Pentru protecţia clienţilor noştri, Apple nu divulgă, nu discută şi nu confirmă problemele de securitate înainte de a face o investigaţie completă şi de a pune la dispoziţie corecţiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.
Pentru informaţii despre cheia PGP pentru securitatea produselor Apple, consultă „Utilizarea cheii PGP pentru securitatea produselor Apple”.
Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilităţi pentru mai multe informaţii.
Pentru a afla mai multe despre alte actualizări de securitate, consultă „Actualizările de securitate Apple”.
iOS 7.1
Backup
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: un backup modificat rău intenţionat poate altera sistemul de fişiere
Descriere: va fi restaurat un link simbolic din backup, care va permite operaţiilor ulterioare din timpul restaurării să scrie în restul sistemului de fişiere. Această problemă a fost rezolvată prin verificarea linkurilor simbolice în timpul procesului de restaurare.
CVE-ID
CVE-2013-5133: evad3rs
Politica de încredere în certificate
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: certificatele rădăcină au fost actualizate
Descriere: S-au adăugat ori s-au eliminat câteva certificate din lista de rădăcini ale sistemului.
Profiluri de configurare
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: datele de expirare a profilurilor nu au fost respectate
Descriere: datele de expirare a profilurilor de configurare mobile nu au fost evaluate corect. Problema a fost rezolvată prin tratarea îmbunătăţită a profilurilor de configurare.
CVE-ID
CVE-2014-1267
CoreCapture
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: o aplicație rău intenționată poate provoca închiderea neașteptată a sistemului
Descriere: a existat o problemă de declaraţie accesibilă în tratarea de către CoreCapture a apelurilor API IOKit. Problema a fost rezolvată prin validarea suplimentară a intrărilor de la IOKit.
CVE-ID
CVE-2014-1271 : Filippo Bigarella
Raportare de căderi de sistem
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: se poate ca un utilizator local să aibă posibilitatea modifica permisiuni pentru fişiere arbitrare
Descriere: CrashHouseKeeping a urmat linkuri simbolice în timpul modificării permisiunilor pentru fişiere. Această problemă a fost rezolvată prin neurmarea linkurilor simbolice în timpul modificării permisiunilor pentru fişiere.
CVE-ID
CVE-2014-1272: evad3rs
dyld
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: pot fi ocolite cerinţele de semnare a codurilor
Descriere: instrucţiunile de relocare de text din bibliotecile dinamice pot fi încărcate de dyld fără validarea semnăturilor codurilor. Această problemă a fost rezolvată prin ignorarea instrucţiunilor de relocare de text.
CVE-ID
CVE-2014-1273: evad3rs
FaceTime
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: o persoană cu acces fizic la dispozitiv poate accesa contacte FaceTime din ecranul de blocare
Descriere: contactele FaceTime de pe un dispozitiv blocat pot fi expuse prin efectuarea unui apel FaceTime eşuat din ecranul de blocare. Această problemă a fost rezolvată prin tratarea îmbunătățită a apelurilor FaceTime.
CVE-ID
CVE-2014-1274
ImageIO
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: vizualizarea unui fișier PDF creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu
Descriere: s-a produs o depășire a memoriei tampon la tratarea imaginilor JPEG2000 din fișiere PDF. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor.
CVE-ID
CVE-2014-1275: Felix Groebert de la Echipa de securitate Google
ImageIO
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: vizualizarea unui fișier TIFF creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu
Descriere: s-a produs o depășire a memoriei tampon la tratarea de către libtiff a imaginilor TIFF. Problema a fost rezolvată prin validarea suplimentară a imaginilor TIFF.
CVE-ID
CVE-2012-2088
ImageIO
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: vizualizarea unui fişier JPEG creat cu rea intenţie poate cauza divulgarea conţinutului memoriei
Descriere: a existat o problemă de acces neiniţializat la memorie în tratarea de către libjpeg a marcajelor JPEG, având drept consecinţă divulgarea conţinutului memoriei. Problema a fost rezolvată prin validarea suplimentară a fişierelor JPEG.
CVE-ID
CVE-2013-6629 : Michal Zalewski
Eveniment HID IOKit
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: o aplicaţie rău intenţionată poate monitoriza acţiunile utilizatorului în alte aplicaţie
Descriere: o interfaţă din cadrul IOKit a permis unor aplicaţii rău intenţionate să monitorizeze acţiunile utilizatorului în alte aplicaţii. Problema a fot rezolvată prin îmbunătăţirea politicilor de control al accesului în cadru.
CVE-ID
CVE-2014-1276 : Min Zheng, Hui Xue şi Dr. Tao (Lenx) Wei de la FireEye
iTunes Store
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: un atacator de tipul "man-in-the-middle" poate ademeni un utilizator să descarce o aplicaţie malware prin intermediul Enterprise App Download
Descriere: un atacator cu o poziţie privilegiată în rețea poate falsifica comunicaţiile în reţea pentru a ademeni un utilizator să descarce o aplicație malware. Această problemă a fost limitată prin utilizarea protocolului SSL şi informarea utilizatorului la redirecţionările URL-urilor.
CVE-ID
CVE-2013-3948: Stefan Esser
Nucleu
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: se poate ca un utilizator local să aibă posibilitatea să provoace închiderea neaşteptată a sistemului sau executarea unui cod aleatoriu în nucleu
Descriere: a existat o problemă de accesare a memoriei în afara limitelor în funcţia ARM ptmx_get_ioctl. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor.
CVE-ID
CVE-2014-1278: evad3rs
Office Viewer
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: deschiderea unui document Microsoft Word creat cu rea intenţie poate cauza o terminare neaşteptată a aplicaţiei sau executarea arbitrară a unui cod
Descriere: a existat o prblemă de tipul "double free" la tratarea documentelor Microsoft Word. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei.
CVE-ID
CVE-2014-1252: Felix Groebert de la Echipa de securitate Google
Backend Poze
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: pot apărea fotografii şterse în aplicaţia Poze dedesubtul imaginilor transparente
Descriere: ştergerea unei imagini din biblioteca de resurse nu a şters versiunile memorate în cache ale imaginii. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei cache.
CVE-ID
CVE-2014-1281 : Walter Hoelblinger de la Hoelblinger.com, Morgan Adams, Tom Pennington
Profiluri
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: un profil de configurare poate fi ascuns pentru utilizator
Descriere: un profil de configurare cu un nume lung a fost încărcat pe dispozitiv, însă nu a fost afişat în interfaţa cu utilizatorul a profilului. Problema a fost rezolvată prin tratarea îmbunătăţită a numelor profilurilor.
CVE-ID
CVE-2014-1282 : Assaf Hefetz, Yair Amit şi Adi Sharabani de la Skycure
Safari
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: acreditările utilizatorului pot fi divulgate unui site neaşteptat prin auto-completare
Descriere: este posibil ca Safari să fi auto-completat nume de utilizator şi parole într-un subcadru din alt domeniu decât cel al cadrului principal. Pentru rezolvarea acestei probleme, s-au îmbunătăţit metodele de identificare a sursei.
CVE-ID
CVE-2013-5227: Niklas Malmgren de la Klarna AB
Configurări - Conturi
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: o persoană cu acces fizic la dispozitiv poate avea posibilitatea să dezactiveze caracteristica Găsire iPhone fără introducerea unei parole iCloud
Descriere: a existat o problemă de gestionare a stării la tratarea stării caracteristicii Găsire iPhone. Problema a fost rezolvată prin îmbunătăţirea tratării stării caracteristicii Găsire iPhone.
CVE-ID
CVE-2014-2019
Ecranul de pornire
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: o persoană cu acces fizic la dispozitiv poate avea posibilitatea să vadă ecranul principal al dispozitivului chiar dacă dispozitivul nu a fost activat
Descriere: o terminare neaşteptată a unei aplicaţii în timpul activării poate cauza afişarea ecranului principal al telefonului. Problema a fost rezolvată prin îmbunătăţirea tratării erorilor în timpul activării.
CVE-ID
CVE-2014-1285 : Roboboi99
Ecran de blocare al platformei de pornire
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: un atacator la distanţă poate determina ecranul de blocare să nu răspundă la comenzi
Descriere: a existat o problemă de gestionare a stării în ecranul de blocare. Această problemă a fost rezolvată prin îmbunătăţirea gestionării stării.
CVE-ID
CVE-2014-1286 : Bogdan Alecu de la M-sec.net
Cadrul TelephonyUI
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: o pagină Web poate declanşa un apel audio FaceTime fără interacţiunea utilizatorului
Descriere: Safari nu a consultat utilizatorul înainte de lansarea URL-urilor facetime-audio://. Problema a fost rezolvată prin adăugarea unui dialog de confirmare.
CVE-ID
CVE-2013-6835: Guillaume Ross
Gazdă USB
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: o persoană cu acces fizic la dispozitiv poate avea posibilitatea să cauzeze executarea unui cod arbitrar în modul nucleu
Descriere: a existat o problemă de alterare a memoriei la tratarea mesajelor USB. Problema a fost rezolvată prin validarea suplimentară a mesajelor USB.
CVE-ID
CVE-2014-1287 : Andy Davis de la NCC Group
Driver video
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: redarea unui fişier video creat cu rea intenţie poate face dispozitivul să nu răspundă la comenzi
Descriere: a existat o problemă de indirectare NULL la tratarea fişierelor codificate MPEG-4. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei.
CVE-ID
CVE-2014-1280 : rg0rd
WebKit
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: accesarea unui site rău intenţionat poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod aleatoriu
Descriere: în WebKit au existat mai multe probleme de alterare a memoriei. Pentru rezolvarea acestor probleme s-a implementat o mai bună gestionare a memoriei.
CVE-ID
CVE-2013-2909: Atte Kettunen de la OUSPG
CVE-2013-2926 : cloudfuzzer
CVE-2013-2928: Echipa de securitate Google Chrome
CVE-2013-5196: Echipa de securitate Google Chrome
CVE-2013-5197: Echipa de securitate Google Chrome
CVE-2013-5198: Apple
CVE-2013-5199: Apple
CVE-2013-5225: Echipa de securitate Google Chrome
CVE-2013-5228 : Keen Team (@K33nTeam) împreună cu HP's Zero Day Initiative
CVE-2013-6625 : cloudfuzzer
CVE-2013-6635 : cloudfuzzer
CVE-2014-1269: Apple
CVE-2014-1270: Apple
CVE-2014-1289: Apple
CVE-2014-1290: ant4g0nist (SegFault) în colaborare cu Zero Day Initiative (HP), Google Chrome Security Team, Lee Wang Hao în colaborare cu S.P.T. Krishnan (Infocomm Security Department, Institute for Infocomm Research)
CVE-2014-1291: Echipa de securitate Google Chrome
CVE-2014-1292: Echipa de securitate Google Chrome
CVE-2014-1293: Echipa de securitate Google Chrome
CVE-2014-1294: Echipa de securitate Google Chrome
Serviciul FaceTime nu este disponibil în toate țările sau regiunile.