В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Безопасность продуктов Apple.
Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.
Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.
Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.
ОС iOS 7.1.1
- 

- 

CFNetwork HTTPProtocol

Доступно для iPhone 4 и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей.

Воздействие. Лицо, производящее атаку и располагающееся в привилегированном участке сети, может получить учетные данные веб-сайта.

Описание. Заголовки HTTP Set-Cookie обрабатывались, даже если соединение было разорвано до заполнения строки заголовка. Злоумышленник мог удалить настройки безопасности из файла cookie, разорвав соединение до отправки настроек безопасности, а затем получить значение незащищенного файла cookie. Проблема устранена путем игнорирования неполных строк заголовка HTTP.

Идентификатор CVE

CVE-2014-1296: Антуан Делина-Лаво (Antoine Delignat-Lavaud) из команды Prosecco в Inria Paris

 

- 

- 

Ядро IOKit

Доступно для iPhone 4 и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей.

Воздействие. Локальный пользователь может прочитать указатели в ядре, которые могут быть использованы для обхода технологии случайного расположения в адресном пространстве ядра (ASLR).

Описание. Набор указателей в ядре, хранящихся в объекте IOKit, мог быть получен из пространства пользователя. Проблема устранена путем удаления указателей из объекта.

Идентификатор CVE

CVE-2014-1320: Иэн Бир (Ian Beer) из Google Project Zero, работающий с компанией HP по программе Zero Day Initiative

 

- 

- 

Безопасность — протокол Secure Transport

Доступно для iPhone 4 и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей.

Воздействие. Лицо, производящее атаку и располагающееся в привилегированном участке сети, может перехватить данные или изменить операции защищенных сеансов SSL.

Описание. Атака «тройное рукопожатие» позволяла злоумышленнику устанавливать два соединения с одними и теми же ключами шифрования и рукопожатиями, внедрять свою информацию в одно соединение и повторно устанавливать связь, так чтобы соединения могли перенаправляться друг на друга. Чтобы предотвратить подобного рода атаки, протокол Secure Transport был изменен таким образом, что по умолчанию при повторной связи должен быть представлен тот же сертификат сервера, что и при исходном подключении.

Идентификатор CVE

CVE-2014-1295: Антуан Делина-Лаво (Antoine Delignat-Lavaud), Картикеян Бхаргаван (Karthikeyan Bhargavan) и Альфредо Пиронти (Alfredo Pironti) из команды Prosecco в Inria Paris

 

- 

- 

WebKit

Доступно для iPhone 4 и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей.

Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. В библиотеке WebKit возникало несколько проблем, приводящих к повреждению памяти. Проблемы устранены путем улучшенной обработки памяти.

Идентификатор CVE

CVE-2013-2871: пользователь miaubiz

CVE-2014-1298: подразделение по обеспечению безопасности Google Chrome

CVE-2014-1299: подразделение по обеспечению безопасности Google Chrome, Рената Ходован (Renata Hodovan), Университет Сегеда, компания Samsung Electronics

CVE-2014-1300: Айан Бир (Ian Beer) из Google Project Zero, работающий с компанией HP по программе Zero Day Initiative

CVE-2014-1302: подразделение по обеспечению безопасности Google Chrome

CVE-2014-1303: компания KeenTeam, работающая с компанией HP по программе Zero Day Initiative

CVE-2014-1304: компания Apple

CVE-2014-1305: компания Apple

CVE-2014-1307: подразделение по обеспечению безопасности Google Chrome

CVE-2014-1308: подразделение по обеспечению безопасности Google Chrome

CVE-2014-1309: пользователь cloudfuzzer

CVE-2014-1310: подразделение по обеспечению безопасности Google Chrome

CVE-2014-1311: подразделение по обеспечению безопасности Google Chrome

CVE-2014-1312: подразделение по обеспечению безопасности Google Chrome

CVE-2014-1313: подразделение по обеспечению безопасности Google Chrome

CVE-2014-1713: компания VUPEN, работающая с компанией HP по программе Zero Day Initiative