Om säkerhetsinnehållet i iOS 6.1-programuppdateringen

I det här dokumentet beskrivs säkerhetsinnehållet i iOS 6.1.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apple produktsäkerhet på webbplatsen Apple produktsäkerhet.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.

iOS 6.1

  • Identitetstjänster

    Tillgängliga på: iPhone 3GS eller senare, iPod touch (fjärde generationen) och senare, iPad 2 eller senare

    Effekt: Autentisering som beror på certifikatsbaserad Apple-ID autentisering kan kringgås

    Beskrivning: Det förekom ett problem med felhantering i Identitetstjänster. Om användarens Apple-ID-certifikat inte kunde valideras, togs det för givet att användarens Apple-ID var den tomma strängen. Om flera system som tillhör olika användare försätts i det här läget, kan det hända att program som är beroende av den här identitetsbestämningen visar förtroende av misstag. Problemet åtgärdades genom att säkerställa att NULL och inte en tom sträng returneras.

    CVE-ID

    CVE-2013-0963

  • Internationella komponenter för Unicode

    Tillgängliga på: iPhone 3GS eller senare, iPod touch (fjärde generationen) och senare, iPad 2 eller senare

    Effekt: Besök på en webbplats med skadligt innehåll kan leda till en attack via skriptkörning över flera webbplatser

    Beskrivning: Det förekom ett problem med kanonikalisering vid hanteringen av EUC-JP-kodningen, vilket skulle kunna leda till en attack via skriptkörning över flera webbplatser på EUC-JP-kodade webbplatser. Det här problemet åtgärdades genom att EUC-JP-kopplingstabellen uppdaterades.

    CVE-ID

    CVE-2011-3058: Masato Kinugawa

  • Kernel

    Tillgänglig på: iPhone 3GS eller senare, iPod touch (fjärde generationen) och senare, iPad 2 eller senare

    Inverkan: Det kan hända att första sidan i en kernels minne blir tillgänglig för en process i användarläge

    Beskrivning: I en iOS-kernel finns kontroller med vars hjälp det går att validera att pekaren för användarläge och längden som skickas till funktionerna copyin och copyout inte resulterar i att en process i användarläge får direkt åtkomst till en kernels minne. Kontrollerna användes inte om längden var kortare än en sida. Det här problemet åtgärdades med hjälp av ytterligare validering av argumenten för copyin och copyout.

    CVE-ID

    CVE-2013-0964: Mark Dowd på Azimuth Security

  • Säkerhet

    Tillgänglig på: iPhone 3GS eller senare, iPod touch (fjärde generationen) och senare, iPad 2 eller senare

    Effekt: En angripare med en privilegierad nätverksposition kan påverka användarinformation eller annan känslig information

    Beskrivning: Flera CA-certifikat på mellannivå har av misstag utfärdats av TURKTRUST. Detta kan ge en MITM-angripare (Man-In-The-Middle) möjlighet att omdirigera anslutningar och påverka användarinformation eller annan känslig information. Problemet åtgärdades genom att felaktiga SSL-certifikat inte tilläts.

  • StoreKit

    Tillgänglig på: iPhone 3GS eller senare, iPod touch (fjärde generationen) och senare, iPad 2 eller senare

    Effekt: I Mobile Safari kan det hända att JavaScript har aktiverats utan användaråtgärd

    Beskrivning: Om en användare hade avaktiverat JavaScript i Safari-inställningar, skulle ett besök på en webbplats som visar en Smart App Banner återaktivera JavaScript utan att användaren varnades. Det här problemet åtgärdades genom att JavaScript inte aktiveras när en webbplats med en Smart App Banner besöks.

    CVE-ID

    CVE-2013-0974: Andrew Plotkin på Zarfhome Software Consulting, Ben Madison på BitCloud, Marek Durcek

  • WebKit

    Tillgänglig på: iPhone 3GS eller senare, iPod touch (fjärde generationen) och senare, iPad 2 eller senare

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller opålitlig kod köras

    Beskrivning: Flera minnesfel förekom i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2012-2857: Arthur Gerkis

    CVE-2012-3606: Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2012-3607: Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2012-3621: SkyLined på Google Chrome Security Team

    CVE-2012-3632: Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2012-3687: kuzzcc

    CVE-2012-3701: Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2013-0948: Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2013-0949: Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2013-0950: Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2013-0951: Apple

    CVE-2013-0952: Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2013-0953: Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2013-0954: Dominic Cooney på Google och Martin Barbella på Google Chrome Security Team

    CVE-2013-0955: Apple

    CVE-2013-0956: Apple Product Security

    CVE-2012-2824: miaubiz

    CVE-2013-0958: Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2013-0959: Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2013-0968: Aaron Nelson

  • WebKit

    Tillgänglig på: iPhone 3GS eller senare, iPod touch (fjärde generationen) och senare, iPad 2 eller senare

    Effekt: Om man kopierar och klistrar in innehåll på en skadlig webbplats kan det leda till en attack via skriptkörning över flera webbplatser

    Beskrivning: Ett problem med skriptkörning över flera webbplatser förekom i hanteringen av innehåll som klistrats in från en annan källa. Det här problemet åtgärdades genom ytterligare validering av inklistrat innehåll.

    CVE-ID

    CVE-2013-0962: Mario Heiderich på Cure53

  • WebKit

    Tillgänglig på: iPhone 3GS eller senare, iPod touch (fjärde generationen) och senare, iPad 2 eller senare

    Effekt: Besök på en webbplats med skadligt innehåll kan leda till en attack via skriptkörning över flera webbplatser

    Beskrivning: Ett problem med skriptkörning över flera webbplatser förekom i hanteringen av ramelement. Problemet åtgärdades genom förbättrad ursprungsspårning.

    CVE-ID

    CVE-2012-2889: Sergey Glazunov

  • Wifi

    Tillgänglig på: iPhone 3GS, iPhone 4, iPod touch (fjärde generationen) och iPad 2

    Effekt: En fjärrangripare på samma wifi-nätverk kan tillfälligt avaktivera wifi

    Beskrivning: Det förekom ett problem med läsning utanför gränserna i hanteringen av 802.11i-informationselement i Broadcoms fasta programvara BCM4325 och BCM4329. Det här problemet åtgärdades genom ytterligare validering av 802.11i-informationselement.

    CVE-ID

    CVE-2012-2619: Andres Blanco och Matias Eissler på Core Security

 

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: