Om säkerhetsinnehållet i iOS 6.1-programuppdatering

I det här dokumentet beskrivs säkerhetsinnehållet i iOS 6.1.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apple produktsäkerhet på webbplatsen Apple produktsäkerhet.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.

iOS 6.1

  • Identitetstjänster

    Tillgänglig på: iPhone 3GS eller senare, iPod touch (4:e generationen) och senare, iPad 2 eller senare

    Effekt: Autentisering som beror på certifikatsbaserad Apple-ID-autentisering kan kringgås

    Beskrivning: Det förekom ett problem med felhantering i Identitetstjänster. Om användarens Apple-ID-certifikat inte kunde valideras antogs det att användarens Apple-ID var den tomma strängen. Om flera system som tillhör olika användare försätts i det här läget, kan det hända att program som är beroende av den här identitetsbestämningen visar förtroende av misstag. Problemet åtgärdades genom att säkerställa att NULL och inte en tom sträng returneras.

    CVE-ID

    CVE-2013-0963

  • Internationella komponenter för Unicode

    Tillgänglig på: iPhone 3GS eller senare, iPod touch (4:e generationen) och senare, iPad 2 eller senare

    Problem: Besök på en webbplats med skadligt innehåll kan leda till en attack via skriptkörning över flera platser

    Beskrivning: Det förekom ett problem med kanonikalisering vid hanteringen av EUC-JP-kodningen, vilket skulle kunna leda till en attack via skriptkörning över flera platser på EUC-JP-kodade webbplatser. Det här problemet åtgärdades genom att EUC-JP-kopplingstabellen uppdaterades.

    CVE-ID

    CVE-2011-3058: Masato Kinugawa

  • Kärna

    Tillgänglig på: iPhone 3GS eller senare, iPod touch (4:e generationen) och senare, iPad 2 eller senare

    Inverkan: Det kan hända att första sidan i kärnans minne blir tillgänglig för en process i användarläge

    Beskrivning: I iOS-kärnan finns kontroller med vars hjälp det går att validera att pekaren för användarläge och längden som skickas till funktionerna copyin och copyout inte resulterar i att en process i användarläge får direkt åtkomst till kärnans minne. Kontrollerna användes inte om längden var kortare än en sida. Det här problemet åtgärdades med hjälp av ytterligare validering av argumenten copyin och copyout.

    CVE-ID

    CVE-2013-0964: Mark Dowd på Azimuth Security

  • Säkerhet

    Tillgänglig på: iPhone 3GS eller senare, iPod touch (4:e generationen) och senare, iPad 2 eller senare

    Effekt: En angripare med en privilegierad nätverksposition kan påverka användarinformation eller annan känslig information

    Beskrivning: Flera CA-certifikat på mellannivå har av misstag utfärdats av TURKTRUST. Detta kan ge en MITM-angripare (Man-In-The-Middle) möjlighet att omdirigera anslutningar och påverka användarinformation eller annan känslig information. Problemet åtgärdades genom att felaktiga SSL-certifikat inte tilläts.

  • StoreKit

    Tillgänglig på: iPhone 3GS eller senare, iPod touch (4:e generationen) och senare, iPad 2 eller senare

    Inverkan: I Mobile Safari kan det hända att JavaScript har aktiverats utan användaråtgärd

    Beskrivning: Om en användare har avaktiverat JavaScript i Safari-inställningar, skulle ett besök på en webbplats som visar en Smart App Banner återaktivera JavaScript utan att användaren varnades. Det här problemet åtgärdades genom att JavaScript inte aktiveras när en webbplats med en Smart App Banner besöks.

    CVE-ID

    CVE-2013-0974: Andrew Plotkin på Zarfhome Software Consulting, Ben Madison på BitCloud, Marek Durcek

  • WebKit

    Tillgänglig på: iPhone 3GS eller senare, iPod touch (4:e generationen) och senare, iPad 2 eller senare

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Flera minnesfel förekom i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2012-2857: Arthur Gerkis

    CVE-2012-3606: Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2012-3607: Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2012-3621: SkyLined på Google Chrome Security Team

    CVE-2012-3632: Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2012-3687: kuzzcc

    CVE-2012-3701: Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2013-0948: Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2013-0949: Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2013-0950: Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2013-0951: Apple

    CVE-2013-0952: Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2013-0953: Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2013-0954: Dominic Cooney på Google och Martin Barbella på Google Chrome Security Team

    CVE-2013-0955: Apple

    CVE-2013-0956: Apple Product Security

    CVE-2012-2824: miaubiz

    CVE-2013-0958: Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2013-0959: Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2013-0968: Aaron Nelson

  • WebKit

    Tillgänglig på: iPhone 3GS eller senare, iPod touch (4:e generationen) och senare, iPad 2 eller senare

    Effekt: Om du kopierar och klistrar in innehåll på en skadlig webbplats kan det leda till en attack via skriptkörning över flera platser

    Beskrivning: Ett problem med skriptkörning på flera platser förekom i hanteringen av innehåll som klistrats från en annan källa. Det här problemet åtgärdades genom ytterligare validering av inklistrat innehåll.

    CVE-ID

    CVE-2013-0962: Mario Heiderich på Cure53

  • WebKit

    Tillgänglig på: iPhone 3GS eller senare, iPod touch (4:e generationen) och senare, iPad 2 eller senare

    Problem: Besök på en webbplats med skadligt innehåll kan leda till en attack via skriptkörning över flera platser

    Beskrivning: Ett problem med manuskörning på flera platser förekom i hanteringen av ramelement. Problemet åtgärdades genom förbättrad ursprungsspårning.

    CVE-ID

    CVE-2012-2889: Sergey Glazunov

  • Wi-Fi

    Tillgänglig på: iPhone 3GS, iPhone 4, iPod touch (4:e generationen) och iPad 2

    Inverkan: En fjärrangripare på samma Wi-Fi-nätverk kan tillfälligt avaktivera Wi-Fi

    Beskrivning: Det förekommer ett inläsningsproblem utanför gränserna i Broadcoms BCM4325 och BCM4329 fasta programvaruhantering av 802.11i informationselement. Det här problemet åtgärdades genom ytterligare validering av 802.11i informationselement.

    CVE-ID

    CVE-2012-2619: Andres Blanco och Matias Eissler på Core Security

 

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: