Despre conținutul de securitate din iOS 7
Acest document descrie conținutul de securitate din iOS 7.
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.
Pentru informații despre cheia PGP pentru securitatea produselor Apple, consultă Utilizarea cheii PGP pentru securitatea produselor Apple.
Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.
Pentru a afla mai multe despre alte actualizări de securitate, consultă Actualizările de securitate Apple.
iOS 7
Certificate Trust Policy
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: certificatele rădăcină au fost actualizate
Descriere: câteva certificate au fost adăugate sau eliminate din lista de rădăcini ale sistemului.
CoreGraphics
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: vizualizarea unui fișier PDF creat cu rea intenție poate duce la o închidere neașteptată a aplicației sau la executarea unui cod arbitrar
Descriere: a existat o depășire a memoriei tampon la tratarea datelor codificate JBIG2 în fișierele PDF. Această problemă a fost rezolvată printr-un control suplimentar al limitelor.
CVE-ID
CVE-2013-1025 : Felix Groebert de la Google Security Team
CoreMedia
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: redarea unui fișier de tip film creat cu rea intenție poate duce la o închidere neașteptată a aplicației sau la executarea unui cod arbitrar
Descriere: a existat o depășire a memoriei tampon la gestionarea fișierelor de tip film cu codificare Sorenson. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-ID
CVE-2013-1019: Tom Gallagher (Microsoft) și Paul Bates (Microsoft) în colaborare cu Zero Day Initiative de la HP
Data Protection
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: aplicațiile pot ocoli restricțiile de încercare a codului de acces
Descriere: a existat o problemă de separare a privilegiilor în Protecția datelor. O aplicație din sandboxul terță parte poate încerca, în mod repetat, să determine codul de acces al utilizatorului, indiferent de configurarea „Ștergere date" a acestuia. Această problemă a fost rezolvată prin solicitarea unor verificări suplimentare privind autorizarea.
CVE-ID
CVE-2013-0957 : Jin Han de la Institute for Infocomm Research în colaborare cu Qiang Yan și Su Mon Kywe de la Singapore Management University
Data Security
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator cu o poziție privilegiată în rețea poate intercepta datele de autentificare ale utilizatorului sau alte informații confidențiale
Descriere: TrustWave, o rădăcină CA de încredere a emis și ulterior a revocat un certificat de sub-CA de la una dintre ancorele sale de încredere. Acest sub-CA a facilitat interceptarea comunicațiilor securizate prin Transport Layer Security (TLS). Această actualizare a adăugat certificatul sub-CA implicat la lista OS X de certificate care nu sunt de încredere.
CVE-ID
CVE-2013-5134
dyld
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator care realizează o executare de cod arbitrar pe un dispozitiv poate reuși să mențină executarea codului după reinițializări
Descriere: au existat mai multe depășiri ale memoriei-tampon în funcția dyld openSharedCacheFile(). Aceste probleme au fost rezolvate printr-o verificare îmbunătățită a limitelor.
CVE-ID
CVE-2013-3950 : Stefan Esser
File Systems
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator care poate instala un sistem de fișiere non-HFS poate provoca o închidere neașteptată a sistemului sau executarea de cod arbitrar cu privilegii de kernel
Descriere: a existat o problemă de corupere a memoriei în gestionarea fișierelor AppleDouble. Această problemă a fost rezolvată prin eliminarea compatibilității pentru fișierele AppleDouble.
CVE-ID
CVE-2013-3955 : Stefan Esser
ImageIO
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: vizualizarea unui fișier PDF creat cu rea intenție poate duce la o închidere neașteptată a aplicației sau la executarea unui cod arbitrar
Descriere: a existat o depășire a memoriei tampon la gestionarea datelor codificate JPEG2000 în fișierele PDF. Această problemă a fost rezolvată printr-un control suplimentar al limitelor.
CVE-ID
CVE-2013-1026 : Felix Groebert de la Google Security Team
IOKit
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: Aplicațiile de fundal ar putea intercala evenimente de interfață cu utilizatorul în aplicația din prim-plan
Descriere: a fost posibil ca aplicațiile de fundal să intercaleze evenimente de interfață cu utilizatorul în aplicația din prim-plan folosind API-urile de finalizare a activității sau VoIP. Această problemă a fost rezolvată prin aplicarea controalelor de acces la procesele din prim-plan și din fundal care gestionează evenimentele de interfață.
CVE-ID
CVE-2013-5137 : Mackenzie Straight la Mobile Labs
IOKitUser
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație locală rău intenționată ar putea cauza o închidere neașteptată a sistemului
Descriere: a existat o accesare a datelor pointerului nul în IOCatalogue. Problema a fost rezolvată printr-un control suplimentar al tipului.
CVE-ID
CVE-2013-5138 : Will Estes
IOSerialFamily
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: executarea unei aplicații rău intenționate poate duce la executarea de cod arbitrar în kernel
Descriere: a existat un acces de matrice independentă în driverul IOSerialFamily. Această problemă a fost rezolvată printr-un control suplimentar al limitelor.
CVE-ID
CVE-2013-5139 : @dent1zt
IPSec
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator poate intercepta date protejate cu IPSec Hybrid Auth
Descriere: numele DNS al unui server IPSec cu autentificare hibridă nu s-a potrivit cu certificatul, permițând unui atacator cu un certificat pentru orice server să simuleze identitatea oricărui altuia. Această problemă a fost rezolvată prin îmbunătățirea verificării certificatelor.
CVE-ID
CVE-2013-1028 : Alexander Traud de la www.traud.de
Kernel
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator de la distanță poate face ca un dispozitiv să repornească în mod neașteptat
Descriere: trimiterea unui fragment de pachet nevalid către un dispozitiv poate provoca declanșarea unei aserțiuni a kernelului, ducând la repornirea dispozitivului. Această problemă a fost rezolvată prin validarea suplimentară a fragmentelor de pachete.
CVE-ID
CVE-2013-5140: Joonas Kuorilehto de la Codenomicon, un cercetător anonim, în colaborare cu CERT-FI, Antti Levomã¤ki și Lauri Virtanen de la Vulnerability Analysis Group, Stonesoft Group
Kernel
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație locală rău intenționată poate provoca blocarea dispozitivului
Descriere: o vulnerabilitate de trunchiere a unui întreg în interfața de socket al kernelului poate fi utilizată pentru a forța procesorul într-o buclă infinită. Problema a fost rezolvată prin utilizarea unei variabile cu o dimensiune mai mare.
CVE-ID
CVE-2013-5141 : CESG
Kernel
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator dintr-o rețea locală poate provoca un refuz al serviciului
Descriere: un atacator dintr-o rețea locală poate să trimită pachete ICMP IPv6 create special și să provoace un nivel ridicat de încărcare a procesorului. Problema a fost rezolvată prin pachete ICMP cu limitare a ratei înainte de verificarea sumei de control a acestora.
CVE-ID
CVE-2011-2391 : Marc Heuse
Kernel
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: memoria de tip stivă a kernelului poate fi divulgată utilizatorilor locali
Descriere: a existat o problemă de divulgare a informațiilor în API-urile msgctl și segctl. Această problemă a fost rezolvată prin inițializarea structurilor de date returnate de la kernel.
CVE-ID
CVE-2013-5142 : Kenzley Alphonse de la Kenx Technology, Inc
Kernel
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: anumite procese fără privilegii pot obține acces la conținutul memoriei kernelului, ceea ce poate duce la o implementare de privilegii
Descriere: a existat o problemă de divulgare a informațiilor în API-ul mach_port_space_info. Această problemă a fost rezolvată prin inițializarea câmpului iin_collision în structurile returnate de la kernel.
CVE-ID
CVE-2013-3953 : Stefan Esser
Kernel
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: este posibil ca anumite procese fără privilegii să reușească să provoace închiderea neașteptată a sistemului sau executarea unui cod arbitrar în kernel
Descriere: a existat o problemă de corupere a memoriei în tratarea argumentelor pentru API-ul posix_spawn. Această problemă a fost rezolvată printr-un control suplimentar al limitelor.
CVE-ID
CVE-2013-3954 : Stefan Esser
Kext Management
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un proces neautorizat poate modifica setul extensiilor de kernel încărcate
Descriere: a existat o problemă la gestionarea de către extensia de kernel a mesajelor IPC din partea expeditorilor neautentificați. Această problemă a fost rezolvată prin adăugarea unor verificări suplimentare privind autorizarea.
CVE-ID
CVE-2013-5145 : „Rainbow PRISM"
libxml
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: vizualizarea unei pagini web create cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: au existat mai multe probleme de corupere a memoriei în libxml. Aceste probleme au fost rezolvate prin actualizarea libxml la versiunea 2.9.0.
CVE-ID
CVE-2011-3102 : Jüri Aedla
CVE-2012-0841
CVE-2012-2807 : Jüri Aedla
CVE-2012-5134 : Google Chrome Security Team (Jüri Aedla)
libxslt
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: vizualizarea unei pagini web create cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: au existat mai multe probleme de corupere a memoriei în libxslt. Aceste probleme au fost rezolvate prin actualizarea libxslt la versiunea 1.1.28.
CVE-ID
CVE-2012-2825 : Nicolas Gregoire
CVE-2012-2870 : Nicolas Gregoire
CVE-2012-2871 : Kai Lu de la Fortinet's FortiGuard Labs, Nicolas Gregoire
Passcode Lock
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o persoană cu acces fizic la dispozitiv poate ocoli blocarea ecranului
Descriere: a existat o problemă privind condiția de rulare la gestionarea apelurilor telefonice și a scoaterii cartelei SIM pe ecranul de blocare. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării de blocare.
CVE-ID
CVE-2013-5147 : videosdebarraquito
Personal Hotspot
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: este posibil ca un atacator să reușească să se conecteze la o rețea de tip hotspot personal
Descriere: a existat o problemă la generarea parolelor pentru hotspotul personal, având drept rezultat parole care pot fi anticipate de un atacator pentru a se conecta la hotspotul personal al unui utilizator. Problema a fost rezolvată prin generarea de parole cu un nivel mai ridicat de entropie.
CVE-ID
CVE-2013-4616 : Andreas Kurtz de la NESO Security Labs și Daniel Metz de la University Erlangen-Nuremberg
Push Notifications
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: este posibil ca tokenul de notificări push să fie divulgat unei aplicații, contrar deciziei utilizatorului
Descriere: a existat o problemă de divulgare a informațiilor la înregistrarea notificărilor push. Aplicațiile care au solicitat acces la notificările push au primit tokenul înainte ca utilizatorul să aprobe utilizarea notificărilor push de către aplicație. Această problemă a fost rezolvată prin refuzarea accesului la token până la aprobarea accesului de către utilizator.
CVE-ID
CVE-2013-5149 : Jack Flintermann de la Grouper, Inc.
Safari
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: accesarea unui site rău intenționat poate duce la închiderea neașteptată a aplicației sau la executarea unui cod arbitrar
Descriere: a existat o problemă de corupere a memoriei la tratarea fișierelor XML. Această problemă a fost rezolvată printr-un control suplimentar al limitelor.
CVE-ID
CVE-2013-1036 : Kai Lu de la Fortinet's FortiGuard Labs
Safari
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: istoricul paginilor vizitate recent într-o filă deschisă poate rămâne după ștergerea istoricului
Descriere: prin ștergerea istoricului Safari nu s-a șters istoricul înapoi/înainte pentru filele deschise. Această problemă a fost rezolvată prin ștergerea istoricului înapoi/înainte.
CVE-ID
CVE-2013-5150
Safari
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: vizualizarea fișierelor pe un site web poate duce la executarea scriptului chiar dacă serverul trimite un antet 'Content-Type: text/plain'
Descriere: uneori, Mobile Safari a tratat fișierele drept fișiere HTML chiar dacă serverul a trimis un antet 'Content-Type: text/plain'. Aceasta poate duce la scripturi de pe mai multe site-uri pe site-urile care permit utilizatorilor să încarce fișiere. Această problemă a fost rezolvată prin gestionarea îmbunătățită a fișierelor când este setat 'Content-Type: text/plain'.
CVE-ID
CVE-2013-5151 : Ben Toews de la Github
Safari
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: accesarea unui site web rău intenționat poate permite afișarea unui URL aleatoriu
Descriere: a existat o problemă de falsificare a barei de adrese URL în Mobile Safari. Această problemă a fost rezolvată printr-o urmărire îmbunătățită a URL-urilor.
CVE-ID
CVE-2013-5152 : Keita Haga de la keitahaga.com, Łukasz Pilorz de la RBS
Sandbox
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: aplicațiile care sunt scripturi nu au fost incluse în sandbox
Descriere: aplicații terță parte care au utilizat sintaxa #! pentru a executa un script au fost puse în sandbox pe baza identității interpretorului de script și nu a scriptului. Este posibil ca interpretorul să nu aibă un sandbox definit, ceea ce duce la executarea aplicației fără sandbox. Această problemă a fost rezolvată prin crearea unui sandbox pe baza identității scriptului.
CVE-ID
CVE-2013-5154 : evad3rs
Sandbox
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: aplicațiile pot provoca blocarea sistemului
Descriere: aplicațiile terțe rău intenționate care au scris valori specifice în dispozitivul /dev/random pot forța procesorul să intre într-o buclă infinită. Această problemă a fost rezolvată prin împiedicarea aplicațiilor terțe să scrie în /dev/random.
CVE-ID
CVE-2013-5155 : CESG
Social
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: activitatea recentă pe Twitter a utilizatorilor poate fi divulgată pe dispozitive fără cod de acces.
Descriere: a existat o problemă prin care s-au putut determina conturile Twitter cu care a interacționat recent un utilizator. Această problemă a fost rezolvată prin restricționarea accesului la memoria cache a pictogramelor Twitter.
CVE-ID
CVE-2013-5158 : Jonathan Zdziarski
Springboard
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o persoană cu acces fizic la un dispozitiv în Modul Pierdut poate reuși să vizualizeze notificări
Descriere: a existat o problemă la gestionarea notificărilor când un dispozitiv se află în Modul Pierdut. Această actualizare rezolvă problema printr-o gestionare îmbunătățită a stării de blocare.
CVE-ID
CVE-2013-5153 : Daniel Stangroom
Telephony
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: aplicații rău intenționate pot să interfereze cu sau să controleze funcționalitatea de telefonie
Descriere: a existat o problemă de control al accesului în subsistemul de telefonie. Ocolind API-urile acceptate, aplicațiile puse în sandbox pot face solicitări direct la un daemon de sistem care interferează cu sau controlează funcționalitatea de telefonie. Această problemă a fost rezolvată prin impunerea controalelor de acces pe interfețele expuse de daemonul de telefonie.
CVE-ID
CVE-2013-5156 : Jin Han de la Institute for Infocomm Research în colaborare cu Qiang Yan și Su Mon Kywe de la Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung și Wenke Lee de la Georgia Institute of Technology
Twitter
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: aplicațiile puse în sandbox pot trimite tweeturi fără interacțiunea sau permisiunea utilizatorului
Descriere: a existat o problemă de control al accesului în subsistemul Twitter. Ocolind API-urile acceptate, aplicațiile puse în sandbox pot face solicitări direct la un daemon de sistem care interferează cu sau controlează funcționalitatea Twitter. Această problemă a fost rezolvată prin impunerea controalelor de acces pe interfețele expuse de daemonul Twitter.
CVE-ID
CVE-2013-5157 : Jin Han de la Institute for Infocomm Research în colaborare cu Qiang Yan și Su Mon Kywe de la Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung și Wenke Lee de la Georgia Institute of Technology
WebKit
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: accesarea unui site rău intenționat poate duce la închiderea neașteptată a aplicației sau la executarea unui cod arbitrar
Descriere: au existat mai multe probleme de corupere a memoriei în WebKit. Pentru rezolvarea acestor probleme s-a implementat o mai bună gestionare a memoriei.
CVE-ID
CVE-2013-0879 : Atte Kettunen de la OUSPG
CVE-2013-0991 : Jay Civelli de la Chromium development community
CVE-2013-0992 : Google Chrome Security Team (Martin Barbella)
CVE-2013-0993 : Google Chrome Security Team (Inferno)
CVE-2013-0994 : David German de la Google
CVE-2013-0995 : Google Chrome Security Team (Inferno)
CVE-2013-0996 : Google Chrome Security Team (Inferno)
CVE-2013-0997 : Vitaliy Toropov în colaborare cu HP's Zero Day Initiative
CVE-2013-0998 : pa_kt în colaborare cu HP's Zero Day Initiative
CVE-2013-0999 : pa_kt în colaborare cu HP's Zero Day Initiative
CVE-2013-1000 : Fermin J. Serna de la Google Security Team
CVE-2013-1001 : Ryan Humenick
CVE-2013-1002 : Sergey Glazunov
CVE-2013-1003 : Google Chrome Security Team (Inferno)
CVE-2013-1004 : Google Chrome Security Team (Martin Barbella)
CVE-2013-1005 : Google Chrome Security Team (Martin Barbella)
CVE-2013-1006 : Google Chrome Security Team (Martin Barbella)
CVE-2013-1007 : Google Chrome Security Team (Inferno)
CVE-2013-1008 : Sergey Glazunov
CVE-2013-1010 : miaubiz
CVE-2013-1037 : Google Chrome Security Team
CVE-2013-1038 : Google Chrome Security Team
CVE-2013-1039 : own-hero Research în colaborare cu iDefense VCP
CVE-2013-1040 : Google Chrome Security Team
CVE-2013-1041 : Google Chrome Security Team
CVE-2013-1042 : Google Chrome Security Team
CVE-2013-1043 : Google Chrome Security Team
CVE-2013-1044 : Apple
CVE-2013-1045 : Google Chrome Security Team
CVE-2013-1046 : Google Chrome Security Team
CVE-2013-1047 : miaubiz
CVE-2013-2842 : Cyril Cattiaux
CVE-2013-5125 : Google Chrome Security Team
CVE-2013-5126 : Apple
CVE-2013-5127 : Google Chrome Security Team
CVE-2013-5128 : Apple
WebKit
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: vizitarea unui site web rău intenționat poate duce la divulgarea de informații
Descriere: a existat o problemă de divulgare a informațiilor la gestionarea API-ului window.webkitRequestAnimationFrame(). Un site web creat cu rea intenție poate utiliza un iframe pentru a determina dacă un alt site utilizează window.webkitRequestAnimationFrame(). Această problemă a fost rezolvată prin gestionarea îmbunătățită a window.webkitRequestAnimationFrame().
CVE-ID
CVE-2013-5159
WebKit
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: copierea și lipirea unui extras HTML rău intenționat pot duce la un atac asupra scripturilor de pe mai multe site-uri
Descriere: a existat o problemă privind scripturile de pe mai multe site-uri la gestionarea datelor copiate și lipite în documente HTML. Pentru rezolvarea acestei probleme, s-au implementat metode suplimentare de validare a conținutului validat.
CVE-ID
CVE-2013-0926 : Aditya Gupta, Subho Halder și Dev Kar de la xys3c (xysec.com)
WebKit
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: accesarea unui site web rău intenționat poate declanșa un atac asupra scripturilor de pe mai multe site-uri
Descriere: a existat o problemă privind scripturile de pe mai multe site-uri la gestionarea elementelor iframe. Pentru rezolvarea acestei probleme, s-au îmbunătățit metodele de identificare a sursei.
CVE-ID
CVE-2013-1012 : Subodh Iyengar și Erling Ellingsen de la Facebook
WebKit
Disponibilitate pentru: iPhone 3GS și modele ulterioare, iPod touch (a 4-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: accesarea unui site web creat cu rea intenție poate duce la divulgarea de informații
Descriere: a existat o problemă de divulgare a informațiilor în XSSAuditor. Această problemă a fost rezolvată prin gestionarea îmbunătățită a URL-urilor.
CVE-ID
CVE-2013-2848 : Egor Homakov
WebKit
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: glisarea sau lipirea unei selecții poate duce la un atac asupra scripturilor de pe mai multe site-uri
Descriere: glisarea sau lipirea unei selecții de pe un site pe altul poate permite scripturilor conținute în selecție să se execute în contextul noului site. Această problemă este rezolvată prin validarea suplimentară a conținutului înainte de o operațiune de lipire sau de glisare și fixare.
CVE-ID
CVE-2013-5129 : Mario Heiderich
WebKit
Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: accesarea unui site web rău intenționat poate declanșa un atac asupra scripturilor de pe mai multe site-uri
Descriere: a existat o problemă privind scripturile de pe mai multe site-uri la gestionarea URL-urilor. Pentru rezolvarea acestei probleme, s-au îmbunătățit metodele de identificare a sursei.
CVE-ID
CVE-2013-5131 : Erling A Ellingsen
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.