S cieľom ochrany svojich zákazníkov spoločnosť Apple neposkytuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problém úplne nepreskúma a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.
Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.
Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.
Ďalšie informácie o aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.
iOS 7.1.2
-
Politika dôveryhodnosti certifikátov
K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aktualizácia politiky dôveryhodnosti certifikátov
Popis: Politika dôveryhodnosti certifikátov bola aktualizovaná. Úplný zoznam certifikátov nájdete v článku iOS 8: Zoznam dôveryhodných koreňových certifikátov.
-
CoreGraphics
K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Zobrazenie súboru XBM so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri spracovávanie súborov XBM dochádzalo k problémom s neobmedzeným prideľovaním zásobníkov. Tento problém bol vyriešený vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2014-1354: Dima Kovalenko z codedigging.com
-
Jadro
K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia mohla spôsobiť neočakávané reštartovanie zariadenia
Popis: Pri spracovávaní argumentov rozhrania API funkcie IOKit dochádzalo k dereferencii nulového ukazovateľa. Tento problém bol vyriešený ďalším overovaním argumentov rozhrania API funkcie IOKit.
CVE-ID
CVE-2014-1355: cunzhang z laboratória Adlab spoločnosti Venustech
-
launchd
K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni systému
Popis: Keď funkcia launchd spracovávala správy IPC, dochádzalo k pretečeniu medzipamäte haldy. Tento problém bol vyriešený vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2014-1356: Ian Beer z tímu Google Project Zero
-
launchd
K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni systému
Popis: Keď funkcia launchd spracovávala správy protokolu, dochádzalo k pretečeniu medzipamäte haldy. Tento problém bol vyriešený vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2014-1357: Ian Beer z tímu Google Project Zero
-
launchd
K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni systému
Popis: Vo funkcii launchd dochádzalo k pretečeniu celočíselný hodnôt. Tento problém bol vyriešený vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2014-1358: Ian Beer z tímu Google Project Zero
-
launchd
K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni systému
Popis: Vo funkcii launchd dochádzalo k podtečeniu celočíselný hodnôt. Tento problém bol vyriešený vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2014-1359: Ian Beer z tímu Google Project Zero
-
Uzamknutie
K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Útočník s prístupom k zariadeniu so systémom iOS môže teoreticky obísť funkciu Zámok aktivácie
Popis: Zariadenia počas svojej aktivácie vykonávali neúplné overovania, takže útočníci mohli čiastočne obchádzať funkciu Zámok aktivácie. Tento problém bol vyriešený tým, že na strane klienta bolo pridané dodatočné overovanie dát prijatých z aktivačných serverov.
CVE-ID
CVE-2014-1360
-
Zamknutá plocha
K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Útočník s prístupom k zariadeniu môže prekročiť maximálny počet neúspešných pokusov o zadanie hesla
Popis: V niektorých prípadoch sa neuplatňoval limit neúspešných pokusov o zadanie hesla. Tento problém bol vyriešený prísnejším uplatňovaním tohto limitu.
CVE-ID
CVE-2014-1352: mblsec
-
Zamknutá plocha
K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Popis: Osoba s fyzickým prístupom k uzamknutému zariadeniu môže získať prístup k aplikácii, ktorá sa pred uzamknutím nachádzala v popredí
Popis: Pri spracovávaní stavu telefonického prenosu v režime lietadlo dochádzalo k problému so správou stavu. Tento problém bol vyriešený vylepšenou správou stavu v režime lietadlo.
CVE-ID
CVE-2014-1353
-
Mail
K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Z iPhonu 4 možno získať prílohy aplikácie Mail
Popis: Pre prílohy e-mailov nebola aktivovaná ochrana dát, takže útočník s fyzickým prístupom k zariadeniu ich mohol čítať. Tento problém bol vyriešený zmenou triedy šifrovania príloh e-mailov.
CVE-ID
CVE-2014-1348: Andreas Kurtz z laboratória NESO Security Labs
-
Safari
K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri spracovávaní neplatných adries URL aplikáciu Safari dochádzalo k problému s použitím po uvoľnení. Tento problém bol vyriešený vylepšením spracovania pamäte.
CVE-ID
CVE-2014-1349: Reno Robert a Dhanesh Kizhakkinan
-
Nastavenia
K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Popis: Osoba s fyzickým prístupom k zariadeniu môže vypnúť funkciu Nájsť môj iPhone bez zadania hesla účtu iCloud.
Popis: Pri spracovávaní stavu funkcie Nájsť môj iPhone dochádzalo k problému so správou stavu. Tento problém bol vyriešený vylepšením spracovávania stavu funkcie Nájsť môj iPhone.
CVE-ID
CVE-2014-1350
-
Zabezpečený prenos
K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Dva bajty neinicializovanej pamäte mohli byť odhalené vzdialenému útočníkovi
Popis: Pri spracovávaní správ DTLS v pripojení TLS dochádzalo k problému s prístupom k neinicializovanej pamäti. Tento problém bol vyriešený akceptovaním správ DTLS len pri používaní pripojenia DTLS.
CVE-ID
CVE-2014-1361: Thijs Alkemade z projektu The Adium Project
-
Siri
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad (3. generácia) a novší
Dopad: Osoba s fyzickým prístupom k telefónu môže zobraziť všetky kontakty
Popis: Ak sa požiadavka na Siri týkala jedného z viacerých možných kontaktov, Siri zobrazila zoznam možných volieb a možnosť „Viac...“, ktorá umožňovala zobraziť všetky kontakty. Pri používaní na zamknutej ploche nevyžadovala Siri heslo na zobrazenie úplného zoznamu kontaktov. Tento problém bol vyriešený vyžadovaním hesla.
CVE-ID
CVE-2014-1351: Sherif Hashim
-
WebKit
K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: V mechanizme WebKit existovalo viacero problémov súvisiacich s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.
CVE-ID
CVE-2013-2875: miaubiz
CVE-2013-2927: cloudfuzzer
CVE-2014-1323: banty
CVE-2014-1325: Apple
CVE-2014-1326: Apple
CVE-2014-1327: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome, Apple
CVE-2014-1329: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2014-1330: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2014-1331: cloudfuzzer
CVE-2014-1333: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2014-1334: Apple
CVE-2014-1335: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2014-1336: Apple
CVE-2014-1337: Apple
CVE-2014-1338: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2014-1339: Atte Kettunen zo spoločnosti OUSPG
CVE-2014-1341: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2014-1342: Apple
CVE-2014-1343: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2014-1362: Apple, miaubiz
CVE-2014-1363: Apple
CVE-2014-1364: Apple
CVE-2014-1365: Apple, tím spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2014-1366: Apple
CVE-2014-1367: Apple
CVE-2014-1368: Wushi z tímu Keen Team (výskumný tím organizácie Keen Cloud Tech)
CVE-2014-1382: Renata Hodovan zo Segedínskej univerzity/Samsung Electronics
CVE-2014-1731: anonymný člen vývojovej komunity Blink
-
WebKit
K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Stránka so škodlivým kódom môže odosielať správy do pripojeného rámca alebo okna spôsobom, ktorý by mohol obísť kontrolu pôvodu na strane príjemcu
Popis: V spracovaní znakov Unicode v adresách URL existoval problém s kódovaním. Škodlivá adresa URL mohla viesť k odoslaniu nesprávneho pôvodu funkcie postMessage. Tento problém bol vyriešený vylepšením kódovania a dekódovania.
CVE-ID
CVE-2014-1346: Erling Ellingsen zo spoločnosti Facebook
-
WebKit
K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Webová stránka so škodlivým kódom môže sfalšovať názov svojej domény na paneli s adresou
Popis: Pri spracovávaní adries URL dochádzalo k problému s falšovaním. Tento problém bol vyriešený vylepšením kódovania adries URL.
CVE-ID
CVE-2014-1345: Erling Ellingsen zo spoločnosti Facebook