Informacje o zawartości związanej z zabezpieczeniami w systemie iOS 7.1.2

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w systemie iOS 7.1.2.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

iOS 7.1.2

  • Zasady zaufania dotyczące certyfikatów

    Dostępne dla: telefonu iPhone 4 lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: uaktualnienie zasad zaufania dotyczących certyfikatów.

    Opis: uaktualniono zasady zaufania dotyczące certyfikatów. Pełną listę certyfikatów można zobaczyć na stronie http://support.apple.com/kb/HT5012?viewlocale=pl_PL.

  • CoreGraphics

    Dostępne dla: telefonu iPhone 4 lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku XBM może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi plików XBM występował problem z alokacją niepowiązanych stosów. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-1354: Dima Kovalenko z codedigging.com

  • Jądro

    Dostępne dla: telefonu iPhone 4 lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: aplikacja może spowodować nieoczekiwane ponowne uruchomienie urządzenia.

    Opis: w procedurze obsługi argumentów interfejsu API IOKit występowała dereferencja wskaźnika null. Ten problem rozwiązano przez wprowadzenie dodatkowej procedury sprawdzania argumentów interfejsu API IOKit.

    Identyfikator CVE

    CVE-2014-1355: cunzhang z Venustech Adlab

  • launchd

    Dostępne dla: telefonu iPhone 4 lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurze obsługi komunikatów IPC przez komponent launchd występował błąd powodujący przepełnienie buforu sterty. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-1356: Ian Beer z Google Project Zero

  • launchd

    Dostępne dla: telefonu iPhone 4 lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurze obsługi komunikatów dziennika przez komponent launchd występował błąd powodujący przepełnienie buforu sterty. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-1357: Ian Beer z Google Project Zero

  • launchd

    Dostępne dla: telefonu iPhone 4 lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w komponencie launchd występowało przepełnienie całkowitoliczbowe. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-1358: Ian Beer z Google Project Zero

  • launchd

    Dostępne dla: telefonu iPhone 4 lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana aplikacja może wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w komponencie launchd występował niedomiar całkowitoliczbowy. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-1359: Ian Beer z Google Project Zero

  • Lockdown

    Dostępne dla: telefonu iPhone 4 lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: atakujący będący w posiadaniu urządzenia z systemem iOS może obejść blokadę aktywacji.

    Opis: kontrola przeprowadzana przez urządzenia podczas aktywacji była niepełna, co mogło pozwolić atakującym na częściowe obejście blokady aktywacji. Ten problem rozwiązano przez poddawanie danych otrzymanych z serwerów aktywacji dodatkowej weryfikacji po stronie klienta.

    Identyfikator CVE

    CVE-2014-1360

  • Blokada ekranu

    Dostępne dla: telefonu iPhone 4 lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: atakujący będący w posiadaniu urządzenia może przekroczyć maksymalną liczbę nieudanych prób wprowadzenia kodu odblokowującego.

    Opis: w niektórych przypadkach limit nieudanych prób wprowadzenia kodu odblokowującego nie był egzekwowany. Ten problem rozwiązano przez wprowadzenie dodatkowej procedury wymuszania tego limitu.

    Identyfikator CVE

    CVE-2014-1352: mblsec

  • Blokada ekranu

    Dostępne dla: telefonu iPhone 4 lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: osoba mająca fizyczny dostęp do zablokowanego urządzenia może być w stanie uzyskać dostęp do aplikacji, która działała na pierwszym planie przed zablokowaniem.

    Opis: w procedurze obsługi stanu telefonu w czasie, gdy urządzenie znajduje się w trybie Samolot, występował problem z zarządzaniem stanem. Ten problem rozwiązano przez poprawienie procedury zarządzania stanem w trybie Samolot.

    Identyfikator CVE

    CVE-2014-1353

  • Mail

    Dostępne dla: telefonu iPhone 4 lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: możliwe jest uzyskanie dostępu do załączników z aplikacji Mail na telefonie iPhone 4.

    Opis: ochrona danych nie była włączona dla załączników poczty e-mail, przez co atakujący z fizycznym dostępem do urządzenia mógł je odczytać. Ten problem rozwiązano przez zmianę klasy szyfrowania załączników poczty e-mail.

    Identyfikator CVE

    CVE-2014-1348: Andreas Kurtz z firmy NESO Security Labs

  • Safari

    Dostępne dla: telefonu iPhone 4 lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w procedurze obsługi nieprawidłowych adresów URL przez przeglądarkę Safari występował problem dotyczący użycia po zwolnieniu. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2014-1349: Reno Robert i Dhanesh Kizhakkinan

  • Ustawienia

    Dostępne dla: telefonu iPhone 4 lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: osoba mająca fizyczny dostęp do urządzenia może wyłączyć aplikację Znajdź mój iPhone bez wprowadzania hasła do usługi iCloud.

    Opis: w procedurze obsługi stanu aplikacji Znajdź mój iPhone występował błąd zarządzania stanem. Ten problem rozwiązano przez poprawienie procedury obsługi stanu aplikacji Znajdź mój iPhone.

    Identyfikator CVE

    CVE-2014-1350

  • Secure Transport

    Dostępne dla: telefonu iPhone 4 lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: dwa bajty niezainicjowanej pamięci mogą zostać ujawnione zdalnemu atakującemu.

    Opis: w procedurze obsługi komunikatów DTLS przy połączeniu TLS występował problem dostępu do niezainicjowanej pamięci. Ten problem rozwiązano przez akceptowanie komunikatów DTLS tylko przy połączeniach DTLS.

    Identyfikator CVE

    CVE-2014-1361: Thijs Alkemade z projektu Adium

  • Siri

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada (3. generacji) lub nowszego

    Zagrożenie: osoba mająca fizyczny dostęp do urządzenia może wyświetlić wszystkie kontakty.

    Opis: jeśli pytanie skierowane do Siri mogło się odnosić do jednego z kilku kontaktów, wyświetlana była lista możliwych dopasowań wraz z opcją „Więcej” pozwalającą na wyświetlenie całej listy kontaktów. W przypadku korzystania z Siri przy zablokowanym ekranie nie trzeba było wprowadzać kodu odblokowującego, aby zobaczyć całą listę kontaktów. Ten problem rozwiązano przez wprowadzenie wymagania kodu.

    Identyfikator CVE

    CVE-2014-1351: Sherif Hashim

  • WebKit

    Dostępne dla: telefonu iPhone 4 lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w oprogramowaniu WebKit występowało kilka błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie obsługi pamięci.

    Identyfikator CVE

    CVE-2013-2875: użytkownik miaubiz

    CVE-2013-2927: użytkownik cloudfuzzer

    CVE-2014-1323 : użytkownik banty

    CVE-2014-1325: firma Apple

    CVE-2014-1326: firma Apple

    CVE-2014-1327: zespół do spraw bezpieczeństwa przeglądarki Google Chrome, firma Apple

    CVE-2014-1329: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2014-1330: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2014-1331: cloudfuzzer

    CVE-2014-1333: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2014-1334: firma Apple

    CVE-2014-1335: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2014-1336: firma Apple

    CVE-2014-1337: firma Apple

    CVE-2014-1338: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2014-1339: Atte Kettunen z firmy OUSPG

    CVE-2014-1341: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2014-1342: firma Apple

    CVE-2014-1343: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2014-1362: firma Apple, użytkownik miaubiz

    CVE-2014-1363: firma Apple

    CVE-2014-1364: firma Apple

    CVE-2014-1365: firma Apple, zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2014-1366: firma Apple

    CVE-2014-1367: firma Apple

    CVE-2014-1368: Wushi z Keen Team (zespołu badawczego w firmie Keen Cloud Tech)

    CVE-2014-1382: Renata Hodovan z Uniwersytetu w Segedynie / Samsung Electronics

    CVE-2014-1731: anonimowy członek społeczności rozwoju Blink

  • WebKit

    Dostępne dla: telefonu iPhone 4 lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwa witryna może wysyłać komunikaty do podłączonej ramki lub podłączonego okna w sposób, który może uniemożliwiać sprawdzanie adresu wyjściowego.

    Opis: w procedurze obsługi znaków Unicode w adresach URL istnieje błąd kodowania. Złośliwie spreparowany adres URL mógł doprowadzić do wysyłania nieprawidłowego adresu wyjściowego postMessage. Ten problem rozwiązano przez poprawienie mechanizmu kodowania/dekodowania.

    Identyfikator CVE

    CVE-2014-1346: Erling Ellingsen z firmy Facebook

  • WebKit

    Dostępne dla: telefonu iPhone 4 lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana witryna internetowa może wyświetlić fałszywą nazwę domeny na pasku adresu.

    Opis: w procedurze obsługi adresów URL występował błąd umożliwiający fałszowanie adresów. Ten problem rozwiązano przez poprawienie procedury kodowania adresów URL.

    Identyfikator CVE

    CVE-2014-1345: Erling Ellingsen z Facebooka

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: