Obsah zabezpečenia v systéme iOS 6.1.3

V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 6.1.3.

S cieľom ochrany svojich zákazníkov spoločnosť Apple neposkytuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problém úplne nepreskúma a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

iOS 6.1.3

• dyld

  K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší

  Dopad: Lokálny používateľ môže spustiť nepodpísaný kód

  Popis: Pri spracovávaní spustiteľných súborov Mach-O s prekrývajúcimi sa segmentmi dochádzalo k problému so správou stavu. Tento problém bol vyriešený odmietnutím načítania spustiteľného súboru s prekrývajúcimi sa segmentami.

  CVE-ID

  CVE-2013-0977: evad3rs

• Jadro

  K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší

  Dopad: Lokálny používateľ môže byť schopný určiť adresu štruktúr v jadre

  Popis: V obslužnom programe prerušenia predbežného načítavania v procesore ARM dochádzalo k problému s únikom informácií. Tento problém bol vyriešený vyvolaním funkcie „panic“ v prípade, ak sa obslužný program prerušenia predbežného načítavania nevolá z kontextu prerušenia.

  CVE-ID

  CVE-2013-0978: evad3rs

• Lockdown

  K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší

  Dopad: Lokálny používateľ môže meniť povolenia ľubovoľných súborov

  Popis: Pri obnovovaní zo zálohy zmenila funkcia lockdown povolenia určitých súborov, a to aj v prípade, ak cesta súboru obsahovala symbolický odkaz. Tento problém bol vyriešený zakázaním zmeny povolení všetkých súborov, ktoré majú v ceste symbolický odkaz.

  CVE-ID

  CVE-2013-0979: evad3rs

• Uzamykanie heslom

  K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší

  Dopad: Osoba, ktorá má fyzický prístup k zariadeniu, môže obísť uzamknutie obrazovky

  Popis: Pri spracovávaní núdzových hovorov zo zamknutej obrazovky dochádzalo k logickému problému. Tento problém bol vyriešený vylepšením správy stavu uzamknutia.

  CVE-ID

  CVE-2013-0980: Christopher Heffley zo spoločnosti theMedium.ca, videosdebarraquito

• USB

  K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší

  Dopad: Lokálny používateľ môže byť schopný spustiť ľubovoľný kód v jadre

  Popis: Ovládač IOUSBDeviceFamily používal ukazovatele objektov kanála, ktoré pochádzali z používateľského priestoru. Tento problém bol vyriešený ďalším overovaním ukazovateľov objektov kanála.

  CVE-ID

  CVE-2013-0981: evad3rs

• WebKit

  K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší

  Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

  Popis: Pri spracovávaní súborov SVG dochádzalo k problému s neplatnou zmenou typu. Tento problém bol vyriešený vylepšenou kontrolou typu.

  CVE-ID

  CVE-2013-0912: Nils a Jon z MWR Labs v spolupráci s projektom HP TippingPoint Zero Day Initiative