Despre conţinutul de securitate din iOS 7.1

Acest document descrie conţinutul de securitate din iOS 7.1.

Pentru protecţia clienţilor noştri, Apple nu divulgă, nu discută şi nu confirmă problemele de securitate înainte de a face o investigaţie completă şi de a pune la dispoziţie corecţiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.

Pentru informaţii despre cheia PGP pentru securitatea produselor Apple, consultă „Utilizarea cheii PGP pentru securitatea produselor Apple”.

Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilităţi pentru mai multe informaţii.

Pentru a afla mai multe despre alte actualizări de securitate, consultă „Actualizările de securitate Apple”.

iOS 7.1

  • Backup

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: un backup modificat rău intenţionat poate altera sistemul de fişiere

    Descriere: va fi restaurat un link simbolic din backup, care va permite operaţiilor ulterioare din timpul restaurării să scrie în restul sistemului de fişiere. Această problemă a fost rezolvată prin verificarea linkurilor simbolice în timpul procesului de restaurare.

    CVE-ID

    CVE-2013-5133: evad3rs

  • Politica de încredere în certificate

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: certificatele rădăcină au fost actualizate

    Descriere: S-au adăugat ori s-au eliminat câteva certificate din lista de rădăcini ale sistemului.

  • Profiluri de configurare

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: datele de expirare a profilurilor nu au fost respectate

    Descriere: datele de expirare a profilurilor de configurare mobile nu au fost evaluate corect. Problema a fost rezolvată prin tratarea îmbunătăţită a profilurilor de configurare.

    CVE-ID

    CVE-2014-1267

  • CoreCapture

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: o aplicație rău intenționată poate provoca închiderea neașteptată a sistemului

    Descriere: a existat o problemă de declaraţie accesibilă în tratarea de către CoreCapture a apelurilor API IOKit. Problema a fost rezolvată prin validarea suplimentară a intrărilor de la IOKit.

    CVE-ID

    CVE-2014-1271 : Filippo Bigarella

  • Raportare de căderi de sistem

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: se poate ca un utilizator local să aibă posibilitatea modifica permisiuni pentru fişiere arbitrare

    Descriere: CrashHouseKeeping a urmat linkuri simbolice în timpul modificării permisiunilor pentru fişiere. Această problemă a fost rezolvată prin neurmarea linkurilor simbolice în timpul modificării permisiunilor pentru fişiere.

    CVE-ID

    CVE-2014-1272: evad3rs

  • dyld

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: pot fi ocolite cerinţele de semnare a codurilor

    Descriere: instrucţiunile de relocare de text din bibliotecile dinamice pot fi încărcate de dyld fără validarea semnăturilor codurilor. Această problemă a fost rezolvată prin ignorarea instrucţiunilor de relocare de text.

    CVE-ID

    CVE-2014-1273: evad3rs

  • FaceTime

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: o persoană cu acces fizic la dispozitiv poate accesa contacte FaceTime din ecranul de blocare

    Descriere: contactele FaceTime de pe un dispozitiv blocat pot fi expuse prin efectuarea unui apel FaceTime eşuat din ecranul de blocare. Această problemă a fost rezolvată prin tratarea îmbunătățită a apelurilor FaceTime.

    CVE-ID

    CVE-2014-1274

  • ImageIO

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: vizualizarea unui fișier PDF creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu

    Descriere: s-a produs o depășire a memoriei tampon la tratarea imaginilor JPEG2000 din fișiere PDF. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor.

    CVE-ID

    CVE-2014-1275: Felix Groebert de la Echipa de securitate Google

  • ImageIO

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: vizualizarea unui fișier TIFF creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu

    Descriere: s-a produs o depășire a memoriei tampon la tratarea de către libtiff a imaginilor TIFF. Problema a fost rezolvată prin validarea suplimentară a imaginilor TIFF.

    CVE-ID

    CVE-2012-2088

  • ImageIO

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: vizualizarea unui fişier JPEG creat cu rea intenţie poate cauza divulgarea conţinutului memoriei

    Descriere: a existat o problemă de acces neiniţializat la memorie în tratarea de către libjpeg a marcajelor JPEG, având drept consecinţă divulgarea conţinutului memoriei. Problema a fost rezolvată prin validarea suplimentară a fişierelor JPEG.

    CVE-ID

    CVE-2013-6629 : Michal Zalewski

  • Eveniment HID IOKit

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: o aplicaţie rău intenţionată poate monitoriza acţiunile utilizatorului în alte aplicaţie

    Descriere: o interfaţă din cadrul IOKit a permis unor aplicaţii rău intenţionate să monitorizeze acţiunile utilizatorului în alte aplicaţii. Problema a fot rezolvată prin îmbunătăţirea politicilor de control al accesului în cadru.

    CVE-ID

    CVE-2014-1276 : Min Zheng, Hui Xue şi Dr. Tao (Lenx) Wei de la FireEye

  • iTunes Store

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: un atacator de tipul "man-in-the-middle" poate ademeni un utilizator să descarce o aplicaţie malware prin intermediul Enterprise App Download

    Descriere: un atacator cu o poziţie privilegiată în rețea poate falsifica comunicaţiile în reţea pentru a ademeni un utilizator să descarce o aplicație malware. Această problemă a fost limitată prin utilizarea protocolului SSL şi informarea utilizatorului la redirecţionările URL-urilor.

    CVE-ID

    CVE-2013-3948: Stefan Esser

  • Nucleu

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: se poate ca un utilizator local să aibă posibilitatea să provoace închiderea neaşteptată a sistemului sau executarea unui cod aleatoriu în nucleu

    Descriere: a existat o problemă de accesare a memoriei în afara limitelor în funcţia ARM ptmx_get_ioctl. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor.

    CVE-ID

    CVE-2014-1278: evad3rs

  • Office Viewer

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: deschiderea unui document Microsoft Word creat cu rea intenţie poate cauza o terminare neaşteptată a aplicaţiei sau executarea arbitrară a unui cod

    Descriere: a existat o prblemă de tipul "double free" la tratarea documentelor Microsoft Word. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei.

    CVE-ID

    CVE-2014-1252: Felix Groebert de la Echipa de securitate Google

  • Backend Poze

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: pot apărea fotografii şterse în aplicaţia Poze dedesubtul imaginilor transparente

    Descriere: ştergerea unei imagini din biblioteca de resurse nu a şters versiunile memorate în cache ale imaginii. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei cache.

    CVE-ID

    CVE-2014-1281 : Walter Hoelblinger de la Hoelblinger.com, Morgan Adams, Tom Pennington

  • Profiluri

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: un profil de configurare poate fi ascuns pentru utilizator

    Descriere: un profil de configurare cu un nume lung a fost încărcat pe dispozitiv, însă nu a fost afişat în interfaţa cu utilizatorul a profilului. Problema a fost rezolvată prin tratarea îmbunătăţită a numelor profilurilor.

    CVE-ID

    CVE-2014-1282 : Assaf Hefetz, Yair Amit şi Adi Sharabani de la Skycure

  • Safari

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: acreditările utilizatorului pot fi divulgate unui site neaşteptat prin auto-completare

    Descriere: este posibil ca Safari să fi auto-completat nume de utilizator şi parole într-un subcadru din alt domeniu decât cel al cadrului principal. Pentru rezolvarea acestei probleme, s-au îmbunătăţit metodele de identificare a sursei.

    CVE-ID

    CVE-2013-5227: Niklas Malmgren de la Klarna AB

  • Configurări - Conturi

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: o persoană cu acces fizic la dispozitiv poate avea posibilitatea să dezactiveze caracteristica Găsire iPhone fără introducerea unei parole iCloud

    Descriere: a existat o problemă de gestionare a stării la tratarea stării caracteristicii Găsire iPhone. Problema a fost rezolvată prin îmbunătăţirea tratării stării caracteristicii Găsire iPhone.

    CVE-ID

    CVE-2014-2019

  • Ecranul de pornire

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: o persoană cu acces fizic la dispozitiv poate avea posibilitatea să vadă ecranul principal al dispozitivului chiar dacă dispozitivul nu a fost activat

    Descriere: o terminare neaşteptată a unei aplicaţii în timpul activării poate cauza afişarea ecranului principal al telefonului. Problema a fost rezolvată prin îmbunătăţirea tratării erorilor în timpul activării.

    CVE-ID

    CVE-2014-1285 : Roboboi99

  • Ecran de blocare al platformei de pornire

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: un atacator la distanţă poate determina ecranul de blocare să nu răspundă la comenzi

    Descriere: a existat o problemă de gestionare a stării în ecranul de blocare. Această problemă a fost rezolvată prin îmbunătăţirea gestionării stării.

    CVE-ID

    CVE-2014-1286 : Bogdan Alecu de la M-sec.net

  • Cadrul TelephonyUI

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: o pagină Web poate declanşa un apel audio FaceTime fără interacţiunea utilizatorului

    Descriere: Safari nu a consultat utilizatorul înainte de lansarea URL-urilor facetime-audio://. Problema a fost rezolvată prin adăugarea unui dialog de confirmare.

    CVE-ID

    CVE-2013-6835: Guillaume Ross

  • Gazdă USB

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: o persoană cu acces fizic la dispozitiv poate avea posibilitatea să cauzeze executarea unui cod arbitrar în modul nucleu

    Descriere: a existat o problemă de alterare a memoriei la tratarea mesajelor USB. Problema a fost rezolvată prin validarea suplimentară a mesajelor USB.

    CVE-ID

    CVE-2014-1287 : Andy Davis de la NCC Group

  • Driver video

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: redarea unui fişier video creat cu rea intenţie poate face dispozitivul să nu răspundă la comenzi

    Descriere: a existat o problemă de indirectare NULL la tratarea fişierelor codificate MPEG-4. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei.

    CVE-ID

    CVE-2014-1280 : rg0rd

  • WebKit

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: accesarea unui site rău intenţionat poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod aleatoriu

    Descriere: în WebKit au existat mai multe probleme de alterare a memoriei. Pentru rezolvarea acestor probleme s-a implementat o mai bună gestionare a memoriei.

    CVE-ID

    CVE-2013-2909: Atte Kettunen de la OUSPG

    CVE-2013-2926 : cloudfuzzer

    CVE-2013-2928: Echipa de securitate Google Chrome

    CVE-2013-5196: Echipa de securitate Google Chrome

    CVE-2013-5197: Echipa de securitate Google Chrome

    CVE-2013-5198: Apple

    CVE-2013-5199: Apple

    CVE-2013-5225: Echipa de securitate Google Chrome

    CVE-2013-5228 : Keen Team (@K33nTeam) împreună cu HP's Zero Day Initiative

    CVE-2013-6625 : cloudfuzzer

    CVE-2013-6635 : cloudfuzzer

    CVE-2014-1269: Apple

    CVE-2014-1270: Apple

    CVE-2014-1289: Apple

    CVE-2014-1290: ant4g0nist (SegFault) în colaborare cu Zero Day Initiative (HP), Google Chrome Security Team, Lee Wang Hao în colaborare cu S.P.T. Krishnan (Infocomm Security Department, Institute for Infocomm Research)

    CVE-2014-1291: Echipa de securitate Google Chrome

    CVE-2014-1292: Echipa de securitate Google Chrome

    CVE-2014-1293: Echipa de securitate Google Chrome

    CVE-2014-1294: Echipa de securitate Google Chrome

 

Serviciul FaceTime nu este disponibil în toate țările sau regiunile.

Informaţiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu îşi asumă nicio responsabilitate în ceea ce priveşte selectarea, funcţionarea sau utilizarea site-urilor web sau produselor de la terţi. Apple nu face niciun fel de declaraţii privind acurateţea sau fiabilitatea site-urilor web terţe. La utilizarea Internetului, riscurile sunt inerente. Contactează distribuitorul pentru informaţii suplimentare. Alte nume de companii şi produse pot fi mărci comerciale ale proprietarilor respectivi.

Data publicării: