Obsah zabezpečenia v systéme iOS 7.1.2

V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 7.1.2.

S cieľom ochrany svojich zákazníkov spoločnosť Apple neposkytuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problém úplne nepreskúma a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Ďalšie informácie o aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

iOS 7.1.2

  • Politika dôveryhodnosti certifikátov

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aktualizácia politiky dôveryhodnosti certifikátov

    Popis: Politika dôveryhodnosti certifikátov bola aktualizovaná. Úplný zoznam certifikátov nájdete v článku iOS 8: Zoznam dôveryhodných koreňových certifikátov.

  • CoreGraphics

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Zobrazenie súboru XBM so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávanie súborov XBM dochádzalo k problémom s neobmedzeným prideľovaním zásobníkov. Tento problém bol vyriešený vylepšenou kontrolou rozsahu.

    CVE-ID

    CVE-2014-1354: Dima Kovalenko z codedigging.com

  • Jadro

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia mohla spôsobiť neočakávané reštartovanie zariadenia

    Popis: Pri spracovávaní argumentov rozhrania API funkcie IOKit dochádzalo k dereferencii nulového ukazovateľa. Tento problém bol vyriešený ďalším overovaním argumentov rozhrania API funkcie IOKit.

    CVE-ID

    CVE-2014-1355: cunzhang z laboratória Adlab spoločnosti Venustech

  • launchd

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni systému

    Popis: Keď funkcia launchd spracovávala správy IPC, dochádzalo k pretečeniu medzipamäte haldy. Tento problém bol vyriešený vylepšenou kontrolou rozsahu.

    CVE-ID

    CVE-2014-1356: Ian Beer z tímu Google Project Zero

  • launchd

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni systému

    Popis: Keď funkcia launchd spracovávala správy protokolu, dochádzalo k pretečeniu medzipamäte haldy. Tento problém bol vyriešený vylepšenou kontrolou rozsahu.

    CVE-ID

    CVE-2014-1357: Ian Beer z tímu Google Project Zero

  • launchd

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni systému

    Popis: Vo funkcii launchd dochádzalo k pretečeniu celočíselný hodnôt. Tento problém bol vyriešený vylepšenou kontrolou rozsahu.

    CVE-ID

    CVE-2014-1358: Ian Beer z tímu Google Project Zero

  • launchd

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni systému

    Popis: Vo funkcii launchd dochádzalo k podtečeniu celočíselný hodnôt. Tento problém bol vyriešený vylepšenou kontrolou rozsahu.

    CVE-ID

    CVE-2014-1359: Ian Beer z tímu Google Project Zero

  • Uzamknutie

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník s prístupom k zariadeniu so systémom iOS môže teoreticky obísť funkciu Zámok aktivácie

    Popis: Zariadenia počas svojej aktivácie vykonávali neúplné overovania, takže útočníci mohli čiastočne obchádzať funkciu Zámok aktivácie. Tento problém bol vyriešený tým, že na strane klienta bolo pridané dodatočné overovanie dát prijatých z aktivačných serverov.

    CVE-ID

    CVE-2014-1360

  • Zamknutá plocha

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník s prístupom k zariadeniu môže prekročiť maximálny počet neúspešných pokusov o zadanie hesla

    Popis: V niektorých prípadoch sa neuplatňoval limit neúspešných pokusov o zadanie hesla. Tento problém bol vyriešený prísnejším uplatňovaním tohto limitu.

    CVE-ID

    CVE-2014-1352: mblsec

  • Zamknutá plocha

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Popis: Osoba s fyzickým prístupom k uzamknutému zariadeniu môže získať prístup k aplikácii, ktorá sa pred uzamknutím nachádzala v popredí

    Popis: Pri spracovávaní stavu telefonického prenosu v režime lietadlo dochádzalo k problému so správou stavu. Tento problém bol vyriešený vylepšenou správou stavu v režime lietadlo.

    CVE-ID

    CVE-2014-1353

  • Mail

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Z iPhonu 4 možno získať prílohy aplikácie Mail

    Popis: Pre prílohy e-mailov nebola aktivovaná ochrana dát, takže útočník s fyzickým prístupom k zariadeniu ich mohol čítať. Tento problém bol vyriešený zmenou triedy šifrovania príloh e-mailov.

    CVE-ID

    CVE-2014-1348: Andreas Kurtz z laboratória NESO Security Labs

  • Safari

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní neplatných adries URL aplikáciu Safari dochádzalo k problému s použitím po uvoľnení. Tento problém bol vyriešený vylepšením spracovania pamäte.

    CVE-ID

    CVE-2014-1349: Reno Robert a Dhanesh Kizhakkinan

  • Nastavenia

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Popis: Osoba s fyzickým prístupom k zariadeniu môže vypnúť funkciu Nájsť môj iPhone bez zadania hesla účtu iCloud.

    Popis: Pri spracovávaní stavu funkcie Nájsť môj iPhone dochádzalo k problému so správou stavu. Tento problém bol vyriešený vylepšením spracovávania stavu funkcie Nájsť môj iPhone.

    CVE-ID

    CVE-2014-1350

  • Zabezpečený prenos

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Dva bajty neinicializovanej pamäte mohli byť odhalené vzdialenému útočníkovi

    Popis: Pri spracovávaní správ DTLS v pripojení TLS dochádzalo k problému s prístupom k neinicializovanej pamäti. Tento problém bol vyriešený akceptovaním správ DTLS len pri používaní pripojenia DTLS.

    CVE-ID

    CVE-2014-1361: Thijs Alkemade z projektu The Adium Project

  • Siri

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad (3. generácia) a novší

    Dopad: Osoba s fyzickým prístupom k telefónu môže zobraziť všetky kontakty

    Popis: Ak sa požiadavka na Siri týkala jedného z viacerých možných kontaktov, Siri zobrazila zoznam možných volieb a možnosť „Viac...“, ktorá umožňovala zobraziť všetky kontakty. Pri používaní na zamknutej ploche nevyžadovala Siri heslo na zobrazenie úplného zoznamu kontaktov. Tento problém bol vyriešený vyžadovaním hesla.

    CVE-ID

    CVE-2014-1351: Sherif Hashim

  • WebKit

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: V mechanizme WebKit existovalo viacero problémov súvisiacich s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2013-2875: miaubiz

    CVE-2013-2927: cloudfuzzer

    CVE-2014-1323: banty

    CVE-2014-1325: Apple

    CVE-2014-1326: Apple

    CVE-2014-1327: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome, Apple

    CVE-2014-1329: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2014-1330: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2014-1331: cloudfuzzer

    CVE-2014-1333: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2014-1334: Apple

    CVE-2014-1335: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2014-1336: Apple

    CVE-2014-1337: Apple

    CVE-2014-1338: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2014-1339: Atte Kettunen zo spoločnosti OUSPG

    CVE-2014-1341: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2014-1342: Apple

    CVE-2014-1343: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2014-1362: Apple, miaubiz

    CVE-2014-1363: Apple

    CVE-2014-1364: Apple

    CVE-2014-1365: Apple, tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2014-1366: Apple

    CVE-2014-1367: Apple

    CVE-2014-1368: Wushi z tímu Keen Team (výskumný tím organizácie Keen Cloud Tech)

    CVE-2014-1382: Renata Hodovan zo Segedínskej univerzity/Samsung Electronics

    CVE-2014-1731: anonymný člen vývojovej komunity Blink

  • WebKit

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Stránka so škodlivým kódom môže odosielať správy do pripojeného rámca alebo okna spôsobom, ktorý by mohol obísť kontrolu pôvodu na strane príjemcu

    Popis: V spracovaní znakov Unicode v adresách URL existoval problém s kódovaním. Škodlivá adresa URL mohla viesť k odoslaniu nesprávneho pôvodu funkcie postMessage. Tento problém bol vyriešený vylepšením kódovania a dekódovania.

    CVE-ID

    CVE-2014-1346: Erling Ellingsen zo spoločnosti Facebook

  • WebKit

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Webová stránka so škodlivým kódom môže sfalšovať názov svojej domény na paneli s adresou

    Popis: Pri spracovávaní adries URL dochádzalo k problému s falšovaním. Tento problém bol vyriešený vylepšením kódovania adries URL.

    CVE-ID

    CVE-2014-1345: Erling Ellingsen zo spoločnosti Facebook

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: