Om sikkerhetsinnholdet i iOS 7

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 7.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Produktsikkerhet.

Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.

Hvis du vil vite mer om andre sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.

iOS 7

  • Retningslinjer for sertifikatgodkjenning

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Rotsertifikater har blitt oppdatert

    Beskrivelse: Flere sertifikater ble lagt til eller fjernet fra listen over system-roots.

  • CoreGraphics

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var en bufferoverflyt i håndteringen av JBIG2-kodede data i PDF-filer. Dette problemet ble løst ved ekstra grensekontroll.

    CVE-ID

    CVE-2013-1025: Felix Groebert fra Google Security Team

  • CoreMedia

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Avspilling av en skadelig filmfil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var en bufferoverflyt i håndteringen av Sorenson-kodede filmfiler. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2013-1019: Tom Gallagher (Microsoft) og Paul Bates (Microsoft) som arbeider med HPs Zero Day Initiative

  • Databeskyttelse

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Apper kan omgå begrensninger på antall sikkerhetskodeforsøk

    Beskrivelse: Det var et rettighetsseparasjonsproblem i Databeskyttelse. En app i sandbox for tredjepart kan gjentatte ganger forsøke å bestemme brukerens sikkerhetskode uavhengig av brukerens Slett data-innstilling. Dette problemet ble løst ved å kreve ekstra rettighetskontroller.

    CVE-ID

    CVE-2013-0957: Jin Han hos Institute for Infocomm Research som arbeider med Qiang Yan og Su Mon Kywe fra Singapore Management University

  • Datasikkerhet

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper i en priviligert nettverksposisjon kan fange opp påloggingsopplysninger eller annen sensitiv informasjon

    Beskrivelse: TrustWave, en klarert rot-CA, har utstedt, og så inndratt, et del-CA-sertifikat fra et av dets klarerte ankere. Dette del-CA la til rette for oppfanging av kommunikasjon som var sikret med Transport Layer Security (TLS). Denne oppdateringen la til det aktuelle del-CA-sertifikatet i OS X-listen over ikke-godkjente sertifikater.

    CVE-ID

    CVE-2013-5134

  • dyld

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper som har kjøring av vilkårlig kode på en enhet, kan være i stand til å beholde muligheten til å kjøre kode på tvers av omstarter

    Beskrivelse: Flere bufferoverflyter fantes i dylds openSharedCacheFile()-funksjon. Problemene ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2013-3950: Stefan Esser

  • Filsystemer

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper som kan aktivere et ikke-HFS-filsystem, kan være i stand til å forårsake at et system avsluttes uventet eller at vilkårlig kode kjøres med kjernerettigheter.

    Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av AppleDouble-filer. Problemet ble løst ved å fjerne støtte for AppleDouble-filer.

    CVE-ID

    CVE-2013-3955: Stefan Esser

  • ImageIO

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var en bufferoverflyt i håndteringen av JPEG2000-kodede data i PDF-filer. Dette problemet ble løst ved ekstra grensekontroll.

    CVE-ID

    CVE-2013-1026: Felix Groebert fra Google Security Team

  • IOKit

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Bakgrunnsprogrammer kunne sette inn brukergrensesnitthendelser i forgrunnsprogrammet

    Beskrivelse: Det var mulig for bakgrunnsprogrammer å sette inn brukergrensesnitthendelser i forgrunnsprogrammet ved bruk av oppgavekjøringen eller VoIP API-er. Problemet ble løst ved å påtvinge tilgangskontroller på forgrunns- og bakgrunnsprosesser som håndterer grensesnitthendelser.

    CVE-ID

    CVE-2013-5137: Mackenzie Straight hos Mobile Labs

  • IOKitUser

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig lokalt program kunne forårsake at systemet avsluttes uventet.

    Beskrivelse: Det fantes en nullpeker-dereferanse i IOCatalogue. Problemet ble løst ved ekstra typekontroll.

    CVE-ID

    CVE-2013-5138: Will Estes

  • IOSerialFamily

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Kjøring av et skadelig program kan føre til at vilkårlig kode kjøres i kjernen

    Beskrivelse: Det var en tilgang utenfor matriseområdet i IOSerialFamily-driveren. Dette problemet ble løst ved ekstra grensekontroll.

    CVE-ID

    CVE-2013-5139: @dent1zt

  • IPSec

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper kan fange opp data som er beskyttet med IPSec Hybrid Auth

    Beskrivelse: DNS-navnet på en IPSec Hybrid Auth-tjener ble ikke sammenholdt med sertifikatet slik at en angriper med et sertifikat for hvilken som helst tjener, kunne utgi seg for å være en annen. Dette problemet ble løst ved forbedret sertifikatkontroll.

    CVE-ID

    CVE-2013-1028: Alexander Traud fra www.traud.de

  • Kjerne

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En ekstern angriper kan forårsake at en enhet uventet slås av.

    Beskrivelse: Sending av et ugyldig pakkefragment til en enhet kan få en kjernebekreftelse til å utløses, og det kan føre til omstart av en enhet. Problemet ble løst ved ekstra validering av pakkefragmenter.

    CVE-ID

    CVE-2013-5140: Joonas Kuorilehto fra Codenomicon, en anonym forsker som arbeider med CERT-FI, Antti Levomäki og Lauri Virtanen fra Vulnerability Analysis Group, Stonesoft

  • Kjerne

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig lokalt program kunne forårsake at en enhet henger.

    Beskrivelse: En sårbarhet med avkorting av heltall i kjernesocketgrensesnittet kan forårsake at CPUen tvinges inn i en uendelig sløyfe. Problemet ble løst ved å bruke en større variabel.

    CVE-ID

    CVE-2013-5141: CESG

  • Kjerne

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper på et lokalt nettverk kan forårsake nekting av tjenester

    Beskrivelse: En angriper i et lokalt nettverk kan sende spesielt utformede IPv6 ICMP-pakker og forårsake høy CPU-belastning. Problemet ble løst ved å hastighetsbegrense ICMP-pakker før sjekksummen deres verifiseres.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kjerne

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Kjernestakkhukommelse kan bli avslørt for lokale brukere

    Beskrivelse: Det var et problem med fremlegging av informasjon i msgctl- og segctl-APIene. Problemet ble løst ved å initialisere datastrukturer returnert fra kjernen.

    CVE-ID

    CVE-2013-5142: Kenzley Alphonse fra Kenx Technology, Inc

  • Kjerne

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Prosesser uten rettigheter kunne få tilgang til innholdet i en kjernehukommelse og, og det kunne føre til eskalering av rettigheter

    Beskrivelse: Det var et problem med fremlegging av informasjon i mach_port_space_info-APIen. Problemet ble løst ved å initialisere iin_collision-feltet i strukturer returnert fra kjernen.

    CVE-ID

    CVE-2013-3953: Stefan Esser

  • Kjerne

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Prosesser uten rettigheter kan forårsake at et system avsluttes uventet eller at vilkårlig kode utføres i kjernen

    Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av argumenter til posix_spawn-APIen. Dette problemet ble løst ved ekstra grensekontroll.

    CVE-ID

    CVE-2013-3954: Stefan Esser

  • Kext-administrasjon

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En uautorisert prosess kan endre settet med innlastede kjerneutvidelser

    Beskrivelse: Det var et problem med kextds håndtering av IPC-meldinger fra uautoriserte sendere. Problemet ble løst ved å legge til ekstra autorisasjonskontroller.

    CVE-ID

    CVE-2013-5145: «Rainbow PRISM»

  • libxml

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Visning av en skadelig nettside kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er flere problemer med ødelagt hukommelse i libxml. Disse problemene ble løst ved å oppdatere libxml til versjon 2.9.0.

    CVE-ID

    CVE-2011-3102: Jüri Aedla

    CVE-2012-0841

    CVE-2012-2807: Jüri Aedla

    CVE-2012-5134: Google Chrome Security Team (Jüri Aedla)

  • libxslt

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Visning av en skadelig nettside kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er flere problemer med ødelagt hukommelse i libxslt. Disse problemene ble løst ved å oppdatere libxslt til versjon 1.1.28.

    CVE-ID

    CVE-2012-2825: Nicolas Gregoire

    CVE-2012-2870: Nicolas Gregoire

    CVE-2012-2871: Kai Lu fra Fortinet's FortiGuard Labs, Nicolas Gregoire

  • Kodelås

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Det er mulig at en person med fysisk tilgang til enheten, delvis kan omgå skjermlåsen

    Beskrivelse: Det var et race-tilstandsproblem i håndteringen av telefonanrop og SIM-kortutløsing på låseskjermen. Problemet ble løst ved forbedret håndtering av låsetilstanden.

    CVE-ID

    CVE-2013-5147: videosdebarraquito

  • Delt Internett

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper kan slutte seg til et nettverk med delt Internett

    Beskrivelse: Det var et problem i genereringen av passord for delt Internett, som resulterte i at en angriper kunne forutsi passord for å slutte seg til en persons delte Internett. Problemet ble løst ved å generere passord med høyere entropi.

    CVE-ID

    CVE-2013-4616: Andreas Kurtz fra NESO Security Labs og Daniel Metz fra University Erlangen-Nuremberg

  • Push-varsling

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Push-varslingssymbolet kan avsløres til en app i strid med brukerens vilje

    Beskrivelse: Det var et problem med fremlegging av informasjon i push-varslingsregistrering. Apper som ba om tilgang til push-varslingstilgangen, mottok tokenet før brukeren godkjente appens bruk av push-varslinger. Problemet ble løst ved å holde tilbake tilgang til tokenet til brukeren hadde godkjent tilgang.

    CVE-ID

    CVE-2013-5149: Jack Flintermann fra Grouper, Inc.

  • Safari

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av XML-filer. Dette problemet ble løst ved ekstra grensekontroll.

    CVE-ID

    CVE-2013-1036: Kai Lu fra Fortinet's FortiGuard Labs

  • Safari

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Loggen over de sist besøkte sidene i en åpen fane kan bli beholdt etter at sidene er slettet fra loggen

    Beskrivelse: Tømming av Safaris logg fjernet ikke loggen for framover/bakover i åpne faner. Problemet ble løst ved å loggen for framover/bakover.

    CVE-ID

    CVE-2013-5150

  • Safari

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Visning av filer på et nettsted kan føre til kjøring av skript selv om tjeneren sender et «Content-Type: text/plain»-hode

    Beskrivelse: Mobile Safari behandlet noen ganger filer som HTML-filer selv om tjeneren sendte et «Content-Type: text/plain»-hode. Det kan føre til skripting på tvers av steder som tillater brukere å laste opp filer. Problemet ble løst ved forbedret håndtering av filer når «Content-Type: text/plain» er angitt.

    CVE-ID

    CVE-2013-5151: Ben Toews fra Github

  • Safari

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan tillate at en vilkårlig URL-adresse vises

    Beskrivelse: Det var et problem med svindel i URL-linjen i Mobile Safari. Problemet ble løst ved forbedret URL-adressesporing.

    CVE-ID

    CVE-2013-5152 : Keita Haga fra keitahaga.com, Łukasz Pilorz fra RBS

  • Sandbox

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Impact: Programmer som er skript, ble ikke plassert i sandbox

    Beskrivelse: Tredjepartsprogrammer som brukte #!- syntaksen til å kjøre et skript, ble plassert i sandbox basert på identiteten til skripttolkeren, ikke skriptet. Det kan hende det ikke er definert en sandbox for tolkeren, slik at programmet blir kjørt uten å bli plassert i sandbox. Problemet ble løst ved å opprette sandbox basert på identiteten til skriptet.

    CVE-ID

    CVE-2013-5154: evad3rs

  • Sandbox

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Programmer kan få et system til å henge

    Beskrivelse: Skadelige tredjepartsprogrammer som skrev spesifikke verdier til /dev/random-enheten, kunne tvinge CPU til å gå inn i en uendelig sløyfe. Problemet ble løst ved å hindre at tredjepartsprogrammer skriver til /dev/random.

    CVE-ID

    CVE-2013-5155: CESG

  • Sosialt

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Brukeres siste Twitter-aktivitet kunne avsløres på enheter uten sikkerhetskode.

    Beskrivelse: Det var et problem der det var mulig å finne ut hvilke Twitter-kontoer en bruker nylig hadde samhandlet med. Problemet ble løst ved å begrense tilgang til Twitter-symbolbufferen.

    CVE-ID

    CVE-2013-5158: Jonathan Zdziarski

  • Springboard

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Det er mulig at en person med fysisk tilgang til en enhet i Mistet-modus kan vise varslinger

    Beskrivelse: Det var et problem med håndteringen av varslinger når en enhet var i Mistet-modus. Denne oppdateringen løser problemet med forbedret behandling av låsetilstand.

    CVE-ID

    CVE-2013-5153: Daniel Stangroom

  • Telefoni

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Skadelige apper kunne forstyrre eller kontrollere telefonfunksjonalitet

    Beskrivelse: Det var et problem med tilgangskontroll i telefoniundersystemet. Ved å omgå støttede APIer kunne apper plassert i sandbox komme med forespørsler direkte til en system-daemon og forstyrre eller kontrollere telefonfunksjonalitet. Problemet ble løst ved å påtvinge tilgangskontroller på grensesnitt fremstilt av telefoni-daemonen.

    CVE-ID

    CVE-2013-5156: Jin Han fra Institute for Infocomm Research som arbeider med Qiang Yan og Su Mon Kywe fra Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung og Wenke Lee fra Georgia Institute of Technology

  • Twitter

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Apper plassert i sandbox kunne sende tweeter uten brukerinteraksjon eller -tillatelse

    Beskrivelse: Det var et problem med tilgangskontroll i Twitter-undersystemet. Ved å omgå støttede APIer kunne apper plassert i sandbox komme med forespørsler direkte til en system-daemon og forstyrre eller kontrollere Twitter-funksjonalitet. Problemet ble løst ved å påtvinge tilgangskontroller på grensesnitt fremstilt av Twitter-daemonen.

    CVE-ID

    CVE-2013-5157: Jin Han fra Institute for Infocomm Research som arbeider med Qiang Yan og Su Mon Kywe fra Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung og Wenke Lee fra Georgia Institute of Technology

  • WebKit

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er flere problemer med ødelagt hukommelse i WebKit. Disse problemene ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2013-0879: Atte Kettunen fra OUSPG

    CVE-2013-0991: Jay Civelli fra Chromium utviklingsfellesskap

    CVE-2013-0992: Google Chrome Security Team (Martin Barbella)

    CVE-2013-0993: Google Chrome Security Team (Inferno)

    CVE-2013-0994: David German fra Google

    CVE-2013-0995: Google Chrome Security Team (Inferno)

    CVE-2013-0996: Google Chrome Security Team (Inferno)

    CVE-2013-0997: Vitaliy Toropov som arbeider med HPs Zero Day Initiative

    CVE-2013-0998: pa_kt som arbeider ved HPs Zero Day Initiative

    CVE-2013-0999: pa_kt som arbeider ved HPs Zero Day Initiative

    CVE-2013-1000: Fermin J. Serna fra Google Security Team

    CVE-2013-1001: Ryan Humenick

    CVE-2013-1002: Sergey Glazunov

    CVE-2013-1003: Google Chrome Security Team (Inferno)

    CVE-2013-1004: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1005: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1006: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1007: Google Chrome Security Team (Inferno)

    CVE-2013-1008: Sergey Glazunov

    CVE-2013-1010: miaubiz

    CVE-2013-1037: Google Chrome Security Team

    CVE-2013-1038 : Google Chrome Security Team

    CVE-2013-1039: own-hero Research som arbeider med iDefense VCP

    CVE-2013-1040 : Google Chrome Security Team

    CVE-2013-1041 : Google Chrome Security Team

    CVE-2013-1042 : Google Chrome Security Team

    CVE-2013-1043 : Google Chrome Security Team

    CVE-2013-1044: Apple

    CVE-2013-1045 : Google Chrome Security Team

    CVE-2013-1046 : Google Chrome Security Team

    CVE-2013-1047: miaubiz

    CVE-2013-2842: Cyril Cattiaux

    CVE-2013-5125 : Google Chrome Security Team

    CVE-2013-5126: Apple

    CVE-2013-5127 : Google Chrome Security Team

    CVE-2013-5128: Apple

  • WebKit

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til avdekking av informasjon

    Beskrivelse: Det var et problem med fremlegging av informasjon i håndteringen av window.webkitRequestAnimationFrame()-APIen. Et skadelig nettsted kunne bruke en iframe til å finne ut om et annet nettsted brukte window.webkitRequestAnimationFrame(). Problemet ble løst ved forbedret håndtering av window.webkitRequestAnimationFrame().

    CVE-ID

    CVE-2013-5159
  • WebKit

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Kopiering og innliming av en skadelig HTML-snippet kan føre til et skriptangrep på tvers av nettsteder

    Beskrivelse: Det eksisterte skriptangrep på tvers av nettsteder i håndteringen av kopierte og innlimte data i HTML-dokumenter. Dette problemet ble løst med ekstra validering av innlimt innhold.

    CVE-ID

    CVE-2013-0926: Aditya Gupta, Subho Halder og Dev Kar fra xys3c (xysec.com)

  • WebKit

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til et angrep med skripting mellom nettsteder

    Beskrivelse: Det fantes et problem med skripting på tvers av nettsteder i håndteringen av iframes. Dette problemet ble løst ved forbedret sporing av opprinnelsessteder.

    CVE-ID

    CVE-2013-1012: Subodh Iyengar og Erling Ellingsen fra Facebook

  • WebKit

    Tilgjengelig for: iPhone 3GS og nyere, iPod touch (4. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til avdekking av informasjon

    Beskrivelse: Det var et problem med fremlegging av informasjon i XSSAuditor. Problemet ble løst ved forbedret håndtering av URL-adresser.

    CVE-ID

    CVE-2013-2848: Egor Homakov

  • WebKit

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Å dra eller lime inn en markering kan føre til et angrep med skripting mellom nettsteder

    Beskrivelse: Å dra og lime inn en markering fra ett nettsted til et annet kan føre til at skript som markeringen inneholder, kan kjøres i konteksten til det nye nettstedet. Problemet løses ved forbedret godkjenning av innhold før operasjoner med innliming eller dra-og-slipp.

    CVE-ID

    CVE-2013-5129: Mario Heiderich

  • WebKit

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til et angrep med skripting mellom nettsteder

    Beskrivelse: Det var et problem med skripting på tvers av nettsteder i håndteringen av URL-adresser. Dette problemet ble løst ved forbedret sporing av opprinnelsessteder.

    CVE-ID

    CVE-2013-5131: Erling A Ellingsen

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: