Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.
Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Produktsikkerhet.
Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.
Hvis du vil vite mer om andre sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.
iOS 7
- 

- 

Retningslinjer for sertifikatgodkjenning

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Rotsertifikater har blitt oppdatert

Beskrivelse: Flere sertifikater ble lagt til eller fjernet fra listen over system-roots.

 

- 

- 

CoreGraphics

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

Beskrivelse: Det var en bufferoverflyt i håndteringen av JBIG2-kodede data i PDF-filer. Dette problemet ble løst ved ekstra grensekontroll.

CVE-ID

CVE-2013-1025: Felix Groebert fra Google Security Team

 

- 

- 

CoreMedia

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Avspilling av en skadelig filmfil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

Beskrivelse: Det var en bufferoverflyt i håndteringen av Sorenson-kodede filmfiler. Dette problemet ble løst gjennom forbedret grensekontroll.

CVE-ID

CVE-2013-1019: Tom Gallagher (Microsoft) og Paul Bates (Microsoft) som arbeider med HPs Zero Day Initiative

 

- 

- 

Databeskyttelse

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Apper kan omgå begrensninger på antall sikkerhetskodeforsøk

Beskrivelse: Det var et rettighetsseparasjonsproblem i Databeskyttelse. En app i sandbox for tredjepart kan gjentatte ganger forsøke å bestemme brukerens sikkerhetskode uavhengig av brukerens Slett data-innstilling. Dette problemet ble løst ved å kreve ekstra rettighetskontroller.

CVE-ID

CVE-2013-0957: Jin Han hos Institute for Infocomm Research som arbeider med Qiang Yan og Su Mon Kywe fra Singapore Management University

 

- 

- 

Datasikkerhet

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: En angriper i en priviligert nettverksposisjon kan fange opp påloggingsopplysninger eller annen sensitiv informasjon

Beskrivelse: TrustWave, en klarert rot-CA, har utstedt, og så inndratt, et del-CA-sertifikat fra et av dets klarerte ankere. Dette del-CA la til rette for oppfanging av kommunikasjon som var sikret med Transport Layer Security (TLS). Denne oppdateringen la til det aktuelle del-CA-sertifikatet i OS X-listen over ikke-godkjente sertifikater.

CVE-ID

CVE-2013-5134

 

- 

- 

dyld

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: En angriper som har kjøring av vilkårlig kode på en enhet, kan være i stand til å beholde muligheten til å kjøre kode på tvers av omstarter

Beskrivelse: Flere bufferoverflyter fantes i dylds openSharedCacheFile()-funksjon. Problemene ble løst gjennom forbedret grensekontroll.

CVE-ID

CVE-2013-3950: Stefan Esser

 

- 

- 

Filsystemer

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: En angriper som kan aktivere et ikke-HFS-filsystem, kan være i stand til å forårsake at et system avsluttes uventet eller at vilkårlig kode kjøres med kjernerettigheter.

Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av AppleDouble-filer. Problemet ble løst ved å fjerne støtte for AppleDouble-filer.

CVE-ID

CVE-2013-3955: Stefan Esser

 

- 

- 

ImageIO

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

Beskrivelse: Det var en bufferoverflyt i håndteringen av JPEG2000-kodede data i PDF-filer. Dette problemet ble løst ved ekstra grensekontroll.

CVE-ID

CVE-2013-1026: Felix Groebert fra Google Security Team

 

- 

- 

IOKit

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Bakgrunnsprogrammer kunne sette inn brukergrensesnitthendelser i forgrunnsprogrammet

Beskrivelse: Det var mulig for bakgrunnsprogrammer å sette inn brukergrensesnitthendelser i forgrunnsprogrammet ved bruk av oppgavekjøringen eller VoIP API-er. Problemet ble løst ved å påtvinge tilgangskontroller på forgrunns- og bakgrunnsprosesser som håndterer grensesnitthendelser.

CVE-ID

CVE-2013-5137: Mackenzie Straight hos Mobile Labs

 

- 

- 

IOKitUser

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Et skadelig lokalt program kunne forårsake at systemet avsluttes uventet.

Beskrivelse: Det fantes en nullpeker-dereferanse i IOCatalogue. Problemet ble løst ved ekstra typekontroll.

CVE-ID

CVE-2013-5138: Will Estes

 

- 

- 

IOSerialFamily

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Kjøring av et skadelig program kan føre til at vilkårlig kode kjøres i kjernen

Beskrivelse: Det var en tilgang utenfor matriseområdet i IOSerialFamily-driveren. Dette problemet ble løst ved ekstra grensekontroll.

CVE-ID

CVE-2013-5139: @dent1zt

 

- 

- 

IPSec

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: En angriper kan fange opp data som er beskyttet med IPSec Hybrid Auth

Beskrivelse: DNS-navnet på en IPSec Hybrid Auth-tjener ble ikke sammenholdt med sertifikatet slik at en angriper med et sertifikat for hvilken som helst tjener, kunne utgi seg for å være en annen. Dette problemet ble løst ved forbedret sertifikatkontroll.

CVE-ID

CVE-2013-1028: Alexander Traud fra www.traud.de

 

- 

- 

Kjerne

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: En ekstern angriper kan forårsake at en enhet uventet slås av.

Beskrivelse: Sending av et ugyldig pakkefragment til en enhet kan få en kjernebekreftelse til å utløses, og det kan føre til omstart av en enhet. Problemet ble løst ved ekstra validering av pakkefragmenter.

CVE-ID

CVE-2013-5140: Joonas Kuorilehto fra Codenomicon, en anonym forsker som arbeider med CERT-FI, Antti Levomäki og Lauri Virtanen fra Vulnerability Analysis Group, Stonesoft

 

- 

- 

Kjerne

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Et skadelig lokalt program kunne forårsake at en enhet henger.

Beskrivelse: En sårbarhet med avkorting av heltall i kjernesocketgrensesnittet kan forårsake at CPUen tvinges inn i en uendelig sløyfe. Problemet ble løst ved å bruke en større variabel.

CVE-ID

CVE-2013-5141: CESG

 

- 

- 

Kjerne

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: En angriper på et lokalt nettverk kan forårsake nekting av tjenester

Beskrivelse: En angriper i et lokalt nettverk kan sende spesielt utformede IPv6 ICMP-pakker og forårsake høy CPU-belastning. Problemet ble løst ved å hastighetsbegrense ICMP-pakker før sjekksummen deres verifiseres.

CVE-ID

CVE-2011-2391: Marc Heuse

 

- 

- 

Kjerne

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Kjernestakkhukommelse kan bli avslørt for lokale brukere

Beskrivelse: Det var et problem med fremlegging av informasjon i msgctl- og segctl-APIene. Problemet ble løst ved å initialisere datastrukturer returnert fra kjernen.

CVE-ID

CVE-2013-5142: Kenzley Alphonse fra Kenx Technology, Inc

 

- 

- 

Kjerne

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Prosesser uten rettigheter kunne få tilgang til innholdet i en kjernehukommelse og, og det kunne føre til eskalering av rettigheter

Beskrivelse: Det var et problem med fremlegging av informasjon i mach_port_space_info-APIen. Problemet ble løst ved å initialisere iin_collision-feltet i strukturer returnert fra kjernen.

CVE-ID

CVE-2013-3953: Stefan Esser

 

- 

- 

Kjerne

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Prosesser uten rettigheter kan forårsake at et system avsluttes uventet eller at vilkårlig kode utføres i kjernen

Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av argumenter til posix_spawn-APIen. Dette problemet ble løst ved ekstra grensekontroll.

CVE-ID

CVE-2013-3954: Stefan Esser

 

- 

- 

Kext-administrasjon

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: En uautorisert prosess kan endre settet med innlastede kjerneutvidelser

Beskrivelse: Det var et problem med kextds håndtering av IPC-meldinger fra uautoriserte sendere. Problemet ble løst ved å legge til ekstra autorisasjonskontroller.

CVE-ID

CVE-2013-5145: «Rainbow PRISM»

 

- 

- 

libxml

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Visning av en skadelig nettside kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

Beskrivelse: Det er flere problemer med ødelagt hukommelse i libxml. Disse problemene ble løst ved å oppdatere libxml til versjon 2.9.0.

CVE-ID

CVE-2011-3102: Jüri Aedla

CVE-2012-0841

CVE-2012-2807: Jüri Aedla

CVE-2012-5134: Google Chrome Security Team (Jüri Aedla)

 

- 

- 

libxslt

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Visning av en skadelig nettside kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

Beskrivelse: Det er flere problemer med ødelagt hukommelse i libxslt. Disse problemene ble løst ved å oppdatere libxslt til versjon 1.1.28.

CVE-ID

CVE-2012-2825: Nicolas Gregoire

CVE-2012-2870: Nicolas Gregoire

CVE-2012-2871: Kai Lu fra Fortinet's FortiGuard Labs, Nicolas Gregoire

 

- 

- 

Kodelås

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Det er mulig at en person med fysisk tilgang til enheten, delvis kan omgå skjermlåsen

Beskrivelse: Det var et race-tilstandsproblem i håndteringen av telefonanrop og SIM-kortutløsing på låseskjermen. Problemet ble løst ved forbedret håndtering av låsetilstanden.

CVE-ID

CVE-2013-5147: videosdebarraquito

 

- 

- 

Delt Internett

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: En angriper kan slutte seg til et nettverk med delt Internett

Beskrivelse: Det var et problem i genereringen av passord for delt Internett, som resulterte i at en angriper kunne forutsi passord for å slutte seg til en persons delte Internett. Problemet ble løst ved å generere passord med høyere entropi.

CVE-ID

CVE-2013-4616: Andreas Kurtz fra NESO Security Labs og Daniel Metz fra University Erlangen-Nuremberg

 

- 

- 

Push-varsling

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Push-varslingssymbolet kan avsløres til en app i strid med brukerens vilje

Beskrivelse: Det var et problem med fremlegging av informasjon i push-varslingsregistrering. Apper som ba om tilgang til push-varslingstilgangen, mottok tokenet før brukeren godkjente appens bruk av push-varslinger. Problemet ble løst ved å holde tilbake tilgang til tokenet til brukeren hadde godkjent tilgang.

CVE-ID

CVE-2013-5149: Jack Flintermann fra Grouper, Inc.

 

- 

- 

Safari

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av XML-filer. Dette problemet ble løst ved ekstra grensekontroll.

 
CVE-ID

CVE-2013-1036: Kai Lu fra Fortinet's FortiGuard Labs

 

- 

- 

Safari

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Loggen over de sist besøkte sidene i en åpen fane kan bli beholdt etter at sidene er slettet fra loggen

Beskrivelse: Tømming av Safaris logg fjernet ikke loggen for framover/bakover i åpne faner. Problemet ble løst ved å loggen for framover/bakover.

CVE-ID

CVE-2013-5150

 

- 

- 

Safari

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Visning av filer på et nettsted kan føre til kjøring av skript selv om tjeneren sender et «Content-Type: text/plain»-hode

Beskrivelse: Mobile Safari behandlet noen ganger filer som HTML-filer selv om tjeneren sendte et «Content-Type: text/plain»-hode. Det kan føre til skripting på tvers av steder som tillater brukere å laste opp filer. Problemet ble løst ved forbedret håndtering av filer når «Content-Type: text/plain» er angitt.

CVE-ID

CVE-2013-5151: Ben Toews fra Github

 

- 

- 

Safari

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Besøk på et skadelig nettsted kan tillate at en vilkårlig URL-adresse vises

Beskrivelse: Det var et problem med svindel i URL-linjen i Mobile Safari. Problemet ble løst ved forbedret URL-adressesporing.

CVE-ID

CVE-2013-5152 : Keita Haga fra keitahaga.com, Łukasz Pilorz fra RBS

 

- 

- 

Sandbox

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Impact: Programmer som er skript, ble ikke plassert i sandbox

Beskrivelse: Tredjepartsprogrammer som brukte #!- syntaksen til å kjøre et skript, ble plassert i sandbox basert på identiteten til skripttolkeren, ikke skriptet. Det kan hende det ikke er definert en sandbox for tolkeren, slik at programmet blir kjørt uten å bli plassert i sandbox. Problemet ble løst ved å opprette sandbox basert på identiteten til skriptet.

CVE-ID

CVE-2013-5154: evad3rs

 

- 

- 

Sandbox

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Programmer kan få et system til å henge

Beskrivelse: Skadelige tredjepartsprogrammer som skrev spesifikke verdier til /dev/random-enheten, kunne tvinge CPU til å gå inn i en uendelig sløyfe. Problemet ble løst ved å hindre at tredjepartsprogrammer skriver til /dev/random.

CVE-ID

CVE-2013-5155: CESG

 

- 

- 

Sosialt

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Brukeres siste Twitter-aktivitet kunne avsløres på enheter uten sikkerhetskode.

Beskrivelse: Det var et problem der det var mulig å finne ut hvilke Twitter-kontoer en bruker nylig hadde samhandlet med. Problemet ble løst ved å begrense tilgang til Twitter-symbolbufferen.

CVE-ID

CVE-2013-5158: Jonathan Zdziarski

 

- 

- 

Springboard

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Det er mulig at en person med fysisk tilgang til en enhet i Mistet-modus kan vise varslinger

Beskrivelse: Det var et problem med håndteringen av varslinger når en enhet var i Mistet-modus. Denne oppdateringen løser problemet med forbedret behandling av låsetilstand.

CVE-ID

CVE-2013-5153: Daniel Stangroom

 

- 

- 

Telefoni

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Skadelige apper kunne forstyrre eller kontrollere telefonfunksjonalitet

Beskrivelse: Det var et problem med tilgangskontroll i telefoniundersystemet. Ved å omgå støttede APIer kunne apper plassert i sandbox komme med forespørsler direkte til en system-daemon og forstyrre eller kontrollere telefonfunksjonalitet. Problemet ble løst ved å påtvinge tilgangskontroller på grensesnitt fremstilt av telefoni-daemonen.

CVE-ID

CVE-2013-5156: Jin Han fra Institute for Infocomm Research som arbeider med Qiang Yan og Su Mon Kywe fra Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung og Wenke Lee fra Georgia Institute of Technology

 

- 

- 

Twitter

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Apper plassert i sandbox kunne sende tweeter uten brukerinteraksjon eller -tillatelse

Beskrivelse: Det var et problem med tilgangskontroll i Twitter-undersystemet. Ved å omgå støttede APIer kunne apper plassert i sandbox komme med forespørsler direkte til en system-daemon og forstyrre eller kontrollere Twitter-funksjonalitet. Problemet ble løst ved å påtvinge tilgangskontroller på grensesnitt fremstilt av Twitter-daemonen.

CVE-ID

CVE-2013-5157: Jin Han fra Institute for Infocomm Research som arbeider med Qiang Yan og Su Mon Kywe fra Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung og Wenke Lee fra Georgia Institute of Technology

 

- 

- 

WebKit

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

Beskrivelse: Det er flere problemer med ødelagt hukommelse i WebKit. Disse problemene ble løst gjennom forbedret hukommelseshåndtering.

CVE-ID

CVE-2013-0879: Atte Kettunen fra OUSPG

CVE-2013-0991: Jay Civelli fra Chromium utviklingsfellesskap

CVE-2013-0992: Google Chrome Security Team (Martin Barbella)

CVE-2013-0993: Google Chrome Security Team (Inferno)

CVE-2013-0994: David German fra Google

CVE-2013-0995: Google Chrome Security Team (Inferno)

CVE-2013-0996: Google Chrome Security Team (Inferno)

CVE-2013-0997: Vitaliy Toropov som arbeider med HPs Zero Day Initiative

CVE-2013-0998: pa_kt som arbeider ved HPs Zero Day Initiative

CVE-2013-0999: pa_kt som arbeider ved HPs Zero Day Initiative

CVE-2013-1000: Fermin J. Serna fra Google Security Team

CVE-2013-1001: Ryan Humenick

CVE-2013-1002: Sergey Glazunov

CVE-2013-1003: Google Chrome Security Team (Inferno)

CVE-2013-1004: Google Chrome Security Team (Martin Barbella)

CVE-2013-1005: Google Chrome Security Team (Martin Barbella)

CVE-2013-1006: Google Chrome Security Team (Martin Barbella)

CVE-2013-1007: Google Chrome Security Team (Inferno)

CVE-2013-1008: Sergey Glazunov

CVE-2013-1010: miaubiz

CVE-2013-1037: Google Chrome Security Team

CVE-2013-1038 : Google Chrome Security Team

CVE-2013-1039: own-hero Research som arbeider med iDefense VCP

CVE-2013-1040 : Google Chrome Security Team

CVE-2013-1041 : Google Chrome Security Team

CVE-2013-1042 : Google Chrome Security Team

CVE-2013-1043 : Google Chrome Security Team

CVE-2013-1044: Apple

CVE-2013-1045 : Google Chrome Security Team

CVE-2013-1046 : Google Chrome Security Team

CVE-2013-1047: miaubiz

CVE-2013-2842: Cyril Cattiaux

CVE-2013-5125 : Google Chrome Security Team

CVE-2013-5126: Apple

CVE-2013-5127 : Google Chrome Security Team

CVE-2013-5128: Apple

 

- 

- 

WebKit

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Besøk på et skadelig nettsted kan føre til avdekking av informasjon

Beskrivelse: Det var et problem med fremlegging av informasjon i håndteringen av window.webkitRequestAnimationFrame()-APIen. Et skadelig nettsted kunne bruke en iframe til å finne ut om et annet nettsted brukte window.webkitRequestAnimationFrame(). Problemet ble løst ved forbedret håndtering av window.webkitRequestAnimationFrame().

 CVE-2013-5159



 CVE-ID 

- 

- 

WebKit

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Kopiering og innliming av en skadelig HTML-snippet kan føre til et skriptangrep på tvers av nettsteder

Beskrivelse: Det eksisterte skriptangrep på tvers av nettsteder i håndteringen av kopierte og innlimte data i HTML-dokumenter. Dette problemet ble løst med ekstra validering av innlimt innhold.

CVE-ID

CVE-2013-0926: Aditya Gupta, Subho Halder og Dev Kar fra xys3c (xysec.com)

 

- 

- 

WebKit

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Besøk på et skadelig nettsted kan føre til et angrep med skripting mellom nettsteder

Beskrivelse: Det fantes et problem med skripting på tvers av nettsteder i håndteringen av iframes. Dette problemet ble løst ved forbedret sporing av opprinnelsessteder.

CVE-ID

CVE-2013-1012: Subodh Iyengar og Erling Ellingsen fra Facebook

 

- 

- 

WebKit

Tilgjengelig for: iPhone 3GS og nyere, iPod touch (4. generasjon) og nyere, iPad 2 og nyere

Virkning: Besøk på et skadelig nettsted kan føre til avdekking av informasjon

Beskrivelse: Det var et problem med fremlegging av informasjon i XSSAuditor. Problemet ble løst ved forbedret håndtering av URL-adresser.

CVE-ID

CVE-2013-2848: Egor Homakov

 

- 

- 

WebKit

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Å dra eller lime inn en markering kan føre til et angrep med skripting mellom nettsteder

Beskrivelse: Å dra og lime inn en markering fra ett nettsted til et annet kan føre til at skript som markeringen inneholder, kan kjøres i konteksten til det nye nettstedet. Problemet løses ved forbedret godkjenning av innhold før operasjoner med innliming eller dra-og-slipp.

CVE-ID

CVE-2013-5129: Mario Heiderich

 

- 

- 

WebKit

Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

Virkning: Besøk på et skadelig nettsted kan føre til et angrep med skripting mellom nettsteder

Beskrivelse: Det var et problem med skripting på tvers av nettsteder i håndteringen av URL-adresser. Dette problemet ble løst ved forbedret sporing av opprinnelsessteder.

CVE-ID

CVE-2013-5131: Erling A Ellingsen