Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.
Pentru informaţii despre cheia PGP pentru securitatea produselor Apple, consultă Utilizarea cheii PGP pentru securitatea produselor Apple.
Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.
Pentru a afla mai multe despre alte actualizări de securitate, consultă Actualizările de securitate Apple.
iOS 8.1.3
AppleFileConduit
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: o comandă afc creată cu rea intenție poate permite accesul la părțile protejate ale sistemului de fișiere
Descriere: a existat o vulnerabilitate la mecanismul de asociere simbolică al afc. Această problemă a fost rezolvată prin adăugarea unor verificări suplimentare privind căile.
CVE-ID
CVE-2014-4480: TaiG Jailbreak Team
CoreGraphics
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: deschiderea unui fişier PDF creat cu rea intenţie poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod aleatoriu
Descriere: la tratarea fişierelor PDF a existat o depăşire a întregului. Această problemă a fost rezolvată printr-o verificare îmbunătățită a limitelor.
CVE-ID
CVE-2014-4481: Felipe Andres Manzano din cadrul Binamuse VRT, prin intermediul programului iSIGHT Partners GVP
dyld
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: Un utilizator local poate executa cod nesemnat
Descriere: A existat o problemă a gestionării stării la manipularea fişierelor executabile Match-O cu segmente suprapuse. Această problemă a fost rezolvată prin validarea îmbunătăţită a dimensiunilor segmentelor.
CVE-ID
CVE-2014-4455: TaiG Jailbreak Team
FontParser
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: deschiderea unui fişier PDF creat cu rea intenţie poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod aleatoriu
Descriere: S-a produs o depășire a memoriei tampon la tratarea fișierelor de fonturi. Această problemă a fost rezolvată printr-o verificare îmbunătățită a limitelor.
CVE-ID
CVE-2014-4483: Apple
FontParser
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: procesarea unui fişier .dfont creat cu rea intenţie poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod aleatoriu
Descriere: S-a produs o problemă de corupere a memoriei la tratarea fișierelor .dfont. Această problemă a fost rezolvată printr-o verificare îmbunătățită a limitelor.
CVE-ID
CVE-2014-4484: Gaurav Baruah, în colaborare cu proiectul Zero Day Initiative al HP
Foundation
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: vizualizarea unui fişier XML creat cu rea intenţie poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar
Descriere: a existat o depăşire a zonei-tampon la analizorul XML. Această problemă a fost rezolvată printr-o verificare îmbunătățită a limitelor.
CVE-ID
CVE-2014-4485: Apple
IOAcceleratorFamily
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem
Descriere: a existat o referinţă la un indicator nul la tratarea de către IOAcceleratorFamily a listelor de resurse. Această problemă a fost rezolvată prin eliminarea codului inutil.
CVE-ID
CVE-2014-4486: Ian Beer de la Google Project Zero
IOHIDFamily
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem
Descriere: a existat o depăşire a zonei-tampon la IOHIDFamily. Această problemă a fost rezolvată printr-o validare îmbunătățită a dimensiunii.
CVE-ID
CVE-2014-4487: TaiG Jailbreak Team
IOHIDFamily
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem
Descriere: a existat o problemă de validare la tratarea de către IOHIDFamily a metadatelor cozii de resurse. Această problemă a fost rezolvată prin validarea îmbunătăţită a metadatelor.
CVE-ID
CVE-2014-4488: Apple
IOHIDFamily
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem
Descriere: a existat o referinţă la un indicator nul la tratarea de către IOHIDFamily a cozilor de evenimente. Această problemă a fost rezolvată prin îmbunătățirea validării.
CVE-ID
CVE-2014-4489: @beist
iTunes Store
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: un site web ar putea ocoli restricțiile sandboxului prin utilizarea iTunes Store
Descriere: a existat o problemă la tratarea adreselor URL redirecționate din Safari în iTunes Store, care ar putea permite unui site web creat cu rea intenție să ocolească restricțiile sandboxului Safari. Problema a fost rezolvată prin filtrarea îmbunătățită a adreselor URL deschise de iTunes Store.
CVE-ID
CVE-2014-8840: lokihardt@ASRT, în colaborare cu proiectul Zero Day Initiative al HP
Kerberos
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem
Descriere: biblioteca Kerberos libgssapi a returnat un token de context cu un indicator de suspendare. Această problemă a fost rezolvată prin îmbunătăţirea gestionării stării.
CVE-ID
CVE-2014-5352
Nucleu
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: aplicațiile iOS create cu rea intenție sau compromise ar putea afla adresele din kernel
Descriere: a existat o problemă de divulgare a informațiilor la tratarea API-urilor corelate extensiilor kernelului. Răspunsurile care conțineau o cheie OSBundleMachOHeaders ar fi putut include adrese din kernel, fapt ce ar putea ajuta la ocolirea protecţiei prin randomizarea structurii spaţiului de adrese. Această problemă a fost rezolvată prin anulare glisării adreselor înainte de returnarea acestora.
CVE-ID
CVE-2014-4491: @PanguTeam, Stefan Esser
Nucleu
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem
Descriere: a existat o problemă la subsistemul de memorie partajată al kernelului, care permitea unui atacator să scrie în memoria disponibilă doar pentru citire. Această problemă a fost rezolvată prin verificarea mai strictă a permisiunilor privind memoria partajată.
CVE-ID
CVE-2014-4495: Ian Beer de la Google Project Zero
Nucleu
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: aplicațiile iOS create cu rea intenție sau compromise ar putea afla adresele din kernel
Descriere: interfața kernel mach_port_kobject a divulgat adrese de kernel și valoarea de permutare a zonei-tampon, ceea ce ar putea ajuta la ocolirea protecției prin randomizarea structurii spațiului de adrese. Această problemă a fost rezolvată prin dezactivarea interfeței mach_port_kobject în configurațiile de producție.
CVE-ID
CVE-2014-4496: TaiG Jailbreak Team
libnetcore
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: o aplicație rău intenționată, care rulează în sandbox, poate compromite daemonul networkd
Descriere: au existat mai multe probleme de confundare a tipului la tratarea de către networkd a comunicării inter-procese. Prin trimiterea unui mesaj formatat cu rea intenție către networkd, s-ar fi putut executa un cod aleatoriu sub forma procesului asociat networkd. Problema a fost rezolvată printr-o verificare suplimentară a tipului.
CVE-ID
CVE-2014-4492: Ian Beer de la Google Project Zero
MobileInstallation
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: o aplicație rău intenționată, semnată de companie, poate prelua controlul containerului local de aplicații care se află deja pe un dispozitiv
Descriere: a existat o vulnerabilitate la procesul de instalare a aplicațiilor. Această problemă a fost rezolvată prin împiedicarea aplicațiilor de companie să suprascrie aplicațiile existente în anumite situații.
CVE-ID
CVE-2014-4493: Hui Xue and Tao Wei de la FireEye, Inc.
Ecranul de pornire
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: aplicațiile semnate de companie pot fi lansate fără a se solicita nivelul de încredere
Descriere: a existat o problemă la stabilirea momentului de solicitare a nivelului de încredere la prima deschidere a unei aplicații semnate de companie. Această problemă a fost rezolvată prin validarea îmbunătățită a semnăturii codurilor.
CVE-ID
CVE-2014-4494: Song Jin, Hui Xue și Tao Wei de la FireEye, Inc.
WebKit
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: accesarea unui site web care include conținut rău intenționat poate conduce la falsificarea interfeței de utilizare
Descriere: a existat o problemă de falsificare a interfeței de utilizare la tratarea limitelor barelor de derulare. Această problemă a fost rezolvată printr-o verificare îmbunătățită a limitelor.
CVE-ID
CVE-2014-4467: Jordan Milne
WebKit
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: foile de stil sunt încărcate peste origini, ceea ce ar putea permite divulgarea datelor
Descriere: o componentă SVG încărcată într-un element img ar putea încărca un fișier CSS peste origini. Această problemă a fost rezolvată prin blocarea îmbunătățită a referințelor CSS externe din componentele SVG.
CVE-ID
CVE-2014-4465: Rennie deGraaf de la iSEC Partners
WebKit
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: accesarea unui site rău intenționat poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu
Descriere: în WebKit erau mai multe probleme de corupere a memoriei. Pentru rezolvarea acestor probleme, s-a implementat o mai bună gestionare a memoriei.
CVE-ID
CVE-2014-3192: cloudfuzzer
CVE-2014-4459
CVE-2014-4466: Apple
CVE-2014-4468: Apple
CVE-2014-4469: Apple
CVE-2014-4470: Apple
CVE-2014-4471: Apple
CVE-2014-4472: Apple
CVE-2014-4473: Apple
CVE-2014-4474: Apple
CVE-2014-4475: Apple
CVE-2014-4476: Apple
CVE-2014-4477: lokihardt@ASRT în colaborare cu proiectul Zero Day Initiative al HP
CVE-2014-4479: Apple