Despre conţinutul de securitate din iOS 7.1.2

Acest document descrie conţinutul de securitate din iOS 7.1.2.

Pentru protecţia clienţilor noştri, Apple nu divulgă, nu discută şi nu confirmă problemele de securitate înainte de a face o investigaţie completă şi de a pune la dispoziţie corecţiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.

Pentru informaţii despre cheia PGP pentru securitatea produselor Apple, consultă Utilizarea cheii PGP pentru securitatea produselor Apple.

Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilităţi pentru mai multe informaţii.

Pentru a afla mai multe despre alte actualizări de securitate, consultă Actualizările de securitate Apple.

iOS 7.1.2

  • Politica de încredere în certificate

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: actualizare a politicii de încredere în certificate

    Descriere: politica de încredere în certificate a fost actualizată. Lista completă de certificate poate fi vizualizată la adresa http://support.apple.com/kb/HT5012?viewlocale=ro_RO.

  • CoreGraphics

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: vizualizarea unui fişier XBM creat cu rea intenţie poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod arbitrar

    Descriere: o problemă legată de o alocare de stivă fără limite a existat în tratarea fişierelor XBM. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor.

    CVE-ID

    CVE-2014-1354: Dima Kovalenko de la codedigging.com

  • Nucleu

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: o aplicaţie putea determina repornirea neaşteptată a dispozitivului

    Descriere: a existat o referinţă la un indicator nul în tratarea argumentelor interfeţei API IOKit. Această problemă a fost rezolvată prin validarea îmbunătăţită a argumentelor interfeţei API IOKit.

    CVE-ID

    CVE-2014-1355: cunzhang de la Adlab of Venustech

  • launchd

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem

    Descriere: a existat o depăşire a zonei tampon a structurii de date la tratarea de către launchd a mesajelor IPC. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor.

    CVE-ID

    CVE-2014-1356: Ian Beer de la Google Project Zero

  • launchd

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem

    Descriere: a existat o depăşire a zonei tampon a structurii de date la tratarea de către launchd a mesajelor de jurnal. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor.

    CVE-ID

    CVE-2014-1357: Ian Beer de la Google Project Zero

  • launchd

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem

    Descriere: în launchd a existat o depăşire de întreg. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor.

    CVE-ID

    CVE-2014-1358: Ian Beer de la Google Project Zero

  • launchd

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem

    Descriere: în launchd a existat o depăşire negativă de întreg. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor.

    CVE-ID

    CVE-2014-1359: Ian Beer de la Google Project Zero

  • Blocare

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: un atacator în posesia unui dispozitiv iOS putea să ocolească blocarea activării

    Descriere: dispozitivele efectuau verificări incomplete în timpul autoverificării, fapt care le permitea persoanelor rău intenţionate să ocolească parţial blocarea activării. Această problemă a fost rezolvată prin intermediul unei verificări suplimentare la partea client a datelor primite de la serverele de activare.

    CVE-ID

    CVE-2014-1360

  • Ecranul de blocare

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: un atacator în posesia unui dispozitiv poate depăşi numărul maxim de încercări nereuşite de introducere a codului de acces

    Descriere: în unele circumstanţe, limita de încercări nereuşite de introducere a codului de acces nu a fost aplicată. Această problemă a fost rezolvată prin aplicarea suplimentară a acestei limite.

    CVE-ID

    CVE-2014-1352: mblsec

  • Ecranul de blocare

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: o persoană cu acces fizic la un dispozitiv blocat poate accesa aplicaţia care a fost în prim-plan înainte de blocare

    Descriere: a existat o problemă legată de gestionarea stării la tratarea stării serviciului de telefonie în modul Avion. Această problemă a fost rezolvată prin îmbunătăţirea gestionării stării în modul Avion.

    CVE-ID

    CVE-2014-1353

  • E-mail

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: fişierele ataşate la e-mailuri pot fi extrase de pe un iPhone 4

    Descriere: protecţia datelor nu a fost activată pentru fişierele ataşate la e-mailuri, permiţându-se astfel citirea lor de un atacator care are acces fizic la dispozitiv. Această problemă a fost rezolvată schimbând clasa de criptare a fişierelor ataşate la e-mailuri.

    CVE-ID

    CVE-2014-1348: Andreas Kurtz de la NESO Security Labs

  • Safari

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: accesarea unui site rău intenţionat poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod arbitrar

    Descriere: o problemă de tipul use-after-free a existat la tratarea de către Safari a URL-urilor nevalide. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei.

    CVE-ID

    CVE-2014-1349: Reno Robert şi Dhanesh Kizhakkinan

  • Configurări

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: o persoană cu acces fizic la dispozitiv poate avea posibilitatea să dezactiveze caracteristica Găsire iPhone fără introducerea unei parole iCloud

    Descriere: a existat o problemă de gestionare a stării la tratarea stării caracteristicii Găsire iPhone. Problema a fost rezolvată prin îmbunătăţirea tratării stării caracteristicii Găsire iPhone.

    CVE-ID

    CVE-2014-1350

  • Transport securizat

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: doi byţi de memorie neiniţializată pot fi dezvăluiţi unui atacator aflat la distanţă

    Descriere: o problemă legată de accesul la memoria neiniţializată a existat în tratarea mesajelor DTLS într-o conexiune TLS. Această problemă a fost rezolvată prin acceptarea mesajelor DTLS numai într-o conexiune DTLS.

    CVE-ID

    CVE-2014-1361: Thijs Alkemade de la The Adium Project

  • Siri

    Disponibilitate pentru: iPhone 4s şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad (a 3-a generaţie) şi modele mai recente

    Impact: o persoană cu acces fizic la telefon poate avea posibilitatea să vizualizeze toate contactele

    Descriere: dacă o solicitare prin Siri face referire la unul din mai multe contacte, Siri afişează o listă de posibile opţiuni şi opţiunea „Altele...” prin care se poate accesa lista cu toate contactele. Atunci când era utilizat din ecranul de blocare, serviciul Siri nu cerea codul de acces înainte de vizualizarea listei cu toate contactele. Această problemă a fost rezolvată prin solicitarea codului de acces.

    CVE-ID

    CVE-2014-1351: Sherif Hashim

  • WebKit

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: accesarea unui site rău intenţionat poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod arbitrar

    Descriere: în WebKit erau mai multe probleme de corupere a memoriei. Pentru rezolvarea acestor probleme, s-a implementat o mai bună gestionare a memoriei.

    CVE-ID

    CVE-2013-2875: miaubiz

    CVE-2013-2927: cloudfuzzer

    CVE-2014-1323: banty

    CVE-2014-1325: Apple

    CVE-2014-1326: Apple

    CVE-2014-1327: Echipa de securitate Google Chrome, Apple

    CVE-2014-1329: Echipa de securitate Google Chrome

    CVE-2014-1330: Echipa de securitate Google Chrome

    CVE-2014-1331: cloudfuzzer

    CVE-2014-1333: Echipa de securitate Google Chrome

    CVE-2014-1334: Apple

    CVE-2014-1335: Echipa de securitate Google Chrome

    CVE-2014-1336: Apple

    CVE-2014-1337: Apple

    CVE-2014-1338: Echipa de securitate Google Chrome

    CVE-2014-1339: Atte Kettunen de la OUSPG

    CVE-2014-1341: Echipa de securitate Google Chrome

    CVE-2014-1342: Apple

    CVE-2014-1343: Echipa de securitate Google Chrome

    CVE-2014-1362: Apple, miaubiz

    CVE-2014-1363: Apple

    CVE-2014-1364: Apple

    CVE-2014-1365: Apple, Echipa de securitate Google Chrome

    CVE-2014-1366: Apple

    CVE-2014-1367: Apple

    CVE-2014-1368: Wushi de la Keen Team (Echipa de cercetare de la Keen Cloud Tech)

    CVE-2014-1382: Renata Hodovan de la Universitatea Szeged/Samsung Electronics

    CVE-2014-1731: un membru anonim al comunităţii de dezvoltatori Blink

  • WebKit

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: un site rău intenţionat poate trimite mesaje către un cadru sau o fereastră conectată într-un mod care ar putea împiedica verificarea originii de către receptor

    Descriere: a existat o problemă de codificare la tratarea caracterelor Unicode din URL-uri. Un URL creat în mod rău intenţionat ar fi putut conduce la trimiterea unei origini postMessage incorecte. Această problemă a fost rezolvată prin îmbunătăţirea codificării/decodificării.

    CVE-ID

    CVE-2014-1346: Erling Ellingsen de la Facebook

  • WebKit

    Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: un site web creat în mod rău intenţionat poate avea posibilitatea să-şi falsifice numele de domeniu din bara de adrese

    Descriere: a existat o problemă de falsificare la tratarea URL-urilor. Această problemă a fost rezolvată prin codificarea îmbunătăţită a URL-urilor.

    CVE-ID

    CVE-2014-1345: Erling Ellingsen de la Facebook

Informaţiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu îşi asumă nicio responsabilitate în ceea ce priveşte selectarea, funcţionarea sau utilizarea site-urilor web sau produselor de la terţi. Apple nu face niciun fel de declaraţii privind acurateţea sau fiabilitatea site-urilor web terţe. La utilizarea Internetului, riscurile sunt inerente. Contactează distribuitorul pentru informaţii suplimentare. Alte nume de companii şi produse pot fi mărci comerciale ale proprietarilor respectivi.

Data publicării: