Obsah zabezpečenia v aktualizácii softvéru iOS 6.1

V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 6.1.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

iOS 6.1

  • Služby identity

    K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší

    Dopad: Overovanie založené na overovaní účtu Apple ID s použitím certifikátu je možné obísť

    Popis: V službe Identity Services sa vyskytol problém so spracovaním chyby. Ak sa platnosť certifikátu účtu Apple ID používateľa nepodarilo overiť, považoval sa účet Apple ID za prázdny reťazec. Ak sa do tohto stavu dostane viac systémov patriacich rôznym používateľom, aplikácie spoliehajúce sa na toto určenie identity môžu chybne považovať subjekty za dôveryhodné. Tento problém bol vyriešený zabezpečením vrátenia hodnoty NULL namiesto prázdneho reťazca.

    CVE-ID

    CVE-2013-0963

  • Medzinárodné komponenty pre kódovanie Unicode

    K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)

    Popis: Pri spracovaní kódovania EUC-JP sa vyskytoval problém s kanonizáciou, ktorý mohol viesť k útoku prostredníctvom skriptovania medzi lokalitami na webových stránkach s kódovaním EUC-JP. Tento problém bol vyriešený aktualizáciou mapovacej tabuľky kódovania EUC-JP.

    CVE-ID

    CVE-2011-3058: Masato Kinugawa

  • Jadro

    K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší

    Dopad: Proces v používateľskom režime môže získať prístup k prvej stránke pamäte jadra

    Popis: Jadro systému iOS má k dispozícii kontroly na overenie, či by smerník používateľského režimu a dĺžka odovzdané funkciám copyin a copyout nespôsobili, že proces v používateľskom režime bude mať priamy prístup k pamäti jadra. Kontroly sa nevykonávali, ak bola dĺžka menšia než jedna stránka. Tento problém bol vyriešený dodatočným overovaním argumentov funkcií copyin a copyout.

    CVE-ID

    CVE-2013-0964: Mark Dowd zo spoločnosti Azimuth Security

  • Zabezpečenie

    K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší

    Dopad: Útočník s oprávneniami v sieti môže zachytávať prihlasovacie údaje používateľov alebo iné citlivé informácie

    Popis: Subjekt TURKTRUST chybne vydal niekoľko sprostredkovateľských certifikátov CA. Útočníkovi využívajúcemu útok typu MITM (man-in-the-middle) to môže umožniť presmerovať pripojenia a zachytávať prihlasovacie údaje používateľov alebo iné citlivé informácie. Tento problém bol vyriešený nepovolením nesprávnych certifikátov SSL.

  • StoreKit

    K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší

    Dopad: JavaScript môže byť v prehliadači Mobile Safari povolený bez zásahu používateľa

    Popis: Ak používateľ zakáže JavaScript v nastaveniach prehliadača Safari, návšteva stránky so zobrazeným bannerom inteligentnej aplikácie znova povolí JavaScript bez toho, aby bol používateľ varovaný. Tento problém bol vyriešený nepovolením JavaScriptu pri návšteve stránok s bannerom inteligentnej aplikácie.

    CVE-ID

    CVE-2013-0974: Andrew Plotkin zo spoločnosti Zarfhome Software Consulting, Ben Madison z tímu BitCloud, Marek Durcek

  • WebKit

    K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: V mechanizme WebKit dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2012-2857: Arthur Gerkis

    CVE-2012-3606: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2012-3607: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2012-3621: Skylined z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2012-3632: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2012-3687: kuzzcc

    CVE-2012-3701: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2013-0948: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2013-0949: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2013-0950: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2013-0951: Apple

    CVE-2013-0952: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2013-0953: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2013-0954: Dominic Cooney zo spoločnosti Google a Martin Barbella z tímu zabezpečenia prehliadača Google Chrome

    CVE-2013-0955: Apple

    CVE-2013-0956: Oddelenie spoločnosti Apple pre zabezpečenie produktov

    CVE-2012-2824: miaubiz

    CVE-2013-0958: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2013-0959: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2013-0968: Aaron Nelson

  • WebKit

    K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší

    Dopad: Kopírovanie a vloženie kódu na stránke so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)

    Popis: Pri spracovaní obsahu vloženého z iného miesta pôvodu sa vyskytoval problém so skriptovaním medzi lokalitami. Tento problém bol vyriešený prostredníctvom ďalšieho overovania vloženého obsahu.

    CVE-ID

    CVE-2013-0962: Mario Heiderich z tímu Cure53

  • WebKit

    K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)

    Popis: Pri spracovaní prvkov rámcov sa vyskytoval problém súvisiaci so skriptovaním medzi lokalitami. Tento problém bol vyriešený vylepšením sledovania pôvodu.

    CVE-ID

    CVE-2012-2889: Sergey Glazunov

  • Wi-Fi

    K dispozícii pre: iPhone 3GS, iPhone 4, iPod touch (4. generácia), iPad 2

    Dopad: Vzdialený útočník v tej istej Wi-Fi sieti môže dočasne zakázať Wi-Fi pripojenie

    Popis: Vo firmvéri BCM4325 a BCM4329 spoločnosti Broadcom sa pri spracovaní informačných prvkov protokolu 802.11i vyskytuje problém s čítaním mimo hraníc. Tento problém bol vyriešený dodatočným overovaním informačných prvkov protokolu 802.11i.

    CVE-ID

    CVE-2012-2619: Andres Blanco a Matias Eissler z tímu Core Security

 

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: