Obsah zabezpečenia v systéme iOS 7.1.1

V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 7.1.1.

S cieľom ochrany svojich zákazníkov spoločnosť Apple neposkytuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problém úplne nepreskúma a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

iOS 7.1.1

  • CFNetwork HTTPProtocol

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník s oprávneniami v sieti môže získať prihlasovacie údaje webových stránok

    Popis: Hlavičky Set-Cookie protokolu HTTP sa spracovávali aj v prípade, ak sa pripojenie ukončilo pred dokončením riadka hlavičky. Útočník mohol získať nastavenia zabezpečenia zo súboru cookie vynútením ukončenia pripojenia pred odoslaním nastavení zabezpečenia a následne získať hodnotu nezabezpečeného súboru cookie. Tento problém bol vyriešený ignorovaním neúplných riadkov hlavičky protokolu HTTP.

    CVE-ID

    CVE-2014-1296: Antoine Delignat-Lavaud z tímu Prosecco v spoločnosti Inria Paris

  • Jadro IOKit

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálny používateľ môže čítať ukazovatele jadra, pomocou ktorých možno obísť náhodné usporiadanie rozloženia priestoru adries jadra

    Popis: Skupinu ukazovateľov jadra uložených v objekte IOKit bolo možné načítať z priestoru používateľov. Tento problém bol vyriešený odstránením ukazovateľov z objektu.

    CVE-ID

    CVE-2014-1320: Ian Beer z tímu Google Project Zero v spolupráci s iniciatívou Zero Day Initiative spoločnosti HP

  • Zabezpečenie – zabezpečený prenos

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník s oprávneniami v sieti môže zachytiť údaje alebo zmeniť operácie vykonávané v reláciách chránených šifrovaním SSL

    Popis: Pri útoku využívajúcom trojitú synchronizáciu mohol útočník vytvoriť dve pripojenia s rovnakými šifrovacími kľúčmi a synchronizáciou, vložiť svoje údaje do jedného pripojenia a vyvolať opätovné vyjednávanie, vďaka čomu bolo možné presmerovať pripojenia medzi sebou. S cieľom zabrániť útokom využívajúcim tento scenár bol zabezpečený prenos zmenený tak, aby bolo pri opätovnom vyjednávaní na základe predvoleného nastavenia potrebné predložiť rovnaký serverový certifikát ako v pôvodnom pripojení.

    CVE-ID

    CVE-2014-1295: Antoine Delignat-Lavaud, Karthikeyan Bhargavan a Alfredo Pironti z tímu Prosecco v spoločnosti Inria Paris

  • WebKit

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: V mechanizme WebKit existovalo viacero problémov súvisiacich s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2013-2871: miaubiz

    CVE-2014-1298: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2014-1299: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome, Apple, Renata Hodovan zo Segedínskej univerzity/Samsung Electronics

    CVE-2014-1300: Ian Beer z tímu Google Project Zero v spolupráci s projektom Zero Day Initiative spoločnosti HP

    CVE-2014-1302: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome, Apple

    CVE-2014-1303: KeenTeam v spolupráci s projektom Zero Day Initiative spoločnosti HP

    CVE-2014-1304: Apple

    CVE-2014-1305: Apple

    CVE-2014-1307: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2014-1308: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2014-1309: cloudfuzzer

    CVE-2014-1310: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2014-1311: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2014-1312: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2014-1313: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2014-1713: VUPEN v spolupráci s projektom Zero Day Initiative spoločnosti HP

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: