkitRequestAnimationFrame() függvényhívást. A problémát a window.webkitRequestAnimationFrame() függvényhívás kezelésének javításával küszöbölték ki.

    CVE-azonosító

    CVE-2013-5159
  • WebKit

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: Ártó szándékkal létrehozott HTML-kódrészlet másolása és beillesztése webhelyek közötti, parancsfájlt alkalmazó támadásra adhat lehetőséget.

    Leírás: Webhelyek közötti, parancsfájlokkal kapcsolatos probléma állt fenn a másolt és beillesztett adatok HTML-dokumentumokban történő kezelésében. A problémát a beillesztett tartalmak ellenőrzésében végrehajtott javításokkal szüntették meg.

    CVE-azonosító

    CVE-2013-0926 : Aditya Gupta, Subho Halder és Dev Kar (xys3c, xysec.com)

  • WebKit

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: Egy ártó szándékkal létrehozott webhely meglátogatása webhelyek közötti, parancsfájlt alkalmazó támadást tehet lehetővé.

    Leírás: Webhelyek közötti, parancsfájlokkal kapcsolatos probléma állt fenn a beágyazott (iframe) keretek kezelésében. Ezt a problémát az eredetek nyomon követésének javítása révén küszöbölték ki.

    CVE-azonosító

    CVE-2013-1012 : Subodh Iyengar és Erling Ellingsen (Facebook)

  • WebKit

    A következő készülékekhez érhető el: iPhone 3GS és újabb iPhone, negyedik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: Egy rosszindulatú webhely meglátogatása információfelfedést válthatott ki.

    Leírás: Az XSSAuditor adat-közzétételi problémát okozott. A problémát az URL-ek kezelésének javításával küszöbölték ki.

    CVE-azonosító

    CVE-2013-2848 : Egor Homakov

  • WebKit

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: A kiválasztott tartalom húzása vagy beillesztése webhelyek közötti, parancsfájlt alkalmazó támadást tehet lehetővé.

    Leírás: Webhelyen kijelölt tartalom másik webhelyre történő húzása vagy beillesztése parancsfájl végrehajtását tette lehetővé az új webhelyen. Ezt a problémát a beillesztési, illetve a húzási és elengedési művelet kiegészítő hitelesítése küszöbölte ki.

    CVE-azonosító

    CVE-2013-5129 : Mario Heiderich

  • WebKit

    A következő készülékekhez érhető el: iPhone 4 és újabb iPhone, ötödik generációs és újabb iPod touch, iPad 2 és újabb iPad

    Érintett terület: Egy ártó szándékkal létrehozott webhely meglátogatása webhelyek közötti, parancsfájlt alkalmazó támadást tehet lehetővé.

    Leírás: Webhelyek közötti, parancsfájlokkal kapcsolatos probléma állt fenn az URL-ek kezelésében. Ezt a problémát az eredetek nyomon követésének javítása révén küszöbölték ki.

    CVE-azonosító

    CVE-2013-5131 : Erling A Ellingsen

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: