Az iOS 7.1 biztonsági tartalma

Ez a dokumentum az iOS 7.1 biztonsági tartalmát ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.

iOS 7.1

  • Biztonsági mentés

    A következő készülékekhez érhető el: iPhone 4 és újabb, ötödik generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Az ártó szándékkal létrehozott biztonsági mentések módosítani tudták a fájlrendszert.

    Leírás: A rendszer visszaállított egy szimbolikus hivatkozást a biztonsági mentésben, ami miatt a későbbi műveletek módosítani tudták a fájlrendszer többi részét a visszaállítás során. A problémát azáltal küszöbölték ki, hogy bevezették a szimbolikus hivatkozások ellenőrzését a visszaállítási folyamat során.

    CVE-azonosító

    CVE-2013-5133 : evad3rs

  • Megbízható tanúsítványok házirendje

    A következő készülékekhez érhető el: iPhone 4 és újabb, ötödik generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Frissültek a főtanúsítványok.

    Leírás: Több tanúsítvány bekerült a rendszergyökerek listájába, illetve kikerült onnan.

  • Konfigurációs profilok

    A következő készülékekhez érhető el: iPhone 4 és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A konfigurációs profilok lejárati dátumainak figyelmen kívül hagyása.

    Leírás: A mobil konfigurációs profilok lejárati dátumainak kiértékelése nem történt meg megfelelően. A problémát a konfigurációs profilok hatékonyabb kezelésével küszöbölték ki.

    CVE-azonosító

    CVE-2014-1267

  • CoreCapture

    A következő készülékekhez érhető el: iPhone 4 és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rosszindulatú alkalmazások váratlan rendszerleállást tudtak kiváltani.

    Leírás: Egy elérhető helyességi feltételekkel kapcsolatos hiba állt fenn az IOKit API hívások CoreCapture általi kezelésében. A problémát az IOKit felől érkező bemenet további hitelesítésével küszöbölték ki.

    CVE-azonosító

    CVE-2014-1271 : Filippo Bigarella

  • Összeomlási jelentés

    A következő készülékekhez érhető el: iPhone 4 és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A helyi felhasználók módosítani tudtak tetszőleges fájlokhoz tartozó jogosultságokat.

    Leírás: A CrashHouseKeeping szimbolikus hivatkozásokat követett a fájlokhoz társított jogosultságok módosításakor. A problémát azzal küszöbölték ki, hogy leállították a szimbolikus hivatkozások követését a fájlokhoz társított jogosultságok módosításakor.

    CVE-azonosító

    CVE-2014-1272 : evad3rs

  • dyld

    A következő készülékekhez érhető el: iPhone 4 és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Megkerülhetők voltak a kódaláírási követelmények.

    Leírás: A dinamikus könyvtárakban lévő szöveg-áthelyezési utasításokat be tudta tölteni a dyld a kódaláírás hitelesítése nélkül is. A problémát a szöveg-áthelyezési utasítások figyelmen kívül hagyásával küszöbölték ki.

    CVE-azonosító

    CVE-2014-1273 : evad3rs

  • FaceTime

    A következő készülékekhez érhető el: iPhone 4 és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező személyek a zárolt képernyőről hozzá tudtak férni a FaceTime-kontaktokhoz.

    Leírás: A zárolt készüléken tárolt FaceTime-kontaktok megjeleníthetők voltak úgy, hogy a zárolt képernyőről sikertelen FaceTime-hívást kezdeményeztek. A problémát a FaceTime-hívások kezelésének javítása révén küszöbölték ki.

    CVE-azonosító

    CVE-2014-1274

  • ImageIO

    A következő készülékekhez érhető el: iPhone 4 és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PDF-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Puffertúlcsordulást okozó probléma lépett fel a PDF-fájlokban lévő JPEG2000-képek kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-1275 : Felix Groebert (a Google Chrome biztonsági csapata)

  • ImageIO

    A következő készülékekhez érhető el: iPhone 4 és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott TIFF-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Puffertúlcsordulás lépett fel a TIFF-képek libtiff általi kezelésekor. A TIFF-képek további ellenőrzésével küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2012-2088

  • ImageIO

    A következő készülékekhez érhető el: iPhone 4 és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott JPEG-fájlok megtekintése a memória tartalmának közzétételéhez vezetett.

    Leírás: Nem inicializált memória-hozzáféréssel kapcsolatos probléma lépett fel a JPEG-jelölők libjpeg általi kezelésekor, ami a memória tartalmának közzétételét okozhatta. A JPEG-képek további ellenőrzésével küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2013-6629 : Michal Zalewski

  • IOKit HID esemény

    A következő készülékekhez érhető el: iPhone 4 és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Egy rosszindulatú alkalmazás követni tudta az egyéb alkalmazásokban végrehajtott felhasználói műveleteket.

    Leírás: Egy interfész az IOKit keretrendszerben engedélyezte a rosszindulatú alkalmazásoknak az egyéb alkalmazásokban végrehajtott felhasználói műveletek követését. A problémát azáltal küszöbölték ki, hogy hatékonyabb hozzáférés-vezérlési házirendeket vezettek be a keretrendszerben.

    CVE-azonosító

    CVE-2014-1276 : Min Zheng, Hui Xue és Dr. Tao (Lenx) Wei (FireEye)

  • iTunes Store

    A következő készülékekhez érhető el: iPhone 4 és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A közbeékelődő támadók megtévesztéssel rá tudták venni a felhasználókat, hogy letöltsenek ártó szándékkal létrehozott alkalmazásokat az Enterprise App Download segítségével.

    Leírás: A magas hálózati jogosultságú támadók a hálózati kommunikáció meghamisításával rá tudták venni a felhasználókat ártó szándékkal létrehozott alkalmazások letöltésére. SSL használatával és a felhasználó URL-átirányítások során történő értesítésével küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2013-3948 : Stefan Esser

  • Kernel

    A következő készülékekhez érhető el: iPhone 4 és újabb, ötödik generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A helyi felhasználók a rendszer váratlan leállását tudták előidézni, illetve tetszőleges kódot tudtak végrehajtani a kernelben

    Leírás: Határértéket túllépő memóriaelérési probléma állt fenn az ARM ptmx_get_ioctl függvénnyel kapcsolatban. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-1278 : evad3rs

  • Office-fájlok megjelenítője

    A következő készülékekhez érhető el: iPhone 4 és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott Microsoft Word-dokumentumok megnyitása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Egy kétszeres felszabadítást előidéző hiba állt fenn a Microsoft Word-dokumentumok kezelésében. A memóriakezelés javításával küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-1252 : Felix Groebert (a Google Chrome biztonsági csapata)

  • Fotók – háttérfolyamat

    A következő készülékekhez érhető el: iPhone 4 és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy a törölt képek továbbra is megjelentek a Fotók alkalmazásban az átlátszó képek alatt.

    Leírás: A kép digitáliseszköz-tárból történő törlésekor nem törlődtek a kép gyorsítótárazott verziói. A problémát a gyorsítótár hatékonyabb kezelésével küszöbölték ki.

    CVE-azonosító

    CVE-2014-1281 : Walter Hoelblinger (Hoelblinger.com), Morgan Adams, Tom Pennington

  • Profilok

    A következő készülékekhez érhető el: iPhone 4 és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: El lehetett rejteni egy konfigurációs profilt a felhasználó elől.

    Leírás: Be lehetett tölteni egy hosszú névvel rendelkező konfigurációs profilt a készülékre, de nem jelent meg a profil felhasználói felületén. A problémát a profilnevek hatékonyabb kezelésével küszöbölték ki.

    CVE-azonosító

    CVE-2014-1282 : Assaf Hefetz, Yair Amit és Adi Sharabani (Skycure)

  • Safari

    A következő készülékekhez érhető el: iPhone 4 és újabb, ötödik generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A felhasználói hitelesítő adatok váratlanul nyilvánosságra kerülhettek a webhelyeken az automatikus kitöltés révén.

    Leírás: Előfordult, hogy a Safari automatikusan kitöltötte a felhasználónevet és a jelszót egy olyan alkeretben, amely nem abból a tartományból származott, mint a főkeret. Az eredetek nyomon követésének javításával küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2013-5227 : Niklas Malmgren (Klarna AB)

  • Beállítások – Fiókok

    A következő készülékekhez érhető el: iPhone 4 és újabb, ötödik generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező személyek az iCloud-jelszó megadása nélkül is le tudták tiltani az iPhone keresése funkciót.

    Leírás: Állapotkezeléssel összefüggő probléma lépett fel az iPhone keresése funkció állapotával kapcsolatban. Az iPhone keresése funkció állapotának hatékonyabb kezelésével küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-2019

  • Springboard

    A következő készülékekhez érhető el: iPhone 4 és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező személyek akkor is meg tudták tekinteni a készülék főképernyőjét, ha a készülék nem volt aktiválva.

    Leírás: Az aktiválás alatti váratlan alkalmazásleállás a telefon főképernyőjének megjelenését okozhatta. A problémát az aktiválás alatti hatékonyabb hibakezeléssel küszöbölték ki.

    CVE-azonosító

    CVE-2014-1285 : Roboboi99

  • SpringBoard – zárolt képernyő

    A következő készülékekhez érhető el: iPhone 4 és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A távoli támadók elő tudták idézni, hogy a zárolt képernyő ne reagáljon.

    Leírás: A zárolt képernyőn állapotkezeléssel összefüggő probléma állt fenn. Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-1286 : Bogdan Alecu (M-sec.net)

  • TelephonyUI keretrendszer

    A következő készülékekhez érhető el: iPhone 4 és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A weboldalak FaceTime-hanghívást tudtak indítani felhasználói beavatkozás nélkül.

    Leírás: A Safari nem értesítette a felhasználót a facetime-audio:// URL-címek megnyitása előtt. A problémát egy megerősítésre felszólító üzenet hozzáadásával küszöbölték ki.

    CVE-azonosító

    CVE-2013-6835 : Guillaume Ross

  • USB-állomás

    A következő készülékekhez érhető el: iPhone 4 és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező személyek tetszőleges programkód végrehajtását tudták előidézni kernel módban.

    Leírás: Memóriahibát előidéző probléma lépett fel az USB-üzenetek kezelésekor. A problémát az USB-üzenetek további hitelesítésével küszöbölték ki.

    CVE-azonosító

    CVE-2014-1287 : Andy Davis (NCC Group)

  • Video-illesztőprogram

    A következő készülékekhez érhető el: iPhone 4 és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videók lejátszásakor a készülék nem reagált.

    Leírás: Null dereferencia lépett fel az MPEG-4 kódolású fájlok kezelésekor. A memóriakezelés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-1280 : rg0rd

  • WebKit

    A következő készülékekhez érhető el: iPhone 4 és újabb, ötödik generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: A WebKit motor több, memóriasérüléssel kapcsolatos problémát tartalmazott. A memóriakezelés javítása révén küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2013-2909 : Atte Kettunen (OUSPG)

    CVE-2013-2926 : cloudfuzzer

    CVE-2013-2928 : A Google Chrome biztonsági csapata

    CVE-2013-5196 : A Google Chrome biztonsági csapata

    CVE-2013-5197 : A Google Chrome biztonsági csapata

    CVE-2013-5198: Apple

    CVE-2013-5199: Apple

    CVE-2013-5225 : A Google Chrome biztonsági csapata

    CVE-2013-5228 : Keen Team (@K33nTeam), a HP Zero Day Initiative kezdeményezésének közreműködőjeként

    CVE-2013-6625 : cloudfuzzer

    CVE-2013-6635 : cloudfuzzer

    CVE-2014-1269: Apple

    CVE-2014-1270: Apple

    CVE-2014-1289: Apple

    CVE-2014-1290 : ant4g0nist (SegFault; a HP Zero Day Initiative kezdeményezésének közreműködőjeként), a Google Chrome biztonsági csapata, Lee Wang Hao (S.P.T. Krishnannal együttműködve – Infocomm Security Department), Institute for Infocomm Research

    CVE-2014-1291 : A Google Chrome biztonsági csapata

    CVE-2014-1292 : A Google Chrome biztonsági csapata

    CVE-2014-1293 : A Google Chrome biztonsági csapata

    CVE-2014-1294 : A Google Chrome biztonsági csapata

 

A FaceTime nem minden országban vagy térségben érhető el.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: