Obsah zabezpečenia v systéme iOS 7

V tomto dokumente sa opisuje obsah zabezpečenia v systéme iOS 7.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

iOS 7

  • Certificate Trust Policy

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Koreňové certifikáty boli aktualizované

    Popis: Do zoznamu systémových koreňových položiek bolo pridaných niekoľko certifikátov alebo z neho boli odstránené.

  • CoreGraphics

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Zobrazenie súboru PDF so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní dát s kódovaním JBIG2 v súboroch PDF dochádzalo k pretečeniu medzipamäte. Tento problém bol vyriešený dodatočnou kontrolou rozsahu.

    CVE-ID

    CVE-2013-1025: Felix Groebert z tímu Google Security Team

  • CoreMedia

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Prehrávanie filmového súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní filmových súborov s kódovaním Sorenson dochádzalo k pretečeniu medzipamäte. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2013-1019: Tom Gallagher (Microsoft) a Paul Bates (Microsoft) v spolupráci s projektom Zero Day Initiative spoločnosti HP

  • Data Protection

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Apky mohli obísť obmedzenia pri pokuse o zadanie kódu

    Popis: V komponente Data Protection dochádzalo k problému s oddelením práv. Apka v sandboxe od iného výrobcu sa mohla opakovane pokúsiť zistiť kód používateľa bez ohľadu na jeho nastavenie Vymazať dáta. Tento problém bol vyriešený vyžadovaním ďalších kontrol oprávnení.

    CVE-ID

    CVE-2013-0957: Jin Han z Institute for Infocomm Research v spolupráci s výskumníkmi Qiang Yan a Su Mon Kywe zo Singapore Management University

  • Data Security

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník s oprávneniami v sieti môže zachytiť prihlasovacie údaje používateľa alebo iné citlivé informácie

    Popis: TrustWave, dôveryhodná koreňová certifikačná autorita, vydala a následne zrušila podriadený certifikát CA v rámci jedného zo svojich dôveryhodných certifikátov najvyššej úrovne. Tento podriadený certifikát CA umožnil zachycovanie komunikácie zabezpečenej pomocou protokolu TLS (Transport Layer Security). Táto aktualizácia pridala príslušný podriadený certifikát CA do zoznamu nedôveryhodných certifikátov pre systém OS X.

    CVE-ID

    CVE-2013-5134

  • dyld

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník, ktorý získal možnosť spustiť v zariadení ľubovoľný kód, môže byť schopný zachovať si možnosť spúšťania kódu aj po reštartovaní

    Popis: Vo funkcii openSharedCacheFile() komponentu dyld dochádzalo k viacerým pretečeniam medzipamäte. Tieto problémy boli vyriešené vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2013-3950: Stefan Esser

  • File Systems

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník, ktorý dokáže pripojiť súborový systém iný než HFS, môže byť schopný spôsobiť neočakávané ukončenie činnosti systému alebo spustenie ľubovoľného kódu s oprávneniami jadra

    Popis: Pri spracovávaní súborov AppleDouble dochádzalo k problému s narušením pamäte. Tento problém bol vyriešený odstránením podpory súborov AppleDouble.

    CVE-ID

    CVE-2013-3955: Stefan Esser

  • ImageIO

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Zobrazenie súboru PDF so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní dát s kódovaním JPEG2000 v súboroch PDF dochádzalo k pretečeniu medzipamäte. Tento problém bol vyriešený dodatočnou kontrolou rozsahu.

    CVE-ID

    CVE-2013-1026: Felix Groebert z tímu Google Security Team

  • IOKit

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Apky na pozadí môžu vkladať udalosti používateľského rozhrania do apky v popredí

    Popis: Apky na pozadí mohli vkladať udalosti používateľského rozhrania do apky v popredí prostredníctvom rozhraní API na dokončenie úlohy alebo VoIP. Tento problém bol vyriešený vynútením riadenia prístupu v procesoch v popredí a na pozadí, ktoré spracúvajú udalosti rozhrania.

    CVE-ID

    CVE-2013-5137: Mackenzie Straight z tímu Mobile Labs

  • IOKitUser

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálna apka so škodlivým kódom mohla spôsobiť neočakávané ukončenie činnosti systému

    Popis: V komponente IOC dochádzalo k dereferencovaniu nulového smerníka. Tento problém bol vyriešený dodatočnou kontrolou typu.

    CVE-ID

    CVE-2013-5138: Will Estes

  • IOSerialFamily

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Spustenie apky so škodlivým kódom môže mať za následok spustenie ľubovoľného kódu v rámci jadra

    Popis: V ovládači IOSerialFamily dochádzalo k prístupu mimo rozsahu poľa. Tento problém bol vyriešený dodatočnou kontrolou rozsahu.

    CVE-ID

    CVE-2013-5139: @dent1zt

  • IPSec

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník môže zachytiť dáta chránené komponentom IPSec Hybrid Auth

    Popis: Názov DNS servera IPSec Hybrid Auth sa nezhodoval s certifikátom, čo útočníkovi s certifikátom pre ktorýkoľvek server umožňovalo vydávať sa za iný server. Tento problém bol vyriešený vylepšením kontroly certifikátov.

    CVE-ID

    CVE-2013-1028: Alexander Traud z tímu www.traud.de

  • Kernel

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Vzdialený útočník môže spôsobiť neočakávané reštartovanie zariadenia

    Popis: Odoslanie neplatného fragmentu paketu do zariadenia môže mať za následok spustenie vynútenia v jadre, čo vedie k reštartovaniu zariadenia. Tento problém bol vyriešený dodatočným overovaním fragmentov paketov.

    CVE-ID

    CVE-2013-5140: Joonas Kuorilehto z tímu Codenomicon, anonymný výskumník v spolupráci s tímom CERT-FI, Antti Levomäki a Lauri Virtanen z tímu Vulnerability Analysis Group, Stonesoft

  • Kernel

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálna apka so škodlivým kódom môže spôsobiť zablokovanie zariadenia

    Popis: Slabé miesto týkajúce sa orezávania celých čísel v rozhraní soketov jadra bolo možné využiť na vynútenie nekonečného cyklu procesora. Tento problém bol vyriešený použitím premennej s väčšou veľkosťou.

    CVE-ID

    CVE-2013-5141: CESG

  • Kernel

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník v lokálnej sieti môže spôsobiť odopretie služby

    Popis: Útočník v lokálnej sieti môže odosielať špeciálne vytvorené pakety ICMP protokolu IPv6 a spôsobiť vysoké zaťaženie procesora. Tento problém bol vyriešený obmedzením počtu paketov ICMP pred overením ich kontrolného súčtu.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kernel

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Pre lokálnych používateľov je možné sprístupniť pamäť zásobníka jadra

    Popis: V rozhraniach API msgctl a segctl dochádzalo k problému s únikom informácií. Tento problém bol vyriešený inicializáciou dátových štruktúr vrátených z jadra.

    CVE-ID

    CVE-2013-5142: Kenzley Alphonse zo spoločnosti Kenx Technology, Inc

  • Kernel

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Neprivilegované procesy mohli získať prístup k obsahu pamäte jadra, čo mohlo viesť k eskalácii oprávnení

    Popis: V rozhraní API mach_port_space_info dochádzalo k problému s únikom informácií. Tento problém bol vyriešený inicializáciou poľa iin_collision v štruktúrach vrátených z jadra.

    CVE-ID

    CVE-2013-3953: Stefan Esser

  • Kernel

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Neprivilegované procesy môžu spôsobiť neočakávané ukončenie činnosti systému alebo spustenie ľubovoľného kódu v jadre

    Popis: Pri spracovávaní argumentov rozhrania API posix_spawn dochádzalo k problému s narušením pamäte. Tento problém bol vyriešený dodatočnou kontrolou rozsahu.

    CVE-ID

    CVE-2013-3954: Stefan Esser

  • Kext Management

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Neoprávnený proces môže upraviť množinu načítaných rozšírení jadra

    Popis: Pri spracovávaní správ IPC od neoverených odosielateľov v démonovi kextd dochádzalo k problému. Tento problém bol vyriešený pridaním ďalších kontrol autorizácie.

    CVE-ID

    CVE-2013-5145: „Rainbow PRISM“

  • libxml

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Zobrazenie webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu

    Popis: V komponente libxml dochádzalo k viacerým problémom súvisiacim s narušením pamäte. Tieto problémy boli vyriešené aktualizovaním komponentu libxml na verziu 2.9.0.

    CVE-ID

    CVE-2011-3102: Jüri Aedla

    CVE-2012-0841

    CVE-2012-2807: Jüri Aedla

    CVE-2012-5134: Google Chrome Security Team (Jüri Aedla)

  • libxslt

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Zobrazenie webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu

    Popis: V komponente libxslt dochádzalo k viacerým problémom súvisiacim s narušením pamäte. Tieto problémy boli vyriešené aktualizovaním komponentu libxslt na verziu 1.1.28.

    CVE-ID

    CVE-2012-2825: Nicolas Gregoire

    CVE-2012-2870: Nicolas Gregoire

    CVE-2012-2871: Kai Lu z tímu FortiGuard Labs spoločnosti Fortinet, Nicolas Gregoire

  • Passcode Lock

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Osoba s fyzickým prístupom k zariadeniu môže byť schopná obísť zámok obrazovky

    Popis: Pri spracovávaní telefonických hovorov a vysúvaní SIM karty pri zamknutej ploche dochádzalo k problému s postupnosťou vykonania procesov. Tento problém bol vyriešený vylepšením správy stavu zámku.

    CVE-ID

    CVE-2013-5147: videosdebarraquito

  • Personal Hotspot

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník môže byť schopný pripojiť sa k sieti s funkciou Osobný hotspot

    Popis: Dochádzalo k problému s generovaním hesiel Osobného hotspotu, v dôsledku ktorého mohol útočník predvídať heslá na pripojenie k Osobnému hotspotu používateľa. Tento problém bol vyriešený generovaním hesiel s vyššou entropiou.

    CVE-ID

    CVE-2013-4616: Andreas Kurtz z tímu NESO Security Labs a Daniel Metz z univerzity v Erlangene-Norimbergu

  • Push Notifications

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Token push hlásenia sa môže sprístupniť pre apku aj napriek opačnému rozhodnutiu používateľa

    Popis: Pri registrácii push hlásení dochádzalo k problému s únikom informácií. Apky žiadajúce o prístup k push hláseniam dostali token skôr, ako používateľ schválil používanie push hlásení v príslušnej apke. Tento problém bol vyriešený zadržaním prístupu k tokenu, kým používateľ neschváli prístup.

    CVE-ID

    CVE-2013-5149: Jack Flintermann zo spoločnosti Grouper, Inc.

  • Safari

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní súborov XML dochádzalo k problému s narušením pamäte. Tento problém bol vyriešený dodatočnou kontrolou rozsahu.

    CVE-ID

    CVE-2013-1036: Kai Lu z tímu FortiGuard Labs spoločnosti Fortinet

  • Safari

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: História naposledy navštívených stránok na otvorenej karte môže zostať zachovaná aj po vymazaní histórie

    Popis: Vymazaním histórie v Safari sa nevymazala história prechodov späť/vpred pre otvorené karty. Tento problém bol vyriešený vymazaním histórie prechodov späť/vpred.

    CVE-ID

    CVE-2013-5150

  • Safari

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Prezeranie súborov na webovej stránke môže viesť k spusteniu skriptu, aj keď server odošle hlavičku „Content-Type: text/plain“

    Popis: Apka Safari v mobilnej verzii niekedy považovala súbory za súbory HTML, aj keď server odoslal hlavičku „Content-Type: text/plain“. Môže to viesť k spúšťaniu skriptov z iných lokalít na lokalitách, ktoré používateľom umožňujú nahrávať súbory. Tento problém bol vyriešený vylepšením spracovania súborov, keď je nastavená možnosť „Content-Type: text/plain“.

    CVE-ID

    CVE-2013-5151: Ben Toews z tímu Github

  • Safari

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže umožniť zobrazenie ľubovoľnej URL adresy

    Popis: V mobilnej verzii Safari dochádzalo k problému s falšovaním panela URL adresy. Tento problém bol vyriešený vylepšením sledovania URL adries.

    CVE-ID

    CVE-2013-5152: Keita Haga (keitahaga.com), Łukasz Pilorz z tímu RBS

  • Sandbox

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Apky, ktoré sú skriptmi, sa nespúšťali v sandboxe

    Popis: Apky od iných výrobcov, ktoré používali syntax #! na spustenie skriptu, sa spúšťali v sandboxe na základe identity interpreta skriptu, a nie samotného skriptu. Interpret nemusí mať definovaný sandbox, čo vedie k tomu, že sa apka spustí mimo sandboxu. Tento problém bol vyriešený vytváraním sandboxu na základe identity skriptu.

    CVE-ID

    CVE-2013-5154: evad3rs

  • Sandbox

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Apky môžu spôsobiť zamrznutie systému

    Popis: Apky so škodlivým kódom od iných výrobcov, ktoré zapisovali konkrétne hodnoty do zariadenia /dev/random, mohli vynútiť nekonečný cyklus procesora. Tento problém bol vyriešený zabránením zápisu do zariadenia /dev/random apkami od iných výrobcov.

    CVE-ID

    CVE-2013-5155: CESG

  • Social

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Nedávna aktivita používateľov na Twitteri mohla byť zverejnená na zariadeniach bez kódu.

    Popis: Dochádzalo k problému, v dôsledku ktorého bolo možné určiť, s ktorými účtami v sieti Twitter používateľ nedávno komunikoval. Tento problém bol vyriešený obmedzením prístupu do vyrovnávacej pamäte ikon Twittera.

    CVE-ID

    CVE-2013-5158: Jonathan Zdziarski

  • Springboard

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Osoba s fyzickým prístupom k zariadeniu v režime Stratené môže byť schopná zobraziť hlásenia

    Popis: Dochádzalo k problému pri spracovávaní hlásení, keď bolo zariadenie v režime Stratené. Táto aktualizácia rieši problém používaním vylepšenej správy stavu zámku.

    CVE-ID

    CVE-2013-5153: Daniel Stangroom

  • Telephony

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Apky so škodlivým kódom mohli rušiť alebo ovládať funkcie telefonovania

    Popis: V subsystéme telefonovania dochádzalo k problému s riadením prístupu. Apky v sandboxe mohli obchádzať podporované rozhrania API a odosielať požiadavky priamo do systémového démona, čím mohli rušiť alebo ovládať funkcie telefonovania. Tento problém bol vyriešený vynútením riadenia prístupu v rozhraniach sprístupnených démonom telefonovania.

    CVE-ID

    CVE-2013-5156: Jin Han z Institute for Infocomm Research v spolupráci s výskumníkmi Qiang Yan a Su Mon Kywe zo Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung a Wenke Lee z Georgia Institute of Technology

  • Twitter

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Apky v sandboxe mohli odosielať tweety bez interakcie alebo povolenia používateľa

    Popis: V subsystéme Twitter dochádzalo k problému s riadením prístupu. Apky v sandboxe mohli obchádzať podporované rozhrania API a odosielať požiadavky priamo do systémového démona, čím mohli rušiť alebo ovládať funkcie pre Twitter. Tento problém bol vyriešený vynútením riadenia prístupu v rozhraniach sprístupnených démonom pre Twitter.

    CVE-ID

    CVE-2013-5157: Jin Han z Institute for Infocomm Research v spolupráci s výskumníkmi Qiang Yan a Su Mon Kywe zo Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung a Wenke Lee z Georgia Institute of Technology

  • WebKit

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu

    Popis: V komponente WebKit dochádzalo k viacerým problémom s narušením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2013-0879: Atte Kettunen z tímu OUSPG

    CVE-2013-0991: Jay Civelli z vývojárskej komunity Chromium

    CVE-2013-0992: Google Chrome Security Team (Martin Barbella)

    CVE-2013-0993: Google Chrome Security Team (Inferno)

    CVE-2013-0994: David German zo spoločnosti Google

    CVE-2013-0995: Google Chrome Security Team (Inferno)

    CVE-2013-0996: Google Chrome Security Team (Inferno)

    CVE-2013-0997: Vitaliy Toropov v spolupráci s projektom Zero Day Initiative spoločnosti HP

    CVE-2013-0998: pa_kt v spolupráci s projektom Zero Day Initiative spoločnosti HP

    CVE-2013-0999: pa_kt v spolupráci s projektom Zero Day Initiative spoločnosti HP

    CVE-2013-1000: Fermin J. Serna z tímu Google Security Team

    CVE-2013-1001: Ryan Humenick

    CVE-2013-1002: Sergey Glazunov

    CVE-2013-1003: Google Chrome Security Team (Inferno)

    CVE-2013-1004: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1005: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1006: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1007: Google Chrome Security Team (Inferno)

    CVE-2013-1008: Sergey Glazunov

    CVE-2013-1010: miaubiz

    CVE-2013-1037: Google Chrome Security Team

    CVE-2013-1038: Google Chrome Security Team

    CVE-2013-1039: own-hero Research v spolupráci s tímom iDefense VCP

    CVE-2013-1040: Google Chrome Security Team

    CVE-2013-1041: Google Chrome Security Team

    CVE-2013-1042: Google Chrome Security Team

    CVE-2013-1043: Google Chrome Security Team

    CVE-2013-1044: Apple

    CVE-2013-1045: Google Chrome Security Team

    CVE-2013-1046: Google Chrome Security Team

    CVE-2013-1047: miaubiz

    CVE-2013-2842: Cyril Cattiaux

    CVE-2013-5125: Google Chrome Security Team

    CVE-2013-5126: Apple

    CVE-2013-5127: Google Chrome Security Team

    CVE-2013-5128: Apple

  • WebKit

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým obsahom môže mať za následok únik informácií

    Popis: Pri spracovávaní volania window.webkitRequestAnimationFrame() v rámci rozhrania API dochádzalo k problému s únikom informácií. Webová stránka so škodlivým kódom môže pomocou prvku iframe určiť, či iný server použil volanie window.webkitRequestAnimationFrame(). Tento problém bol vyriešený vylepšením spracovávania volania window.webkitRequestAnimationFrame().

    CVE-ID

    CVE-2013-5159

  • WebKit

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Skopírovanie a vloženie úseku škodlivého kódu HTML môže viesť k útoku na základe spúšťania skriptov z iných lokalít

    Popis: Pri spracovávaní skopírovaných a vložených dát v dokumentoch HTML dochádzalo k problému so spúšťaním skriptov z iných lokalít. Tento problém bol vyriešený prostredníctvom ďalšieho overovania vloženého obsahu.

    CVE-ID

    CVE-2013-0926: Aditya Gupta, Subho Halder a Dev Kar z tímu xys3c (xysec.com)

  • WebKit

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k útoku na základe spúšťania skriptov z iných lokalít

    Popis: Pri spracovávaní prvkov iframe dochádzalo k problému so spúšťaním skriptov z iných lokalít. Tento problém bol vyriešený vylepšením sledovania pôvodu.

    CVE-ID

    CVE-2013-1012: Subodh Iyengar a Erling Ellingsen zo spoločnosti Facebook

  • WebKit

    K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku informácií

    Popis: V súčasti XSSAuditor dochádzalo k problému s únikom informácií. Tento problém bol vyriešený vylepšením spracovania URL adries.

    CVE-ID

    CVE-2013-2848: Egor Homakov

  • WebKit

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Potiahnutie alebo vloženie výberu môže viesť k útoku na základe spúšťania skriptov z iných lokalít

    Popis: Potiahnutie alebo vloženie výberu z jednej lokality na inú môže umožniť spúšťanie skriptov, ktoré sú súčasťou výberu, v kontexte novej lokality. Tento problém bol vyriešený dodatočným overovaním obsahu pred operáciou vloženia alebo potiahnutia.

    CVE-ID

    CVE-2013-5129: Mario Heiderich

  • WebKit

    K dispozícii pre: iPhone 4 a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k útoku na základe spúšťania skriptov z iných lokalít

    Popis: Pri spracovávaní URL adries dochádzalo k problému so spúšťaním skriptov z iných lokalít. Tento problém bol vyriešený vylepšením sledovania pôvodu.

    CVE-ID

    CVE-2013-5131: Erling A Ellingsen

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: