Obsah zabezpečenia v systéme iOS 7

V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 7.

S cieľom ochrany svojich zákazníkov spoločnosť Apple neposkytuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problém úplne nepreskúma a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Ďalšie informácie o aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

iOS 7

  • Politika dôveryhodnosti certifikátov

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Vykonanie aktualizácie hlavných certifikátov

    Popis: Niekoľko certifikátov bolo pridaných alebo odstránených zo zoznamu hlavných systémových certifikátov.

  • CoreGraphics

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Zobrazenie súboru PDF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: V spracovaní kódovaných údajov JBIG2 v súboroch PDF dochádzalo k pretečeniu medzipamäte. Tento problém bol vyriešený dodatočnou kontrolou rozsahu.

    CVE-ID

    CVE-2013-1025: Felix Groebert z tímu spoločnosti Google pre zabezpečenie

  • CoreMedia

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Prehrávanie súboru filmu so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: V spracovaní súborov filmov s kódovaním Sorenson dochádzalo k pretečeniu medzipamäte. Tento problém bol vyriešený vykonávaním vylepšených kontrol väzieb.

    CVE-ID

    CVE-2013-1019: Tom Gallagher (Microsoft) a Paul Bates (Microsoft) v spolupráci s programom Zero Day Initiative spoločnosti HP

  • Ochrana údajov

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácie by mohli obísť obmedzenia týkajúce sa počtu pokusov o zadanie prístupového kódu

    Popis: V ochrane údajov existoval problém so separáciou práv. Aplikácia v izolovanom priestore tretej strany sa mohla opakovane pokúšať o zistenie prístupového kódu používateľa bez ohľadu na nastavenie vymazávania údajov, ktoré si nastavil používateľ. Tento problém bol vyriešený vykonávaním ďalších kontrol oprávnení.

    CVE-ID

    CVE-2013-0957: Jin Han z inštitútu Institute for Infocomm Research v spolupráci s pracovníkmi Qiang Yan a Su Mon Kywe z univerzity Singapore Management University

  • Zabezpečenie údajov

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník s privilegovanou pozíciou v sieti môže zachytávať poverenia používateľov alebo iné citlivé informácie

    Popis: TrustWave, dôveryhodná certifikačná autorita, vydala a následne zamietla certifikát podriadenej certifikačnej autority v jednom vo svojich dôveryhodných certifikátoch. Táto podriadená certifikačná autorita využívala zachytávanie komunikácie zabezpečenej protokolom TLS (Transport Layer Security). Táto aktualizácia pridala v systéme OS X certifikát danej podriadenej certifikačnej autority do zoznamu nedôveryhodných certifikátov.

    CVE-ID

    CVE-2013-5134

  • dyld

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník, ktorý má spustený ľubovoľný kód v zariadení, môže pokračovať v jeho spúšťaní aj po reštartoch

    Popis: Vo funkcii dyld openSharedCacheFile() dochádzalo k viacerým pretečeniam medzipamäte. Tieto problémy boli vyriešené vylepšením kontroly väzieb.

    CVE-ID

    CVE-2013-3950: Stefan Esser

  • Systémy súborov

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník, ktorý dokáže pripojiť iný systém súborov ako HFS, môže spôsobiť neočakávané ukončenie systému alebo spustenie ľubovoľného kódu s právami jadra

    Popis: V spracovaní súborov AppleDouble existoval problém súvisiaci s poškodením pamäte. Tento problém bol vyriešený odstránením podpory súborov AppleDouble.

    CVE-ID

    CVE-2013-3955: Stefan Esser

  • ImageIO

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Zobrazenie súboru PDF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní dát s kódovaním JPEG2000 v súboroch PDF dochádzalo k pretečeniu medzipamäte. Tento problém bol vyriešený dodatočnou kontrolou rozsahu.

    CVE-ID

    CVE-2013-1026: Felix Groebert z tímu spoločnosti Google pre zabezpečenie

  • IOKit

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácie spustené na pozadí mohli zaviesť udalosti používateľského rozhrania do aplikácií spustených v popredí

    Popis: Aplikácie spustené na pozadí dokázali zaviesť udalosti používateľského rozhrania do aplikácií spustených v popredí použitím rozhrania API aplikácie VoIP alebo rozhrania na vykonávanie úloh. Tento problém bol vyriešený vynúteným nasadením prístupových ovládacích prvkov v procesoch vykonávaných v popredí a na pozadí, ktoré spracovávajú udalosti rozhrania.

    CVE-ID

    CVE-2013-5137: Mackenzie Straight v Mobile Labs

  • IOKitUser

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Škodlivá lokálna aplikácia mohla spôsobiť neočakávané ukončenie systému

    Popis: V IOCatalogue existovala dereferencia na nulový ukazovateľ. Tento problém bol vyriešený vykonávaním dodatočných kontrol zadávania znakov.

    CVE-ID

    CVE-2013-5138: Will Estes

  • IOSerialFamily

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Spustenie škodlivej aplikácie mohlo viesť k spusteniu ľubovoľného kódu v jadre

    Popis: V ovládači IOSerialFamily existoval prístup k poli mimo rozsahu. Tento problém bol vyriešený dodatočnou kontrolou rozsahu.

    CVE-ID

    CVE-2013-5139: @dent1zt

  • IPSec

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník môže zachytiť údaje chránené autentifikáciou IPSec Hybrid Auth

    Popis: Názov DNS servera IPSec Hybrid Auth nebolo možné párovať s certifikátom, čo útočníkovi s certifikátom pre ľubovoľný server umožňovalo predstierať identitu ľubovoľného iného servera. Tento problém bol vyriešený vylepšením kontroly certifikátov.

    CVE-ID

    CVE-2013-1028: Alexander Traud z www.traud.de

  • Jadro

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Vzdialený útočník môže spôsobiť neočakávané reštartovanie zariadenia

    Popis: Odoslanie neplatného fragmentu paketu do zariadenia môže spôsobiť, že sa v jadre vykoná akcia spustenia, ktorá má za následok reštartovanie zariadenia. Tento problém bol vyriešený vykonávaním ďalšieho overovania fragmentov paketov.

    CVE-ID

    CVE-2013-5140: Joonas Kuorilehto zo spoločnosti Codenomicon, anonymný výskumný pracovník spolupracujúci s CERT-FI, Antti Levomäki a Lauri Virtanen z Vulnerability Analysis Group, Stonesoft

  • Jadro

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Škodlivá lokálna aplikácia mohla spôsobiť zlyhanie zariadenia

    Popis: Zraniteľnosť súvisiaca so skracovaním celých čísiel v rozhraní soketov v jadre mohla byť zneužitá na vynútené zacyklenie procesora do nekonečnej slučky. Problém bol vyriešený použitím väčšej premennej.

    CVE-ID

    CVE-2013-5141: CESG

  • Jadro

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník v lokálnej sieti môže spôsobiť odmietnutie služby

    Popis: Útočník v lokálnej sieti môže odoslať špeciálne vytvorené pakety IPv6 ICMP a môže zapríčiniť preťaženie procesora. Problém bol vyriešený nasadením rýchlosti, ktorá limituje pakety ICMP pred overením ich kontrolného súčtu.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Jadro

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Môže dôjsť k odtajneniu pamäte zásobníka jadra lokálnym používateľom

    Popis: V rozhraniach API msgctl a segctl existoval problém s odtajňovaním informácií. Tento problém vyriešený inicializovaním údajových štruktúr vrátených z jadra.

    CVE-ID

    CVE-2013-5142: Kenzley Alphonse zo spoločnosti Kenx Technology, Inc.

  • Jadro

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Neoprávnené procesy mohli získať prístup k obsahu pamäte jadra, čo mohlo mať za následok zvýšenie úrovne práv

    Popis: V rozhraní API mach_port_space_info existoval problém s únikom informácií. Tento problém vyriešený inicializovaním poľa iin_collision v štruktúrach vrátených z jadra.

    CVE-ID

    CVE-2013-3953: Stefan Esser

  • Jadro

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Neoprávnené procesy môžu spôsobiť neočakávané ukončenie systému alebo spustenie ľubovoľného kódu v jadre

    Popis: V spracovaní argumentov rozhrania API posix_spawn existoval problém súvisiaci s poškodením pamäte. Tento problém bol vyriešený dodatočnou kontrolou rozsahu.

    CVE-ID

    CVE-2013-3954: Stefan Esser

  • Kext Management

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Neautorizovaný proces môže modifikovať súbor načítaných rozšírení jadra

    Popis: V spracovaní správ IPC od neautentifikovaných používateľov funkciou kextd sa vyskytoval problém. Tento problém bol vyriešený pridaním ďalších kontrol autorizácie.

    CVE-ID

    CVE-2013-5145: „Rainbow PRISM“

  • libxml

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Zobrazenie webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: V knižnici libxml existovalo viacero problémov súvisiacich s poškodením pamäte. Tieto problémy boli vyriešené aktualizáciou knižnice libxml na verziu 2.9.0.

    CVE-ID

    CVE-2011-3102: Jüri Aedla

    CVE-2012-0841

    CVE-2012-2807: Jüri Aedla

    CVE-2012-5134: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome (Jüri Aedla)

  • libxslt

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Zobrazenie webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: V knižnici libxslt existovalo viacero problémov súvisiacich s poškodením pamäte. Tieto problémy boli vyriešené aktualizáciou knižnice libxslt na verziu 1.1.28.

    CVE-ID

    CVE-2012-2825: Nicolas Gregoire

    CVE-2012-2870: Nicolas Gregoire

    CVE-2012-2871: Kai Lu z FortiGuard Labs spoločnosti Fortinet, Nicolas Gregoire

  • Uzamykanie heslom

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Osoba s fyzickým prístupom k zariadeniu môže obísť uzamknutie obrazovky

    Popis: Pri spracovávaní telefonických hovorov a vysunutia karty SIM na zamknutej ploche dochádzalo k problému s postupnosťou vykonania procesov. Tento problém bol vyriešený vylepšením správy stavu uzamknutia.

    CVE-ID

    CVE-2013-5147: videosdebarraquito

  • Zdieľanie internetu

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník sa môže pripojiť k sieti cez funkciu Zdieľanie internetu

    Popis: V generovaní hesiel funkcie Zdieľanie internetu existoval problém, ktorý generoval heslá potenciálne predvídateľné útočníkom, ktorý ich mohol zneužiť na pripojenie k funkcii Zdieľanie internetu používateľa. Problém bol vyriešený generovaním hesiel s vyššou entropiou.

    CVE-ID

    CVE-2013-4616: Andreas Kurtz zo spoločnosti NESO Security Labs a Daniel Metz z univerzity University Erlangen-Nuremberg

  • Push hlásenia

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: V rozpore s rozhodnutím používateľa mohlo dôjsť k úniku tokenu push hlásení

    Popis: V registrácii push hlásení existoval problém s únikom informácií. Aplikácie požadujúce prístup k používaniu push hlásení získali token skôr, ako používanie push hlásení aplikáciou schválil používateľ. Tento problém bol vyriešený pozdržaním prístupu k tokenu dovtedy, kým ho neschváli používateľ.

    CVE-ID

    CVE-2013-5149: Jack Flintermann zo spoločnosti Grouper, Inc.

  • Safari

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: V spracovaní súborov XML existoval problém súvisiaci s poškodením pamäte. Tento problém bol vyriešený dodatočnou kontrolou rozsahu.

    CVE-ID

    CVE-2013-1036: Kai Lu z laboratória FortiGuard Labs spoločnosti Fortinet

  • Safari

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: História naposledy navštívených stránok môže zostať na otvorenej karte aj po vymazaní histórie

    Popis: Vymazaním histórie v prehliadači Safari sa nevymazala história dostupná po kliknutí na ikonu na pohyb dopredu alebo dozadu na otvorených kartách. Tento problém bol vyriešený vymazaním histórie dostupnej po kliknutí na ikonu na pohyb dopredu alebo dozadu.

    CVE-ID

    CVE-2013-5150

  • Safari

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Zobrazenie súborov na webovej stránke môže viesť k spusteniu skriptu napriek tomu, že server odoslal hlavičku 'Content-Type: text/plain'

    Popis: Mobilný prehliadač Safari občas spracovával súbory ako súbory HTML napriek tomu, že server odoslal hlavičku 'Content-Type: text/plain'. To môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami, ktorý môžu používatelia zneužiť na nahrávanie súborov. Tento problém bol vyriešený zlepšením spracovávania súborov pri nastavení hlavičky 'Content-Type: text/plain'.

    CVE-ID

    CVE-2013-5151: Ben Toews zo spoločnosti Github

  • Safari

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže umožniť zobrazenie voliteľnej adresy URL

    Popis: V mobilnom prehliadači Safari existoval problém s predstieraním panela s adresou URL. Tento problém bol vyriešený vylepšením sledovania adries URL.

    CVE-ID

    CVE-2013-5152: Keita Haga z keitahaga.com, Łukasz Pilorz zo spoločnosti RBS

  • Sandbox

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácie, ktoré sú skripty, neboli presúvané do izolovaného priestoru

    Popis: Aplikácie, ktoré používali syntax #! na spúšťanie skriptu, boli presúvané do izolovaného priestoru na základe identity prekladača skriptu, nie identity skriptu. Prekladač nemusel mať definovaný izolovaný priestor, čo mohlo mať za následok spustenie aplikácie bez jej presunutia do izolovaného priestoru. Problém bol vyriešený vytvorením izolovaného priestoru na základe identity skriptu.

    CVE-ID

    CVE-2013-5154: evad3rs

  • Sandbox

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácie môžu spôsobiť zlyhanie systému

    Popis: Aplikácie tretích strán so škodlivým kódom, ktoré zapísali špecifické hodnoty do zariadenia /dev/random, mohli vynútiť prechod procesora do nekonečnej slučky. Tento problém bol vyriešený tak, že sa aplikáciám tretích strán znemožnilo zapisovanie do zariadenia /dev/random.

    CVE-ID

    CVE-2013-5155: CESG

  • Sociálne siete

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Posledná aktivita používateľa na Twitteri mohla byť odtajnená v zariadeniach bez nastaveného hesla.

    Popis: Existoval problém, ktorý umožňoval zistiť, ktoré účty Twitter používateľ naposledy používal. Tento problém bol vyriešený obmedzením prístupu do vyrovnávacej pamäte ikon služby Twitter.

    CVE-ID

    CVE-2013-5158: Jonathan Zdziarski

  • Springboard

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Osoba, ktorá má fyzický prístup k zariadeniu v režime strateného zariadenia, môže zobraziť hlásenia

    Popis: Pri spracovávaní hlásení v zariadení nachádzajúcom sa v režime straty dochádzalo k problému. Táto aktualizácia rieši problém vylepšením správy stavu uzamknutia.

    CVE-ID

    CVE-2013-5153: Daniel Stangroom

  • Telefónne funkcie

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácie so škodlivým kódom mohli ovplyvňovať alebo ovládať funkčnosť telefónnych funkcií

    Popis: V telefónnom podsystéme existoval problém s riadením prístupu. Po obídení podporovaných rozhraní API mohli aplikácie v izolovanom priestore zadávať požiadavky priamo systémovej službe daemon a tak ovplyvňovať alebo ovládať funkčnosť telefónnych služieb. Tento problém bol vyriešený vynúteným nasadením prístupových ovládacích prvkov v rozhraniach poskytovaných službou daemon telefónneho podsystému.

    CVE-ID

    CVE-2013-5156: Jin Han z inštitútu Institute for Infocomm Research v spolupráci s pracovníkmi Qiang Yan a Su Mon Kywe z univerzity Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung a Wenke Lee z inštitútu Georgia Institute of Technology

  • Twitter

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácie v izolovanom priestore mohli posielať tweety bez interakcie alebo povolenia používateľa

    Popis: V podsystéme služby Twitter existoval problém s riadením prístupu. Po obídení podporovaných rozhraní API mohli aplikácie v izolovanom priestore zadávať požiadavky priamo systémovej službe daemon a tak ovplyvňovať alebo ovládať funkčnosť služby Twitter. Tento problém bol vyriešený vynúteným nasadením prístupových ovládacích prvkov v rozhraniach poskytovaných službou daemon služby Twitter.

    CVE-ID

    CVE-2013-5157: Jin Han z inštitútu Institute for Infocomm Research v spolupráci s pracovníkmi Qiang Yan a Su Mon Kywe z univerzity Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung a Wenke Lee z inštitútu Georgia Institute of Technology

  • WebKit

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: V mechanizme WebKit existovalo viacero problémov súvisiacich s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2013-0879: Atte Kettunen zo spoločnosti OUSPG

    CVE-2013-0991: Jay Civelli z vývojovej komunity projektu Chromium

    CVE-2013-0992: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome (Martin Barbella)

    CVE-2013-0993: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome (Inferno)

    CVE-2013-0994: David German zo spoločnosti Google

    CVE-2013-0995: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome (Inferno)

    CVE-2013-0996: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome (Inferno)

    CVE-2013-0997: Vitaliy Toropov v spolupráci s projektom Zero Day Initiative spoločnosti HP

    CVE-2013-0998: pa_kt v spolupráci s projektom Zero Day Initiative spoločnosti HP

    CVE-2013-0999: pa_kt v spolupráci s projektom Zero Day Initiative spoločnosti HP

    CVE-2013-1000: Fermin J. Serna z tímu spoločnosti Google pre zabezpečenie

    CVE-2013-1001: Ryan Humenick

    CVE-2013-1002: Sergej Glazunov

    CVE-2013-1003: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome (Inferno)

    CVE-2013-1004: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome (Martin Barbella)

    CVE-2013-1005: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome (Martin Barbella)

    CVE-2013-1006: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome (Martin Barbella)

    CVE-2013-1007: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome (Inferno)

    CVE-2013-1008: Sergej Glazunov

    CVE-2013-1010: miaubiz

    CVE-2013-1037: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2013-1038: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2013-1039: own-hero Research v spolupráci s programom iDefense VCP

    CVE-2013-1040: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2013-1041: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2013-1042: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2013-1043: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2013-1044: Apple

    CVE-2013-1045: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2013-1046: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2013-1047: miaubiz

    CVE-2013-2842: Cyril Cattiaux

    CVE-2013-5125: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2013-5126: Apple

    CVE-2013-5127: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2013-5128: Apple

  • WebKit

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku informácií

    Popis: Pri spracovávaní rozhrania API window.webkitRequestAnimationFrame() dochádzalo k problému s únikom informácií. Webová stránka so škodlivým kódom mohla použiť rámec iframe a zistiť, či iná stránka použila funkciu window.webkitRequestAnimationFrame(). Tento problém bol vyriešený vylepšením spracovávania funkcie window.webkitRequestAnimationFrame().

    CVE-ID

    CVE-2013-5159
  • WebKit

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Kopírovanie a vloženie škodlivého úryvku kódu HTML môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)

    Popis: Pri spracovávaní skopírovaných a vložených údajov v dokumentoch HTML dochádzalo k problému súvisiacemu so skriptovaním medzi lokalitami. Tento problém bol vyriešený prostredníctvom ďalšieho overovania vloženého obsahu.

    CVE-ID

    CVE-2013-0926: Aditya Gupta, Subho Halder a Dev Kar zo spoločnosti xys3c (xysec.com)

  • WebKit

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)

    Popis: V spracovaní rámcov iframe existoval problém súvisiaci so skriptovaním medzi lokalitami. Tento problém bol vyriešený vylepšením sledovania pôvodu.

    CVE-ID

    CVE-2013-1012: Subodh Iyengar a Erling Ellingsen zo spoločnosti Facebook

  • WebKit

    K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku informácií

    Popis: V XSSAuditor existoval problém s únikom informácií. Tento problém bol vyriešený vylepšením spracovávania adries URL.

    CVE-ID

    CVE-2013-2848: Egor Homakov

  • WebKit

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Potiahnutie alebo vloženie výberu môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami

    Popis: Potiahnutie alebo vloženie výberu z jednej webovej stránky na druhú mohlo umožniť spustenie skriptov obsiahnutých vo výbere v kontexte novej stránky. Problém bol vyriešený overovaním obsahu pred vykonaním operácie vloženia alebo potiahnutia.

    CVE-ID

    CVE-2013-5129: Mario Heiderich

  • WebKit

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)

    Popis: Pri spracovávaní adries URL dochádzalo k problému súvisiacemu so skriptovaním medzi lokalitami. Tento problém bol vyriešený vylepšením sledovania pôvodu.

    CVE-ID

    CVE-2013-5131: Erling A Ellingsen

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: