Om sikkerhetsinnholdet i iOS 7.1.2

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 7.1.2.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Produktsikkerhet.

Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.

Hvis du vil vite mer om andre sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.

iOS 7.1.2

  • Retningslinjer for sertifikatgodkjenning

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Oppdatering av retningslinjer for sertifikatgodkjenning

    Beskrivelse: Retningslinjene for sertifikatgodkjenning ble oppdatert. Den komplette listen over sertifikater kan vises på http://support.apple.com/kb/HT5012?viewlocale=no_NO.

  • CoreGraphics

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Åpning av en skadelig XBM-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ubegrenset stakktildeling ved håndtering av XBM-filer. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1354: Dima Kovalenko på codedigging.com

  • Kjerne

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et program kunne forårsake en uventet omstart av enheten

    Beskrivelse: Det var en nullpeker-dereferanse i håndteringen av IOKit API-argumenter. Problemet ble løst gjennom tilleggsvalidering av IOKit API-argumenter.

    CVE-ID

    CVE-2014-1355: cunzhang ved Adlab i Venustech

  • launchd

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med heap-bufferoverflyt i launchds håndtering av IPC-meldinger. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1356: Ian Beer i Google Project Zero

  • launchd

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med heap-bufferoverflyt i launchds håndtering av loggmeldinger. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1357: Ian Beer i Google Project Zero

  • launchd

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var en heltallsoverflyt i launchd. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1358: Ian Beer i Google Project Zero

  • launchd

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var en heltallsunderflyt i launchd. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1359: Ian Beer i Google Project Zero

  • Lockdown

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper med en iOS-enhet kunne potensielt omgå Aktiveringslås

    Beskrivelse: Enheter utførte ufullstendige kontroller under enhetsaktivering, noe som gjorde det mulig for ondsinnede enkeltpersoner delvis å omgå aktiveringslåsen Problemet ble løst gjennom ekstra verifisering på klientsiden av data som mottas fra aktiveringstjenere.

    CVE-ID

    CVE-2014-1360

  • Låst skjerm

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En angriper med en enhet kan overskride det maksimale antall mislykkede kodeforsøk

    Beskrivelse: I enkelte tilfeller ble ikke grensen for antall mislykkede kodeforsøk håndhevet. Problemet ble løst gjennom ekstra håndheving av denne grensen.

    CVE-ID

    CVE-2014-1352: mblsec

  • Låst skjerm

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En person med fysisk tilgang til en låst enhet kan være i stand til å få tilgang til programmet som var i forgrunnen før låsing

    Beskrivelse: Det var et problem med tilstandsbehandlingen ved håndtering av telefonitilstanden i Flymodus. Problemet ble løst gjennom forbedret tilstandsbehandling når enheten er i Flymodus.

    CVE-ID

    CVE-2014-1353

  • E-post

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: E-postvedlegg kan hentes ut fra en iPhone 4

    Beskrivelse: Databeskyttelse var ikke aktivert for e-postvedlegg, slik at de kunne leses av en angriper med fysisk tilgang til enheten. Problemet ble løst ved å endre krypteringsklassen for e-postvedlegg.

    CVE-ID

    CVE-2014-1348: Andreas Kurtz ved NESO Security Labs

  • Safari

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med bruk etter frigivelse i Safaris håndtering av ugyldige URL-adresser. Dette problemet er løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2014-1349: Reno Robert og Dhanesh Kizhakkinan

  • Innstillinger

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: En person med fysisk tilgang til enheten, kan være i stand til å deaktivere Finn iPhone uten å oppgi iCloud-passord

    Beskrivelse: Det var et problem med håndteringen av Finn iPhone-tilstanden. Dette problemet ble løst ved forbedret håndtering av Finn iPhone-tilstanden.

    CVE-ID

    CVE-2014-1350

  • Secure Transport

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: To byte med ikke-initialisert hukommelse kunne blir avdekket for en ekstern angriper

    Beskrivelse: Det var et problem med tilgang til ikke-initialisert hukommelse ved håndtering av DTLS-meldinger på en TLS-forbindelse. Problemet ble løst ved bare å godta DTLS-meldinger på en DTLS-forbindelse.

    CVE-ID

    CVE-2014-1361: Thijs Alkemade i The Adium Project

  • Siri

    Tilgjengelig for: iPhone 4S og nyere, iPod touch (5. generasjon) og nyere, iPad (3. generasjon) og nyere

    Virkning: Det er mulig at en person med fysisk tilgang til telefonen kan vise alle kontakter

    Beskrivelse: Hvis en Siri-forespørsel henviser til én av flere kontakter, kunne Siri vise en liste over mulige valg og valget «Mer...» for en komplett kontaktliste. Ved bruk på låst skjerm krevde ikke Siri noen sikkerhetskode før hele kontaktlisten ble vist. Problemet ble løst ved å kreve sikkerhetskoden.

    CVE-ID

    CVE-2014-1351: Sherif Hashim

  • WebKit

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er flere problemer med ødelagt hukommelse i WebKit. Disse problemene ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2013-2875: miaubiz

    CVE-2013-2927: cloudfuzzer

    CVE-2014-1323: banty

    CVE-2014-1325: Apple

    CVE-2014-1326: Apple

    CVE-2014-1327: Google Chrome Security Team, Apple

    CVE-2014-1329: Google Chrome Security Team

    CVE-2014-1330: Google Chrome Security Team

    CVE-2014-1331: cloudfuzzer

    CVE-2014-1333: Google Chrome Security Team

    CVE-2014-1334: Apple

    CVE-2014-1335: Google Chrome Security Team

    CVE-2014-1336: Apple

    CVE-2014-1337: Apple

    CVE-2014-1338: Google Chrome Security Team

    CVE-2014-1339: Atte Kettunen i OUSPG

    CVE-2014-1341: Google Chrome Security Team

    CVE-2014-1342: Apple

    CVE-2014-1343: Google Chrome Security Team

    CVE-2014-1362: Apple, miaubiz

    CVE-2014-1363: Apple

    CVE-2014-1364: Apple

    CVE-2014-1365: Apple, Google Chrome Security Team

    CVE-2014-1366: Apple

    CVE-2014-1367: Apple

    CVE-2014-1368: Wushi fra Keen Team (Research Team ved Keen Cloud Tech)

    CVE-2014-1382: Renata Hodovan ved universitetet i Szeged / Samsung Electronics

    CVE-2014-1731: et anonymt medlem av Blink-utviklingssamfunnet

  • WebKit

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig nettsted kan sende meldinger til en tilkoblet ramme eller vindu på en måte som kan omgå mottakerens opphavskontroll

    Beskrivelse: Det var et kodeproblem i håndteringen av Unicode-tegn i URL-adresser. En skadelig URL kunne ha ført til sending av uriktig postMessage-opphav. Dette problemet ble løst ved forbedret koding/dekoding.

    CVE-ID

    CVE-2014-1346: Erling Ellingsen i Facebook

  • WebKit

    Tilgjengelig for: iPhone 4 og nyere, iPod touch (5. generasjon) og nyere, iPad 2 og nyere

    Virkning: Et skadelig nettsted kan være i stand til å forfalske domenenavnet i adressefeltet

    Beskrivelse: Det var et problem med forfalskning i håndteringen av URL-adresser. Problemet ble løst gjennom forbedret koding av URL-adresser.

    CVE-ID

    CVE-2014-1345: Erling Ellingsen i Facebook

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: