Om säkerhetsinnehållet i iOS 7.1

Det här dokumentet beskriver säkerhetsinnehållet i iOS 7.1.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.

iOS 7.1

  • Säkerhetskopiering

    Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En skadlig säkerhetskopia kan ändra filsystemet.

    Beskrivning: En symbolisk länk i en säkerhetskopia återskapades för att det skulle gå att skriva till resten av filsystemet under återställningen. Problemet åtgärdades genom en sökning efter symboliska länkar under återställningsprocessen.

    CVE-ID

    CVE-2013-5133: evad3rs

  • Certifierad förtroendepolicy

    Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Rotcertifikat har uppdaterats

    Beskrivning: Flera certifikat har lagts till eller tagits bort från listan med systemrötter.

  • Konfigurationsprofiler

    Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Profilens förfallodatum respekterades inte

    Beskrivning: Förfallodatum för mobilens konfigurationsprofiler utvärderades inte korrekt. Problemet åtgärdades genom förbättrad hantering av konfigurationsprofilerna.

    CVE-ID

    CVE-2014-1267

  • CoreCapture

    Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan leda till oväntad systemavslutning

    Beskrivning: Ett problem med nåbar försäkran förekom i CoreCaptures hantering av IOKit API-samtal. Problemet åtgärdades genom ytterligare validering av inmatning från IOKit.

    CVE-ID

    CVE-2014-1271: Filippo Bigarella

  • Kraschrapportering

    Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Det kan hända att en lokal användare kan ändra tillstånden för godtyckliga filer

    Beskrivning: CrashHouseKeeping följde symboliska länkar vid ändring av behörigheter för filer. Problemet åtgärdades genom att inte följa symboliska länkar vid ändring av behörigheter för filer.

    CVE-ID

    CVE-2014-1272: evad3rs

  • dyld

    Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Begäran om kodsignering kan kringgås

    Beskrivning: Textförflyttningsinstruktioner i dynamiska bibliotek kan hämtas per dyld utan validering av kodsignatur. Problemet åtgärdades genom att textförflyttningsinstruktionerna ignoreras.

    CVE-ID

    CVE-2014-1273: evad3rs

  • FaceTime

    Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En person med fysisk åtkomst till enheten kan komma åt FaceTime-kontakter via låsskärmen

    Beskrivning: FaceTime-kontakter på en låst enhet kan exponeras genom uppringning av ett missat FaceTime-samtal från låsskärmen. Problemet åtgärdades genom förbättrad hantering av FaceTime-samtal.

    CVE-ID

    CVE-2014-1274

  • ImageIO

    Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Visning av en PDF-fil som skapats med skadlig kod kan leda till oväntad programavslutning eller körning av godtycklig kod

    Beskrivning: Buffertspill förekom vid hantering av JPEG2000-bilder i PDF-filer. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-1275: Felix Groebert i Google Security Team

  • ImageIO

    Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Visning av en skadlig TIFF-fil kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Ett buffertspill fanns i libtiffs hantering av TIFF-bilder. Detta löstes genom ytterligare validering av TIFF-bilder.

    CVE-ID

    CVE-2012-2088

  • ImageIO

    Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Visning av en skadlig JPEG-fil kan leda till spridning av minnesinnehåll

    Beskrivning: Ett oinitierat minnesåtkomstproblem förekom i libjpegs hantering av JPEG-markörer, vilket ledde till spridningen av minnesinnehåll. Problemet åtgärdades genom ytterligare validering av JPEG-filer.

    CVE-ID

    CVE-2013-6629: Michal Zalewski

  • IOKit HID-händelse

    Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan övervaka vad användaren gör i andra appar

    Beskrivning: Ett gränssnitt i IOKit-ramverket tillät skadliga appar att övervaka vad användaren gjorde i andra appar. Problemet åtgärdades genom förbättrad åtkomstkontroll i nätverket.

    CVE-ID

    CVE-2014-1276: Min Zheng, Hui Xue och dr Tao (Lenx) Wei på FireEye

  • iTunes Store

    Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: MITM-angripare (man-in-the-middle) kan lura användarna att hämta en skadlig app via hämtning av företagsappar

    Beskrivning: En angripare med en privilegierad nätverksposition kan imitera nätverkskommunikation för att lura en användare att hämta en skadlig app. Problemet åtgärdades genom användning av SSL och tillfrågan av användare vid URL-omdirigeringar.

    CVE-ID

    CVE-2013-3948: Stefan Esser

  • Kärna

    Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En lokal användare kan orsaka oväntad systemavslutning eller exekvering av godtycklig kod i operativsystemkärnan

    Beskrivning: Ett problem med minnesåtkomst utanför gränserna förekom i ARM ptmx_get_ioctl-funktionen. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-1278: evad3rs

  • Office Viewer

    Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Öppnande av ett Microsoft Word-dokument med skadligt innehåll kan leda till att ett program avslutas oväntat eller exekvering av opålitlig kod

    Beskrivning: Ett dubbelt fritt fel förekom i hanteringen av Microsoft Word-dokument. Det här problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2014-1252: Felix Groebert i Google Security Team

  • Bakgrundsprocessen för Bilder

    Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Borttagna bilder kan fortfarande visas i programmet Bilder under transparenta bilder

    Beskrivning: Borttagning av en bild från resursbiblioteket tog inte bort de cachelagrade versionerna av bilden. Problemet åtgärdades genom förbättrad cachehantering.

    CVE-ID

    CVE-2014-1281: Walter Hoelblinger på Hoelblinger.com, Morgan Adams, Tom Pennington

  • Profiler

    Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En konfigurationsfil kan vara dold från användaren

    Beskrivning: En konfigurationsfil med ett långt namn kan ha hämtats till enheten men visades inte i gränssnittet för profilen. Problemet åtgärdades genom förbättrad hantering av profilnamn.

    CVE-ID

    CVE-2014-1282: Assaf Hefetz, Yair Amit och Adi Sharabani på Skycure

  • Safari

    Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Identifieringsuppgifter för användare kan avslöjas för en oväntad webbplats via autofyll

    Beskrivning: Safari kan ha fyllt i användarnamn och lösenord automatiskt i en underram från en annan domän än huvudramen. Problemet åtgärdades genom förbättrad ursprungsspårning.

    CVE-ID

    CVE-2013-5227: Niklas Malmgren på Klarna AB

  • Inställningar – Konton

    Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En person med fysisk åtkomst till enheten kan inaktivera Hitta min iPhone utan att ange ett iCloud-lösenord

    Beskrivning: Ett problem med tillståndshantering förekom i hanteringen av Hitta min iPhone-tillståndet. Problemet åtgärdades genom förbättrad hantering av Hitta min iPhone-tillståndet.

    CVE-ID

    CVE-2014-2019

  • Hemskärm

    Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En person som har fysisk åtkomst till enheten kan visa enhetens hemskärm även om enheten inte har aktiverats

    Beskrivning: En oväntad programavslutning under aktiveringen kan leda till att telefonen visar hemskärmen. Problemet åtgärdades genom förbättrad felhantering under aktiveringen.

    CVE-ID

    CVE-2014-1285: Roboboi99

  • SpringBoard-låsskärmen

    Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En angripare på distans kan orsaka att låsskärmen inte svarar.

    Beskrivning: Ett problem med tillståndshantering förekom i låsskärmen. Problemet åtgärdades genom förbättrad tillståndshantering.

    CVE-ID

    CVE-2014-1286: Bogdan Alecu på M-sec.net

  • TelephonyUI-ramverket

    Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En webbsida kan ringa ett ljudsamtal med FaceTime utan att användaren gör något

    Beskrivning: Safari frågade inte användaren innan URL:er med FaceTime-ljud startades. Problemet åtgärdades genom att en bekräftelsefråga lades till.

    CVE-ID

    CVE-2013-6835: Guillaume Ross

  • USB-värd

    Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En person med fysisk åtkomst till enheten kan orsaka exekvering av godtycklig kod i operativsystemkärnan

    Beskrivning: Ett problem med minneskorruption förekom i hanteringen av USB-meddelanden. Problemet åtgärdades genom ytterligare validering av USB-meddelanden.

    CVE-ID

    CVE-2014-1287: Andy Davis på NCC Group

  • Videodrivrutin

    Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Uppspelning av en skadlig video kan leda till att enheten inte svarar

    Beskrivning: Ett problem med nullreferens förekom i hanteringen av MPEG-4-kodade filer. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2014-1280: rg0rd

  • WebKit

    Tillgänglig för: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Flera minnesfel förekom i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2013-2909: Atte Kettunen på OUSPG

    CVE-2013-2926: cloudfuzzer

    CVE-2013-2928: Google Chrome Security Team

    CVE-2013-5196: Google Chrome Security Team

    CVE-2013-5197: Google Chrome Security Team

    CVE-2013-5198: Apple

    CVE-2013-5199: Apple

    CVE-2013-5225: Google Chrome Security Team

    CVE-2013-5228: Keen Team (@K33nTeam) i samarbete med HP:s Zero Day Initiative

    CVE-2013-6625: cloudfuzzer

    CVE-2013-6635: cloudfuzzer

    CVE-2014-1269: Apple

    CVE-2014-1270: Apple

    CVE-2014-1289: Apple

    CVE-2014-1290 : ant4g0nist (SegFault) i samarbete med HP:s Zero Day Initiative, Google Chrome Security Team, Lee Wang Hao i samarbete med S.P.T. Krishnan på Infocomm Security Department, Institute for Infocomm Research

    CVE-2014-1291: Google Chrome Security Team

    CVE-2014-1292: Google Chrome Security Team

    CVE-2014-1293: Google Chrome Security Team

    CVE-2014-1294: Google Chrome Security Team

 

FaceTime är inte tillgängligt i alla länder och regioner.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: