Over de beveiligingsinhoud van iOS 7

In dit document wordt de beveiligingsinhoud van iOS 7 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

iOS 7

  • Certificate Trust Policy

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: rootcertificaten zijn bijgewerkt

    Beschrijving: verschillende certificaten waren toegevoegd aan of verwijderd uit de lijst met systeemroots.

  • CoreGraphics

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: het bekijken van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was sprake van een bufferoverloop bij de verwerking van met JBIG2 gecodeerde gegevens in PDF-bestanden. Dit probleem is verholpen door aanvullende bereikcontrole.

    CVE-ID

    CVE-2013-1025: Felix Groebert van het Google Security Team

  • CoreMedia

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: het afspelen van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was sprake van een bufferoverloop bij de verwerking van met Sorenson gecodeerde filmbestanden. Dit probleem is verholpen door verbeterde bereikcontrole.

    CVE-ID

    CVE-2013-1019: Tom Gallagher (Microsoft) en Paul Bates (Microsoft) in samenwerking met het Zero Day Initiative van HP

  • Data Protection

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: programma's kunnen beperkingen voor de invoer van onjuiste toegangscodes omzeilen

    Beschrijving: er was een probleem met het scheiden van bevoegdheden in Data Protection. Een programma in de sandbox van derden kon herhaaldelijk proberen de toegangscode van de gebruiker te bepalen, ongeacht de instelling 'Wis gegevens' van de gebruiker. Dit probleem is verholpen door extra rechtencontroles te vereisen.

    CVE-ID

    CVE-2013-0957: Jin Han van het Institute for Infocomm Research in samenwerking met Qiang Yan en Su Mon Kywe van Singapore Management University

  • Data Security

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een aanvaller met een bevoorrechte netwerkpositie kan gebruikersreferenties of andere gevoelige gegevens onderscheppen

    Beschrijving: TrustWave, een vertrouwde root-CA, heeft een sub-CA-certificaat van een van de vertrouwde ankers uitgegeven en vervolgens ingetrokken. Deze sub-CA vergemakkelijkte het onderscheppen van communicatie beveiligd door TLS (Transport Layer Security). Met deze update is het betreffende sub-CA-certificaat toegevoegd aan de lijst met niet-vertrouwde certificaten van OS X.

    CVE-ID

    CVE-2013-5134

  • dyld

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een aanvaller die willekeurige code uitvoert op een apparaat heeft, kan dit mogelijk ook doen na het herstarten van het apparaat

    Beschrijving: er was sprake van meerdere bufferoverlopen in de functie openSharedCacheFile() van dyld. Deze problemen zijn verholpen door verbeterde bereikcontrole.

    CVE-ID

    CVE-2013-3950: Stefan Esser

  • File Systems

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een aanvaller die een niet-HFS-bestandssysteem kan koppelen, kan mogelijk een onverwachte beëindiging van het systeem veroorzaken of willekeurige code uitvoeren met kernelbevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van AppleDouble-bestanden. Dit probleem is verholpen door de ondersteuning voor AppleDouble-bestanden te verwijderen.

    CVE-ID

    CVE-2013-3955: Stefan Esser

  • ImageIO

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: het bekijken van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was sprake van een bufferoverloop bij de verwerking van met JPEG2000 gecodeerde gegevens in PDF-bestanden. Dit probleem is verholpen door aanvullende bereikcontrole.

    CVE-ID

    CVE-2013-1026: Felix Groebert van het Google Security Team

  • IOKit

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: achtergrondprogramma's kunnen gebruikersinterfacegebeurtenissenin het programma op de voorgrond injecteren

    Beschrijving: achtergrondprogramma's hadden de mogelijkheid om gebruikersinterfacegebeurtenissen in het programma op de voorgrond te injecteren met behulp van de API's voor taakvoltooiing of VoIP. Dit probleem is verholpen door toegangscontroles af te dwingen voor voorgrond- en achtergrondprocessen die interfacegebeurtenissen afhandelen.

    CVE-ID

    CVE-2013-5137: Mackenzie Straight van Mobile Labs

  • IOKitUser

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een kwaadaardig lokaal programma kan een onverwachte beëindiging van het systeem veroorzaken

    Beschrijving: er was sprake van een null pointer dereference in IOCatalogue. Dit probleem is verholpen door extra typecontrole.

    CVE-ID

    CVE-2013-5138: Will Estes

  • IOSerialFamily

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: het uitvoeren van een kwaadaardig programma kan leiden tot het uitvoeren van willekeurige code binnen de kernel

    Beschrijving: er was sprake van toegang tot een out-of-bounds array in het IOSerialFamily-besturingsbestand. Dit probleem is verholpen door aanvullende bereikcontrole.

    CVE-ID

    CVE-2013-5139: @dent1zt

  • IPSec

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een aanvaller kan gegevens onderscheppen die zijn beveiligd met IPSec Hybrid Auth

    Beschrijving: de DNS-naam van een IPSec Hybrid Auth-server werd niet vergeleken met het certificaat, waardoor een aanvaller met een certificaat voor elke server zich kon voordoen als een andere persoon. Dit probleem is verholpen door verbeterde certificaatcontrole.

    CVE-ID

    CVE-2013-1028: Alexander Traud van www.traud.de

  • Kernel

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een externe aanvaller kan ervoor zorgen dat een apparaat onverwacht wordt herstart

    Beschrijving: het verzenden van een ongeldig pakketfragment naar een apparaat kon ervoor zorgen dat een kernel-assert wordt geactiveerd, wat leidde tot een herstart van het apparaat. Dit probleem is verholpen door aanvullende validatie van pakketfragmenten.

    CVE-ID

    CVE-2013-5140: Joonas Kuorilehto van Codenomicon, een anonieme onderzoeker die samenwerkt met CERT-FI, Antti Levomäki en Lauri Virtanen van Vulnerability Analysis Group, Stonesoft

  • Kernel

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een kwaadaardig lokaal programma kan ervoor zorgen dat het apparaat vastloopt

    Beschrijving: een kwetsbaarheid bij het afkappen van gehele getallen in de kernelsocket-interface kon worden gebruikt om de CPU in een oneindige lus te forceren. Dit probleem is verholpen door een variabele van groter formaat te gebruiken.

    CVE-ID

    CVE-2013-5141: CESG

  • Kernel

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een aanvaller in een lokaal netwerk kan een denial-of-service veroorzaken

    Beschrijving: een aanvaller in een lokaal netwerk kon speciaal vervaardigde IPv6 ICMP-pakketten verzenden en een hoge CPU-belasting veroorzaken. Dit probleem is verholpen door snelheidsbeperking voor ICMP-pakketten in te stellen voordat hun controlesom wordt geverifieerd.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kernel

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: stackgeheugen in de kernel kan worden vrijgegeven aan lokale gebruikers

    Beschrijving: er was sprake van een probleem met het vrijgeven van gegevens in de API's 'msgctl' en 'segctl'. Dit probleem is verholpen door het initialiseren van gegevensstructuren die worden geretourneerd vanuit de kernel.

    CVE-ID

    CVE-2013-5142: Kenzley Alphonse van Kenx Technology, Inc

  • Kernel

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: onbevoorrechte processen kunnen toegang krijgen tot de inhoud van het kernelgeheugen, wat kan leiden tot verhoging van bevoegdheden

    Beschrijving: er was een probleem met het vrijgeven van gegevens in de API 'mach_port_space_info'. Dit probleem is verholpen door het veld 'iin_collision' te initialiseren in structuren die vanuit de kernel worden geretourneerd.

    CVE-ID

    CVE-2013-3953: Stefan Esser

  • Kernel

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: onbevoorrechte processen kunnen mogelijk leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de afhandeling van argumenten voor de API 'posix_spawn'. Dit probleem is verholpen door aanvullende bereikcontrole.

    CVE-ID

    CVE-2013-3954: Stefan Esser

  • Kext Management

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een ongeautoriseerd proces kan mogelijk de set geladen kernelextensies wijzigen

    Beschrijving: er was een probleem bij de afhandeling door 'kextd' van IPC-berichten van niet-geverifieerde afzenders. Dit probleem is verholpen door extra autorisatiecontroles toe te voegen.

    CVE-ID

    CVE-2013-5145: "Rainbow PRISM"

  • libxml

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: het bekijken van een kwaadwillig vervaardigde webpagina kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging in libxml. Deze problemen zijn verholpen door libxml bij te werken naar versie 2.9.0.

    CVE-ID

    CVE-2011-3102: Jüri Aedla

    CVE-2012-0841

    CVE-2012-2807: Jüri Aedla

    CVE-2012-5134: Google Chrome Security Team (Jüri Aedla)

  • libxslt

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: het bekijken van een kwaadwillig vervaardigde webpagina kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging in libxslt. Deze problemen zijn verholpen door libxslt bij te werken naar versie 1.1.28.

    CVE-ID

    CVE-2012-2825: Nicolas Gregoire

    CVE-2012-2870: Nicolas Gregoire

    CVE-2012-2871: Kai Lu van Fortinet's FortiGuard Labs, Nicolas Gregoire

  • Passcode Lock

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een persoon met fysieke toegang tot het apparaat kan mogelijk de schermvergrendeling omzeilen

    Beschrijving: er was een racevoorwaardeprobleem bij het afhandelen van telefoongesprekken en het uitwerpen van simkaarten vanaf het vergrendelscherm. Dit probleem is verholpen door verbeterd statusbeheer.

    CVE-ID

    CVE-2013-5147: videosdebarraquito

  • Personal Hotspot

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een aanvaller kan mogelijk lid worden van een Persoonlijke Hotspot-netwerk

    Beschrijving: er was een probleem bij het genereren van Persoonlijke Hotspot-wachtwoorden, wat resulteerde in wachtwoorden die door een aanvaller konden worden voorspeld om lid te worden van de persoonlijke hotspot van een gebruiker. Dit probleem is verholpen door wachtwoorden met een hogere entropie te genereren.

    CVE-ID

    CVE-2013-4616: Andreas Kurtz van NESO Security Labs en Daniel Metz van Universiteit Erlangen-Neurenberg

  • Push Notifications

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: het pushmeldingstoken kan worden vrijgegeven aan een app in strijd met de beslissing van de gebruiker

    Beschrijving: er was een probleem met het vrijgeven van gegevens bij de registratie van pushmeldingen. Apps die toegang tot de pushmeldingen hebben aangevraagd, hebben het token ontvangen voordat de gebruiker het gebruik van pushmeldingen door de app goedkeurde. Dit probleem is verholpen door de toegang tot het token te weigeren totdat de gebruiker de toegang heeft goedgekeurd.

    CVE-ID

    CVE-2013-5149: Jack Flintermann van Grouper, Inc.

  • Safari

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van XML-bestanden. Dit probleem is verholpen door aanvullende bereikcontrole.

    CVE-ID

    CVE-2013-1036: Kai Lu van Fortinet's FortiGuard Labs

  • Safari

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: de geschiedenis van pagina's die onlangs zijn bezocht op een geopend tabblad kan blijven bestaan na het wissen van de geschiedenis

    Beschrijving: het wissen van de geschiedenis van Safari had niet tot gevolg dat de geschiedenis van terug/verder voor geopende tabbladen werd gewist. Dit probleem is verholpen door de geschiedenis van terug/verder te wissen.

    CVE-ID

    CVE-2013-5150

  • Safari

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: het bekijken van bestanden op een website kan leiden tot scriptuitvoering, zelfs wanneer de server een header 'Content-Type: text/plain' verzendt

    Beschrijving: Mobile Safari behandelde bestanden soms als HTML-bestanden, zelfs wanneer de server een header 'Content-Type: text/plain' verzond. Dit kon leiden tot cross-site scripting op sites waarmee gebruikers bestanden kunnen uploaden. Dit probleem is verholpen door verbeterde verwerking van bestanden wanneer 'Content-Type: text/plain' is ingesteld.

    CVE-ID

    CVE-2013-5151: Ben Toews van Github

  • Safari

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: bij een bezoek aan een kwaadaardige website kan een willekeurige URL worden weergegeven

    Beschrijving: er was een probleem met het spoofen van de URL-balk in Mobile Safari. Dit probleem is verholpen door verbeterde tracering van URL's.

    CVE-ID

    CVE-2013-5152: Keita Haga van keitahaga.com, Łukasz Pilorz van RBS

  • Sandbox

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: programma's die scripts zijn, worden niet in een sandbox geplaatst

    Beschrijving: programma's van derden die de syntaxis #! gebruikten om een script uit te voeren werden in een sandbox geplaatst op basis van de identiteit van de script-interpreter, niet het script. De interpreter had mogelijk geen sandbox gedefinieerd, waardoor de toepassing zonder sandbox werd uitgevoerd. Dit probleem is verholpen door de sandbox te maken op basis van de identiteit van het script.

    CVE-ID

    CVE-2013-5154: evad3rs

  • Sandbox

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: programma's kunnen het systeem laten vastlopen

    Beschrijving: kwaadaardige programma's van derden die specifieke waarden naar het /dev/random-apparaat schreven, konden de CPU in een oneindige lus dwingen. Dit probleem is verholpen door te voorkomen dat programma's van derden naar /dev/random kunnen schrijven.

    CVE-ID

    CVE-2013-5155: CESG

  • Sociaal

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: de recente Twitter-activiteit van gebruikers kan worden vrijgegeven op apparaten zonder toegangscode.

    Beschrijving: er was een probleem waarbij het mogelijk was om te bepalen met welke Twitter-accounts een gebruiker onlangs interactie had gehad. Dit probleem is verholpen door de toegang tot de Twitter-pictogramcache te beperken.

    CVE-ID

    CVE-2013-5158: Jonathan Zdziarski

  • Springboard

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een persoon met fysieke toegang tot een apparaat in de verloren-modus kan mogelijk meldingen bekijken

    Beschrijving: er was een probleem bij het afhandelen van meldingen wanneer een apparaat in de verloren-modus stond. Deze update heeft het probleem verholpen met verbeterd beheer van de vergrendelingsstatus.

    CVE-ID

    CVE-2013-5153: Daniel Stangroom

  • Telefonie

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: kwaadaardige apps kunnen de telefoniefunctionaliteit verstoren of aansturen

    Beschrijving: er was een probleem met de toegangscontrole in het telefoniesubsysteem. Door ondersteunde API's te omzeilen, konden apps in een sandbox rechtstreeks verzoeken doen aan een systeem-daemon en zo de telefoniefunctionaliteit verstoren of aansturen. Dit probleem is verholpen door toegangscontroles af te dwingen voor interfaces die worden blootgesteld door de telefonie-daemon.

    CVE-ID

    CVE-2013-5156: Jin Han van het Institute for Infocomm Research in samenwerking met Qiang Yan en Su Mon Kywe van Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung en Wenke Lee van het Georgia Institute of Technology

  • Twitter

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: apps in een sandbox kunnen tweets verzenden zonder gebruikersinteractie of toestemming

    Beschrijving: er was een probleem met de toegangscontrole in het Twitter-subsysteem. Door ondersteunde API's te omzeilen, konden apps in een sandbox rechtstreeks verzoeken doen aan een systeem-daemon en zo de Twitter-functionaliteit verstoren of aansturen. Dit probleem is verholpen door toegangscontroles af te dwingen voor interfaces die worden blootgesteld door de Twitter-daemon.

    CVE-ID

    CVE-2013-5157: Jin Han van het Institute for Infocomm Research in samenwerking met Qiang Yan en Su Mon Kywe van Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung en Wenke Lee van het Georgia Institute of Technology

  • WebKit

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging in WebKit. Deze problemen zijn verholpen door verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2013-0879: Atte Kettunen van OUSPG

    CVE-2013-0991: Jay Civelli van de community van Chromium-ontwikkelaars

    CVE-2013-0992: Google Chrome Security Team (Martin Barbella)

    CVE-2013-0993: Google Chrome Security Team (Inferno)

    CVE-2013-0994: David German van Google

    CVE-2013-0995: Google Chrome Security Team (Inferno)

    CVE-2013-0996: Google Chrome Security Team (Inferno)

    CVE-2013-0997: Vitaliy Toropov in samenwerking met het Zero Day Initiative van HP

    CVE-2013-0998: pa_kt in samenwerking met het Zero Day Initiative van HP

    CVE-2013-0999: pa_kt in samenwerking met het Zero Day Initiative van HP

    CVE-2013-1000: Fermin J. Serna van het Google Security Team

    CVE-2013-1001: Ryan Humenick

    CVE-2013-1002: Sergey Glazunov

    CVE-2013-1003: Google Chrome Security Team (Inferno)

    CVE-2013-1004: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1005: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1006: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1007: Google Chrome Security Team (Inferno)

    CVE-2013-1008: Sergey Glazunov

    CVE-2013-1010: miaubiz

    CVE-2013-1037: Google Chrome Security Team

    CVE-2013-1038: Google Chrome Security Team

    CVE-2013-1039: own-hero Research in samenwerking met iDefense VCP

    CVE-2013-1040: Google Chrome Security Team

    CVE-2013-1041: Google Chrome Security Team

    CVE-2013-1042: Google Chrome Security Team

    CVE-2013-1043: Google Chrome Security Team

    CVE-2013-1044: Apple

    CVE-2013-1045: Google Chrome Security Team

    CVE-2013-1046: Google Chrome Security Team

    CVE-2013-1047: miaubiz

    CVE-2013-2842: Cyril Cattiaux

    CVE-2013-5125: Google Chrome Security Team

    CVE-2013-5126: Apple

    CVE-2013-5127: Google Chrome Security Team

    CVE-2013-5128: Apple

  • WebKit

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een bezoek aan een kwaadaardige website kan leiden tot het vrijgeven van gegevens

    Beschrijving: er was een probleem met het vrijgeven van gegevens bij de verwerking van de API 'window.webkitRequestAnimationFrame()'. Een kwaadwillig vervaardigde website kon een iframe gebruiken om te bepalen of een andere site 'window.webkitRequestAnimationFrame()' had gebruikt. Dit probleem is verholpen door verbeterde afhandeling van 'window.webkitRequestAnimationFrame()'.

    CVE-ID

    CVE-2013-5159

  • WebKit

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: het kopiëren en plakken van een kwaadaardig HTML-fragment kan leiden tot een cross-site scripting-aanval

    Beschrijving: er was een probleem met cross-site scripting bij de verwerking van gekopieerde en geplakte gegevens in HTML-documenten. Dit probleem is verholpen door extra validatie van geplakte inhoud.

    CVE-ID

    CVE-2013-0926: Aditya Gupta, Subho Halder en Dev Kar van xys3c (xysec.com)

  • WebKit

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot een cross-site scripting-aanval

    Beschrijving: er was een probleem met cross-site scripting bij de verwerking van iframes. Dit probleem is verholpen door verbeterde brontracering.

    CVE-ID

    CVE-2013-1012: Subodh Iyengar en Erling Ellingsen van Facebook

  • WebKit

    Beschikbaar voor: iPhone 3GS en nieuwer, iPod touch (4e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het vrijgeven van gegevens

    Beschrijving: er was een probleem met het vrijgeven van gegevens in XSSAuditor. Dit probleem is verholpen door verbeterde verwerking van URL's.

    CVE-ID

    CVE-2013-2848: Egor Homakov

  • WebKit

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: het slepen of plakken van een selectie kan leiden tot een cross-site scripting-aanval

    Beschrijving: door een selectie van de ene site naar de andere te slepen of te plakken, konden scripts in de selectie worden uitgevoerd in de context van de nieuwe site. Dit probleem is verholpen door extra validatie van inhoud vóór een plak- of sleepbewerking.

    CVE-ID

    CVE-2013-5129: Mario Heiderich

  • WebKit

    Beschikbaar voor: iPhone 4 en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een cross-site scripting-aanval

    Beschrijving: er was een probleem met cross-site scripting bij de verwerking van URL's. Dit probleem is verholpen door verbeterde brontracering.

    CVE-ID

    CVE-2013-5131: Erling A Ellingsen

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: