О проблемах безопасности, устраняемых в ОС iOS 6.1.3

В этом документе описаны проблемы безопасности, устраняемые в ОС iOS 6.1.3.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.
 

ОС iOS 6.1.3

  • dyld

    Подвержены уязвимости: iPhone 3GS и более поздних моделей, iPod touch (4-го поколения) и более поздних моделей, iPad 2 и более поздних моделей.

    Воздействие. Локальный пользователь может выполнить неподписанный код.

    Описание. При обработке исполняемых файлов Mach-O с перекрывающимися сегментами возникала проблема управления состоянием. Проблема устранена путем отказа от загрузки исполняемого файла с перекрывающимися сегментами.

    Идентификатор CVE

    CVE-2013-0977: пользователь evad3rs

  • Ядро

    Подвержены уязвимости: iPhone 3GS и более поздних моделей, iPod touch (4-го поколения) и более поздних моделей, iPad 2 и более поздних моделей.

    Воздействие. Локальный пользователь может определить адрес структур ядра.

    Описание. Существовала проблема раскрытия информации, возникающая в обработчике сбоя предварительной выборки инструкций ARM. Проблема устранена путем генерации фатальной ошибки, в случае если обработчик сбоя предварительной выборки не вызван из контекста сбоя.

    Идентификатор CVE

    CVE-2013-0978: пользователь evad3rs

  • Lockdown

    Подвержены уязвимости: iPhone 3GS и более поздних моделей, iPod touch (4-го поколения) и более поздних моделей, iPad 2 и более поздних моделей.

    Воздействие. Локальный пользователь может изменять разрешения для произвольных файлов.

    Описание. При восстановлении из резервной копии демон lockdownd изменял разрешения для конкретных файлов, даже если путь к файлу включал символьную ссылку. Проблема устранена отказом от изменения разрешений любых файлов, в пути которых содержится символьная ссылка.

    Идентификатор CVE

    CVE-2013-0979: пользователь evad3rs

  • Защита паролем

    Подвержены уязвимости: iPhone 3GS и более поздних моделей, iPod touch (4-го поколения) и более поздних моделей, iPad 2 и более поздних моделей.

    Воздействие. Пользователь, имеющий физический доступ к устройству, может обходить блокировку экрана.

    Описание. В процедуре обработки экстренных вызовов FaceTime при заблокированном экране имелась логическая ошибка. Проблема устранена путем улучшенного управления состоянием блокировки.

    Идентификатор CVE

    CVE-2013-0980: Кристофер Хэффли (Christopher Heffley) из theMedium.ca, пользователь videosdebarraquito

  • USB

    Подвержены уязвимости: iPhone 3GS и более поздних моделей, iPod touch (4-го поколения) и более поздних моделей, iPad 2 и более поздних моделей.

    Воздействие. Локальный пользователь может выполнять произвольный код на уровне ядра.

    Описание. Драйвер IOUSBDeviceFamily использовал указатели на объекты-каналы, поступившие из пространства пользователя. Проблема устранена путем выполнения дополнительной проверки указателей на объекты-каналы.

    Идентификатор CVE

    CVE-2013-0981: пользователь evad3rs

  • WebKit

    Подвержены уязвимости: iPhone 3GS и более поздних моделей, iPod touch (4-го поколения) и более поздних моделей, iPad 2 и более поздних моделей.

    Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. Проблема неверного приведения типов, возникающая при обработке файлов SVG. Проблема устранена путем улучшенной проверки типов.

    Идентификатор CVE

    CVE-2013-0912: пользователи Нильс (Nils) и Джон (Jon) из MWR Labs в рамках программы Zero Day Initiative компании HP TippingPoint

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: