Om sikkerhetsinnholdet i iOS 7.1.2
Dette dokumentet beskriver sikkerhetsinnholdet i iOS 7.1.2.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.
Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Produktsikkerhet.
Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.
Hvis du vil vite mer om andre sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.
iOS 7.1.2
Retningslinjer for sertifikatgodkjenning
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Oppdatering av retningslinjer for sertifikatgodkjenning
Beskrivelse: Retningslinjene for sertifikatgodkjenning ble oppdatert. Den komplette listen over sertifikater kan vises på http://support.apple.com/kb/HT5012?viewlocale=no_NO.
CoreGraphics
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Åpning av en skadelig XBM-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var et problem med ubegrenset stakktildeling ved håndtering av XBM-filer. Dette problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-1354: Dima Kovalenko på codedigging.com
Kjerne
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et program kunne forårsake en uventet omstart av enheten
Beskrivelse: Det var en nullpeker-dereferanse i håndteringen av IOKit API-argumenter. Problemet ble løst gjennom tilleggsvalidering av IOKit API-argumenter.
CVE-ID
CVE-2014-1355: cunzhang ved Adlab i Venustech
launchd
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med heap-bufferoverflyt i launchds håndtering av IPC-meldinger. Dette problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-1356: Ian Beer i Google Project Zero
launchd
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med heap-bufferoverflyt i launchds håndtering av loggmeldinger. Dette problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-1357: Ian Beer i Google Project Zero
launchd
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var en heltallsoverflyt i launchd. Dette problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-1358: Ian Beer i Google Project Zero
launchd
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var en heltallsunderflyt i launchd. Dette problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-1359: Ian Beer i Google Project Zero
Lockdown
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper med en iOS-enhet kunne potensielt omgå Aktiveringslås
Beskrivelse: Enheter utførte ufullstendige kontroller under enhetsaktivering, noe som gjorde det mulig for ondsinnede enkeltpersoner delvis å omgå aktiveringslåsen Problemet ble løst gjennom ekstra verifisering på klientsiden av data som mottas fra aktiveringstjenere.
CVE-ID
CVE-2014-1360
Låst skjerm
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En angriper med en enhet kan overskride det maksimale antall mislykkede kodeforsøk
Beskrivelse: I enkelte tilfeller ble ikke grensen for antall mislykkede kodeforsøk håndhevet. Problemet ble løst gjennom ekstra håndheving av denne grensen.
CVE-ID
CVE-2014-1352: mblsec
Låst skjerm
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En person med fysisk tilgang til en låst enhet kan være i stand til å få tilgang til programmet som var i forgrunnen før låsing
Beskrivelse: Det var et problem med tilstandsbehandlingen ved håndtering av telefonitilstanden i Flymodus. Problemet ble løst gjennom forbedret tilstandsbehandling når enheten er i Flymodus.
CVE-ID
CVE-2014-1353
E-post
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: E-postvedlegg kan hentes ut fra en iPhone 4
Beskrivelse: Databeskyttelse var ikke aktivert for e-postvedlegg, slik at de kunne leses av en angriper med fysisk tilgang til enheten. Problemet ble løst ved å endre krypteringsklassen for e-postvedlegg.
CVE-ID
CVE-2014-1348: Andreas Kurtz ved NESO Security Labs
Safari
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var et problem med bruk etter frigivelse i Safaris håndtering av ugyldige URL-adresser. Dette problemet er løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2014-1349: Reno Robert og Dhanesh Kizhakkinan
Innstillinger
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: En person med fysisk tilgang til enheten, kan være i stand til å deaktivere Finn iPhone uten å oppgi iCloud-passord
Beskrivelse: Det var et problem med håndteringen av Finn iPhone-tilstanden. Dette problemet ble løst ved forbedret håndtering av Finn iPhone-tilstanden.
CVE-ID
CVE-2014-1350
Secure Transport
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: To byte med ikke-initialisert hukommelse kunne blir avdekket for en ekstern angriper
Beskrivelse: Det var et problem med tilgang til ikke-initialisert hukommelse ved håndtering av DTLS-meldinger på en TLS-forbindelse. Problemet ble løst ved bare å godta DTLS-meldinger på en DTLS-forbindelse.
CVE-ID
CVE-2014-1361: Thijs Alkemade i The Adium Project
Siri
Tilgjengelig for: iPhone 4S og nyere, iPod touch (5. generasjon) og nyere, iPad (3. generasjon) og nyere
Virkning: Det er mulig at en person med fysisk tilgang til telefonen kan vise alle kontakter
Beskrivelse: Hvis en Siri-forespørsel henviser til én av flere kontakter, kunne Siri vise en liste over mulige valg og valget «Mer...» for en komplett kontaktliste. Ved bruk på låst skjerm krevde ikke Siri noen sikkerhetskode før hele kontaktlisten ble vist. Problemet ble løst ved å kreve sikkerhetskoden.
CVE-ID
CVE-2014-1351: Sherif Hashim
WebKit
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det er flere problemer med ødelagt hukommelse i WebKit. Disse problemene ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2013-2875: miaubiz
CVE-2013-2927: cloudfuzzer
CVE-2014-1323: banty
CVE-2014-1325: Apple
CVE-2014-1326: Apple
CVE-2014-1327: Google Chrome Security Team, Apple
CVE-2014-1329: Google Chrome Security Team
CVE-2014-1330: Google Chrome Security Team
CVE-2014-1331: cloudfuzzer
CVE-2014-1333: Google Chrome Security Team
CVE-2014-1334: Apple
CVE-2014-1335: Google Chrome Security Team
CVE-2014-1336: Apple
CVE-2014-1337: Apple
CVE-2014-1338: Google Chrome Security Team
CVE-2014-1339: Atte Kettunen i OUSPG
CVE-2014-1341: Google Chrome Security Team
CVE-2014-1342: Apple
CVE-2014-1343: Google Chrome Security Team
CVE-2014-1362: Apple, miaubiz
CVE-2014-1363: Apple
CVE-2014-1364: Apple
CVE-2014-1365: Apple, Google Chrome Security Team
CVE-2014-1366: Apple
CVE-2014-1367: Apple
CVE-2014-1368: Wushi fra Keen Team (Research Team ved Keen Cloud Tech)
CVE-2014-1382: Renata Hodovan ved universitetet i Szeged / Samsung Electronics
CVE-2014-1731: et anonymt medlem av Blink-utviklingssamfunnet
WebKit
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig nettsted kan sende meldinger til en tilkoblet ramme eller vindu på en måte som kan omgå mottakerens opphavskontroll
Beskrivelse: Det var et kodeproblem i håndteringen av Unicode-tegn i URL-adresser. En skadelig URL kunne ha ført til sending av uriktig postMessage-opphav. Dette problemet ble løst ved forbedret koding/dekoding.
CVE-ID
CVE-2014-1346: Erling Ellingsen i Facebook
WebKit
Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere
Virkning: Et skadelig nettsted kan være i stand til å forfalske domenenavnet i adressefeltet
Beskrivelse: Det var et problem med forfalskning i håndteringen av URL-adresser. Problemet ble løst gjennom forbedret koding av URL-adresser.
CVE-ID
CVE-2014-1345: Erling Ellingsen i Facebook
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.