Despre conţinutul de securitate din iOS 7.1.2
Acest document descrie conţinutul de securitate din iOS 7.1.2.
Pentru protecţia clienţilor noştri, Apple nu divulgă, nu discută şi nu confirmă problemele de securitate înainte de a face o investigaţie completă şi de a pune la dispoziţie corecţiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.
Pentru informaţii despre cheia PGP pentru securitatea produselor Apple, consultă Utilizarea cheii PGP pentru securitatea produselor Apple.
Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilităţi pentru mai multe informaţii.
Pentru a afla mai multe despre alte actualizări de securitate, consultă Actualizările de securitate Apple.
iOS 7.1.2
Politica de încredere în certificate
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: actualizare a politicii de încredere în certificate
Descriere: politica de încredere în certificate a fost actualizată. Lista completă de certificate poate fi vizualizată la adresa http://support.apple.com/kb/HT5012?viewlocale=ro_RO.
CoreGraphics
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: vizualizarea unui fişier XBM creat cu rea intenţie poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod arbitrar
Descriere: o problemă legată de o alocare de stivă fără limite a existat în tratarea fişierelor XBM. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor.
CVE-ID
CVE-2014-1354: Dima Kovalenko de la codedigging.com
Nucleu
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: o aplicaţie putea determina repornirea neaşteptată a dispozitivului
Descriere: a existat o referinţă la un indicator nul în tratarea argumentelor interfeţei API IOKit. Această problemă a fost rezolvată prin validarea îmbunătăţită a argumentelor interfeţei API IOKit.
CVE-ID
CVE-2014-1355: cunzhang de la Adlab of Venustech
launchd
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem
Descriere: a existat o depăşire a zonei tampon a structurii de date la tratarea de către launchd a mesajelor IPC. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor.
CVE-ID
CVE-2014-1356: Ian Beer de la Google Project Zero
launchd
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem
Descriere: a existat o depăşire a zonei tampon a structurii de date la tratarea de către launchd a mesajelor de jurnal. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor.
CVE-ID
CVE-2014-1357: Ian Beer de la Google Project Zero
launchd
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem
Descriere: în launchd a existat o depăşire de întreg. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor.
CVE-ID
CVE-2014-1358: Ian Beer de la Google Project Zero
launchd
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem
Descriere: în launchd a existat o depăşire negativă de întreg. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor.
CVE-ID
CVE-2014-1359: Ian Beer de la Google Project Zero
Blocare
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: un atacator în posesia unui dispozitiv iOS putea să ocolească blocarea activării
Descriere: dispozitivele efectuau verificări incomplete în timpul autoverificării, fapt care le permitea persoanelor rău intenţionate să ocolească parţial blocarea activării. Această problemă a fost rezolvată prin intermediul unei verificări suplimentare la partea client a datelor primite de la serverele de activare.
CVE-ID
CVE-2014-1360
Ecranul de blocare
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: un atacator în posesia unui dispozitiv poate depăşi numărul maxim de încercări nereuşite de introducere a codului de acces
Descriere: în unele circumstanţe, limita de încercări nereuşite de introducere a codului de acces nu a fost aplicată. Această problemă a fost rezolvată prin aplicarea suplimentară a acestei limite.
CVE-ID
CVE-2014-1352: mblsec
Ecranul de blocare
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: o persoană cu acces fizic la un dispozitiv blocat poate accesa aplicaţia care a fost în prim-plan înainte de blocare
Descriere: a existat o problemă legată de gestionarea stării la tratarea stării serviciului de telefonie în modul Avion. Această problemă a fost rezolvată prin îmbunătăţirea gestionării stării în modul Avion.
CVE-ID
CVE-2014-1353
E-mail
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: fişierele ataşate la e-mailuri pot fi extrase de pe un iPhone 4
Descriere: protecţia datelor nu a fost activată pentru fişierele ataşate la e-mailuri, permiţându-se astfel citirea lor de un atacator care are acces fizic la dispozitiv. Această problemă a fost rezolvată schimbând clasa de criptare a fişierelor ataşate la e-mailuri.
CVE-ID
CVE-2014-1348: Andreas Kurtz de la NESO Security Labs
Safari
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: accesarea unui site rău intenţionat poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod arbitrar
Descriere: o problemă de tipul use-after-free a existat la tratarea de către Safari a URL-urilor nevalide. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei.
CVE-ID
CVE-2014-1349: Reno Robert şi Dhanesh Kizhakkinan
Configurări
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: o persoană cu acces fizic la dispozitiv poate avea posibilitatea să dezactiveze caracteristica Găsire iPhone fără introducerea unei parole iCloud
Descriere: a existat o problemă de gestionare a stării la tratarea stării caracteristicii Găsire iPhone. Problema a fost rezolvată prin îmbunătăţirea tratării stării caracteristicii Găsire iPhone.
CVE-ID
CVE-2014-1350
Transport securizat
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: doi byţi de memorie neiniţializată pot fi dezvăluiţi unui atacator aflat la distanţă
Descriere: o problemă legată de accesul la memoria neiniţializată a existat în tratarea mesajelor DTLS într-o conexiune TLS. Această problemă a fost rezolvată prin acceptarea mesajelor DTLS numai într-o conexiune DTLS.
CVE-ID
CVE-2014-1361: Thijs Alkemade de la The Adium Project
Siri
Disponibilitate pentru: iPhone 4s şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad (a 3-a generaţie) şi modele mai recente
Impact: o persoană cu acces fizic la telefon poate avea posibilitatea să vizualizeze toate contactele
Descriere: dacă o solicitare prin Siri face referire la unul din mai multe contacte, Siri afişează o listă de posibile opţiuni şi opţiunea „Altele...” prin care se poate accesa lista cu toate contactele. Atunci când era utilizat din ecranul de blocare, serviciul Siri nu cerea codul de acces înainte de vizualizarea listei cu toate contactele. Această problemă a fost rezolvată prin solicitarea codului de acces.
CVE-ID
CVE-2014-1351: Sherif Hashim
WebKit
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: accesarea unui site rău intenţionat poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod arbitrar
Descriere: în WebKit erau mai multe probleme de corupere a memoriei. Pentru rezolvarea acestor probleme, s-a implementat o mai bună gestionare a memoriei.
CVE-ID
CVE-2013-2875: miaubiz
CVE-2013-2927: cloudfuzzer
CVE-2014-1323: banty
CVE-2014-1325: Apple
CVE-2014-1326: Apple
CVE-2014-1327: Echipa de securitate Google Chrome, Apple
CVE-2014-1329: Echipa de securitate Google Chrome
CVE-2014-1330: Echipa de securitate Google Chrome
CVE-2014-1331: cloudfuzzer
CVE-2014-1333: Echipa de securitate Google Chrome
CVE-2014-1334: Apple
CVE-2014-1335: Echipa de securitate Google Chrome
CVE-2014-1336: Apple
CVE-2014-1337: Apple
CVE-2014-1338: Echipa de securitate Google Chrome
CVE-2014-1339: Atte Kettunen de la OUSPG
CVE-2014-1341: Echipa de securitate Google Chrome
CVE-2014-1342: Apple
CVE-2014-1343: Echipa de securitate Google Chrome
CVE-2014-1362: Apple, miaubiz
CVE-2014-1363: Apple
CVE-2014-1364: Apple
CVE-2014-1365: Apple, Echipa de securitate Google Chrome
CVE-2014-1366: Apple
CVE-2014-1367: Apple
CVE-2014-1368: Wushi de la Keen Team (Echipa de cercetare de la Keen Cloud Tech)
CVE-2014-1382: Renata Hodovan de la Universitatea Szeged/Samsung Electronics
CVE-2014-1731: un membru anonim al comunităţii de dezvoltatori Blink
WebKit
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: un site rău intenţionat poate trimite mesaje către un cadru sau o fereastră conectată într-un mod care ar putea împiedica verificarea originii de către receptor
Descriere: a existat o problemă de codificare la tratarea caracterelor Unicode din URL-uri. Un URL creat în mod rău intenţionat ar fi putut conduce la trimiterea unei origini postMessage incorecte. Această problemă a fost rezolvată prin îmbunătăţirea codificării/decodificării.
CVE-ID
CVE-2014-1346: Erling Ellingsen de la Facebook
WebKit
Disponibilitate pentru: iPhone 4 şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: un site web creat în mod rău intenţionat poate avea posibilitatea să-şi falsifice numele de domeniu din bara de adrese
Descriere: a existat o problemă de falsificare la tratarea URL-urilor. Această problemă a fost rezolvată prin codificarea îmbunătăţită a URL-urilor.
CVE-ID
CVE-2014-1345: Erling Ellingsen de la Facebook
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.