W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
iOS 6.1.3
-
dyld
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: użytkownik lokalny może być w stanie uruchomić niepodpisany kod.
Opis: w procedurze obsługi plików wykonywalnych Mach-O z nakładającymi się segmentami występował błąd dotyczący zarządzania stanem. Rozwiązanie tego problemu polega na odmowie ładowania plików wykonywalnych z nakładającymi się segmentami.
Identyfikator CVE
CVE-2013-0977: evad3rs
-
Jądro
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: użytkownik lokalny może być w stanie ustalić adres struktur w jądrze.
Opis: w procedurze obsługi przerwań przy pobieraniu z wyprzedzeniem w architekturze firmy ARM występował błąd mogący powodować ujawnienie informacji. Rozwiązanie tego problemu polega na zainicjowaniu paniki, jeśli procedura obsługi przerwań przy pobieraniu z wyprzedzeniem nie zostanie wywołana w kontekście przerwania.
Identyfikator CVE
CVE-2013-0978: evad3rs
-
Lockdown
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: użytkownik lokalny może być w stanie zmienić uprawnienia do dowolnych plików.
Opis: podczas odtwarzania z kopii zapasowej demon lockdownd zmieniał uprawnienia do pewnych plików, nawet jeśli ścieżka do pliku zawierała łącze symboliczne. Rozwiązanie tego problemu polega na niezmienianiu uprawnień do żadnego pliku z łączem symlink w ścieżce.
Identyfikator CVE
CVE-2013-0979: evad3rs
-
Kod blokady
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: osoba posiadająca fizyczny dostęp do urządzenia może ominąć blokadę ekranu.
Opis: w procedurze obsługi połączeń awaryjnych wykonywanych z poziomu ekranu blokady występował błąd logiczny. Ten problem rozwiązano przez poprawienie procedur zarządzania stanem blokady.
Identyfikator CVE
CVE-2013-0980: Christopher Heffley z theMedium.ca, videosdebarraquito
-
USB
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: użytkownik lokalny może być w stanie wykonać dowolny kod w jądrze.
Opis: sterownik IOUSBDeviceFamily korzystał ze wskaźników do obiektów potoku, które to wskaźniki pochodziły z przestrzeni użytkownika. Rozwiązanie tego problemu polega na wprowadzeniu dodatkowej procedury sprawdzania poprawności wskaźników do obiektów potoku.
Identyfikator CVE
CVE-2013-0981: evad3rs
-
WebKit
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze obsługi plików SVG występował błąd powodujący nieprawidłowe rzutowanie typów. Rozwiązanie tego problemu polega na ulepszeniu procedury sprawdzania typów.
Identyfikator CVE
CVE-2013-0912: Nils i Jon z firmy MWR Labs pracujący w ramach programu Zero Day Initiative firmy HP TippingPoint