Om sikkerhetsinnholdet i iOS 7.1

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 7.1.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Product Security.

Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.

Hvis du vil ha mer informasjon om sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.

iOS 7.1

  • Sikkerhetskopiering

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En skadelig sikkerhetskopi kan endre filsystemet

    Beskrivelse: En symbolsk kobling i en sikkerhetskopi ville blitt gjenopprettet, slik at påfølgende operasjoner under gjenopprettingen kunne skrive til resten av filsystemet. Problemet ble løst ved å sjekke for symbolske koblinger under gjenopprettingsprosessen.

    CVE-ID

    CVE-2013-5133: evad3rs

  • Retningslinjer for sertifikatgodkjenning

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Rotsertifikater har blitt oppdatert

    Beskrivelse: Flere sertifikater ble lagt til eller fjernet fra listen over system-roots.

  • Konfigurasjonsprofiler

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Profilers utløpsdato ble ikke overholdt

    Beskrivelse: Utløpsdatoen til mobilkonfigurasjonsprofiler ble ikke vurdert riktig. Problemet ble løst ved å forbedre håndteringen av konfigurasjonsprofiler.

    CVE-ID

    CVE-2014-1267

  • CoreCapture

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig program kan forårsake at systemet avsluttes uventet

    Beskrivelse: Et oppnåelig påstandsproblem fantes i CoreCaptures håndtering av IOKit API-kall. Problemet ble løst gjennom ekstra validering av inndata fra IOKit.

    CVE-ID

    CVE-2014-1271: Filippo Bigarella

  • Crash-rapportering

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En lokal bruker kan kanskje endre rettigheter til vilkårlige filer

    Beskrivelse: CrashHouseKeeping fulgte symbolske koblinger samtidig som rettigheter til filer ble endret. Dette problemet ble løst ved ikke å følge symbolske koblinger ved endring av rettigheter til filer.

    CVE-ID

    CVE-2014-1272: evad3rs

  • dyld

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Kodesigneringskrav kan ha blitt omgått

    Beskrivelse: Instruksjoner for omplassering av tekst i dynamiske biblioteker kan ha blitt lastet av dyld uten validering av kodesignering. Dette problemet ble løst ved å ignorere instruksjoner for omplassering av tekst.

    CVE-ID

    CVE-2014-1273: evad3rs

  • FaceTime

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En person med fysisk tilgang til enheten kan få tilgang til FaceTime-kontakter fra en låst skjerm

    Beskrivelse: FaceTime-kontakter på en låst enhet kunne eksponeres ved å gjøre mislykkede FaceTime-anrop fra den låste skjermen. Dette problemet ble løst gjennom forbedret håndtering av FaceTime-anrop.

    CVE-ID

    CVE-2014-1274

  • ImageIO

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var en bufferoverflyt i håndteringen av JPEG2000-bilder i PDF-filer. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1275: Felix Groebert i Google Security Team

  • ImageIO

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Visning av en skadelig TIFF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det foreligger bufferoverflyt i libtiffs håndtering av TIFF-bilder. Problemet ble løst med ekstra validering av TIFF-bilder.

    CVE-ID

    CVE-2012-2088

  • ImageIO

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Visning av en skadelig JPEG-fil kan føre til avsløring av hukommelsesinnhold

    Beskrivelse: Det var et problem med tilgang til uinitialisert hukommelse i libjpegs håndtering av JPEG-markører, som førte til avsløring av hukommelsesinnhold. Dette problemet ble løst med ekstra validering av JPEG-filer.

    CVE-ID

    CVE-2013-6629: Michal Zalewski

  • IOKit HID-hendelse

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig program kan overvåke brukerhandlinger i andre apper

    Beskrivelse: Et grensesnitt i IOKit-rammeverk log skadelige apper overvåke brukerhandlinger i andre apper. Dette problemet ble løst ved forbedrede policyer for tilgangskontroll i rammeverket.

    CVE-ID

    CVE-2014-1276: Min Zheng, Hui Xue og Dr. Tao (Lenx) Wei i FireEye

  • iTunes Store

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En mellommann-angriper kan lokke en bruker til å laste ned en skadelig app via Enterprise App Download

    Beskrivelse: En angriper med en privilegert nettverksplassering kan etterlikne nettverkskommunikasjon for å lokke en bruker til å laste ned en skadelig app. Dette problemet ble redusert ved å bruke SSL og stille brukeren kontrollspørsmål ved URL-omdirigering.

    CVE-ID

    CVE-2013-3948: Stefan Esser

  • Kjerne

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En lokal bruker kan forårsake at et system avsluttes uventet eller at vilkårlig kode utføres i kjernen

    Beskrivelse: En problem med tilgang til hukommelse utenfor grensene fantes i ARM ptmx_get_ioctl-funksjonen. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1278: evad3rs

  • Office Viewer

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Åpning av et skadelig Microsoft Word-dokument kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var et problem med dobbel frigivelse i håndteringen av Microsoft Word-dokumenter. Problemet ble løst ved forbedret håndtering av hukommelsen.

    CVE-ID

    CVE-2014-1252: Felix Groebert fra Google Security Team

  • Bilder-bakside

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Slettede bilder kan fremdeles bli vist i Bilder-appen under gjennomsiktige bilder

    Beskrivelse: Sletting av et bilde fra et ressursbibliotek slettet ikke bufrede versjoner av bildet. Dette problemet ble løst ved forbedret bufferhåndtering.

    CVE-ID

    CVE-2014-1281: Walter Hoelblinger i Hoelblinger.com, Morgan Adams, Tom Pennington

  • Profiler

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En konfigurasjonsprofil kan være skjult for brukeren

    Beskrivelse: En konfigurasjonsprofil med langt navn kan være lastet inn på enheten, men vises ikke i profilgrensesnittet. Dette problemet ble løst ved forbedret håndtering av profilnavn.

    CVE-ID

    CVE-2014-1282: Assaf Hefetz, Yair Amit og Adi Sharabani i Skycure

  • Safari

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Brukerlegitimasjon kan bli avslørt på et uventet sted via auto-utfylling

    Beskrivelse: Safari kan ha fylt ut brukernavn og passord automatisk i en underramme fra et annet domene enn hovedrammen. Dette problemet ble løst ved forbedret sporing av opprinnelsessteder.

    CVE-ID

    CVE-2013-5227 : Niklas Malmgren fra Klarna AB

  • Innstillinger - Kontoer

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En person med fysisk tilgang til enheten, kan være i stand til å deaktivere Finn iPhone uten å oppgi iCloud-passord

    Beskrivelse: Det var et problem med håndteringen av Finn iPhone-tilstanden. Dette problemet ble løst ved forbedret håndtering av Finn iPhone-tilstanden.

    CVE-ID

    CVE-2014-2019

  • Springboard

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En person med fysisk tilgang til enheten, kan være i stand til å se Hjem-skjermen på enheten selv om enheten ikke har blitt aktivert

    Beskrivelse: En uventet avslutning av et program under aktivering kan føre til at telefonen viser Hjem-skjermen. Dette problemet ble løst ved forbedret feilhåndtering under aktivering.

    CVE-ID

    CVE-2014-1285: Roboboi99

  • Låst SpringBoard-skjerm

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En ekstern angriper kan være i stand til å få en låst skjerm til å slutte å reagere

    Beskrivelse: Det var et problem med håndteringen av Låst skjerm-tilstanden. Dette problemet ble løst ved forbedret tilstandshåndtering.

    CVE-ID

    CVE-2014-1286: Bogdan Alecu i M-sec.net

  • TelephonyUI-rammeverk

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En nettside kunne utløse et FaceTime-lydanrop uten inngripen fra bruker

    Beskrivelse: Safari rådførte seg ikke med brukeren før facetime-audio://-URLer ble åpnet. Dette problemet ble løst ved å legge inn et kontrollspørsmål.

    CVE-ID

    CVE-2013-6835: Guillaume Ross

  • USB-vert

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En person med fysisk tilgang til enheten, kan få vilkårlig kode til å bli utført i kjernemodus

    Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av USB-meldinger. Dette problemet ble løst med ekstra validering av USB-meldinger.

    CVE-ID

    CVE-2014-1287: Andy Davis i NCC Group

  • Videodriver

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Avspilling av en skadelig video kan føre til at enheten slutter å reagere

    Beskrivelse: Det var et problem med null-dereferanse i håndteringen av MPEG-4-kodete filer. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2014-1280: rg0rd

  • WebKit

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er flere problemer med ødelagt hukommelse i WebKit. Problemene ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2013-2909: Atte Kettunen fra OUSPG

    CVE-2013-2926: cloudfuzzer

    CVE-2013-2928: Google Chrome Security Team

    CVE-2013-5196 : Google Chrome Security Team

    CVE-2013-5197 : Google Chrome Security Team

    CVE-2013-5198: Apple

    CVE-2013-5199: Apple

    CVE-2013-5225 : Google Chrome Security Team

    CVE-2013-5228: Keen Team (@K33nTeam) som arbeider ved HPs Zero Day Initiative

    CVE-2013-6625: cloudfuzzer

    CVE-2013-6635: cloudfuzzer

    CVE-2014-1269: Apple

    CVE-2014-1270: Apple

    CVE-2014-1289: Apple

    CVE-2014-1290 : ant4g0nist (SegFault) som arbeider ved HPs Zero Day Initiative, Google Chrome Security Team, Lee Wang Hao som arbeider hos S.P.T. Krishnan of Infocomm Security Department, Institute for Infocomm Research

    CVE-2014-1291: Google Chrome Security Team

    CVE-2014-1292: Google Chrome Security Team

    CVE-2014-1293: Google Chrome Security Team

    CVE-2014-1294: Google Chrome Security Team

 

FaceTime er ikke tilgjengelig i alle land eller regioner.

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: