Over de beveiligingsinhoud van iOS 7

In dit document wordt de beveiligingsinhoud van iOS 7 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple-beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

iOS 7

  • Certificaatvertrouwensbeleid

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: rootcertificaten zijn bijgewerkt

    Beschrijving: een aantal certificaten zijn toegevoegd aan of verwijderd van de lijst met basiscertificaten.

  • CoreGraphics

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het bekijken van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij de verwerking van JBIG2-gecodeerde gegevens in PDF-bestanden. Dit probleem is verholpen door middel van extra bounds checking.

    CVE-ID

    CVE-2013-1025: Felix Groebert van het Google Security Team

  • CoreMedia

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het afspelen van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij de verwerking van Sorenson-gecodeerde filmbestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2013-1019: Tom Gallagher (Microsoft) en Paul Bates (Microsoft) in samenwerking met het Zero Day Initiative van HP

  • Gegevensbescherming

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: apps kunnen het beperkte aantal pogingen tot de invoer van de toegangscode omzeilen

    Beschrijving: er was een probleem met de scheiding van bevoegdheden in Gegevensbescherming. Een app in de sandbox van een derde kan herhaaldelijk proberen om de toegangscode van de gebruiker te bepalen, ongeacht de instelling ‘Wis gegevens’ van de gebruiker. Dit probleem is verholpen door extra controles van de bevoegdheden te vereisen.

    CVE-ID

    CVE-2013-0957: Jin Han van het Institute for Infocomm Research in samenwerking met Qiang Yan en Su Mon Kywe van de Singapore Management University

  • Gegevensbeveiliging

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een aanvaller met een geprivilegieerde netwerkpositie kan gebruikersgegevens of andere vertrouwelijke informatie onderscheppen

    Beschrijving: TrustWave, een certificaatautoriteit voor vertrouwde roots, heeft een certificaat van een subcertificaatautoriteit voor een vertrouwd ankerpunt uitgereikt en vervolgens herroepen. Deze subcertificaatautoriteit heeft de onderschepping van communicatie onderschept die werd beveiligd via Transport Layer Security (TLS). Deze update heeft het desbetreffende certificaat van de subcertificaatautoriteit toegevoegd aan de lijst met niet-vertrouwde certificaten in OS X.

    CVE-ID

    CVE-2013-5134

  • dyld

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een aanvaller, die willekeurige code uitvoert op een apparaat, kan de uitvoering van code forceren door het apparaat opnieuw op te starten

    Beschrijving: er waren meerdere bufferoverlopen bij de functie openSharedCacheFile() van dyld. Deze problemen zijn verholpen door middel van verbeterde bounds checking.

    CVE-ID

    CVE-2013-3950: Stefan Esser

  • Bestandssystemen

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een aanvaller die een niet-HFS-bestandssysteem kan activeren, kan mogelijk zorgen voor het onverwacht beëindigen van het systeem of het uitvoeren van willekeurige code met kernelbevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van AppleDouble-bestanden. Dit probleem is verholpen door de ondersteuning voor AppleDouble-bestanden te verwijderen.

    CVE-ID

    CVE-2013-3955: Stefan Esser

  • ImageIO

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het bekijken van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij de verwerking van JPEG2000-gecodeerde gegevens in PDF-bestanden. Dit probleem is verholpen door middel van extra bounds checking.

    CVE-ID

    CVE-2013-1026: Felix Groebert van het Google Security Team

  • IOKit

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: apps op de achtergrond kunnen gebeurtenissen van de gebruikersinterface injecteren in de app op de voorgrond

    Beschrijving: apps op de achtergrond hebben gebeurtenissen van de gebruikersinterface kunnen injecteren in de app op de voorgrond met behulp van de taakvoltooiing of VoIP API’s. Dit probleem is verholpen door toegangscontroles voor processen op de voor- en achtergrond op te leggen die interfacegebeurtenissen verwerken.

    CVE-ID

    CVE-2013-5137: Mackenzie Straight van Mobile Labs

  • IOKitUser

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadaardig lokaal programma kan zorgen voor een onverwachte beëindiging van het systeem

    Beschrijving: er was een null pointer-dereferentie in IOCatalogue. Het probleem is verholpen door een extra controle van het type.

    CVE-ID

    CVE-2013-5138: Will Estes

  • IOSerialFamily

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: de uitvoering van een kwaadaardig programma kan leiden tot het uitvoeren van willekeurige code in de kernel

    Beschrijving: er was een arraytoegang buiten het bereik in het besturingsbestand IOSerialFamily. Dit probleem is verholpen door middel van extra bounds checking.

    CVE-ID

    CVE-2013-5139: @dent1zt

  • IPSec

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een aanvaller kan met IPSec Hybrid Auth beveiligde gegevens onderscheppen

    Beschrijving: de DNS-naam van een IPSec Hybrid Auth-server is niet vergeleken met het certificaat waardoor een aanvaller met een certificaat voor een willekeurige server zich kon voordoen als een andere server. Dit probleem is verholpen door een verbeterde controle van certificaten.

    CVE-ID

    CVE-2013-1028: Alexander Traud van www.traud.de

  • Kernel

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een externe aanvaller kan ervoor zorgen dat een apparaat onverwacht opnieuw start

    Beschrijving: het versturen van een ongeldig pakketfragment naar een apparaat kan ervoor zorgen dat een kernelbevestiging wordt geactiveerd, waardoor het apparaat opnieuw wordt gestart. Het probleem is verholpen door een extra validatie van pakketfragmenten.

    CVE-ID

    CVE-2013-5140: Joonas Kuorilehto van Codenomicon, een anonieme onderzoeker werkzaam bij CERT-FI, Antti Levomäki en Lauri Virtanen van Vulnerability Analysis Group, Stonesoft

  • Kernel

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadaardige lokale app kan ervoor zorgen dat het apparaat blokkeert

    Beschrijving: een kwetsbare afkapping van gehele getallen in de kernelsocketinterface kan worden gebruikt om de CPU in een oneindige loop te forceren. Het probleem is verholpen door een grotere variabele te gebruiken.

    CVE-ID

    CVE-2013-5141: CESG

  • Kernel

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een aanvaller in een lokaal netwerk kan een weigering van service veroorzaken

    Beschrijving: een aanvaller in een lokaal netwerk kan speciaal gemaakte IPv6 ICMP-pakketten verzenden en voor een hoge CPU-belasting zorgen. Het probleem is verholpen door de oplegging van een limiet voor ICMP-pakketten voordat de controlesom wordt gecontroleerd.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kernel

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: kernelstapelgeheugen kan worden vrijgegeven aan lokale gebruikers

    Beschrijving: er was een probleem met de vrijgave van informatie bij de msgctl en segctl API’s. Dit probleem is verholpen door de initialisatie van gegevensstructuren die worden geretourneerd door de kernel.

    CVE-ID

    CVE-2013-5142: Kenzley Alphonse van Kenx Technology, Inc

  • Kernel

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: onbevoegde processen kunnen toegang krijgen tot de inhoud van het kernelgeheugen, hetgeen kan leiden tot het wijzigen van gebruikersrechten

    Beschrijving: er was een probleem met de vrijgave van informatie bij de mach_port_space_info API. Dit probleem is verholpen door de initialisatie van het veld iin_collision in structuren die worden geretourneerd door de kernel.

    CVE-ID

    CVE-2013-3953: Stefan Esser

  • Kernel

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: onbevoegde processen kunnen zorgen voor het onverwacht beëindigen van het systeem of het uitvoeren van willekeurige code in de kernel

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van argumenten bij de posix_spawn API. Dit probleem is verholpen door middel van extra bounds checking.

    CVE-ID

    CVE-2013-3954: Stefan Esser

  • Kext-beheer

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een onbevoegd proces kan de set geladen kernelextensies wijzigen

    Beschrijving: er was een probleem met de verwerking van IPC-berichten van niet-geïdentificeerde zenders in kextd. Dit probleem is verholpen door extra identiteitscontroles toe te voegen.

    CVE-ID

    CVE-2013-5145: ‘Rainbow PRISM’

  • libxml

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het bekijken van een kwaadwillig vervaardigde webpagina kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging in libxml. Deze problemen zijn verholpen door libxml bij te werken naar versie 2.9.0.

    CVE-ID

    CVE-2011-3102: Jüri Aedla

    CVE-2012-0841

    CVE-2012-2807: Jüri Aedla

    CVE-2012-5134: Google Chrome Security Team (Jüri Aedla)

  • libxslt

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het bekijken van een kwaadwillig vervaardigde webpagina kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging in libxslt. Deze problemen zijn verholpen door libxslt bij te werken naar versie 1.1.28.

    CVE-ID

    CVE-2012-2825: Nicolas Gregoire

    CVE-2012-2870: Nicolas Gregoire

    CVE-2012-2871: Kai Lu van Fortinet’s FortiGuard Labs, Nicolas Gregoire

  • Codeslot

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een persoon met fysieke toegang tot het apparaat kan de schermvergrendeling omzeilen

    Beschrijving: er was een probleem met de racevoorwaarde bij de verwerking van telefoongesprekken en de verwijdering van de simkaart bij het toegangsscherm. Dit probleem is verholpen door een verbeterd beheer van de vergrendelde status.

    CVE-ID

    CVE-2013-5147: videosdebarraquito

  • Persoonlijke hotspot

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een aanvaller kan mogelijk verbinding maken met een Persoonlijke hotspotnetwerk

    Beschrijving: er was een probleem met het aanmaken van wachtwoorden voor Persoonlijke hotspot. Hierdoor werden wachtwoorden aangemaakt die door een aanvaller konden worden voorspeld om zo verbinding te maken met de Persoonlijke hotspot van een gebruiker. Het probleem is verholpen door wachtwoorden met een hogere entropie aan te maken.

    CVE-ID

    CVE-2013-4616: Andreas Kurtz van NESO Security Labs en Daniel Metz van University Erlangen-Nuremberg

  • Pushberichtgeving

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: de token van de pushberichtgeving kan worden vrijgegeven aan een app ondanks de beslissing van de gebruiker

    Beschrijving: er was een probleem met de vrijgave van informatie bij de registratie van pushberichten. Apps die toegang vroegen tot de pushberichtgeving ontvingen de token voordat de gebruiker het gebruik van pushberichten voor app goedkeurde. Dit probleem is verholpen door de toegang tot de token te onthouden totdat de gebruiker de toegang heeft goedgekeurd.

    CVE-ID

    CVE-2013-5149: Jack Flintermann van Grouper, Inc.

  • Safari

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van XML-bestanden. Dit probleem is verholpen door middel van extra bounds checking.

    CVE-ID

    CVE-2013-1036: Kai Lu van Fortinet’s FortiGuard Labs

  • Safari

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: de geschiedenis van recent bezochte pagina’s in een open tabblad blijft mogelijk aanwezig na het wissen van de geschiedenis

    Beschrijving: het wissen van de geschiedenis in Safari wiste niet de vorige/volgende-geschiedenis voor open tabbladen. Dit probleem is verholpen door de vorige/volgende-geschiedenis te wissen.

    CVE-ID

    CVE-2013-5150

  • Safari

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: het bekijken van bestanden op een website kan leiden tot het uitvoeren van scripts, zelfs als de server een header van het type ‘Content-Type: text/plain’ verstuurt

    Beschrijving: Safari op mobiele apparaten behandelt bestanden soms als HTML-bestanden, zelfs als de server een header van het type ‘Content-Type: text/plain’ verstuurt. Dit kan leiden tot cross-site scripting op sites die gebruikers toestaan om bestanden te uploaden. Dit probleem is verholpen door een verbeterde verwerking van bestanden wanneer ‘Content-Type: text/plain’ is ingesteld.

    CVE-ID

    CVE-2013-5151: Ben Toews van Github

  • Safari

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan ervoor zorgen dat een willekeurige URL wordt weergegeven

    Beschrijving: er was een probleem met vervalsing van de URL-balk in Safari op mobiele apparaten. Dit probleem is verholpen door een verbeterde URL-tracering.

    CVE-ID

    CVE-2013-5152: Keita Haga van keitahaga.com, Łukasz Pilorz of RBS

  • Sandbox

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: sandboxing van apps die scripts zijn, gebeurde niet

    Beschrijving: de sandboxing van apps van andere fabrikanten die de syntaxis #! gebruikten om een script uit te voeren, gebeurde op basis van de identiteit van de script interpreter en niet het script. De interpreter heeft mogelijk geen gedefinieerde sandbox, waardoor geen sandboxing van de app gebeurde. Dit probleem is verholpen door de sandbox aan te maken op basis van de identiteit van het script.

    CVE-ID

    CVE-2013-5154: evad3rs

  • Sandbox

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: apps kunnen ervoor zorgen dat een systeem blokkeert

    Beschrijving: kwaadaardige apps van andere fabrikanten die specifieke waarden schreven naar het /dev/random-apparaat kunnen de CPU in een oneindige loop forceren. Dit probleem is verholpen door te voorkomen dat apps van andere fabrikanten schrijven naar /dev/random.

    CVE-ID

    CVE-2013-5155: CESG

  • Sociaal

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: recente Twitter-activiteit van gebruikers kan worden vrijgegeven op apparaten zonder toegangscode.

    Beschrijving: er was een probleem waarbij het mogelijk was om te bepalen met welke Twitter-accounts een gebruiker recent communiceerde. Dit probleem is verholpen door de toegang tot cache van het Twitter-symbool te beperken.

    CVE-ID

    CVE-2013-5158: Jonathan Zdziarski

  • Springboard

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een persoon met fysieke toegang tot een apparaat in de verliesmodus kan mogelijk berichten bekijken

    Beschrijving: er was een probleem met de verwerking van berichten wanneer een apparaat zich in de verliesmodus bevindt. Deze update verhelpt het probleem door een verbeterd beheer van de vergrendelstatus.

    CVE-ID

    CVE-2013-5153: Daniel Stangroom

  • Telefonie

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: kwaadaardige apps kon de telefonische functionaliteit hinderen of controleren

    Beschrijving: er was een probleem met de toegangscontrole in het subsysteem van de telefonie. Door ondersteunde API’s te omzeilen, kunnen apps in een sandbox rechtstreeks verzoeken richten aan een systeemdaemon die de telefonische functionaliteit hindert of controleert. Dit probleem is verholpen door de toegangscontroles op te leggen voor interfaces die te maken hebben met de telefoniedaemon.

    CVE-ID

    CVE-2013-5156: Jin Han van het Institute for Infocomm Research in samenwerking met Qiang Yan en Su Mon Kywe van de Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung en Wenke Lee van het Georgia Institute of Technology

  • Twitter

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: apps in een sandbox kunnen tweets versturen zonder interactie of toestemming van de gebruiker

    Beschrijving: er was een probleem met de toegangscontrole in het subsysteem van Twitter. Door ondersteunde API’s te omzeilen, kunnen apps in een sandbox rechtstreeks verzoeken richten aan een systeemdaemon die de Twitter-functionaliteit hindert of controleert. Dit probleem is verholpen door de toegangscontroles op te leggen voor interfaces die te maken hebben met de Twitter-daemon.

    CVE-ID

    CVE-2013-5157: Jin Han van het Institute for Infocomm Research in samenwerking met Qiang Yan en Su Mon Kywe van de Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung en Wenke Lee van het Georgia Institute of Technology

  • WebKit

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging in WebKit. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2013-0879: Atte Kettunen van OUSPG

    CVE-2013-0991: Jay Civelli van het Chromium development community

    CVE-2013-0992: Google Chrome Security Team (Martin Barbella)

    CVE-2013-0993: Google Chrome Security Team (Inferno)

    CVE-2013-0994: David German van Google

    CVE-2013-0995: Google Chrome Security Team (Inferno)

    CVE-2013-0996: Google Chrome Security Team (Inferno)

    CVE-2013-0997: Vitaliy Toropov in samenwerking met het Zero Day Initiative van HP

    CVE-2013-0998: pa_kt in samenwerking met het Zero Day Initiative van HP

    CVE-2013-0999: pa_kt in samenwerking met het Zero Day Initiative van HP

    CVE-2013-1000: Fermin J. Serna van het Google Security Team

    CVE-2013-1001: Ryan Humenick

    CVE-2013-1002: Sergey Glazunov

    CVE-2013-1003: Google Chrome Security Team (Inferno)

    CVE-2013-1004: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1005: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1006: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1007: Google Chrome Security Team (Inferno)

    CVE-2013-1008: Sergey Glazunov

    CVE-2013-1010: miaubiz

    CVE-2013-1037: Google Chrome Security Team

    CVE-2013-1038: Google Chrome Security Team

    CVE-2013-1039: own-hero Research in samenwerking met iDefense VCP

    CVE-2013-1040: Google Chrome Security Team

    CVE-2013-1041: Google Chrome Security Team

    CVE-2013-1042: Google Chrome Security Team

    CVE-2013-1043: Google Chrome Security Team

    CVE-2013-1044: Apple

    CVE-2013-1045: Google Chrome Security Team

    CVE-2013-1046: Google Chrome Security Team

    CVE-2013-1047: miaubiz

    CVE-2013-2842: Cyril Cattiaux

    CVE-2013-5125: Google Chrome Security Team

    CVE-2013-5126: Apple

    CVE-2013-5127: Google Chrome Security Team

    CVE-2013-5128: Apple

  • WebKit

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een bezoek aan een kwaadwillige website kan leiden tot de vrijgave van informatie

    Beschrijving: er was een probleem met de vrijgave van informatie bij de verwerking van de API window.webkitRequestAnimationFrame(). Een kwaadwillig vervaardigde website kan een iframe gebruiken om te bepalen of een andere site window.webkitRequestAnimationFrame() gebruikte. Dit probleem is verholpen door een verbeterde verwerking van window.webkitRequestAnimationFrame().

    CVE-ID

    CVE-2013-5159
  • WebKit

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een kwaadaardig HTML-fragment kopiëren en plakken kan leiden tot een cross-site scripting-aanval

    Beschrijving: er was een cross-site scripting-probleem bij de verwerking van gekopieerde en geplakte gegevens in HTML-documenten. Dit probleem is verholpen door een extra validatie van geplakte inhoud.

    CVE-ID

    CVE-2013-0926: Aditya Gupta, Subho Halder en Dev Kar van xys3c (xysec.com)

  • WebKit

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een cross-site scripting-aanval

    Beschrijving: er was een cross-site scripting-probleem bij de verwerking van iframes. Dit probleem is verholpen door een verbeterde brontracering.

    CVE-ID

    CVE-2013-1012: Subodh Iyengar en Erling Ellingsen van Facebook

  • WebKit

    Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot de vrijgave van informatie

    Beschrijving: er was een probleem met de vrijgave van informatie in XSSAuditor. Dit probleem is verholpen door een verbeterde verwerking van URL’s.

    CVE-ID

    CVE-2013-2848: Egor Homakov

  • WebKit

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een selectie slepen of plakken kan leiden tot een cross-site scripting-aanval

    Beschrijving: door een selectie te slepen of ergens anders te plakken, kunnen de scripts in de selectie worden uitgevoerd in de context van de nieuwe site. Dit probleem wordt verholpen door extra validatie van inhoud voordat u de inhoud plakt of sleept.

    CVE-ID

    CVE-2013-5129: Mario Heiderich

  • WebKit

    Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een cross-site scripting-aanval

    Beschrijving: er was een cross-site scripting-probleem bij de verwerking van URL’s. Dit probleem is verholpen door een verbeterde brontracering.

    CVE-ID

    CVE-2013-5131: Erling A Ellingsen

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: