Despre conţinutul de securitate din iOS 7

Acest document descrie conţinutul de securitate din iOS 7.

Pentru protecţia clienţilor noştri, Apple nu divulgă, nu discută şi nu confirmă problemele de securitate înainte de a face o investigaţie completă şi de a pune la dispoziţie corecţiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul Web Securitatea produselor Apple.

Pentru informaţii despre cheia PGP pentru securitatea produselor Apple, consultă Utilizarea cheii PGP pentru securitatea produselor Apple.

Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilităţi pentru mai multe informaţii.

Pentru a afla mai multe despre alte actualizări de securitate, consultă Actualizările de securitate Apple.

iOS 7

  • Politica de încredere în certificate

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: certificatele rădăcină au fost actualizate

    Descriere: S-au adăugat ori s-au eliminat câteva certificate din lista de rădăcini ale sistemului.

  • CoreGraphics

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: vizualizarea unui fişier PDF creat cu rea intenţie poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o depăşire a memoriei-tampon la tratarea datelor codificate JBIG2 în fişiere PDF. Această problemă a fost rezolvată printr-o verificare suplimentară a limitelor.

    CVE-ID

    CVE-2013-1025: Felix Groebert (Google Security Team)

  • CoreMedia

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: redarea unui fişier de film creat cu rea intenţie poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o depăşire a memoriei-tampon la tratarea fişierelor de film cu codificare Sorenson. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor.

    CVE-ID

    CVE-2013-1019: Tom Gallagher (Microsoft) şi Paul Bates (Microsoft) în colaborare cu programul Zero Day Initiative (HP)

  • Protecţia datelor

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: aplicaţiile pot ocoli restricţiile privind încercările codului de acces

    Descriere: S-a produs o problemă de separare a privilegiilor în Protecţia datelor. O aplicaţie din cadrul unui sandbox terţ poate încerca în mod repetat să determine codul de acces al utilizatorului indiferent de configurarea „Ştergere date” a utilizatorului. Această problemă a fost rezolvată prin solicitarea unor verificări suplimentare privind autorizarea.

    CVE-ID

    CVE-2013-0957: Jin Han (Institute for Infocomm Research) în colaborare cu Qiang Yan şi Su Mon Kywe (Singapore Management University)

  • Securitatea datelor

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: un atacator cu o poziţie favorabilă în reţea poate intercepta datele de autentificare ale utilizatorilor sau alte informaţii confidenţiale

    Descriere: TrustWave, o AC rădăcină de încredere, a emis și ulterior a revocat un certificat sub-CA de la una din ancorele sale de încredere. Acest certificat sub-CA a facilitat interceptarea comunicaţiilor securizate de protocolul Transport Layer Security (TLS). Această actualizare a adăugat certificatul sub-CA respectiv la lista OS X de certificate care nu prezintă încredere.

    CVE-ID

    CVE-2013-5134

  • dyld

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: un atacator care realizează o executare a unui cod aleatoriu pe un dispozitiv poate reuşi să menţină executarea codului după reiniţializări

    Descriere: s-au produs mai multe depăşiri ale memoriei tampon în funcţia dyld openSharedCacheFile(). Aceste probleme au fost rezolvate printr-o verificare îmbunătăţită a limitelor.

    CVE-ID

    CVE-2013-3950: Stefan Esser

  • Sisteme de fişiere

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: un atacator care poate instala un sistem de fișiere non-HFS poate reuși să provoace închiderea neașteptată a sistemului sau executarea unui cod aleatoriu cu privilegii de nucleu

    Descriere: a existat o problemă de alterare a memoriei la tratarea fișierelor AppleDouble. Această problemă a fost rezolvată prin eliminarea compatibilităţii pentru fişiere AppleDouble.

    CVE-ID

    CVE-2013-3955: Stefan Esser

  • ImageIO

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: vizualizarea unui fişier PDF creat cu rea intenţie poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod aleatoriu

    Descriere: a existat o depășire a memoriei tampon la tratarea datelor codificate JPEG2000 în fișiere PDF. Această problemă a fost rezolvată printr-o verificare suplimentară a limitelor.

    CVE-ID

    CVE-2013-1026: Felix Groebert (Google Security Team)

  • IOKit

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: aplicaţiile din fundal pot injecta evenimente de interfaţă cu utilizatorul în aplicaţia din prim-plan

    Descriere: A fost posibil ca aplicaţiile din fundal să injecteze evenimente de interfaţă cu utilizatorul în aplicaţia din prim-plan utilizând API-urile VoIP sau de terminare a activităţii. Această problemă a fost rezolvată impunând controale ale accesului pentru procesele din fundal şi prim-plan care gestionează evenimente de interfaţă.

    CVE-ID

    CVE-2013-5137: Mackenzie Straight (Mobile Labs)

  • IOKitUser

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: o aplicaţie locală rău intenţionată poate provoca închiderea neaşteptată a sistemului

    Descriere: a existat o accesare a datelor pointerului nul în IOCatalogue. Problema a fost rezolvată printr-o verificare suplimentară a tipului.

    CVE-ID

    CVE-2013-5138: Will Estes

  • IOSerialFamily

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: executarea unei aplicații rău intenționate poate duce la executarea unui cod aleatoriu în nucleu

    Descriere: a existat un acces de matrice independentă în driverul IOSerialFamily. Această problemă a fost rezolvată printr-o verificare suplimentară a limitelor.

    CVE-ID

    CVE-2013-5139: @dent1zt

  • IPSec

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: un atacator poate intercepta date protejate prin IPSec cu autentificare hibridă

    Descriere: numele DNS al unui server IPSec cu autentificare hibridă nu s-a potrivit cu certificatul, permițând unui atacator cu un certificat pentru orice server să simuleze identitatea oricărui altuia. Această problemă a fost rezolvată printr-o verificare îmbunătățită a certificatelor.

    CVE-ID

    CVE-2013-1028: Alexander Traud (www.traud.de)

  • Nucleu

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: un atacator de la distanță poate determina repornirea neașteptată a unui dispozitiv

    Descriere: trimiterea unui fragment de pachet nevalid către un dispozitiv poate provoca declanșarea unei aserțiuni a nucleului, ducând la repornirea dispozitivului. Problema a fost rezolvată prin validarea suplimentară a fragmentelor de pachete.

    CVE-ID

    CVE-2013-5140: Joonas Kuorilehto (Codenomicon), un cercetător anonim care colaborează cu CERT-FI, Antti Levomäki și Lauri Virtanen (Vulnerability Analysis Group, Stonesoft)

  • Nucleu

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: o aplicație locală rău intenționată poate provoca blocarea dispozitivului

    Descriere: O vulnerabilitate de trunchiere a unui întreg în interfața de socket al nucleului poate fi utilizată pentru a forța procesorul într-o buclă infinită. Problema a fost rezolvată prin utilizarea unei variabile cu o dimensiune mai mare.

    CVE-ID

    CVE-2013-5141: CESG

  • Nucleu

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: un atacator dintr-o rețea locală poate provoca un refuz al serviciului

    Descriere: un atacator dintr-o rețea locală poate să trimită pachete ICMP IPv6 create special și să provoace un nivel ridicat de încărcare a procesorului. Problema a fost rezolvată prin pachete ICMP cu limitare a ratei înainte de verificarea sumei de verificare a acestora.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Nucleu

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: memoria tip stivă a nucleului poate fi divulgată utilizatorilor locali

    Descriere: a existat o problemă de divulgare a informațiilor în API-urile msgctl și segctl. Această problemă a fost rezolvată prin inițializarea structurilor de date returnate de la nucleu.

    CVE-ID

    CVE-2013-5142: Kenzley Alphonse (Kenx Technology Inc.)

  • Nucleu

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: anumite procese fără privilegii pot obține acces la conținutul memoriei nucleului, ceea ce poate duce la o implementare de privilegii

    Descriere: a existat o problemă de divulgare a informațiilor în API-ul mach_port_space_info. Această problemă a fost rezolvată prin inițializarea câmpului iin_collision în structurile returnate de la nucleu.

    CVE-ID

    CVE-2013-3953: Stefan Esser

  • Nucleu

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: este posibil ca anumite procese fără privilegii să reușească să provoace închiderea neaşteptată a sistemului sau executarea unui cod aleatoriu în nucleu

    Descriere: a existat o problemă de alterare a memoriei în tratarea argumentelor pentru API-ul posix_spawn. Această problemă a fost rezolvată printr-o verificare suplimentară a limitelor.

    CVE-ID

    CVE-2013-3954: Stefan Esser

  • Gestionarea extensiilor de nucleu

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: un proces neautorizat poate modifica setul extensiilor de nucleu încărcate

    Descriere: a existat o problemă la gestionarea de către extensia de nucleu a mesajelor IPC din partea expeditorilor neautentificați. Această problemă a fost rezolvată prin adăugarea unor verificări suplimentare privind autorizarea.

    CVE-ID

    CVE-2013-5145: „Rainbow PRISM”

  • libxml

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: vizualizarea unei pagini Web create cu rea intenţie poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: au existat mai multe probleme de alterare a memoriei în libxml. Aceste probleme au fost rezolvate prin actualizarea libxml la versiunea 2.9.0.

    CVE-ID

    CVE-2011-3102: Jüri Aedla

    CVE-2012-0841

    CVE-2012-2807: Jüri Aedla

    CVE-2012-5134: Google Chrome Security Team (Jüri Aedla)

  • libxslt

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: vizualizarea unei pagini Web create cu rea intenţie poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: au existat mai multe probleme de alterare a memoriei în libxslt. Aceste probleme au fost rezolvate prin actualizarea libxslt la versiunea 1.1.28.

    CVE-ID

    CVE-2012-2825: Nicolas Gregoire

    CVE-2012-2870: Nicolas Gregoire

    CVE-2012-2871: Kai Lu (Fortinet FortiGuard Labs), Nicolas Gregoire

  • Blocare a codului de acces

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: o persoană cu acces fizic la dispozitiv pot ocoli blocarea ecranului

    Descriere: a existat o problemă privind condiţia de rulare la gestionarea apelurilor telefonice şi a ejectării cartelei SIM pe ecranul de blocare. Această problemă a fost rezolvată prin îmbunătăţirea gestionării stării de blocare.

    CVE-ID

    CVE-2013-5147: videosdebarraquito

  • Hotspot personal

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: este posibil ca un atacator să reușească să se conecteze la o rețea de tip hotspot personal

    Descriere: a existat o problemă la generarea parolelor pentru hotspotul personal, având drept rezultat parole care pot fi anticipate de un atacator pentru a se conecta la hotspotul personal al unui utilizator. Problema a fost rezolvată prin generarea de parole cu un nivel mai ridicat de entropie.

    CVE-ID

    CVE-2013-4616: Andreas Kurtz de la NESO Security Labs și Daniel Metz de la Universitatea Erlangen-Nuremberg

  • Notificări Push

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: este posibil ca tokenul de notificări push să fie divulgat unei aplicații, contrar deciziei utilizatorului

    Descriere: a existat o problemă de divulgare a informațiilor la înregistrarea notificărilor push. Aplicațiile care au solicitat acces la notificările push au primit tokenul înainte ca utilizatorul să aprobe utilizarea notificărilor push de către aplicație. Această problemă a fost rezolvată prin refuzarea accesului la token până la aprobarea accesului de către utilizator.

    CVE-ID

    CVE-2013-5149: Jack Flintermann (Grouper Inc.)

  • Safari

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: accesarea unui site rău intenţionat poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod aleatoriu

    Descriere: a existat o problemă de alterare a memoriei la tratarea fișierelor XML. Această problemă a fost rezolvată printr-o verificare suplimentară a limitelor.

    CVE-ID

    CVE-2013-1036: Kai Lu (Fortinet FortiGuard Labs)

  • Safari

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: istoricul paginilor vizitate recent într-o filă deschisă poate rămâne după ștergerea istoricului

    Descriere: Ștergerea istoricului Safari nu a șters istoricul tip înapoi/înainte pentru filele deschise. Această problemă a fost rezolvată prin ștergerea istoricului tip înapoi/înainte.

    CVE-ID

    CVE-2013-5150

  • Safari

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: vizualizarea fişierelor pe un site web poate duce la executarea scriptului chiar dacă serverul trimite un antet 'Content-Type: text/plain'

    Descriere: uneori, Safari pentru mobil a tratat fişierele drept fișiere HTML chiar dacă serverul a trimis un antet 'Content-Type: text/plain'. Aceasta poate duce la scripturi de pe mai multe site-uri pe site-urile care permit utilizatorilor să încarce fișiere. Această problemă a fost rezolvată prin gestionarea îmbunătățită a fișierelor când este setat 'Content-Type: text/plain'.

    CVE-ID

    CVE-2013-5151: Ben Toews (Github)

  • Safari

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: vizitarea unei site Web rău intenționat poate permite afișarea unui URL aleatoriu

    Descriere: a existat o problemă de falsificare a barei URL în Safari pentru mobil. Această problemă a fost rezolvată printr-o urmărire îmbunătățită a URL-urilor.

    CVE-ID

    CVE-2013-5152: Keita Haga (keitahaga.com) şi Lstrok;ukasz Pilorz (RBS)

  • Sandbox

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: aplicațiile care sunt scripturi nu au fost puse în sandbox

    Descriere: Aplicațiile terțe care utilizează sintaxa #! pentru a executa un script au fost puse în sandbox pe baza identității interpretorului de script și nu a scriptului. Este posibil ca interpretorul să nu aibă un sandbox definit, ceea ce duce la executarea aplicației fără sandbox. Această problemă a fost rezolvată prin crearea unui sandbox pe baza identității scriptului.

    CVE-ID

    CVE-2013-5154: evad3rs

  • Sandbox

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: aplicațiile pot provoca blocarea sistemului

    Descriere: aplicațiile terțe rău intenționate care au scris valori specifice în dispozitivul /dev/random pot forța procesorul să intre într-o buclă infinită. Această problemă a fost rezolvată prin împiedicarea aplicațiilor terțe să scrie în /dev/random.

    CVE-ID

    CVE-2013-5155: CESG

  • Rețele sociale

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: activitatea recentă pe Twitter a utilizatorilor poate fi divulgată pe dispozitive fără cod de acces.

    Descriere: a existat o problemă prin care s-au putut determina conturile Twitter cu care a interacționat recent un utilizator. Această problemă a fost rezolvată prin restricționarea accesului la memoria cache a pictogramelor Twitter.

    CVE-ID

    CVE-2013-5158: Jonathan Zdziarski

  • Ecranul de pornire

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: o persoană cu acces fizic la un dispozitiv în modul pierdere poate reuși să vizualizeze notificări

    Descriere: a existat o problemă la gestionarea notificărilor când un dispozitiv se află în modul pierdere. Această actualizare rezolvă problema cu o gestionare îmbunătățită a stării de blocare.

    CVE-ID

    CVE-2013-5153: Daniel Stangroom

  • Telefonie

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: aplicații rău intenționate pot să interfereze cu sau să controleze funcționalitatea de telefonie

    Descriere: a existat o problemă de control al accesului în subsistemul de telefonie. Ocolind API-urile acceptate, aplicațiile puse în sandbox pot face solicitări direct la un daemon de sistem care interferează cu sau controleaza funcționalitatea de telefonie. Această problemă a fost rezolvată prin impunerea controalelor de acces pe interfețele expuse de daemonul de telefonie.

    CVE-ID

    CVE-2013-5156: Jin Han (Institute for Infocomm Research) în colaborare cu Qiang Yan şi Su Mon Kywe (Singapore Management University); Tielei Wang, Kangjie Lu, Long Lu, Simon Chung şi Wenke Lee (Georgia Institute of Technology)

  • Twitter

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: aplicațiile puse în sandbox pot trimite tweeturi fără interacțiunea sau permisiunea utilizatorului

    Descriere: a existat o problemă de control al accesului în subsistemul Twitter. Ocolind API-urile acceptate, aplicațiile puse în sandbox pot face solicitări direct la un daemon de sistem care interferează cu sau controleaza funcționalitatea Twitter. Această problemă a fost rezolvată prin impunerea controalelor de acces pe interfețele expuse de daemonul Twitter.

    CVE-ID

    CVE-2013-5157: Jin Han (Institute for Infocomm Research) în colaborare cu Qiang Yan şi Su Mon Kywe (Singapore Management University); Tielei Wang, Kangjie Lu, Long Lu, Simon Chung și Wenke Lee (Georgia Institute of Technology)

  • WebKit

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: accesarea unui site rău intenţionat poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod aleatoriu

    Descriere: în WebKit erau mai multe probleme de alterare a memoriei. Pentru rezolvarea acestor probleme, s-a implementat o mai bună gestionare a memoriei.

    CVE-ID

    CVE-2013-0879: Atte Kettunen (OUSPG)

    CVE-2013-0991: Jay Civelli (comunitatea de dezvoltare Chromium)

    CVE-2013-0992: Google Chrome Security Team (Martin Barbella)

    CVE-2013-0993: Google Chrome Security Team (Inferno)

    CVE-2013-0994: David German (Google)

    CVE-2013-0995: Google Chrome Security Team (Inferno)

    CVE-2013-0996: Google Chrome Security Team (Inferno)

    CVE-2013-0997: Vitaliy Toropov în colaborare cu programul Zero Day Initiative (HP)

    CVE-2013-0998: Vitaliy Toropov în colaborare cu programul Zero Day Initiative (HP)

    CVE-2013-0999: Vitaliy Toropov în colaborare cu programul Zero Day Initiative (HP)

    CVE-2013-1000: Fermin J. Serna (Google Security Team)

    CVE-2013-1001: Ryan Humenick

    CVE-2013-1002: Sergey Glazunov

    CVE-2013-1003: Google Chrome Security Team (Inferno)

    CVE-2013-1004: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1005: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1006: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1007: Google Chrome Security Team (Inferno)

    CVE-2013-1008: Sergey Glazunov

    CVE-2013-1010: miaubiz

    CVE-2013-1037: Google Chrome Security Team

    CVE-2013-1038: Google Chrome Security Team

    CVE-2013-1039 : own-hero Research în colaborare cu iDefense VCP

    CVE-2013-1040: Google Chrome Security Team

    CVE-2013-1041: Google Chrome Security Team

    CVE-2013-1042: Google Chrome Security Team

    CVE-2013-1043: Google Chrome Security Team

    CVE-2013-1044: Apple

    CVE-2013-1045: Google Chrome Security Team

    CVE-2013-1046: Google Chrome Security Team

    CVE-2013-1047: miaubiz

    CVE-2013-2842: Cyril Cattiaux

    CVE-2013-5125: Google Chrome Security Team

    CVE-2013-5126: Apple

    CVE-2013-5127: Google Chrome Security Team

    CVE-2013-5128: Apple

  • WebKit

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: vizitarea unui site Web rău intenționat poate duce la divulgarea de informații

    Descriere: a existat o problemă de divulgare a informațiilor la gestionarea API-ului window.webkitRequestAnimationFrame(). Un site Web creat cu rea intenție poate utiliza un iFrame pentru a determina dacă un alt site utilizează window.webkitRequestAnimationFrame(). Această problemă a fost rezolvată prin gestionarea îmbunătățită a window.webkitRequestAnimationFrame().

    CVE-ID

    CVE-2013-5159
  • WebKit

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: copierea și lipirea unui extras HTML rău intenționat pot duce la un atac asupra scripturilor de pe mai multe site-uri

    Descriere: a existat o problemă privind scripturile de pe mai multe site-uri la gestionarea datelor copiate și lipite în documente HTML. Pentru rezolvarea acestei probleme, s-au implementat metode suplimentare de validare a conţinutului validat.

    CVE-ID

    CVE-2013-0926: Aditya Gupta, Subho Halder şi Dev Kar (xys3c) (xysec.com)

  • WebKit

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: accesarea unui site Web rău intenţionat poate declanşa un atac asupra scripturilor de pe mai multe site-uri

    Descriere: a existat o problemă privind scripturile de pe mai multe site-uri la gestionarea elementelor iFrame. Pentru rezolvarea acestei probleme, s-au îmbunătăţit metodele de identificare a sursei.

    CVE-ID

    CVE-2013-1012: Subodh Iyengar şi Erling Ellingsen (Facebook)

  • WebKit

    Disponibilitate pentru: iPhone 3GS şi versiunile mai recente, iPod touch (a 4-a generaţie) şi versiunile mai recente, iPad 2 şi versiunile mai recente

    Impact: vizitarea unui site Web creat cu rea intenție poate duce la divulgarea de informații

    Descriere: a existat o problemă de divulgare a informațiilor în XSSAuditor. Această problemă a fost rezolvată prin gestionarea îmbunătățită a URL-urilor.

    CVE-ID

    CVE-2013-2848: Egor Homakov

  • WebKit

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: glisarea sau lipirea unei selecții poate duce la un atac asupra scripturilor de pe mai multe site-uri

    Descriere: Glisarea sau lipirea unei selecții de pe un site pe altul poate permite scripturilor conținute în selecție să se execute în contextul noului site. Această problemă este rezolvată prin validarea suplimentară a conținutului înainte de o operațiune de lipire sau de glisare și fixare.

    CVE-ID

    CVE-2013-5129: Mario Heiderich

  • WebKit

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: accesarea unui site Web rău intenţionat poate declanşa un atac asupra scripturilor de pe mai multe site-uri

    Descriere: a existat o problemă privind scripturile de pe mai multe site-uri la gestionarea URL-urilor. Pentru rezolvarea acestei probleme, s-au îmbunătăţit metodele de identificare a sursei.

    CVE-ID

    CVE-2013-5131: Erling A Ellingsen

Informaţiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu îşi asumă nicio responsabilitate în ceea ce priveşte selectarea, funcţionarea sau utilizarea site-urilor web sau produselor de la terţi. Apple nu face niciun fel de declaraţii privind acurateţea sau fiabilitatea site-urilor web terţe. La utilizarea Internetului, riscurile sunt inerente. Contactează distribuitorul pentru informaţii suplimentare. Alte nume de companii şi produse pot fi mărci comerciale ale proprietarilor respectivi.

Data publicării: