Obsah zabezpečenia v systéme iOS 7.1

V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 7.1.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

iOS 7.1

  • Zálohovanie

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Záloha so škodlivým kódom môže upraviť systém súborov

    Popis: Symbolický odkaz v zálohe sa mohol obnoviť, čo by umožnilo, aby následné operácie počas obnovenia zapisovali do zvyšnej časti systému súborov. Tento problém bol vyriešený kontrolou symbolických odkazov počas procesu obnovenia.

    CVE-ID

    CVE-2013-5133: evad3rs

  • Politika dôveryhodnosti certifikátov

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Vykonanie aktualizácie hlavných certifikátov

    Popis: Niekoľko certifikátov bolo pridaných alebo odstránených zo zoznamu hlavných systémových certifikátov.

  • Konfiguračné profily

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Dátumy uplynutia platnosti profilu sa nezohľadňovali

    Popis: Dátumy uplynutia platnosti konfiguračných profilov pre mobilné zariadenia sa nevyhodnocovali správne. Tento problém bol vyriešený vylepšením spracovávania konfiguračných profilov.

    CVE-ID

    CVE-2014-1267

  • CoreCapture

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Aplikácia so škodlivým kódom môže spôsobiť neočakávané ukončenie systému

    Popis: V spracovaní volaní rozhrania IOKit API funkciou CoreCapture existoval problém s dosiahnuteľným uplatnením. Tento problém bol vyriešený prostredníctvom ďalšieho overovania údajov z rozhrania IOKit.

    CVE-ID

    CVE-2014-1271: Filippo Bigarella

  • Hlásenie zlyhaní

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Lokálny používateľ môže meniť povolenia ľubovoľných súborov

    Popis: Funkcia CrashHouseKeeping nasledovala symbolické odkazy pri zmene povolení súborov. Tento problém bol vyriešený zrušením nasledovania symbolických odkazov pri zmene povolení súborov.

    CVE-ID

    CVE-2014-1272: evad3rs

  • dyld

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Požiadavky na podpis kódu možno obísť

    Popis: Funkcia dyld môže načítať inštrukcie na premiestnenie textu v dynamických knižniciach bez overenia podpisu kódu. Tento problém bol vyriešený ignorovaním inštrukcií na premiestnenie textu.

    CVE-ID

    CVE-2014-1273: evad3rs

  • FaceTime

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Osoba, ktorá má fyzický prístup k zariadeniu, môže získať prístup ku kontaktom FaceTime na zamknutej ploche

    Popis: Uskutočnením neúspešného hovoru FaceTime zo zamknutej plochy možno na zamknutom zariadení zobraziť kontakty FaceTime. Tento problém bol vyriešený vylepšením spracovávania hovorov FaceTime.

    CVE-ID

    CVE-2014-1274

  • ImageIO

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Zobrazenie súboru PDF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: V spracovaní obrázkov JPEG2000 v súboroch PDF dochádzalo k pretečeniu medzipamäte. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-1275: Felix Groebert z tímu spoločnosti Google pre zabezpečenie

  • ImageIO

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Zobrazenie súboru TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: V spracovaní obrázkov TIFF funkciou libtiff dochádzalo k pretečeniu medzipamäte. Tento problém bol vyriešený prostredníctvom ďalšieho overovania obrázkov TIFF.

    CVE-ID

    CVE-2012-2088

  • ImageIO

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Zobrazenie súborov JPEG so škodlivým kódom môže viesť k sprístupneniu obsahu pamäte

    Popis: V spracovávaní značiek JPEG funkciou libjpeg existoval problém s prístupom k neinicializovanej pamäti, výsledkom čoho bolo sprístupnenie obsahu pamäte. Tento problém bol vyriešený prostredníctvom ďalšieho overovania obrázkov JPEG.

    CVE-ID

    CVE-2013-6629: Michal Zalewski

  • Udalosť HID rozhrania IOKit

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Aplikácia so škodlivým kódom môže sledovať úkony používateľa v iných aplikáciách

    Popis: Rozhranie v zostave IOKit umožňovalo aplikáciám so škodlivým kódom sledovanie úkonov používateľa v iných aplikáciách. Tento problém bol vyriešený vylepšenými politikami riadenia prístupu v zostave.

    CVE-ID

    CVE-2014-1276: Min Zheng, Hui Xue a Dr. Tao (Lenx) Wei zo spoločnosti FireEye

  • iTunes Store

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Útočník využívajúci útok typu MITM (man-in-the-middle) môže používateľa nalákať na stiahnutie škodlivej podnikovej aplikácie

    Popis: Útočník s oprávnením v sieti môže odpočúvať sieťovú komunikáciu a nalákať používateľa na stiahnutie škodlivej aplikácie. Tento problém bol zmiernený používaním technológie SSL a zobrazovaním výzvy pri presmerovaní adresy URL.

    CVE-ID

    CVE-2013-3948: Stefan Esser

  • Jadro

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Lokálny používateľ môže spôsobiť neočakávané ukončenie systému alebo spustenie ľubovoľného kódu v jadre

    Popis: Vo funkcii ptmx_get_ioctl technológie ARM existoval problém s prístupom do oblastí mimo vyhradenej časti pamäte. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-1278: evad3rs

  • Office Viewer

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Otvorenie dokumentu aplikácie Microsoft Word so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: V spracovaní dokumentov aplikácie Microsoft Word existoval problém s dvojitým uvoľnením. Tento problém bol vyriešený vylepšením správy pamäte.

    CVE-ID

    CVE-2014-1252: Felix Groebert z tímu spoločnosti Google pre zabezpečenie

  • Vnútorný mechanizmus aplikácie Fotky

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Vymazané obrázky sa môžu v aplikácii Fotky naďalej zobrazovať pod priehľadnými obrázkami

    Popis: Vymazaním obrázka z knižnice položiek sa nevymazali verzie daného obrázka uložené vo vyrovnávacej pamäti. Tento problém bol vyriešený vylepšením správy vyrovnávacej pamäte.

    CVE-ID

    CVE-2014-1281: Walter Hoelblinger zo stránky Hoelblinger.com, Morgan Adams, Tom Pennington

  • Profily

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Pred používateľom môže byť skrytý konfiguračný profil

    Popis: Konfiguračný profil s dlhým názvom sa môže načítať do zariadenia, ale nezobrazuje sa v používateľskom rozhraní profilov. Tento problém bol vyriešený vylepšením spracovávania názvov profilov.

    CVE-ID

    CVE-2014-1282: Assaf Hefetz, Yair Amit a Adi Sharabani zo spoločnosti Skycure

  • Safari

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Funkcia automatického dopĺňania môže neočakávanej lokalite sprístupniť prihlasovacie údaje používateľa

    Popis: Aplikácia Safari môže automaticky vypĺňať mená používateľov a heslá do podrámca z inej domény, než z akej pochádza hlavný rámec. Tento problém bol vyriešený vylepšením sledovania pôvodu.

    CVE-ID

    CVE-2013-5227: Niklas Malmgren zo spoločnosti Klarna AB

  • Nastavenia – účty

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Popis: Osoba, ktorá má fyzický prístup k zariadeniu, môže vypnúť funkciu Nájsť môj iPhone bez zadania hesla účtu iCloud.

    Popis: V spracovaní stavu funkcie Nájsť môj iPhone existoval problém so správou stavu. Tento problém bol vyriešený vylepšením spracovávania stavu funkcie Nájsť môj iPhone.

    CVE-ID

    CVE-2014-2019

  • Springboard

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Osoba, ktorá má fyzický prístup k zariadeniu, môže zobraziť plochu zariadenia aj v prípade, ak zariadenie nebolo aktivované

    Popis: Neočakávané ukončenie aplikácie počas aktivácie môže spôsobiť, že na telefóne sa zobrazí plocha. Tento problém bol vyriešený vylepšením spracovávania chýb počas aktivácie.

    CVE-ID

    CVE-2014-1285: Roboboi99

  • Zamknutá plocha aplikácie SpringBoard

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Vzdialený útočník môže spôsobiť, že zamknutá plocha prestane reagovať

    Popis: V kóde zamknutej plochy existoval problém so správou stavu. Tento problém bol vyriešený vylepšením správy stavu.

    CVE-ID

    CVE-2014-1286: Bogdan Alecu zo stránky M-sec.net

  • Zostava TelephonyUI

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Webová stránka mohla aktivovať hlasový hovor FaceTime bez zásahu používateľa

    Popis: Pred spustením adries URL facetime-audio:// nezobrazovala aplikácia Safari výzvu používateľovi. Tento problém bol vyriešený pridaním výzvy na potvrdenie.

    CVE-ID

    CVE-2013-6835: Guillaume Ross

  • Hostiteľ USB

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Osoba, ktorá má fyzický prístup k zariadeniu, môže spustiť ľubovoľný kód v režime jadra

    Popis: V spracovaní správ rozhrania USB existoval problém súvisiaci s poškodením pamäte. Tento problém bol vyriešený prostredníctvom ďalšieho overovania správ rozhrania USB.

    CVE-ID

    CVE-2014-1287: Andy Davis zo spoločnosti NCC Group

  • Grafický ovládač

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Prehrávanie videa so škodlivým kódom môže spôsobiť, že zariadenie prestane reagovať

    Popis: V spracovaní súborov s kódovaním MPEG-4 existoval problém s opačnou referenciou NULL. Tento problém bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2014-1280: rg0rd

  • WebKit

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: V mechanizme WebKit existovalo viacero problémov súvisiacich s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2013-2909: Atte Kettunen zo spoločnosti OUSPG

    CVE-2013-2926: cloudfuzzer

    CVE-2013-2928: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2013-5196: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2013-5197: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2013-5198: Apple

    CVE-2013-5199: Apple

    CVE-2013-5225: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2013-5228: Keen Team (@K33nTeam) v spolupráci s iniciatívou Zero Day Initiative spoločnosti HP

    CVE-2013-6625: cloudfuzzer

    CVE-2013-6635: cloudfuzzer

    CVE-2014-1269: Apple

    CVE-2014-1270: Apple

    CVE-2014-1289: Apple

    CVE-2014-1290: ant4g0nist (SegFault) v spolupráci s projektom HP Zero Day Initiative, tím spoločnosti Google pre zabezpečenie prehliadača Chrome, Lee Wang Hao v spolupráci so S.P.T. Krishnanom z oddelenia Infocomm Security Department inštitútu Institute for Infocomm Research

    CVE-2014-1291: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2014-1292: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2014-1293: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2014-1294: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

Služba FaceTime nie je k dispozícii vo všetkých krajinách alebo oblastiach.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: